S’inscrivant dans le cadre de l’initiative européenne de cloud souverain « Gaia-X », les acteurs du numérique Capgemini et Orange, T-Systems (Deutsche Telekom) et OVH ont annoncé chacun de leur côté le lancement de solutions de clouds dits « souverains » s’appuyant, certes, sur des infrastructures localisées en Europe, mais également sur des logiciels appartenant respectivement à Microsoft Azur et Google Cloud. De son côté, la Suisse a récemment retenu cinq prestataires étrangers (quatre américains et un chinois) pour son « cloud suisse ». Après les échecs retentissants des premiers projets de clouds souverains (Cloudwatt, Numergy…), l’heure semble donc désormais être au « cloud de confiance », c’est-à-dire des centres de données basés en Europe, mais dont la partie la plus stratégique, le logiciel, repose sur des technologies américaines.
La question du cloud est pourtant éminemment stratégique tant il est parvenu à pleinement s’imposer au sein des entreprises françaises et européennes, quel que soit le secteur d’activité (assurance, santé, bancaire…). Or, comme souvent en matière de services numériques, ce marché est largement dominé par des prestataires de services de cloud (CSP) américains et chinois et tout particulièrement Amazon AWS (32% au T1 2021), Microsoft Azure (20%), Google Cloud (9%) et Alibaba Cloud (6%).
Pourtant, au-delà même de la question du transfert des données hors de l’Espace économique européen (EEE) qui a été précédemment abordée dans nos carnets de Vauban, le recours à des CSP relevant d’une juridiction non européenne, c’est-à-dire enregistrés dans un État non européen ou contrôlé par une société non européenne, et en particulier américaine, est susceptible de générer un fort risque pour l’intégrité et la confidentialité des données de nos entreprises, mais également pour leur fonctionnement.
La communication des données aux autorités américaines en vertu du Cloud Act
Le Clarifying Lawful Overseas Use of Data Act (Cloud Act) est sans conteste la disposition légale extraterritoriale américaine la plus connue du grand public. Promulgué par Donald Trump en 2018, il amende le Stored Communications Act (SCA) de 1986 qui prévoyait déjà la possibilité pour les autorités américaines, sous certaines conditions de forme et de fond, de requérir des fournisseurs de services de communication, traitement et stockage électroniques de données (ci-après les « Fournisseurs ») la communication de données (contenu et informations sur l’utilisateur et ses communications) concernant leurs clients pour les besoins de procédures répressives.
Dans une célèbre affaire « Microsoft vs États-Unis » de 2013, le gouvernement américain avait toutefois été confronté aux « limites » du SCA lorsque Microsoft contesta un mandat de perquisition visant à obtenir des e-mails stockés sur ses serveurs en Irlande, considérant qu’un tel mandat délivré en vertu du SCA ne pouvait pas contraindre les entreprises américaines à communiquer des données stockées en dehors des États-Unis.
Dès lors, le Cloud Act a intégré deux nouvelles dispositions à l’arsenal judiciaire américain : Cependant, contrairement à une idée reçue, ce pouvoir est toutefois limité par plusieurs garanties prévues par le SCA et notamment sa stricte application théorique aux procédures judiciaires ainsi que la nécessité pour les autorités américaines concernées de disposer d’un mandat (warrant)[1] délivré par une juridiction et placé sous la protection du Quatrième amendement à la Constitution des États-Unis [2]. Le Fournisseur concerné a également le droit de contester devant une juridiction de première instance ou d’appel [3] une telle demande, notamment si elle le conduirait à méconnaître la législation d’un pays étranger et l’exposerait à des sanctions (situation de conflits de lois) [4] .
De fait, le Cloud Act s’oppose directement à plusieurs textes français et européens.
Ces différents textes français et européens n’offrent cependant qu’une protection limitée aux entreprises européennes et à leurs données dans la mesure où, face à une telle demande des autorités américaines, un Fournisseur américain sera contraint de choisir entre ces législations contradictoires en mettant en balance les risques financiers (amendes [6], juridiques (prison), commerciaux (perte de confiance de ses clients) et politiques (risque de perte de marchés publics…). Un Fournisseur américain aura ainsi de grandes chances, une fois les différents recours épuisés, de choisir de se conformer au droit américain.
