JURIDIQUE
Le Cloud Act change de manière significative l’encadrement légal de l’accès aux données à caractère personnel stockées en dehors des Etats-Unis. Garance Mathias, Avocat, Associée-Fondateur MATHIAS AVOCATS, en détaille les principales conséquences juridiques.
Le “Clarifying Lawful Overseas Use of Data Act”, ou Cloud Act (1), a été adopté par le Congrès américain le 23 mars 2018 (2). Cette loi a été intégrée au Consolidated Appropriations Act de 2018, une loi de finances couvrant un grand nombre de sujets et nécessaire pour éviter un blocage du gouvernement. Le nom de Clarifying Lawful Overseas Use of Data Act (Cloud Act) peut être traduit par la “loi clarifiant l’usage légal des données hébergées à l’étranger”.
Le Cloud Act change de manière significative l’encadrement légal de l’accès aux données à caractère personnel stockées en dehors des Etats-Unis. Principalement, cette loi permet au gouvernement américain d’accéder à des données à caractère personnel stockées à l’étranger (paragraphe 2713 du Cloud Act).
Les opérateurs de télécommunication et de communications électroniques pourront être amenés à divulguer des informations, que celles-ci « soient situées dans le territoire des Etats-Unis ou dans le territoire d’un autre pays ».
Toutefois, ils pourront s’opposer aux demandes de divulgation en réunissant la preuve que les deux conditions cumulatives suivantes sont remplies :
- le client ou l’abonné n’est pas un citoyen américain, un résident permanent des Etats-Unis en situation légale, une association composée majoritairement de citoyens américains ou de résidents permanents ou une corporation américaine ;
- la divulgation des informations créerait un risque matériel de violation de la législation d’un gouvernement étranger ayant conclu un “accord exécutif” avec le gouvernement américain.
Quelle compatibilité ?
Cette réforme américaine soulève des interrogations quant à sa compatibilité avec plusieurs législations européennes.
Ainsi, il convient de s’interroger sur les conséquences de cette réforme sur la protection des données à caractère personnel des citoyens et résidents européens. Le Règlement général sur la protection des données, ou RGPD (3), est entré en application le 25 mai 2018. Il vise à définir un niveau élevé de protection des données à caractère personnel des personnes au sein de l’Union européenne, notamment en garantissant leur sécurité et leur confidentialité. Le RGPD encadre également de manière stricte les transferts de telles données en dehors de l’Espace économique européen. En effet, ces transferts ne peuvent sauf exception avoir lieu s’ils ont pour conséquence de diminuer le niveau de protection dont dispose la personne concernée initialement (4).
Les entreprises pourraient également avoir à s’inquiéter de cette réforme au regard de la protection des secrets d’affaires, laquelle a fait l’objet d’une directive (5) du 8 juin 2016 en cours de transposition en France (6) au moment où nous imprimons. Certaines des demandes de divulgation formulées par les autorités américaines pourraient avoir un impact sur des secrets d’affaires d’entités européennes.
Il convient de noter que la Commission européenne a proposé le 17 avril de nouvelles règles visant à permettre aux autorités policières et judiciaires d’accéder plus facilement et rapidement aux preuves électroniques, notamment stockées en ligne (7). Néanmoins, de nombreuses questions restent en suspens. Est-il possible de conclure un accord exécutif sans faire de concessions sur la protection des données à caractère personnel ? L’Union européenne pourrait-elle s’opposer totalement au Cloud Act ?
notes
1) « Clarifying Lawful Overseas Use of Data Act » ou « CLOUD Act » (H.R.4943).
2) « Consolidated Appropriations Act, 2018 », 23 mars 2018.
3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD).
4) RGPD, articles 44 à 49.
5) Directive 2016/943 du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites.
6) Proposition de loi portant transposition de la directive (UE) 2016/943 du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués contre l’obtention, l’utilisation et la divulgation illicites, transmis à l’Assemblée nationale pour deuxième lecture le 19 avril 2018.
7) Commission européenne, « Union de la sécurité : la Commission facilite l’accès aux preuves électroniques », communiqué de presse du 17 avril 2018.