Le 23 mars 2018, Donald Trump a ratifié le Cloud Act. Il s’agit du Clarifying Lawful Overseas Use of Data Act. C’est une loi fédérale américaine qui modernise les lois sur les données privées et la surveillance gouvernementale. Elle cadre les conséquences de la conservation des données dans des clouds. Le but de cette loi, en résumé, est de permettre aux autorités d’accéder aux données des citoyens américains stockées sur des serveurs qu’ils soient aux USA ou ailleurs, au moyen d’un mandat. Elle précise que les hébergeurs de données et les entreprises de communication américaines doivent être en mesure de fournir les données conservées pour des citoyens américains sur n’importe lequel de leur serveur quel que soit son emplacement géographique, sur présentation d’un mandat. Elle définit par ailleurs la procédure à suivre pour les tribunaux et les entreprises qui souhaitent rejeter une demande de transmission de données ou la remettre en question. Elle décrit également le cadre permettant de négocier des accords bilatéraux avec des pays étrangers pour la transmissions des données requises concernant des citoyens américains pour autant que le pays étranger concerné dispose d’une protection des données suffisante pour restreindre l’accès aux données de citoyens américains.

A l’heure du numérique, où les données s’échangent à la vitesse de la lumière, ce sont les lenteurs administratives qui se mettaient jusque-là en travers des chemins de la justice, dans le cas présent, la justice américaine, lorsqu’entraient en jeu les questions de territorialité. Les fraudeurs en tous genres l’ont bien compris, cette lenteur servait leurs intérêts. Lorsque leur situation devenait délicate, ils pouvaient gagner du temps, voire même faire disparaître toute information qui aurait pu les desservir.

Du point de vue historique, le Stored Wire Electronic Communications Act ainsi que le Electronic Communications Privacy Act (ECPA), ayant mis à jour en 1986 le Federal Wiretap Act de 1968, exigeaient en effet le recours à une demande d’entraide internationale Mutual Legal-Assistance Treatee (MLAT) à chaque fois que l’accès à des données était nécessaire sur un territoire étranger. Plusieurs mises à jour ont déjà eu lieu, incluant le USA PATRIOT Act sans remettre en question le principe de la territorialité.

Un cas a fait couler beaucoup d’encre lorsque les autorités américaines ont demandé à une société américaine (Microsoft), ayant son siège sur le territoire américain, des données de messagerie d’un résident du territoire américain ayant en Amérique une activité dont il s’agissait de vérifier la légitimité vis-à-vis de la loi américaine … sans succès. Les données de la personne en question étaient hébergées en Irlande.

C’est afin de pouvoir répondre une fois pour toute à cette question qu’a été proposé le Clarifying Lawful Overseas Use of Data Act. Nombreux sont ceux qui l’ont interprété comme un geste unilatéral et radical permettant aux autorités américaines d’accéder aux données des entreprises américaines sans se soucier de leur lieu de stockage.

Toutefois, il s’agit d’une proposition de procédure simplifiée s’appuyant sur des accords bilatéraux lorsque des lois locales de protection des données sont en place. Les Etats-Unis d’Amérique devront convenir avec chaque pays des conditions dans lesquelles cette loi pourra être appliquée et avec quelle réciprocité. Les premiers en liste sont le Royaume Uni suivi de l’Europe.

L’Europe ? Qui dit Europe dit RGDP !

En effet, Les nouvelles Règles Générales de Protection des Données Européennes ont également une étendue extraterritoriale. Selon l’article 48, un accord international doit être en place avec le pays demandeur avant qu’une décision d’une de ses autorités ne puisse exiger quoi que ce soit d’un responsable de traitement.

Les UK séparément ?

Le Brexit ayant été voté, le Royaume Uni a pris position en expliquant qu’à l’heure de l’entrée en vigueur des RGPD, il ferait encore partie de l’Europe. A ce titre, implicitement, il s’engage par conséquent à se conformer à ces règles. Ce qui nécessitera sans aucun doute, comme pour l’Europe, une démarche de négociation d’accords bilatéraux.

La différence de perspective entre les pouvoirs législatifs de chacune de ces nations va certainement alimenter de longues discussions. L’Europe s’intéresse plus au propriétaire de la donnée avec RGDP et les Etats-Unis, de leur côté, plus à l’opérateur. Les spécialistes s’accordent à parler de la territorialité objective en opposition à la territorialité subjective. La première s’intéresse avant tout au siège social de l’opérateur ou au lieu de stockage de l’information. La deuxième met au centre le propriétaire de la donnée et l’usage auquel il consent.

Et la Suisse ?

La Suisse a une loi dédiée à la protection des données (LPD), en cours de révision. On peut en déduire que la question de l’accord bilatéral se posera un jour. Une opportunité qui permettrait aux autorités Suisse de s’adresser directement à des géants américains comme Microsoft, Google ou Facebook sans passer, comme pour l’instant, par une demande d’entraide internationale. Il sera très intéressant de voir comment va se positionner tout prochainement la Suisse avec la nouvelle loi sur la protection des données !

Affaire à suivre …