Il s’agit sans conteste dans un autre effet direct de la globalisation, et plus prosaïquement de la domestication du cyberspace par les États-Unis, à leur bénéfice.
LE PRINCIPE : LA POSSIBILITÉ AMERICAINE DE SAISIR DES DONNÉES STOCKÉES A L’ETRANGER
Un droit à communication des données élargi, sur simple demande des autorités américaines
La section 2713 du Titre 18 du Code des États-Unis relatif à la conservation et la divulgation requises des communications et des dossiers dispose :
« Un fournisseur de services de communication électronique ou un service informatique à distance devra se conformer aux obligations du présent chapitre pour préserver, sauvegarder, ou divulguer le contenu d’un fil ou d’une communication électronique et tout enregistrement ou toute autre information appartenant à un client ou un abonné en possession, détention ou contrôle du fournisseur, peu importe si une telle communication, enregistrement, ou autre information est localisé au sein ou en dehors des États-Unis. » (1)
Par conséquent, les autorités de poursuite américaines sont désormais régulièrement habilitées à solliciter la communication de données, quelle que soit leur nature, n’importe où dans le monde, lorsque leur hébergement est réalisé sur un serveur appartenant à une société américaine, comme Microsoft, Oracle, IBM, Apple...
Une société correspondant à ces critères, à qui est adressée la demande de communication de données ne peut plus, en principe, se prévaloir de la localisation hors frontières américaines des données cibles afin de refuser légitimement de les communiquer.
La requête doit porter sur un “serious crime” toutefois, l’interprétation par le juge américain est susceptible d’englober des “délits économiques”, ce qui viserait à réaliser une collecte de preuves contre des entreprises étrangères, comme cela s’est vu dans les affaires où s’est le Departement of justice s’est illustré (Alstom, BNP Paribas...).
En outre, la personne visée par la demande de communication des autorités américaines n’est pas avisée d’une telle requête.
Un droit exorbitant qui se heurte aux conventions internationales
Les conditions du Cloud Act méconnaissent les mécanismes juridiques existants et notamment l’article 6 du Traité du 10 décembre 1998 d’entraide judiciaire en matière pénale entre la France et les États-Unis d’Amérique relatif au refus de l’entraide :
« 1. L’État requis peut refuser l’entraide judiciaire s’il considère :
a) Que l’infraction à laquelle se rapporte la demande est une infraction politique ou une infraction connexe à une infraction politique ; ou
b) Que l’exécution de la demande risque de porter atteinte à sa souveraineté, à sa sécurité, à son ordre public ou à d’autres intérêts essentiels.
2. Avant de rejeter une demande d’entraide judiciaire, l’autorité centrale de l’État requis consulte l’autorité centrale de l’État requérant afin d’examiner si elle peut accorder l’entraide en imposant les conditions qu’elle juge nécessaires.
3. Si l’entraide est refusée, l’autorité centrale de l’État requis informe l’autorité centrale de l’État requérant des motifs de ce refus. »
Le Cloud act méconnaît également l’article 12 de la Convention du 18 mars 1970 sur l’obtention des preuves à l’étranger en matière civile ou commerciale :
« L’exécution de la commission rogatoire ne peut être refusée que dans la mesure où :
l’exécution, dans l’Etat requis, ne rentre pas dans les attributions du pouvoir judiciaire ; ou
l’Etat requis la juge de nature à porter atteinte à sa souveraineté ou à sa sécurité. »
Enfin, un tel droit à l’acquisition des données sur le territoire européen se heurte à l’application de l’article 48 du RGPD qui s’oppose à la communication de données personnelles.
