L’étude ci-dessous est consacrée à l’extraterritorialité des lois américaines dans le cyberespace :
Dans les domaines juridiques et règlementaires, l’avance technologique américaine dans l’industrie a des répercussions inattendues puisqu’elle permet au droit américain de s’étendre au-delà des frontières du pays. La position dominante des GAFAM sur le marché mondial étend en effet l’application d’une partie du droit américain à tous les utilisateurs de ces plates-formes par l’intermédiaire de leurs conditions générales d’utilisations (CGU – ou Terms of services) qui se réfèrent toutes à ce droit. [1]
CATTARUZZA Amaël
En effet, qui détient la puissance sur les trois couches du cyberspace, est en mesure d’étendre sa règlementation aux utilisateurs. C’est ainsi que s’est imposée l’extraterritorialité des lois américaines dans le cyberspace.
Plusieurs textes de référence permettent ainsi d’asseoir cette « suzeraineté » règlementaire au-delà des frontières de l’Amérique :
FISA
Le Foreign Intelligence Surveillance Atc (FISA) est une loi fédérale de 1978 offrant aux centrales de renseignement un droit d’accès exorbitant permettant la collecte d’information sur des puissances étrangères soit directement, soit par l’échange d’informations avec d’autres puissances étrangères.
Le FISA Amendments Act of 2008 a ajouté un nouveau chapitre VII à la loi initiale Foreign Intelligence Surveillance Act de 1978.
L’article 702 permet au Procureur général des États-Unis et au Directeur du renseignement national d’autoriser conjointement le ciblage des personnes censées être raisonnablement situées à l’extérieur des États-Unis, mais elle est limitée au ciblage des personnes non américaines. Une fois autorisées, ces acquisitions de données SIGINT peuvent durer pendant des périodes allant jusqu’à un an.
En particulier, l’article 1181 du FISA : C’est sur le fondement du FISA que le programme PRISM a été bâti, permettant aux agences telles que la NSA d’accéder aux données détenues notamment par Yahoo !, Microsoft, Google, Facebook, Platak, YouTube, Skype, AOL, Apple, etc., indépendamment de la nationalité ou de lieu de résidence des personnes visées, dont le scandale a été révélé en 2013 par Edward Snowden.
Patriot act
Pour rappel, le USA PATRIOT ACT pour (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act), signifiant en français: « Loi pour unir et renforcer l’Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme ») est une loi antiterroriste qui est votée par le Congrès des États-Unis et signée par George W. Bush le 22 octobre 2001.
Dans la pratique, cette Loi fédérale autorise les services de sécurité et de renseignement à accéder aux données informatiques détenues par les particuliers et les entreprises, sans autorisation préalable et sans en informer les utilisateurs.
Tout en conservant les mêmes dispositions extraordinaires, le Patriot Act a été substitué par le Freedom Act, à effet du 31 mai 2015.
Cloud act : la possibilité américaine de saisir des données stockées a l’étranger
Allant plus loin encore dans leur emprise, tandis que les lois ci-dessus permettaient d’accéder aux données, indifféremment du lieu de résidence ou de la nationalité de la personne ciblée, mais dans la limite territoriale des données disponibles, avec le CLOUD ACT (2018), les États-Unis allaient appliquer leur capitation de données, partout où elles se trouvent stockées dans le monde.
La section 2713 du Titre 18 du Code des États-Unis relatif à la conservation et la divulgation requises des communications et des dossiers dispose :
« Un fournisseur de services de communication électroniques ou un service informatique à distance devra se conformer aux obligations du présent chapitre pour préserver, sauvegarder, ou divulguer le contenu d’un fil ou d’une communication électronique et tout enregistrement ou toute autre information appartenant à un client ou un abonné en possession, détention ou contrôle du fournisseur, peu importe si une telle communication, enregistrement, ou autre information est localisé au sein ou en dehors des États-Unis. [2]
Par conséquent, les autorités de poursuite américaines sont désormais régulièrement habilitées à solliciter la communication de données, quelle que soit leur nature, n’importe où dans le monde, lorsque leur hébergement est réalisé sur un serveur appartenant à une société américaine, comme Microsoft, Oracle, IBM, Apple…
Une société correspondant à ces critères, à qui est adressée la demande de communication de données ne peut plus, en principe, se prévaloir de la localisation hors frontières américaines des données cibles afin de refuser légitimement de les communiquer.
La requête doit porter sur un « serious crime » toutefois, l’interprétation par le juge américain est susceptible d’englober des « délits économiques », ce qui viserait à réaliser une collecte de preuves contre des entreprises étrangères, comme cela s’est vu dans les affaires où s’est le Departement of justice s’est illustré (Alstom, BNP Paribas…).
