Le CLOUD Act et les entreprises européennes : quel champ d’application ?

Le CLOUD Act et les entreprises européennes : quel champ d’application ?

Veille Juridique n°40 – Octobre 2021

Le CLOUD Act et les entreprises européennes : quel champ d’application ?. La dématérialisation des données et leur stockage dans les « nuages » ont des conséquences fondamentales, et complexes, sur les obligations des entreprises.

Même stockées en Europe, les données ne sont pas à l’abri d’une demande de communication par un pays tiers dans un contexte judiciaire.

La question de la souveraineté numérique, de plus en plus d’actualité, trouve un écho particulier dans l’évolution du droit des Etats-Unis, avec le CLOUD Act et son champ d’application extraterritorial.

Dans quelles conditions la filiale européenne d’une société américaine, ou inversement, la filiale américaine d’une société européenne, peuvent-elles être contraintes de communiquer leurs données aux autorités américaines ?

Le CLOUD Act (Clarifying Lawful Overseas Use of Data) a été adopté en mars 2018 aux Etats-Unis.  Son objectif est de permettre aux autorités pénales américaines d’accéder aux données des fournisseurs de services cloud américains, sans considération du lieu où ces données sont stockées, et sans avoir à engager une procédure par la voie de l’entraide judiciaire internationale.

Peu de temps avant l’adoption du CLOUD Act, Microsoft avait refusé de communiquer aux autorités américaines les données stockées dans son cloud irlandais, invoquant la non-application du droit américain aux données stockées en Europe, ce qui avait donné lieu à de longues procédures en justice.

Le CLOUD Act clarifie et étend son champ d’application afin d’éviter ce type de situation.

Le texte permet d’autre part aux États étrangers d’avoir également accès aux données des fournisseurs de services cloud ayant leur siège aux USA, sans avoir à déposer une requête d’entraide judiciaire, en cas d’accord bilatéral.

Un accord de ce type a été conclu récemment entre les Etats-Unis et le Royaume-Uni, le premier du genre.

Le CLOUD Act s’applique à toute société américaine au sens du droit américain, c’est-à-dire une société incorporée aux Etats-Unis ainsi que les sociétés contrôlées par elle.

Une filiale européenne ou une société européenne contrôlées par une société américaine peuvent donc être soumises à cette loi, ce qui ne manquera pas de provoquer des conflits de lois dans la mesure où ces sociétés sont également soumises au RGPD.

Notons que la notion vise également des sociétés européennes ayant une « présence » aux Etats-Unis, ce qui étend considérablement sa portée.

C’est ce que fait remarquer le Comité européen de protection des données dans une position datant de 2019, ainsi que le ministère de la Justice suisse dans une très récente étude du 17 septembre 2021 sur le CLOUD Act.

Cette incertitude sur la portée du CLOUD Act est relayée par le Département de la justice des Etats-Unis lui-même dans une livre blanc d’avril 2019 sur le sujet, dont voici un extrait (traduction non officielle):

“ La question de savoir si une société étrangère située en dehors des États-Unis mais fournissant des services aux États-Unis a suffisamment de contacts avec les États-Unis pour être soumise à la juridiction américaine est une enquête spécifique aux faits, qui repose sur la nature, la quantité et la qualité des contacts de la société avec les États-Unis.

Plus une société a délibérément dirigé sa conduite vers les États-Unis, plus il est probable qu’un tribunal conclura que la société est soumise à la juridiction américaine.

Les tribunaux américains appliquant cette analyse dans les affaires civiles impliquant des sites Web, par exemple, se sont concentrés sur le degré d’interactivité d’un site avec les clients dans leur juridiction, en considérant des facteurs tels que la fonction et la mécanique du site Web, toute promotion spécifique auprès des clients, la sollicitation d’affaires par le biais du site et l’utilisation réelle par les clients. « 

Cette interprétation soumet potentiellement un très grand nombre de sociétés européennes aux requêtes judiciaires américaines, même lorsque les bases de données sont situées en Europe. Or, en vertu de l’article 48 du RGPD, une loi d’un pays étranger ne peut constituer une base légale suffisante pour transférer des données à caractère personnel aux autorités de ce pays.

Le texte du RGPD prévoit explicitement que de tels transferts de données ne peuvent avoir lieu que dans le cadre d’un accord international tel qu’un accord d’entraide judiciaire.

Ce principe a pour but d’assurer à fois la protection des données transférées et un minimum de sécurité juridique.

Quelles solutions ?

Sous l’angle politique tout d’abord, notons que la Commission européenne négocie actuellement avec les États-Unis un accord visant à faciliter l’accès aux preuves électroniques dans les enquêtes criminelles, alors que le Conseil de l’Europe procède à l’élaboration d’un deuxième protocole à la Convention de Budapest sur la cybercriminalité… deux textes qui clarifieraient le cadre légal concernant ces transferts de données dans le respect du droit européen.

