Quelle souveraineté sur les données numériques ?
De l’affaire Microsoft au jour où le CLOUD est devenu le « Clarifying Lawful Overseas Use of Data » Act
En 2013, la justice américaine avait demandé à Microsoft de lui donner des données appartenant à l’un de ses clients, soupçonné d’être impliqué dans un trafic de stupéfiants. Les données n’étant pas stockées aux États-Unis mais dans un centre de données situé en Irlande, Microsoft avait donc refusé de livrer les données. La société a ainsi déposé un recours devant la justice américaine, qui n’aurait pas l’autorité nécessaire pour obtenir des données stockées à l’international. C’est dans ce contexte de bras de fer que Donald Trump a ratifié vendredi 23 mars une loi donnant un cadre légal à la saisie d’e-mails à l’étranger, le « Cloud Act ».
Décryptage par Valérie-Laure Bénabou, professeur de droit à l’Université d’Aix-Marseille
« Les observations de l’Union européenne et des Etats membres devant la Cour suprême appellent d’ailleurs les juges à juguler la prétention extraterritoriale de la loi américaine sur la communication des données situées à l’étranger. »
Quel est l’enjeu de l’affaire Microsoft Ireland portée devant la Cour suprême des Etats-Unis ?
En 2013, sur fond de révélations d’Edward Snowden, la société Microsoft a cessé de déférer aux demandes du département de la Justice américaine (DoJ) de lui communiquer des données stockées sur des serveurs de l’entreprise localisés hors des Etats-Unis en vertu d’un simple mandat (dit Section 3703 warrant) délivré au titre du Store Communication Act de 1986. Microsoft avait, dans une affaire précise, transmis les métadonnées détenues sur le territoire américain à propos de courriels situés sur un serveur irlandais mais refusé de copier et de transmettre lesdits courriels d’une personne suspectée de participer à un trafic de drogue. Pour Microsoft, accepter l’exécution du mandat américain sans passer par un processus de coopération internationale aurait risqué, par un effet boomerang, de la contraindre à communiquer sur décision unilatérale d’une autorité étatique étrangère – par exemple russe – des données présentes sur le territoire américain, et ce, au détriment de la confiance que ses clients placent dans son service, notamment quant au respect de leur vie privée.
Après plusieurs décisions de fond, le litige opposant Microsoft à l’administration américaine a été admis récemment devant la Cour suprême des Etats-Unis qui devrait – ou peut-être devait – rendre sa décision en juin 2018. Lors des auditions, le DoJ a fait valoir que la collecte d’information en vertu du mandat n’avait rien de singulier au regard des procédures habituelles de recherche de preuve à l’étranger, peu important le procédé de copie numérique et de transmission dès lors que la divulgation (disclosure) intervient aux USA ; il arguait de surcroît, que légitimer le refus de déférer à la demande de communication de données dans le cadre d’une procédure criminelle constituerait un obstacle important à la lutte contre la cyberpornographie ou le terrorisme. Pour le DoJ, le fait que Microsoft décide de stocker les données à l’étranger en vertu d’une simple déclaration de localisation de l’usager opérée lors de la souscription ne devait pas avoir d’influence sur sa capacité à se faire communiquer certaines informations au terme d’une procédure américaine régulière.
Microsoft soutenait en substance, à l’inverse, que la matérialité physique du stockage des informations en Irlande ne permettait pas l’application unilatérale de la loi américaine, dès lors que le fait générateur échappait à sa juridiction, précisément en raison de son extranéité. Pour l’entreprise, l’exécution de la demande supposait donc que l’Irlande l’examine selon de la procédure prévue par le traité d’assistance mutuelle. La société américaine a d’ailleurs fait valoir dans les débats que les cas correspondant à cette situation étaient quantitativement marginaux (seulement 54 sur 60,000 mandats annuels) et que la procédure prévue par le traité était en outre rapide et efficace.