L’EXCEPTION A LA RÈGLE : DES CONDITIONS RESTRICTIVES DES PAYS ÉTRANGERS POUR S’OPPOSER A LA DEMANDE DE DIVULGATION DE DONNÉES
Le Cloud act prévoit cependant des dérogations juridiques, pour le moins limitatives et permettant in fine d’asseoir le droit américain au détriment du droit international :
La section 2713 du Titre 18 du Code des États-Unis relatif à la conservation et la divulgation requises des communications et des dossiers dispose :
« Requêtes pour annuler ou modifier. - (A) Un fournisseur de service de communication électronique au public ou de service informatique à distance, qui est tenu de divulguer, conformément à la procédure judiciaire délivrée sous cette section, le contenu d’un fil ou d’une communication électronique d’un abonné ou d’un client, peut déposer une requête pour modifier ou annuler le processus légal lorsque le fournisseur croit raisonnablement :
que le client ou l’abonné n’est pas une United States person et ne réside pas aux États-Unis; et
que la divulgation requise créée un risque significatif que le fournisseur viole les lois d’un qualifying foreign government (gouvernement étranger qualifié). » (2)
En premier lieu, le terme United States person (ou U.S. person) désigne tout citoyen des États-Unis, étranger résident permanent, entité organisée en vertu des lois des États-Unis ou toute juridiction au sein des États-Unis (y compris les succursales étrangères), ou toute personne aux États-Unis.
En outre, le Cloud Act définit les qualifying foreign governments comme les gouvernements étrangers signataires d’un executive agreement avec les États-Unis, selon les dispositions de la section 2523 du Cloud Act, et dont les lois locales en matière de communication électronique offrent des garanties procédurales similaires à celles offertes par la réglementation américaine.
De surcroît, « une telle requête doit être déposée au plus tard 14 jours après la date à laquelle le fournisseur a été notifié de la demande de divulgation des autorités de poursuite américaines, en l’absence d’accord avec le gouvernement ou de permission du tribunal compétent pour proroger le délai. » (3) Cette requête en modification ou annulation devra être invoquée au début de la procédure.
Enfin, « le tribunal peut modifier ou annuler le processus judiciaire, selon le cas, uniquement si le tribunal conclut que :
la divulgation conduirait le fournisseur de services de communication électronique américain à contrevenir aux lois d’un gouvernement étranger qualifié;
compte tenu de l’ensemble des circonstances, les intérêts de la justice exigent que la demande de divulgation soit modifiée ou annulée; et
le client ou abonné n’est pas une United States person et ne réside pas aux Etats-Unis. ». (4)
Pour ce faire, le tribunal saisi de la requête en annulation ou modification devra procéder à cette analyse au travers le prisme de 8 éléments différents prévu au sein de cette même section 2713 du Cloud Act. Ce recensement comprend notamment la probabilité, l’étendue et la nature des sanctions auxquelles le fournisseur de services de communication électronique s’expose en acceptant la demande de divulgation émanant des autorités de poursuite américaines.
Au-delà de la stupeur générée par l’adoption du Cloud act, il ne faut pas se focaliser sur ce seul texte, dès lors qu’au titre du Patriot Act (2001) devenu Freedom Act ou encore l’application de la section 702 du Foreign Intelligence Surveillance Amendement (FISA de 1978) mettent déjà largement en évidence le pouvoir des services de renseignement américains de pouvoir collecter des données, sans mandate préalable.
Rappelons simplement qu’en février 2015, le Président américain Barak Obama, en réponse aux accusations d’espionnage numérique après les très nombreuses révélations de l’affaire Snowden, énonçait avec un ascendant certain que les États-Unis ont créé et diffusé Internet et que par conséquent ils sont propriétaires des données qui empruntent ce réseau. En termes de colonisation du cyberespace, on ne saurait être plus clair…
LE PRINCIPE : LA POSSIBILITÉ AMERICAINE DE SAISIR DES DONNÉES STOCKÉES A L’ETRANGER
Un droit à communication des données élargi, sur simple demande des autorités américaines
La section 2713 du Titre 18 du Code des États-Unis relatif à la conservation et la divulgation requises des communications et des dossiers dispose :
« Un fournisseur de services de communication électronique ou un service informatique à distance devra se conformer aux obligations du présent chapitre pour préserver, sauvegarder, ou divulguer le contenu d’un fil ou d’une communication électronique et tout enregistrement ou toute autre information appartenant à un client ou un abonné en possession, détention ou contrôle du fournisseur, peu importe si une telle communication, enregistrement, ou autre information est localisé au sein ou en dehors des États-Unis. » (1)
Par conséquent, les autorités de poursuite américaines sont désormais régulièrement habilitées à solliciter la communication de données, quelle que soit leur nature, n’importe où dans le monde, lorsque leur hébergement est réalisé sur un serveur appartenant à une société américaine, comme Microsoft, Oracle, IBM, Apple...
