Cloud et interventionnisme numérique américain
La Rédaction
Le CLOUD Act pour (Clarifyng Lawful Overseas Use of Data Act) est une nouvelle loi qui clarifie l’accès de la justice américaine, lors d’une enquête pénale, aux données électroniques situées hors du territoire fédéral
Microsoft fait réécrire une loi
Introduite en 1986, le « Stored Communication Act » avait pour but d’obliger l’accès par la justice américaine, sous la réserve d’un mandat, à toutes les données sous le contrôle d’une personne. La jurisprudence a été pendant des décennies de ne pas se limiter aux frontières américaines. Pour plus de « courtoisie internationale », le juge s’appuyait sur une demande d’entraide judiciaire encadrée par un traité bilatéral « Mutual Legal Assistance Treaties » (MLAT).
La situation change lors ce que la Cour d’appel de New York réinterprète la loi et émet une nouvelle jurisprudence en 2016. Elle estime que les mandats ne peuvent concerner les données hors du territoire fédéral. Cette décision de justice a été émise dans le cadre d’une bataille judiciaire opposant Microsoft aux autorités américaines pour l’accès des données contenues sur un serveur en Irlande dans une affaire de stupéfiants.
Cette nouvelle jurisprudence devait être examinée par la Cour suprême, mais le Congrès a décidé de voter une nouvelle loi précisant le point du « sous-contrôle » de la personne.
Le CLOUD Act est promulgué le 23 mars 2018. Son nom est une référence aux « cloud », ces espaces serveurs personnels accessibles grâce à internet partout dans le monde qui sont les cibles principales de la loi. Son idée principale n’est pas nouvelle, elle précise surtout que lors d’une procédure pénale « serious crime » le juge peut demander toutes les données accessibles depuis les États-Unis, mais pas forcément stockées localement comme dans le cloud.
Le CLOUD Act a été soutenu par les géants américains de l’internet, avec ironiquement en tête Microsoft. Les GAFAM apprécient l’apparition d’une meilleure sécurité juridique et d’un cadre légal clair.
La nouveauté du CLOUD Act c’est qu’il permet des « Executive Agreements ». Ce sont des accords bilatéraux entre gouvernements qui rend réciproque l’échange des données lors d’enquêtes pour crimes. Clémence Béjat, juriste chez Outscale, explique : « Ces accords permettront aux autorités respectives des pays signataires de demander directement aux fournisseurs de services de communiquer des données relevant de la juridiction de l’autre pays sans avoir à passer par les procédures des MLAT ».
La loi serait normalement en phase avec le Code pénal français et la future régulation « e-Evidenve » de l’UE. Elle serait aussi en concordance avec le droit international en la matière notamment la convention de Budapest ou Convention du Conseil de l’Europe sur la Cybercriminalité.
Des inquiétudes
Pourtant certaines critiques justifiées apparaissent de la part de plusieurs acteurs tels Amnesty International et Human Rights Watch. Ils soutiennent que les « Executives Agreements » pourraient enfreindre le Quatrième amendement de la Constitution américaine qui protège les citoyens de perquisitions arbitraires. Ces ONG craignent également que ces accords bilatéraux soient susceptibles d’engager des violations des droits de l’Homme. Un pays ayant signé l’accord de partage de données avec les États-Unis. Le CLOUD Act prévoit cependant que les accords bilatéraux ne seront effectués qu’avec des « qualifying foreign governement », des États qui respectent les droits de l’Homme et les libertés individuelles.
Les crimes visés par la loi ne sont pas clairement définis, ils pourraient être ainsi utilisés par les Américains plus à des fins économiques ou politiques que juridiques.
Quel impact pour l’Europe ?
L’Europe qui est très dépendante des GAFAM se retrouve donc exposée à un possible interventionnisme judiciaire américain.
Le CLOUD Act pourrait entrer en opposition avec le Règlement général sur la protection des données (RGPD) entrée en vigueur le 25 mai 2018. Il unifie la protection des données des citoyens au sein de l’Union européenne.
Conscient des possibles difficultés, le 5 février 2019, la Commission européenne a recommandé, des négociations avec la partie américaine sur ce sujet. Le système européen fait que la commission doit d’abord recevoir l’aval du Conseil européen pour pouvoir discuter avec les États-Unis, ce qui n’est pas le cas à ce jour.
Sans attendre l’UE, la France a déjà demandé de nombreuses entreprises stratégiques (banques, défense, etc.) d’utiliser des fournisseurs de données ne pouvant être touchées par le CLOUD Act.
Le gouvernement français voit d’un mauvais œil l’extension des lois extraterritoriales américaines, qui entravent la performance des entreprises françaises. On se souviendra de l’amende de 9 milliards USD contre la BNP, pour des transactions avec des pays sous sanctions et le renoncement par Total d’un projet de 5 milliards USD en Iran après que Trump se soit retiré du traité sur le nucléaire iranien.