Quelle place pour la coopération inter-étatique dans l’accès aux données hébergées à l’étranger ?
Dans cet échange, se joue rien de moins qu’un conflit entre unilatéralisme et multilatéralisme et le maintien ou non d’une souveraineté des Etats sur les données qui sont localisées sur leur territoire. La place stratégique des entreprises américaines comme opérateurs du Cloud expose en effet l’ensemble des usagers utilisant leurs services à l’intrusion possible de l’administration américaine dans leurs données les plus intimes et dans le secret de leurs correspondances. Si l’approche « unilatérale », notamment défendue par le DoJ dans l’affaire Microsoft, devait prospérer, il serait, par exemple, extrêmement difficile de garantir l’application de l’appareil législatif européen de protection des données personnelles – notamment le RGPD – aux citoyens européens pour les données stockées dans l’Union européenne par des opérateurs américains lorsque ceux-ci sont sommés de communiquer les courriels de leurs usagers. Les observations de l’Union européenne et des Etats membres devant la Cour suprême appellent d’ailleurs les juges à juguler la prétention extraterritoriale de la loi américaine sur la communication des données situées à l’étranger.
Bien que la procédure soit en cours, il n’est pas certain que la résolution de ce problème incombe finalement à Cour suprême. En effet, parallèlement à la procédure Microsoft Ireland a été introduit un projet de loi nommé – non sans une certaine ironie – CLOUD (Clarifying Lawful Overseas Use of Data Act) devant le Congrès. Or, ce dispositif appuyé par les grands acteurs technologiques américains – dont Microsoft – a été adopté le 23 mars 2018 sous la forme d’un cavalier budgétaire et pourrait avoir pour effet de priver la décision de la Cour de tout intérêt, ce qui amènerait les juges à refuser de se prononcer (moot case).
Faut-il se réjouir, en tant que citoyen européen de l’adoption du CLOUD Act ?
Rien n’est moins sûr car, comme le soulignent les associations de défense des libertés civiques comme l’EFF ou l’ACLU, le « Cloud Act » instaure un mécanisme qui n’est guère respectueux de la confidentialité des données stockées hors des Etats-Unis. La loi oblige désormais les opérateurs à conserver et fournir communication des courriels et autres données détenues par les entreprises américaines « que l’information soit localisée dans ou hors des Etats-Unis » (§ 2713, modifiant le titre 18 du chapitre 121 USC). La seule limite à la portée extraterritoriale de l’obligation tient à la possibilité pour lesdites entreprises de soumettre une requête en annulation de la demande des données quand elles ont des raisons de croire que le client ou usager n’est pas un citoyen américain et qu’il ne réside pas aux Etats-Unis et que la communication demandée créerait un risque que le fournisseur viole les lois d’un gouvernement étranger. Les entreprises deviendront, en quelque sorte, arbitres de l’opportunité de faire valoir les intérêts des Etats étrangers, tandis que ceux-ci ne seraient plus qu’exceptionnellement consultés s’agissant de l’obtention des données stockées sur leurs territoires. Pour faire bonne mesure, le Cloud Act ouvre aussi la voie à la possibilité pour un gouvernement étranger de demander communication des procédures de collecte des informations relatives à ses propres citoyens ou résidents.
Certes, certaines garanties entourent la mise en œuvre de ces procédures et les règles de la courtoisie internationale (comity) ont vocation à continuer à s’appliquer mais elles semblent toutefois s’inscrire dans une vision très « trumpienne » et bien peu multilatérale des relations internationales, faisant prévaloir l’imperium américain sur le Cloud lorsqu’il est opéré par des entreprises sous sa juridiction. Devant la Cour suprême, Microsoft exhortait le département de la justice de ne pas « casser le cloud » mais de le réparer. Le Cloud Act constitue une réponse très pro-américaine à ce défi. Que va désormais faire l’Europe pour ne pas « casser » la protection des données de ses citoyens ?
Par Valérie Laure Benabou