En ratifiant le Cloud Act (1) en catimini dans un épais document de plus de 2 200 pages le 23 mars 2018 , tout juste deux mois avant la mise en œuvre de la directive européenne sur la protection des données – RGPD – (2), l’administration américaine a une fois encore élargi ses prérogatives au monde entier.
« Une nouvelle manifestation de l’extraterritorialité du droit américain » selon l’expression de la CNIL !

Un court-circuitage politique de tout premier plan selon d’autres sources…

Quel a été le fait déclencheur du Cloud Act ? Une bataille judiciaire opposait depuis plus de 5 ans Microsoft et le gouvernement américain. En cause, un mandat de perquisition délivré par le gouvernement visant à obtenir le contenu d’un compte e-mail d’un présumé trafiquant de drogue dont les données étaient conservées dans un des nombreux centres d’hébergement de Microsoft hors des Etats-Unis. L’argument principal de Microsoft tenait en une phrase : « Un hébergement de données à l’étranger est soumis au droit national où il est situé ». L’enjeu en était le principe d’extraterritorialité, en clair envisager la possibilité d’un Etat d’étendre l’application de son droit au-delà de ses frontières. La Cour suprême avait décidé de se saisir de l’affaire…

Ce ne sera plus nécessaire… le Cloud Act octroie au gouvernement US l’accès à l’ensemble des données personnelles de n’importe quel citoyen, peu importe sa nationalité, du moment que les données sont stockées chez des hébergeurs américains et peu importe la position géographique du data center, et ce sans avoir à saisir un tribunal et bien évidemment, sans avoir à le notifier aux personnes concernées. Cette loi permet donc aux USA de contraindre les firmes américaines à fournir des données stockées sur leurs serveurs (Google, Facebook, Twitter, Amazon, WhatsApp, etc.).
Cette situation extrêmement inquiétante a été dénoncée par plusieurs associations de défense des droits de l’Homme ! Les associations de défense des consommateurs sont vent debout. Réaction de la Commissaire européenne à la Justice, aux Consommateurs et à l’Egalité des genres, Vera Jourova : « Le Congrès US a adopté le Cloud Act dans une procédure accélérée, ce qui réduit les chances de dégager une solution compatible entre les systèmes américain et européen ». Euphémisme !

Du côté européen, depuis le 25 mai 2018, le RGPD ou GDPR a pour ambition de renforcer les droits des citoyens…contre les géants du net certes mais pas seulement. Ces nouvelles mesures doivent permettre de mieux protéger les données personnelles des internautes européens et de renforcer certains de leurs droits. Le RGPD rend responsable les acteurs économiques vis-à-vis de tous les citoyens européens, salariés compris.

En France, la CNIL – transformée en Autorité de régulation -, dans un premier temps contrôlera la mise en mouvement par les entreprises plutôt que la complète conformité au règlement. Dans un deuxième temps, en cas de non application de lourdes sanctions pourraient être infligées allant jusqu’à 20 millions d’euros ou 4 % du CA mondial, le montant le plus élevé étant retenu !

En installant leurs data center en France, certaines multinationales US tentent de rassurer les clients français en « leur apportant toutes les garanties qu’ils attendent en termes de sécurité et de conformité au RGPD ».

Le Cloud Act vise à faciliter l’accès par les autorités américaines aux données stockées à l’étranger par des entreprises américaines dans le cadre exclusif d’une procédure judiciaire. Sachant que le RGPD ne protège pas les individus contre l’accès à leurs données par les autorités dans le cadre d’une enquête et que l’accès aux données s’inscrit dans le cadre d’un mécanisme de coopération judiciaire, l’Union européenne a acquiescé. D’autant que le Cloud Act prévoit en retour un accès par les gouvernements étrangers aux données stockées par des entreprises américaines. Une façon habile de calmer les esprits et de faire montre de réciprocité transfrontalière.

De fait, le Cloud Act est une véritable riposte au RGPD.

Le RGPD est en effet piétiné par le Cloud Act en particulier son article 48 qui précise notamment que les demandes de données par un pays tiers
doivent être effectuées dans le cadre d’un accord international … alors que la nouvelle loi américaine est parfaitement unilatérale. Un coup d’épée dans l’eau ?

Alors Cloud Act US vs RGDP UE, qui sera le plus fort ?

Espérons que l’avenir donnera raison à la Présidente de la CNIL qui dans son rapport d’activités 2017 et enjeux 2018 présenté le 10 avril déclarait à propos du RGDP : « L’enjeu est conséquent. Il va apporter aux acteurs économiques, privés et publics, les garanties, la sécurité juridique qu’ils sont en droit d’attendre. Si nous réussissons ce pari, alors nous aurons potentiellement un standard mondial ».

Belle et noble ambition à laquelle nous souscrivons. Il n’en demeure pas moins que la question de la souveraineté n’a jamais été aussi présente dans le choix des hébergeurs. La bataille mondiale de la protection des données avec notamment l’explosion attendue de l’Internet des objets, sans oublier l’hégémonie des plateformes US s’annonce tonique.

Signalons par ailleurs que certains économistes soulignent la surrèglementation pénalisante tel Nicolas Bouzou. Pour lui « le RGPD part d’une bonne intention : protéger les consommateurs européens contre l’utilisation frauduleuse de leurs données personnelles ». Qui pourrait être contre ? Sauf que la morale ne fait pas la puissance. Le RGPD introduit une grande complexité et des coûts importants pour les entreprises ». Surtout, pour lui : « Cette directive n’est pas adaptée à la nature du cycle d’innovation actuel porté par des algorithmes d’autant plus performants qu’ils utilisent un grand nombre de données ».

Une question essentielle demeure, celle du poids de l’Europe dans la compétition mondiale du numérique. De nombreux acteurs dont des start-up appellent à un sursaut et lancent des appels « à assumer sa vocation d’innovatrice pour le monde »(3).

A méditer…

Guy SALZIGER
Président de l’ACSED

(1) Clarifying Lawful Overseas Use of Data ou clarification de l’utilisation légale des données à l’étranger
(2) RGPD (Règlement Général sur la Protection des Données) ou GDPR (General Data Protection Regulation)
(3) L’Appel des Cadets lancé le 18 juin 2018 http://www.economiematin.fr/news-appel-cadets-startup-nation