Une société correspondant à ces critères, à qui est adressée la demande de communication de données ne peut plus, en principe, se prévaloir de la localisation hors frontières américaines des données cibles afin de refuser légitimement de les communiquer.
La requête doit porter sur un “serious crime” toutefois, l’interprétation par le juge américain est susceptible d’englober des “délits économiques”, ce qui viserait à réaliser une collecte de preuves contre des entreprises étrangères, comme cela s’est vu dans les affaires où s’est le Departement of justice s’est illustré (Alstom, BNP Paribas...).
En outre, la personne visée par la demande de communication des autorités américaines n’est pas avisée d’une telle requête.
Un droit exorbitant qui se heurte aux conventions internationales
Les conditions du Cloud Act méconnaissent les mécanismes juridiques existants et notamment l’article 6 du Traité du 10 décembre 1998 d’entraide judiciaire en matière pénale entre la France et les États-Unis d’Amérique relatif au refus de l’entraide :
« 1. L’État requis peut refuser l’entraide judiciaire s’il considère :
a) Que l’infraction à laquelle se rapporte la demande est une infraction politique ou une infraction connexe à une infraction politique ; ou
b) Que l’exécution de la demande risque de porter atteinte à sa souveraineté, à sa sécurité, à son ordre public ou à d’autres intérêts essentiels.
2. Avant de rejeter une demande d’entraide judiciaire, l’autorité centrale de l’État requis consulte l’autorité centrale de l’État requérant afin d’examiner si elle peut accorder l’entraide en imposant les conditions qu’elle juge nécessaires.
3. Si l’entraide est refusée, l’autorité centrale de l’État requis informe l’autorité centrale de l’État requérant des motifs de ce refus. »
Le Cloud act méconnaît également l’article 12 de la Convention du 18 mars 1970 sur l’obtention des preuves à l’étranger en matière civile ou commerciale :
« L’exécution de la commission rogatoire ne peut être refusée que dans la mesure où :
l’exécution, dans l’Etat requis, ne rentre pas dans les attributions du pouvoir judiciaire ; ou
l’Etat requis la juge de nature à porter atteinte à sa souveraineté ou à sa sécurité. »
Enfin, un tel droit à l’acquisition des données sur le territoire européen se heurte à l’application de l’article 48 du RGPD qui s’oppose à la communication de données personnelles.
L’EXCEPTION A LA RÈGLE : DES CONDITIONS RESTRICTIVES DES PAYS ÉTRANGERS POUR S’OPPOSER A LA DEMANDE DE DIVULGATION DE DONNÉES
Le Cloud act prévoit cependant des dérogations juridiques, pour le moins limitatives et permettant in fine d’asseoir le droit américain au détriment du droit international :
La section 2713 du Titre 18 du Code des États-Unis relatif à la conservation et la divulgation requises des communications et des dossiers dispose :
« Requêtes pour annuler ou modifier. - (A) Un fournisseur de service de communication électronique au public ou de service informatique à distance, qui est tenu de divulguer, conformément à la procédure judiciaire délivrée sous cette section, le contenu d’un fil ou d’une communication électronique d’un abonné ou d’un client, peut déposer une requête pour modifier ou annuler le processus légal lorsque le fournisseur croit raisonnablement :
que le client ou l’abonné n’est pas une United States person et ne réside pas aux États-Unis; et
que la divulgation requise créée un risque significatif que le fournisseur viole les lois d’un qualifying foreign government (gouvernement étranger qualifié). » (2)
En premier lieu, le terme United States person (ou U.S. person) désigne tout citoyen des États-Unis, étranger résident permanent, entité organisée en vertu des lois des États-Unis ou toute juridiction au sein des États-Unis (y compris les succursales étrangères), ou toute personne aux États-Unis.
