En menaçant de sanctionner les entreprises européennes qui investissent en Iran, l’administration américaine renoue avec une vieille tradition d’extraterritorialité en matière de sanctions économiques. Certains font un lien avec le CLOUD Act, qui depuis le 23 mars 2018 permet aux autorités judiciaires d’ordonner la communication de données même si celles-ci sont stockées à l’étranger. Le CLOUD Act facilite-t-il l’espionnage économique? Absolument pas.
Beaucoup de fausses informations circulent à propos de cette loi récemment adoptée aux Etats-Unis. A commencer par son nom : CLOUD ne désigne pas ici “l’informatique en nuage”, mais est un acronyme pour Clarifying Lawful Overseas Use of Data Act.
Remettons donc cette loi dans son contexte et rappelons les faits. Le CLOUD Act concerne les réquisitions judiciaires dans le cadre d’enquêtes criminelles, non les activités de renseignement. Le CLOUD Act met fin à une controverse relative à la localisation physique des données. Selon une jurisprudence ancienne, un magistrat américain peut exiger la communication de preuves qui sont en la possession ou sous le contrôle de l’entreprise, peu importe la localisation physique de ces données. Cette jurisprudence a été bouleversée par une décision de la cour d’appel de New York en 2016, qui a décidé que la loi sur les réquisitions ne pouvait s’appliquer aux données stockées à l’étranger. La question devait être tranchée par la Cour Suprême, mais au lieu de cela, le Congrès a adopté une disposition qui rétablit la situation qui existait avant la décision de 2016. La nouvelle loi précise que la localisation physique des données n’est pas un critère pertinent dans la délivrance des réquisitions. Le débat se concentre dorénavant sur la question de « contrôle » des données: est-ce que les données se retrouvent « sous le contrôle » de l’entreprise visée par la réquisition?
La question de « contrôle » est délicate. Les tribunaux apprécient le contrôle en fonction de différents critères, tels que l’existence d’un accès technique aux données, et l’existence d’une direction commune entre la filiale américaine et la société mère. Le critère de contrôle se retrouve dans les conventions internationales(1); il est appliqué depuis des décennies par les tribunaux américains. Le CLOUD Act ne crée pas une nouvelle boîte à outils pour les procureurs; il remet la question de « contrôle » au centre du débat comme elle l’était avant 2016.
Les réquisitions judiciaires en matière d’enquêtes criminelles aux Etats-Unis sont entourées de protections pour les libertés individuelles, y compris pour les personnes non-américaines. Contrairement à l’agent du renseignement, un procureur ne peut pas aller à la pêche au chalutier pour les informations. Une demande de réquisition est ciblée. Elle s’appuie sur un faisceau d’indices concordants indiquant que la cible a probablement commis un crime et que les preuves se retrouvent probablement dans un endroit précis.
Cette logique est le contraire de celle applicable en matière de renseignements. Le travail des espions est justement d’aller à la pêche aux « signaux faibles », y compris à l’étranger. (La loi française prévoit aussi la collecte de renseignements à l’étranger.) A la suite de l’affaire Snowden, l’administration Obama a adopté des mesures pour protéger les droits des européens à l’égard des opérations de renseignement, ce qui a permis la conclusion de l’accord « Privacy Shield » avec la Commission Européenne en 2016. Ces protections existent toujours — elles n’ont pas été annulées par l’administration Trump.
Ainsi, le risque d’espionnage vient du côté des lois sur le renseignement, pas du côté du CLOUD Act. Lorsqu’ils lancent des investigations, les procureurs et juges sont encadrés par de nombreux textes, surtout lorsque l’enquête a un aspect international. D’ailleurs lorsque la cible de l’enquête est un groupe multinational, les procureurs ne se privent pas de demander des documents directement auprès de l’entreprise concernée, au lieu de demander un mandat de perquisition pour fouiller chez un opérateur de télécommunications. Dans le cadre de ces demandes d’informations informelles, les entreprises multinationales désirent souvent coopérer avec les autorités afin de limiter le risque de sanctions. Toute la difficulté réside dans l’organisation de cette coopération sans violer le RGPD et la loi française sur le blocage en matière de transmission de preuves aux autorités étrangères.
Le CLOUD Act n’est pas forcément en contradiction avec le RGPD. L’article 48 du RGPD stipule qu’un ordre judiciaire d’un pay tiers ne crée pas un engagement juridiquement reconnu en Europe si l’ordre ne passe pas par une procédure de coopération internationale. Mais dans un mémoire déposé devant la Cour Suprême en décembre 2017, la Commission Européenne a expliqué que cet article n’entendait pas empêcher tout transfert dans le cadre d’enquêtes, notamment des transferts qui trouvent justification au titre de l’article 49 du RGPD. L’article 48 du RGPD n’est donc pas un obstacle infranchissable en matière de communication de documents.
Un dernier aspect du CLOUD Act concerne la mise en oeuvre d’accords bilatéraux, permettant aux autorités juridiciaires de différents pays d’exiger la communication d’informations directement auprès d’entreprises en cas de crimes graves, sans passer par des procédures classiques de coopération internationales. Ces accords bilatéraux rendront plus fluides les échanges d’information entre autorités, à l’instar de le projet de règlement “e-evidence” proposé par la Commission européenne le 17 avril dernier.
(1) Convention de Budapest sur la cybercriminalité – http://www.europarl.europa.eu/meetdocs/2014_2019/documents/libe/dv/7_conv_budapest_/7_conv_budapest_fr.pdf