Dans l’immédiat et plus concrètement, le Cloud Act prévoit qu’une société confrontée à un conflit de loi peut invoquer le droit auquel elle est soumise, en l’occurrence le RGPD, pour contester la demande américaine (« material risk of violating foreign laws »).

Ceci implique néanmoins des procédures qui peuvent s’avérer longue et couteuses, sans certitude sur leur issue.

En pratique, des mesures techniques peuvent être prises afin de protéger les données, inspirées des recommandations du Comité européen de protection des données.

Un stockage des données en Europe, pas de conservation des données « en clair », des mesures de cryptage spécifiques telles que celles détaillées par le CEPD dans son avis de juin 2021concernant les outils de transferts de données en dehors de l’Union européenne (p. 30), et la conservation des clés de cryptage dans l’Union européenne.

Le CLOUD Act ne prévoit pas d’interdiction en matière de cryptage (même si les Etats-Unis enjoignent les sociétés à collaborer avec les autorités publiques sur ce sujet) et ne prend pas position sur les règles de décryptage des pays tiers.

Ajoutons enfin que les premiers clouds européens ont été adoubés récemment par les autorités européennes de protection des données : la CNIL a ainsi approuvé au printemps dernier le premier code de conduite européen dédié aux fournisseurs de services d’infrastructure cloud.

Elle vient en outre d’agréer le Laboratoire national de métrologie et d’essai (LNE) et Bureau Veritas Italia Spa à effectuer des contrôles du respect de ce code de conduite.

Sans considérer le « tout local » comme la panacée absolue, les clouds européens ont le mérite de présenter une sécurité juridique accrue, tant qu’un accord international n’aura pas clarifié la situation

Et aussi

France :

La CNIL a mis en demeure la société Francetest de sécuriser les données de santé (tests de dépistage) qu’elle collecte pour le compte des pharmacies. Elle s’est également rapprochée de plus de 300 pharmacies afin qu’elles vérifient leur conformité au RGPD.

L’autorité a en outre publié début octobre un livre blanc sur les données et les moyens de paiement, et une consultation publique sur un projet de guide sur le recrutement.

Enfin, la CNIL étudie la possibilité du recours à la reconnaissance faciale pour les jeux olympiques de 2024.

Europe

L’autorité de protection des données des Pays-Bas a rejeté le 21 octobre une demande d’autorisation de liste noire en matière de soupçons de fraude dans le domaine des télécommunications et des paiements en ligne.

L’autorité espagnole a infligé une amende de 16 000 euros au responsable de la mise en œuvre d’un système d’identification biométrique sur le lieu de travail sans analyse d’impact préalable.

Suite à une violation de sécurité dans le contexte de l’utilisation du système de reconnaissance faciale Clearview AI, l’autorité de protection des données de Finlande a considéré que la police avait fait usage de ce logiciel sans base légale, et l’a enjoint à se mettre en conformité avec la loi et à en informer les personnes concernées.

La Cour provinciale administrative de Varsovie a considéré contraire à la loi qu’une banque traite des données à caractère personnel sur la base de l’article 6(1)(f) du RGPD (balance des intérêts), pour la seule raison de leur possible utilité dans le futur. Source des décisions nationales : gdprhub

Amazon a conclu un contrat avec les services secrets britanniques (GCHQ, MI5, MI6), par lequel la société hébergera et opérera des analyses via l’intelligence artificielle sur les données sensibles des agences de renseignement. 

En Suisse, Proton, le service de messagerie sécurisé et de VPN, a gagné en appel ce 22 octobre contre l’obligation qui lui avait été signifiée d’opérer la surveillance et le stockage des données de ses utilisateurs.

Le Parlement européen a adopté le 6 octobre une résolution rejetant la reconnaissance faciale et l’analyse prédictive basée sur l’intelligence artificielle en matière policière.

International :

La 43e Conférence internationale des autorités de protection des données a eu lieu à Mexico et par visioconférence du 18 au 21 octobre.

La conférence a adopté plusieurs résolutions, dont une sur les droits numériques des enfants et une autre concernant l’accès aux données du secteur privé par les forces de l’ordre.

L’autorité de protection des données de Corée du sud recommande un dédommagement à la suite d’une violation de sécurité de Facebook (Meta) de 257 dollars à chaque utilisateur dont les données ont été irrégulièrement transmises à des tiers.

Anne Christine Lacoste

Partenaire du Cabinet Olivier Weber Avocat, Anne Christine Lacoste est juriste spécialisée en droit des données ; elle a été Responsable Relations Internationales auprès Contrôleur Européen de la Protection des Données et œuvré à la mise en place du RGPD dans l’Union Européenne.