En outre, le Cloud Act définit les qualifying foreign governments comme les gouvernements étrangers signataires d’un executive agreement avec les États-Unis, selon les dispositions de la section 2523 du Cloud Act, et dont les lois locales en matière de communication électronique offrent des garanties procédurales similaires à celles offertes par la réglementation américaine.
De surcroît, « une telle requête doit être déposée au plus tard 14 jours après la date à laquelle le fournisseur a été notifié de la demande de divulgation des autorités de poursuite américaines, en l’absence d’accord avec le gouvernement ou de permission du tribunal compétent pour proroger le délai. » (3) Cette requête en modification ou annulation devra être invoquée au début de la procédure.
Enfin, « le tribunal peut modifier ou annuler le processus judiciaire, selon le cas, uniquement si le tribunal conclut que :
la divulgation conduirait le fournisseur de services de communication électronique américain à contrevenir aux lois d’un gouvernement étranger qualifié;
compte tenu de l’ensemble des circonstances, les intérêts de la justice exigent que la demande de divulgation soit modifiée ou annulée; et
le client ou abonné n’est pas une United States person et ne réside pas aux Etats-Unis. ». (4)
Pour ce faire, le tribunal saisi de la requête en annulation ou modification devra procéder à cette analyse au travers le prisme de 8 éléments différents prévu au sein de cette même section 2713 du Cloud Act. Ce recensement comprend notamment la probabilité, l’étendue et la nature des sanctions auxquelles le fournisseur de services de communication électronique s’expose en acceptant la demande de divulgation émanant des autorités de poursuite américaines.
Au-delà de la stupeur générée par l’adoption du Cloud act, il ne faut pas se focaliser sur ce seul texte, dès lors qu’au titre du Patriot Act (2001) devenu Freedom Act ou encore l’application de la section 702 du Foreign Intelligence Surveillance Amendement (FISA de 1978) mettent déjà largement en évidence le pouvoir des services de renseignement américains de pouvoir collecter des données, sans mandate préalable.
Rappelons simplement qu’en février 2015, le Président américain Barak Obama, en réponse aux accusations d’espionnage numérique après les très nombreuses révélations de l’affaire Snowden, énonçait avec un ascendant certain que les États-Unis ont créé et diffusé Internet et que par conséquent ils sont propriétaires des données qui empruntent ce réseau. En termes de colonisation du cyberespace, on ne saurait être plus clair…
Par Olivier de MAISON ROUGE
Avocat - Docteur en Droit Coprésident de la commission Renseignement et sécurité économique de l’ACE
(1) 18 U.S. Code § 2713 - Required preservation and disclosure of communications and records:
« A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States. »
« A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States. »
(2) « (2) MOTIONS TO QUASH OR MODIFY.— (A) A provider of electronic communication service to the public or remote computing service, that is being required to disclose pursuant to legal process issued under this section the contents of a wire or electronic communication of a subscriber or customer, may file a motion to modify or quash the legal process where the provider reasonably believes—
“(i) that the customer or subscriber is not a United States person and does not reside in the United States; and
“(ii) that the required disclosure would create a material risk that the provider would violate the laws of a qualifying foreign government. »
“(i) that the customer or subscriber is not a United States person and does not reside in the United States; and
“(ii) that the required disclosure would create a material risk that the provider would violate the laws of a qualifying foreign government. »
(3) « Such a motion shall be filed not later than 14 days after the date on which the provider was served with the legal process, absent agreement with the government or permission from the court to extend the deadline based on an application made within the 14 days. »
(4) « The court may modify or quash the legal process, as appropriate, only if the court finds that—
“(i) the required disclosure would cause the provider to violate the laws of a qualifying foreign government;
“(ii) based on the totality of the circumstances, the interests of justice dictate that the legal process should be modified or quashed; and
“(iii) the customer or subscriber is not a United States person and does not reside in the United States. »
“(i) the required disclosure would cause the provider to violate the laws of a qualifying foreign government;
“(ii) based on the totality of the circumstances, the interests of justice dictate that the legal process should be modified or quashed; and
“(iii) the customer or subscriber is not a United States person and does not reside in the United States. »
Inscription Newsletter