Le blocage des services fournis par les CSP
Au-delà de l’accès à des données personnelles ou à des secrets des affaires, le recours à des CSP relevant des juridictions américaines fait également peser sur les entreprises concernées un risque de rupture (ou menace de rupture) de services susceptible de paralyser leur fonctionnement. En 2014, les systèmes de paiement américains Visa et MasterCard ont ainsi déjà été tenus de cesser sans préavis de fournir leurs services aux clients de plusieurs banques russes à la suite des sanctions prononcées par les États-Unis contre la Russie dans le cadre du conflit en Ukraine.
Bien que peu probable à court terme, l’éventualité de CSP américains contraints du jour au lendemain de cesser de fournir leurs services en Europe ou à d’acteurs européens spécifiquement visés est loin d’être inenvisageable et devrait être considérée avec la plus grande attention par les dirigeants européens.
Certes, le règlement européen de blocage n°2271/96 du 22 novembre 1996 vise à contrer l'effet de certaines sanctions américaines à l'encontre d’acteurs européens ayant des activités dans des pays soumis à des embargos américains (comme en Iran) en interdisant à ces acteurs de se conformer à ces lois extraterritoriales américaines. Mis à jour, il pourrait ainsi contrer une possible obligation faite à aux filiales européennes de CSP américains de cesser de fournir leurs services en Europe.
Toutefois, ce dispositif ne s'est pas avéré efficace par le passé, en particulier pour protéger les entreprises européennes impliquées en Iran qui sont la cible de sanctions américaines. En effet, contraintes de choisir entre le règlement de blocage européen et les injonctions et lourdes sanctions de l'OFAC (l’organisme de contrôle financier américain), la plupart des entreprises européennes ayant des intérêts aux États-Unis, même indirects, ont choisi de se soumettre à l'OFAC.
L’absence d’interdiction de recours à un prestataire de cloud non européen
Par ailleurs, il n’existe à ce jour aucune disposition en droit européen interdisant le recours à un prestataire de cloud non européen. De même que le Règlement (UE) 2018/1807 sur les données non personnelles interdit toutes exigences de localisation des données (sauf justifiées par des motifs de sécurité publique) le droit européen privilégie en effet l’ouverture et la concurrence s’agissant de la nationalité des prestataires choisis.
Les textes français et européens applicables en matière de cybersécurité requièrent, certes, la mise en œuvre de strictes mesures de sécurité physiques et organisationnelles destinées à identifier et contrer les cyberattaques, mais n’intègrent aucune affirmation réelle de souveraineté ni interdiction explicite de recourir aux services de prestataires relevant d’une juridiction étrangère. De fait, le référentiel SECNUMCLOUD de l’ANSSI notamment destiné aux opérateurs français d’intérêts vitaux (c’est-à-dire les acteurs français les plus stratégiques et sensibles) interdit la localisation et l’administration des données hors de l’Union européenne, mais autorise explicitement la réalisation d’opération de support de l’hébergement hors [7] .
De même, en matière de santé, la CNIL a estimé en octobre 2020 que le recours à une société de droit américain (Microsoft) pour héberger la Plateforme des Données de Santé françaises (« PDS ») était incompatible avec la célèbre décision de la CJUE « Schrems II » invalidant le PrivacyShield (voir notre précédent article) et a préconisé deux options alternatives : le choix d’un hébergeur relevant du droit d’un pays membre de l’UE, ou à défaut, la mise en place de garanties complémentaires spécifiques.
Cependant, le Conseil d’État, bien que reconnaissant explicitement l’existence d’un risque d’interception des données hébergées par les autorités américaines, a opté pour la seconde option en exigeant l’instauration de garanties supplémentaires. Dans une autre décision « Doctolib », le Conseil d’État a par ailleurs eu l’occasion de rappeler qu’il n’existe pas en France d’interdiction absolue de recourir à un fournisseur Cloud américain tout en précisant la nature des mesures de sécurité techniques (chiffrement) et organisationnelles (renforcement contractuel) devant être mises en place lors d’un tel choix.
