Cloud Act : l’accès aux données extraterritoriales « clarifié » aux États-Unis, mais critiqué

Après son vote au Congrès, le Cloud Act a été signé par Donald Trump. Cette nouvelle loi redéfinit les rapports entre pays pour les échanges de données personnelles dans le cadre des enquêtes. Les géants du web se félicitent, les associations de défense des libertés civiles craignent les retombées sur la vie privée.

Le Cloud Act (Clarifying Lawful Overseas Use of Data Act) établit de nouvelles règles pour simplifier les échanges entre forces de l’ordre des différents pays. La loi est une réaction directe à des années de conflits entre grandes entreprises américaines et DoJ, avec pour point d’orgue le choc de Microsoft sur les fameux emails stockés en Irlande.

La loi, validée par le Congrès et signée par Donald Trump, veut répondre une fois pour toutes à l’épineuse question du périmètre juridique du cloud, hors de portée de l’ancienne loi SCA (Stored Communications Act) de 1986, qu’elle amende. Elle organise les démarches d’accès aux informations en élaguant l’enchainement des étapes. Trop au goût de certains.

Fluidifier les accès aux informations

Jusqu’à présent, les échanges d’informations reposaient sur les MLAT (Mutual Legal Assistant Treaty), les accords mutuels d’assistance juridique. Ces traités sont négociés par les gouvernements mais, côté États-Unis, doivent être ratifiés par le Sénat, chambre haute du Congrès.

Une fois le MLAT en place, les forces de l’ordre du pays étranger peuvent s’adresser au département américain de la Justice dans le cadre d’une enquête. La prise en charge de la requête nécessite une validation par un juge. Une fois ces conditions réunies, la requête est transférée à l’entreprise concernée.

La courroie de transmission fonctionne, bien qu’elle soit jugée parfois inadaptée à l’évolution des enquêtes, la volatilité transfrontalière du numérique ayant changé la donne. Depuis le passage d’Edward Snowden, les rapports de transparence publiés par les grandes entreprises américaines contiennent tout de même des références aux demandes envoyées par d’autres pays, dont la France.

Le Cloud Act entend délaisser cette courroie pour une transmission directe. Il permet à l’exécutif de négocier avec les autres gouvernements des accords bilatéraux d’échanges d’informations. Une fois actifs, ils autorisent les forces américaines de l’ordre à contacter les entreprises étrangères, mais également l’inverse, les polices étrangères pouvant contacter les sociétés américaines. Le but serait donc atteint : une communication directe entre enquêteurs et réservoirs de données.

L’étape du juge est supprimée, et le Congrès n’est plus dans la boucle. Il peut toutefois jouer encore un rôle : tout accord négocié entre dans une période de 90 jours pendant laquelle le Congrès peut se manifester via une résolution jointe (Chambre des représentants et Sénat). Il peut désapprouver l’accord et forcer les parties à renégocier. Mais d’opt-out, le Congrès est passé à l’opt-in.

En outre, la SCA amendée comporte une nouvelle section : toute information qu’une entreprise américaine « garde ou contrôle » devient immédiatement accessible aux enquêteurs via un mandat de recherche, peu importe sa localisation. Le stockage physique des données n’a alors plus aucune importance, et la question du périmètre juridique est réglée.

La nouvelle loi doit également calmer les ardeurs des pays légiférant pour obtenir un stockage local des données transitant via les services étrangers comme ceux de Google, Apple, Facebook, Amazon et Microsoft (GAFAM).

Un texte planqué dans un coin et validé en urgence

Le projet de loi était en préparation depuis plusieurs mois. Début février, le responsable juridique de Microsoft, Brad Smith, en disait tout le bien qu’il en pensait. Pour la société de Redmond, le Cloud Act ne pouvant que débloquer les sacs de nœuds soulevés par le SCA de 1986, pensé pour les communications stockées au sein des frontières. Smith évoquait alors des « accords bilatéraux modernes », assurant « des protections appropriées pour la vie privée et les droits de l’Homme ».

Un point de vue entièrement partagé par Apple, Google, Facebook et Oath qui, d’une lettre commune, avaient manifesté leur enthousiasme. Pour ces entreprises, le texte reflétait « un consensus croissant en faveur d’une protection des internautes » sur toute la planète, tout en simplifiant les démarches et donc en réduisant les zones de friction pour les forces de l’ordre.

La position des entreprises américaines s'explique aussi par le fait que cette loi revient finalement à reporter la responsabilité de ces accès sur les États.  Dit autrement, avec ces accords bilatéraux, elles n'auront plus à prendre de décisions douloureuses. De quoi contenter tout le monde. Ou presque.

Le texte a en effet été inséré comme un simple wagon à la suite d’un long train financier. La Maison Blanche a envoyé la semaine dernière l’énorme Omnibus du budget de l’État. 2 232 pages décrivant par le détail comment chaque dollar public sera dépensé. Page 2 201, on trouve pourtant un texte n’ayant rien à voir : le fameux Cloud Act. La Chambre des représentants a d’abord validé l’ensemble par 256 voix pour contre 167 mercredi, puis le Sénat, par 65 voix pour contre 23 jeudi. La signature présidentielle a été apposée vendredi après-midi.

Pour le sénateur républicain Rand Paul, le texte échoue complètement à protéger la vie privée des internautes et concentre le pouvoir de décision trop près du seul exécutif. L’inclusion du texte dans l’Omnibus ? Une manière de s’assurer de sa validation, puisque le texte des finances devait être voté en urgence sous peine de mettre en panne tout le pays. En dépit d’un texte proposé par une alliance bipartite de députés et sénateurs, la forme finale du texte n’aurait fait l’objet d’aucun débat législatif.