C’est une nouvelle preuve du manque d’indépendance de l’Europe en matière de numérique, qui se trouve dans l’embarras à chaque nouvelle loi du Congrès américain. À quand des alternatives locales ?
https://www.congress.gov/bill/115th-congress/senate-bill/2383/text
Introduite en 1986, le « Stored Communication Act » avait pour but d’obliger l’accès par la justice américaine, sous la réserve d’un mandat, à toutes les données sous le contrôle d’une personne. La jurisprudence a été pendant des décennies de ne pas se limiter aux frontières américaines. Pour plus de « courtoisie internationale », le juge s’appuyait sur une demande d’entraide judiciaire encadrée par un traité bilatéral « Mutual Legal Assistance Treaties » (MLAT).
La situation change lors ce que la Cour d’appel de New York réinterprète la loi et émet une nouvelle jurisprudence en 2016. Elle estime que les mandats ne peuvent concerner les données hors du territoire fédéral. Cette décision de justice a été émise dans le cadre d’une bataille judiciaire opposant Microsoft aux autorités américaines pour l’accès des données contenues sur un serveur en Irlande dans une affaire de stupéfiants.
Cette nouvelle jurisprudence devait être examinée par la Cour suprême, mais le Congrès a décidé de voter une nouvelle loi précisant le point du « sous-contrôle » de la personne.
Le CLOUD Act est promulgué le 23 mars 2018. Son nom est une référence aux « cloud », ces espaces serveurs personnels accessibles grâce à internet partout dans le monde qui sont les cibles principales de la loi. Son idée principale n’est pas nouvelle, elle précise surtout que lors d’une procédure pénale « serious crime » le juge peut demander toutes les données accessibles depuis les États-Unis, mais pas forcément stockées localement comme dans le cloud.
Le CLOUD Act a été soutenu par les géants américains de l’internet, avec ironiquement en tête Microsoft. Les GAFAM apprécient l’apparition d’une meilleure sécurité juridique et d’un cadre légal clair.
La nouveauté du CLOUD Act c’est qu’il permet des « Executive Agreements ». Ce sont des accords bilatéraux entre gouvernements qui rend réciproque l’échange des données lors d’enquêtes pour crimes. Clémence Béjat, juriste chez Outscale, explique : « Ces accords permettront aux autorités respectives des pays signataires de demander directement aux fournisseurs de services de communiquer des données relevant de la juridiction de l’autre pays sans avoir à passer par les procédures des MLAT ».
La loi serait normalement en phase avec le Code pénal français et la future régulation « e-Evidenve » de l’UE. Elle serait aussi en concordance avec le droit international en la matière notamment la convention de Budapest ou Convention du Conseil de l’Europe sur la Cybercriminalité.
Des inquiétudes
Pourtant certaines critiques justifiées apparaissent de la part de plusieurs acteurs tels Amnesty International et Human Rights Watch. Ils soutiennent que les « Executives Agreements » pourraient enfreindre le Quatrième amendement de la Constitution américaine qui protège les citoyens de perquisitions arbitraires. Ces ONG craignent également que ces accords bilatéraux soient susceptibles d’engager des violations des droits de l’Homme. Un pays ayant signé l’accord de partage de données avec les États-Unis. Le CLOUD Act prévoit cependant que les accords bilatéraux ne seront effectués qu’avec des « qualifying foreign governement », des États qui respectent les droits de l’Homme et les libertés individuelles.
Les crimes visés par la loi ne sont pas clairement définis, ils pourraient être ainsi utilisés par les Américains plus à des fins économiques ou politiques que juridiques.
Quel impact pour l’Europe ?
L’Europe qui est très dépendante des GAFAM se retrouve donc exposée à un possible interventionnisme judiciaire américain.
Le CLOUD Act pourrait entrer en opposition avec le Règlement général sur la protection des données (RGPD) entrée en vigueur le 25 mai 2018. Il unifie la protection des données des citoyens au sein de l’Union européenne.
Conscient des possibles difficultés, le 5 février 2019, la Commission européenne a recommandé, des négociations avec la partie américaine sur ce sujet. Le système européen fait que la commission doit d’abord recevoir l’aval du Conseil européen pour pouvoir discuter avec les États-Unis, ce qui n’est pas le cas à ce jour.
Sans attendre l’UE, la France a déjà demandé de nombreuses entreprises stratégiques (banques, défense, etc.) d’utiliser des fournisseurs de données ne pouvant être touchées par le CLOUD Act.
Le gouvernement français voit d’un mauvais œil l’extension des lois extraterritoriales américaines, qui entravent la performance des entreprises françaises. On se souviendra de l’amende de 9 milliards USD contre la BNP, pour des transactions avec des pays sous sanctions et le renoncement par Total d’un projet de 5 milliards USD en Iran après que Trump se soit retiré du traité sur le nucléaire iranien.
C’est une nouvelle preuve du manque d’indépendance de l’Europe en matière de numérique, qui se trouve dans l’embarras à chaque nouvelle loi du Congrès américain. À quand des alternatives locales ?
https://www.congress.gov/bill/115th-congress/senate-bill/2383/text