En outre, la personne visée par la demande de communication des autorités américaines n’est pas avisée d’une telle requête.
Les conditions du Cloud Act méconnaissent les mécanismes juridiques existants et notamment l’article 6 du Traité du 10 décembre 1998 d’entraide judiciaire en matière pénale entre la France et les États-Unis d’Amérique relatif au refus de l’entraide :
« 1. L’État requis peut refuser l’entraide judiciaire s’il considère :
a) Que l’infraction à laquelle se rapporte la demande est une infraction politique ou une infraction connexe à une infraction politique ; ou
b) Que l’exécution de la demande risque de porter atteinte à sa souveraineté, à sa sécurité, à son ordre public ou à d’autres intérêts essentiels.
2. Avant de rejeter une demande d’entraide judiciaire, l’autorité centrale de l’État requis consulte l’autorité centrale de l’État requérant afin d’examiner si elle peut accorder l’entraide en imposant les conditions qu’elle juge nécessaires.
3. Si l’entraide est refusée, l’autorité centrale de l’État requis informe l’autorité centrale de l’État requérant des motifs de ce refus. »
Le Cloud act méconnait également l’article 12 de la Convention de La Haye du 18 mars 1970 sur l’obtention des preuves à l’étranger en matière civile ou commerciale.
Enfin, un tel droit à l’acquisition des données sur le territoire européen se heurte à l’application de l’article 48 du RGPD qui s’oppose à la communication de données personnelles.
Depuis lors, ce n’est plus seulement la localisation des serveurs et centres de stockage de données (« data centers ») qui prévaut – puisque selon leur nationalité américaine ils sont accessibles au Cloud Act – mais précisément la nationalité de l’opérateur numérique et sa position géographique.
En cela, le Cloud Act a conduit à une profonde réflexion relative à la relocalisation géographique, juridique et technique des données pour ceux qui veulent s’en affranchir.
À suivre …
Par Olivier de MAISON ROUGE
Avocat – Docteur en droit
Auteur du « Cyberisques. La gestion des risques juridiques à l’ère numérique » (LexisNexis, 2018)
À paraître (mars 2022) : « Gagner la guerre économique »
Dans les domaines juridiques et règlementaires, l’avance technologique américaine dans l’industrie a des répercussions inattendues puisqu’elle permet au droit américain de s’étendre au-delà des frontières du pays. La position dominante des GAFAM sur le marché mondial étend en effet l’application d’une partie du droit américain à tous les utilisateurs de ces plates-formes par l’intermédiaire de leurs conditions générales d’utilisations (CGU – ou Terms of services) qui se réfèrent toutes à ce droit. [1]
CATTARUZZA Amaël
En effet, qui détient la puissance sur les trois couches du cyberspace, est en mesure d’étendre sa règlementation aux utilisateurs. C’est ainsi que s’est imposée l’extraterritorialité des lois américaines dans le cyberspace.
Plusieurs textes de référence permettent ainsi d’asseoir cette « suzeraineté » règlementaire au-delà des frontières de l’Amérique :
FISA
Le Foreign Intelligence Surveillance Atc (FISA) est une loi fédérale de 1978 offrant aux centrales de renseignement un droit d’accès exorbitant permettant la collecte d’information sur des puissances étrangères soit directement, soit par l’échange d’informations avec d’autres puissances étrangères.
Le FISA Amendments Act of 2008 a ajouté un nouveau chapitre VII à la loi initiale Foreign Intelligence Surveillance Act de 1978.
L’article 702 permet au Procureur général des États-Unis et au Directeur du renseignement national d’autoriser conjointement le ciblage des personnes censées être raisonnablement situées à l’extérieur des États-Unis, mais elle est limitée au ciblage des personnes non américaines. Une fois autorisées, ces acquisitions de données SIGINT peuvent durer pendant des périodes allant jusqu’à un an.
En particulier, l’article 1181 du FISA :
- s’applique spécifiquement aux fournisseurs de services de Cloud computing (et pas seulement les opérateurs de télécommunications),
- ne cible que les données situées en dehors des États-Unis et appartenant à des personnes non américaines,
- et supprime certaines contraintes qui empêchaient jusque-là de réaliser une surveillance électronique permanente et à grande échelle, et de récupérer tout type de données.
Patriot act
Pour rappel, le USA PATRIOT ACT pour (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act), signifiant en français: « Loi pour unir et renforcer l’Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme ») est une loi antiterroriste qui est votée par le Congrès des États-Unis et signée par George W. Bush le 22 octobre 2001.