Des conditions d’accès sur les négociations

Selon le Cloud Act, un pays souhaitant négocier un accord bilatéral doit tout de même se conformer à une série de conditions.

Toute requête doit ainsi se placer dans le cadre d’une enquête criminelle, le terrorisme étant évidemment cité à titre d’exemple. Elle doit viser une personne spécifique, un compte en ligne, une adresse, un appareil personnel ou tout autre élément identifiant, et se baser sur des faits crédibles.

Les données récoltées ne peuvent servir que l’enquête. Elles ne doivent pas être communiquées à un tiers, pas même aux États-Unis, à une exception près : si l’enquête découvre une menace contre le pays. Elles ne doivent pas non plus être utilisées pour restreindre la liberté d’expression.

Les pays intéressés doivent en outre s’engager sur deux points. D’une part, une liste de « standards » sur les droits de l’homme, comme l’interdiction de la torture. D’autre part, la suppression de toute donnée appartenant à un citoyen américain, prise dans le filet de la requête n’étant pas direction (procédures de minimisation).

Les États-Unis se réservent le droit de révoquer tout accord dont les termes ne seraient pas respectés par l’autre pays, au travers d’inspections tous les cinq ans.

La question soulevée par Microsoft devant la Cour Suprême perd sa substance

Avec l’activation du Cloud Act, l’affaire des « emails irlandais » perd son assise.

Bref rappel des faits. La justice américaine tente d’accéder depuis des années à des emails situés dans un centre de données en Irlande. Un mandat de recherche réclamait donc ces données dans le cadre d’une enquête pour trafic de drogue. Pour le DoJ, Microsoft est une entreprise américaine, obéissant aux lois américaines : l’emplacement des données n’a aucune importance.

Microsoft avait refusé, arguant qu’un mandat de recherche ne pouvait pas être appliqué sur le sol irlandais. L’entreprise craignait les imbroglios juridiques et posait la question de la réciprocité : devait-elle appliquer sur les datacenters américains les mandats de recherche irlandais ? Elle avait perdu en première instance, mais gagné en appel.

Mettant en lumière les limites du SCA de 1986, l’affaire était remontée jusqu’à la Cour Suprême, qui s’était emparée de la question. Son avis était particulièrement attendu, surtout avec l’activation proche du RGPD (25 mai).

L’arrivée du Cloud Act change la donne. Microsoft va devoir s’exécuter, puisque les données réclamées sont bien en « son contrôle ».

Des associations dénoncent une atteinte aux libertés civiles

Si certains se félicitent de cette « clarification » et obligations de réciprocité attenantes, d'autres ont une analyse beaucoup plus critique. Plusieurs ONG s’inquiètent ainsi des conséquences. Dans un effort évident de simplification, elles estiment que la loi va beaucoup trop loin, puisqu’elle court-circuite le rôle du juge.

Quelques jours avant les votes, l’ACLU (American Civil Liberties Union) expliquait ses inquiétudes : des accords bilatéraux certes, mais uniquement négociées par les branches exécutives des pays. Le Sénat n’a plus son mot à dire, pas plus que le juge pour valider les requêtes de données. L’ACLU craint que les États-Unis négocient avec des pays aux préoccupations trop légères sur la vie privée.

L’association Freedom of the Press donne un exemple précis en évoquant les journalistes en Égypte. Si l’un d’eux se sert de Gmail et qu’un accord existe entre le pays et les États-Unis, les données pourront être réclamées directement à Google et pourraient mener le journaliste en prison. L’association dénonce en effet un régime répressif emprisonnant à tout va pour accusations de terrorisme.

Même son de cloche pour l’EFF (Electronic Frontier Foundation), qui pointe un texte ne posant que de maigres conditions d’accès aux négociations des accords. Sans les verrous précédents des MLAT, les détails restent à la seule discrétion du président et de deux de ses ministres : le Procureur général (Justice) et le Secrétaire d’État (Affaires étrangères). En supprimant le Sénat de l’équation, le texte coupe toute représentation du peuple américain selon l’association. Et puisque les pays étrangers peuvent s’adresser directement aux entreprises américaines, le Cloud Act perforerait le Quatrième amendement de la Constitution, qui garantit aux citoyens d’être prévenus en cas d’enquête.

Cloud Act et RGPD : tout repose sur les entreprises

Enfin, l’arrivée du Cloud Act pose nécessairement la question des accords entre pays ne disposant pas des mêmes règles en matière de vie privée, même si la nouvelle loi se concentre sur les seules enquêtes criminelles.

Le texte aborde ce point important, en donnant à tout fournisseur américain de services 14 jours pour se manifester si une requête fait craindre un conflit juridique avec l’autre pays. Dans le cas d’un pays européen, une entreprise peut ainsi détecter qu’une requête est rendue illégale par le RGPD.

Durant ce délai, elle devra se signaler à un tribunal, qui examinera la procédure. La cour pourra modifier ou annuler la requête américaine, selon l’analyse qui en découlera. En plus d’un éventuel conflit avec les lois du pays « partenaire », le tribunal peut rejeter la requête si elle ne concerne pas une personne de citoyenneté américaine ou résidant aux États-Unis.

Mais avec le Cloud Act tout juste arrivé, un règlement européen en cours de retranscription dans les législations nationales de l’Union et une directive ePrivacy non finalisée, il est difficile pour l’instant de prévoir les prochaines interactions entre les pays. On se doute cependant que bon nombre de pays vont chercher à négocier ces fameux accords bilatéraux, portés par la promesse de procédures simplifiées.