Conscient de cette situation de dépendance, le gouvernement français songerait à organiser, à l’occasion de la Présidence française de l’Union européenne de 2022, un sommet sur la souveraineté numérique qui porterait notamment sur les enjeux de souveraineté liés au cloud. Toutefois, sans une réelle volonté politique d’affirmation de la souveraineté numérique européenne assortie de dispositions règlementaires et législatives ambitieuses et courageuses, une telle initiative risque fort de rejoindre le cimetière des échecs et renoncements de notre continent en la matière depuis 20 ans.
Alexandre Mandil
Avocat membre de Lex-Squared
La question du cloud est pourtant éminemment stratégique tant il est parvenu à pleinement s’imposer au sein des entreprises françaises et européennes, quel que soit le secteur d’activité (assurance, santé, bancaire…). Or, comme souvent en matière de services numériques, ce marché est largement dominé par des prestataires de services de cloud (CSP) américains et chinois et tout particulièrement Amazon AWS (32% au T1 2021), Microsoft Azure (20%), Google Cloud (9%) et Alibaba Cloud (6%).
Pourtant, au-delà même de la question du transfert des données hors de l’Espace économique européen (EEE) qui a été précédemment abordée dans nos carnets de Vauban, le recours à des CSP relevant d’une juridiction non européenne, c’est-à-dire enregistrés dans un État non européen ou contrôlé par une société non européenne, et en particulier américaine, est susceptible de générer un fort risque pour l’intégrité et la confidentialité des données de nos entreprises, mais également pour leur fonctionnement.
La communication des données aux autorités américaines en vertu du Cloud Act
Le Clarifying Lawful Overseas Use of Data Act (Cloud Act) est sans conteste la disposition légale extraterritoriale américaine la plus connue du grand public. Promulgué par Donald Trump en 2018, il amende le Stored Communications Act (SCA) de 1986 qui prévoyait déjà la possibilité pour les autorités américaines, sous certaines conditions de forme et de fond, de requérir des fournisseurs de services de communication, traitement et stockage électroniques de données (ci-après les « Fournisseurs ») la communication de données (contenu et informations sur l’utilisateur et ses communications) concernant leurs clients pour les besoins de procédures répressives.
Dans une célèbre affaire « Microsoft vs États-Unis » de 2013, le gouvernement américain avait toutefois été confronté aux « limites » du SCA lorsque Microsoft contesta un mandat de perquisition visant à obtenir des e-mails stockés sur ses serveurs en Irlande, considérant qu’un tel mandat délivré en vertu du SCA ne pouvait pas contraindre les entreprises américaines à communiquer des données stockées en dehors des États-Unis.
Dès lors, le Cloud Act a intégré deux nouvelles dispositions à l’arsenal judiciaire américain :
- Tout d’abord, la possibilité pour les autorités américaines d’exiger la communication par tout Fournisseur américain, au sens du droit américain, des données de communication placées sous son contrôle que lui ont confiées ses clients, quels que soient la nationalité de ceux-ci et le lieu physique où ces données sont hébergées.
- Ensuite, la possibilité pour le gouvernement américain de signer avec des gouvernements étrangers des accords internationaux permettant à leurs autorités respectives de demander directement aux Fournisseurs relevant de la juridiction de l’autre pays la divulgation des données de communication les intéressant dans le cadre de procédures répressives.
De fait, le Cloud Act s’oppose directement à plusieurs textes français et européens.
- En France, tout d’abord, la « loi de blocage française » n°68-678 du 26 juillet 1968 interdit notamment à tout citoyen ou résident français ou à toute personne morale y ayant son siège ou un établissement de communiquer à des autorités publiques étrangères des documents ou des renseignements de nature à porter atteinte à la souveraineté, à la sécurité, aux intérêts économiques essentiels de la France ou à l'ordre public sous peine de sanctions [5].