Dans la pratique, cette Loi fédérale autorise les services de sécurité et de renseignement à accéder aux données informatiques détenues par les particuliers et les entreprises, sans autorisation préalable et sans en informer les utilisateurs.
Tout en conservant les mêmes dispositions extraordinaires, le Patriot Act a été substitué par le Freedom Act, à effet du 31 mai 2015.
Cloud act : la possibilité américaine de saisir des données stockées a l’étranger
Allant plus loin encore dans leur emprise, tandis que les lois ci-dessus permettaient d’accéder aux données, indifféremment du lieu de résidence ou de la nationalité de la personne ciblée, mais dans la limite territoriale des données disponibles, avec le CLOUD ACT (2018), les États-Unis allaient appliquer leur capitation de données, partout où elles se trouvent stockées dans le monde.
La section 2713 du Titre 18 du Code des États-Unis relatif à la conservation et la divulgation requises des communications et des dossiers dispose :
« Un fournisseur de services de communication électroniques ou un service informatique à distance devra se conformer aux obligations du présent chapitre pour préserver, sauvegarder, ou divulguer le contenu d’un fil ou d’une communication électronique et tout enregistrement ou toute autre information appartenant à un client ou un abonné en possession, détention ou contrôle du fournisseur, peu importe si une telle communication, enregistrement, ou autre information est localisé au sein ou en dehors des États-Unis. [2]
Par conséquent, les autorités de poursuite américaines sont désormais régulièrement habilitées à solliciter la communication de données, quelle que soit leur nature, n’importe où dans le monde, lorsque leur hébergement est réalisé sur un serveur appartenant à une société américaine, comme Microsoft, Oracle, IBM, Apple…
Une société correspondant à ces critères, à qui est adressée la demande de communication de données ne peut plus, en principe, se prévaloir de la localisation hors frontières américaines des données cibles afin de refuser légitimement de les communiquer.
La requête doit porter sur un « serious crime » toutefois, l’interprétation par le juge américain est susceptible d’englober des « délits économiques », ce qui viserait à réaliser une collecte de preuves contre des entreprises étrangères, comme cela s’est vu dans les affaires où s’est le Departement of justice s’est illustré (Alstom, BNP Paribas…).
En outre, la personne visée par la demande de communication des autorités américaines n’est pas avisée d’une telle requête.
Les conditions du Cloud Act méconnaissent les mécanismes juridiques existants et notamment l’article 6 du Traité du 10 décembre 1998 d’entraide judiciaire en matière pénale entre la France et les États-Unis d’Amérique relatif au refus de l’entraide :
« 1. L’État requis peut refuser l’entraide judiciaire s’il considère :
a) Que l’infraction à laquelle se rapporte la demande est une infraction politique ou une infraction connexe à une infraction politique ; ou
b) Que l’exécution de la demande risque de porter atteinte à sa souveraineté, à sa sécurité, à son ordre public ou à d’autres intérêts essentiels.
2. Avant de rejeter une demande d’entraide judiciaire, l’autorité centrale de l’État requis consulte l’autorité centrale de l’État requérant afin d’examiner si elle peut accorder l’entraide en imposant les conditions qu’elle juge nécessaires.
3. Si l’entraide est refusée, l’autorité centrale de l’État requis informe l’autorité centrale de l’État requérant des motifs de ce refus. »
Le Cloud act méconnait également l’article 12 de la Convention de La Haye du 18 mars 1970 sur l’obtention des preuves à l’étranger en matière civile ou commerciale.
Enfin, un tel droit à l’acquisition des données sur le territoire européen se heurte à l’application de l’article 48 du RGPD qui s’oppose à la communication de données personnelles.
Depuis lors, ce n’est plus seulement la localisation des serveurs et centres de stockage de données (« data centers ») qui prévaut – puisque selon leur nationalité américaine ils sont accessibles au Cloud Act – mais précisément la nationalité de l’opérateur numérique et sa position géographique.
En cela, le Cloud Act a conduit à une profonde réflexion relative à la relocalisation géographique, juridique et technique des données pour ceux qui veulent s’en affranchir.
À suivre …
Par Olivier de MAISON ROUGE
Avocat – Docteur en droit
Auteur du « Cyberisques. La gestion des risques juridiques à l’ère numérique » (LexisNexis, 2018)
À paraître (mars 2022) : « Gagner la guerre économique »
[1] Géopolitique des données numériques. Pouvoir et conflits à heure du Big Data, Le Cavalier Bleu Editions, 2019
[2] U.S. Code § 2713 - Required preservation and disclosure of communications and records:
« A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States. »
« A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States. »
Inscription Newsletter
