skip to Main Content

L’impact du Cloud Act sur les entreprises françaises

Dans le contexte géopolitique tendu, les mesures américaines en matière de compliance, perçues comme des atteintes à la souveraineté, soulèvent l’inquiétude des entreprises et des pouvoirs publics français.

Parmi les mesures américaines, l’entrée en vigueur du Cloud Act en mars dernier suscite de nombreuses interrogations au sein des organisations. Quelles modifications apporte-t-il réellement ? Quelle est sa portée pour les entreprises françaises ?

Les mandats de perquisition et l’affaire Microsoft

Comme les procureurs français, les procureurs américains disposent de différents outils afin d’obtenir des preuves. Ces outils comprennent une réquisition judiciaire simple (subpoena) ou un mandat de perquisition (search warrant).

Le champ territorial des search warrants a fait l’objet d’un litige récent entre Microsoft et le département de la justice américain (DOJ), qui s’est soldé par une modification de la loi américaine sur la confidentialité des télécommunications (Stored Communications Act – SCA). Le SCA consacre le principe de la confidentialité des correspondances électroniques hébergées par des opérateurs, mais prévoit une exception en cas de mandat de perquisition judiciaire. L’objet du litige Microsoft était la portée territoriale du mandat de perquisition, notamment lorsque les données sont stockées en dehors des Etats-Unis. Depuis des décennies, les tribunaux américains ont interprété cette loi comme permettant d’atteindre des documents « sous le contrôle » de la personne, même si les documents sont situés à l’étranger. Dans l’affaire Microsoft, une cour d’appel a décidé le contraire en 2016, ce qui a conduit le Congrès à clarifier la loi, en précisant que la localisation physique des documents n’était pas un critère de territorialité, et qu’il fallait revenir à la jurisprudence antérieure.

Confirmation des pratiques antérieures et internationales

Cet amendement législatif, dénommé « Cloud Act », a engendré des polémiques en France sur l’extraterritorialité des pouvoirs d’enquête américains. En réalité, le Cloud Act ne donne pas plus de pouvoirs aux juges et aux procureurs américains que ce qui existait avant la décision Microsoft. Les pouvoirs d’enquête des procureurs et juges américains leur permettent d’exiger la communication de tout document « sous le contrôle » de la personne ou entreprise ciblée, même si ces documents sont situés à l’étranger.

Cette approche est par ailleurs compatible avec le droit international, notamment la Convention du Conseil de l’Europe sur la Cybercriminalité, dite Convention de Budapest. Elle est en outre cohérente avec le Code de procédure pénal en France, et le futur règlement «e-Evidence» de l’Union Européenne. En matière de procédure pénale, les Etats-Unis accordent aux personnes et entreprises accusées d’un crime autant de garanties constitutionnelles qu’en France. Le Cloud Act ne fait pas de différence entre les résidents des Etats-Unis et les personnes résidant à l’étranger. Les mêmes garanties judiciaires s’appliquent. Les mesures américaines sont en outre soumises aux contraintes du droit international, et notamment au principe de la ‘courtoisie internationale’, qui vise à éviter les conflits de lois et les interférences avec la souveraineté d’autres Etats.

Par Xenia Legendre, Avocat Associée et Winston Maxwell, Avocat Associé du cabinet Hogan Lovells, partenaire du Club des juristes

Back To Top
×Close search
Rechercher