- En Europe, ensuite, le règlement (UE) 2016/679 du 27 avril 2016 (RGPD) limite le transfert de données personnelles hors de l’EEE et prévoit explicitement (article 48) qu’une telle décision d'une juridiction ou d'une autorité d'un pays tiers exigeant le transfert ou la divulgation de données personnelles ne pourrait être reconnue ou rendue exécutoire qu'à la condition qu'elle soit fondée sur un accord international en vigueur entre le pays tiers demandeur et l'Union européenne ou un État membre de l’UE. Ainsi, le transfert de données personnelles aux autorités américaines qui serait opéré par un CSP américain en application d’une demande fondée sur le seul Cloud Act et non sur un accord international ou la mise en œuvre d’une commission rogatoire internationale, ne serait pas conforme au RGPD et pourrait être sanctionné d’une forte amende administrative (jusqu’à 20 000 000 d’euros ou 4% du chiffre d’affaires annuel mondial).
- Enfin, en vertu d’une lecture « à contrario » de la directive (UE) 2016/943 du 8 juin 2016 sur la protection des secrets d'affaires un Fournisseur qui communiquerait des données couvertes par le secret des affaires aux autorités américaines en dehors de tout accord international, c’est-à-dire sur le seul fondement du Cloud Act, s’exposerait à la mise en cause de sa responsabilité civile.
Ces différents textes français et européens n’offrent cependant qu’une protection limitée aux entreprises européennes et à leurs données dans la mesure où, face à une telle demande des autorités américaines, un Fournisseur américain sera contraint de choisir entre ces législations contradictoires en mettant en balance les risques financiers (amendes [6], juridiques (prison), commerciaux (perte de confiance de ses clients) et politiques (risque de perte de marchés publics…). Un Fournisseur américain aura ainsi de grandes chances, une fois les différents recours épuisés, de choisir de se conformer au droit américain.
Le blocage des services fournis par les CSP
Au-delà de l’accès à des données personnelles ou à des secrets des affaires, le recours à des CSP relevant des juridictions américaines fait également peser sur les entreprises concernées un risque de rupture (ou menace de rupture) de services susceptible de paralyser leur fonctionnement. En 2014, les systèmes de paiement américains Visa et MasterCard ont ainsi déjà été tenus de cesser sans préavis de fournir leurs services aux clients de plusieurs banques russes à la suite des sanctions prononcées par les États-Unis contre la Russie dans le cadre du conflit en Ukraine.
Bien que peu probable à court terme, l’éventualité de CSP américains contraints du jour au lendemain de cesser de fournir leurs services en Europe ou à d’acteurs européens spécifiquement visés est loin d’être inenvisageable et devrait être considérée avec la plus grande attention par les dirigeants européens.
Certes, le règlement européen de blocage n°2271/96 du 22 novembre 1996 vise à contrer l'effet de certaines sanctions américaines à l'encontre d’acteurs européens ayant des activités dans des pays soumis à des embargos américains (comme en Iran) en interdisant à ces acteurs de se conformer à ces lois extraterritoriales américaines. Mis à jour, il pourrait ainsi contrer une possible obligation faite à aux filiales européennes de CSP américains de cesser de fournir leurs services en Europe.
Toutefois, ce dispositif ne s'est pas avéré efficace par le passé, en particulier pour protéger les entreprises européennes impliquées en Iran qui sont la cible de sanctions américaines. En effet, contraintes de choisir entre le règlement de blocage européen et les injonctions et lourdes sanctions de l'OFAC (l’organisme de contrôle financier américain), la plupart des entreprises européennes ayant des intérêts aux États-Unis, même indirects, ont choisi de se soumettre à l'OFAC.
L’absence d’interdiction de recours à un prestataire de cloud non européen
Par ailleurs, il n’existe à ce jour aucune disposition en droit européen interdisant le recours à un prestataire de cloud non européen. De même que le Règlement (UE) 2018/1807 sur les données non personnelles interdit toutes exigences de localisation des données (sauf justifiées par des motifs de sécurité publique) le droit européen privilégie en effet l’ouverture et la concurrence s’agissant de la nationalité des prestataires choisis.
