[LA LOI FEDERALE AMERICAINE "CLOUD ACT" FACE AU RGPD EUROPEEN]

DROIT AMERICAIN – DROIT EUROPEEN – SOUVERAINETE NUMERIQUE ET TECHNOLOGIQUE – DONNEES PERSONNELLES – ENQUETE PENALE - SECURITE

🚨 Le CLOUD Act américain n’a pas avalé son parapluie.

Dans son rapport d’information n°4299, l’Assemblée nationale a soulevé des préoccupations liées à la confidentialité et la sécurité des données, ainsi qu’à la souveraineté numérique et technologique des États. A titre d’exemple, elle évoque les difficultés qu'engendre l'extraterritorialité de certaines législations étrangères, ces dernières pouvant s'avérer préjudiciables aux intérêts étatiques et européens.

(Rapport d’information de l'Assemblée nationale du 29 juin 2021, n°4299, Tome I, portant sur le thème « Bâtir et promouvoir une souveraineté numérique nationale et européenne »; la loi fédérale états-unienne Clarifying Lawful Overseas Use of Data Act (CLOUD Act) de 2018 ; Foreign Intelligence Surveillance Act (FISA) de 1978 ; US Intelligence Activities Executive Order 12333 de 1981)

⚖️Contrairement aux idées préconçues, le CLOUD Act ne permet pas aux autorités américaines d'accéder de manière illimitée et arbitraire aux données personnelles européennes. L’objectif du CLOUD Act est de clarifier les règles relatives aux réquisitions des autorités américaines. Ces dernières peuvent adresser une requête à un juge américain, sollicitant un mandat visant certaines données hébergées à l’étranger.

Effectivement, le champ d’application du CLOUD Act reste relativement large, couvrant les opérateurs suivants :

- fournisseurs des services informatique à distance (FSID) (18 U.S.C. Sec. 2711) ;

- fournisseurs des services de communication électronique (FSCE) (18 U.S.C. Sec. 2510);

- sociétés américaines et leurs filiales (notamment à l’étranger) ; et

- sociétés étrangères à l’étranger présentant un lien suffisant avec États-Unis.

Néanmoins, la requête de l'autorité américaine doit satisfaire les conditions cumulatives suivantes :

- être sollicité dans le cadre d'une enquête pénale en cours, liée à la prévention, détection ou la poursuite d’un crime grave (« Objet ») ;

- identifier le client ou l’opérateur cible (« Cible ») ;

- spécifier les données visées et le périmètre de recherche (« Données ») ; et

- démontrer l'existence d'une connexité suffisante entre l’Objet, le Cible et les Données.

Elle peut être émise sous ordonnance de confidentialité, soit en l’absence de notification au Cible.

En tout état de cause, le juge chargé de l'affaire est tenu d'examiner la légalité de la requête, considérant les principes de proportionnalité et de nécessité (e.x. l’importance des données visées, la spécificité de la requête, la disponibilité de moyens alternatifs à l'obtention des données visées).

⚠ Le CLOUD Act a soulevé de nombreuses questions relatives à sa compatibilité avec le Règlement (UE) 2016/679 (RGPD), dont l’Article 48 (Transferts ou divulgations non autorisés par le droit de l'Union) dispose ce qui suit : « Toute décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant d'un responsable du traitement ou d'un sous-traitant qu'il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu'à la condition qu'elle soit fondée sur un accord international, tel qu'un traité d'entraide judiciaire, en vigueur entre le pays tiers demandeur et l'Union ou un État membre, sans préjudice d'autres motifs de transfert en vertu du présent chapitre. ».

Dans l’affaire Microsoft Ireland de 2018, la Commission européenne a soumis un avis amicus curiae portant sur les divers fondements pouvant justifier la légalité des transferts des données personnelles vers des États tiers, ainsi que leur traitements (notamment les articles 44 à 50 du Chapter V du RGPD).

(United States v. Microsoft Corp. (Microsoft Ireland), No. 17-2, slip op. at 3 (17.04.2018) (per curiam), 584 U.S.___(2018); cf. Conseil d'État, Juge des référés, 13/10/2020, 444937 ; Schrems II, C-311/18 ; Stored Communications Act de 1986 ; Article 18(1) de la Convention sur la cybercriminalité (STE n°185), Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act (USA PATRIOT Act) de 2001)

#cloudact #donnéespersonnelles #sécurité #numérique #transfert #data #conflitdeslois #extraterritorialité #RGPD #droitaméricain #DUE