Les textes français et européens applicables en matière de cybersécurité requièrent, certes, la mise en œuvre de strictes mesures de sécurité physiques et organisationnelles destinées à identifier et contrer les cyberattaques, mais n’intègrent aucune affirmation réelle de souveraineté ni interdiction explicite de recourir aux services de prestataires relevant d’une juridiction étrangère. De fait, le référentiel SECNUMCLOUD de l’ANSSI notamment destiné aux opérateurs français d’intérêts vitaux (c’est-à-dire les acteurs français les plus stratégiques et sensibles) interdit la localisation et l’administration des données hors de l’Union européenne, mais autorise explicitement la réalisation d’opération de support de l’hébergement hors [7] .
De même, en matière de santé, la CNIL a estimé en octobre 2020 que le recours à une société de droit américain (Microsoft) pour héberger la Plateforme des Données de Santé françaises (« PDS ») était incompatible avec la célèbre décision de la CJUE « Schrems II » invalidant le PrivacyShield (voir notre précédent article) et a préconisé deux options alternatives : le choix d’un hébergeur relevant du droit d’un pays membre de l’UE, ou à défaut, la mise en place de garanties complémentaires spécifiques.
Cependant, le Conseil d’État, bien que reconnaissant explicitement l’existence d’un risque d’interception des données hébergées par les autorités américaines, a opté pour la seconde option en exigeant l’instauration de garanties supplémentaires. Dans une autre décision « Doctolib », le Conseil d’État a par ailleurs eu l’occasion de rappeler qu’il n’existe pas en France d’interdiction absolue de recourir à un fournisseur Cloud américain tout en précisant la nature des mesures de sécurité techniques (chiffrement) et organisationnelles (renforcement contractuel) devant être mises en place lors d’un tel choix.
Conscient de cette situation de dépendance, le gouvernement français songerait à organiser, à l’occasion de la Présidence française de l’Union européenne de 2022, un sommet sur la souveraineté numérique qui porterait notamment sur les enjeux de souveraineté liés au cloud. Toutefois, sans une réelle volonté politique d’affirmation de la souveraineté numérique européenne assortie de dispositions règlementaires et législatives ambitieuses et courageuses, une telle initiative risque fort de rejoindre le cimetière des échecs et renoncements de notre continent en la matière depuis 20 ans.
Alexandre Mandil
Avocat membre de Lex-Squared
[1] La communication de données ou métadonnées de communications est également possible sur le fondement de court orders qui nécessitent donc l’autorisation d’une juridiction et doivent, comme pour les warrants, être justifiées par les nécessités d’une procédure pénale.
[2] Autrement dit, une présomption sérieuse que la personne concernée a commis ou est sur le point de commettre une infraction pénale et que les lieux, objets ou informations visés par le mandat sont utiles à l’enquête est en principe nécessaire
[3] Par voie d’action ou par voie d’exception
[4] Les conditions d’opposition sont différentes selon qu’il existe ou non un accord avec le pays dont la loi est susceptible d’être méconnue et sont très limitées, notamment lorsque la communication demandée concerne un citoyen ou résident permanent américain.
[5] La loi prévoit une sanction pénale de six mois d’emprisonnement et 18 000 euros d’amende (90 000 euros pour une personne morale) en cas de non-respect de cette disposition ainsi qu’une obligation d’informer sans délai le ministre des Affaires étrangères dans un pareil cas.
[6] Le Cloud Act ne prévoit pas, en tant que tel, de sanctions ou d’amendes en cas de non-respect de ses dispositions. Les autorités américaines pourront toutefois se retourner contre le CSP américain, notamment s’il peut être accusé d’avoir facilité la commission d’un crime.
[7] Article 19.2 : « Le prestataire peut réaliser des opérations de support aux commanditaires depuis un État hors de l’Union Européenne. Il doit documenter la liste des opérations qui peuvent être effectuées par le support au commanditaire depuis un État hors de l’Union Européenne, et les mécanismes permettant d’en assurer le contrôle d’accès et la supervision depuis l’Union Européenne. »
Inscription Newsletter
