Le 23 mars dernier, le Président Trump a promulgué le Cloud Act (Clarifying Lawful Overseas Use of Data). Les fournisseurs de services américains devront produire les données hébergées même hors du territoire américain.
Alors que le RGPD est entré en vigueur, comment faut-il prendre le Cloud Act américain ?
A la suite des attentats du 11 septembre 2001, le gouvernement américain s’est doté d’une loi antiterroriste, le Patriot Act, qui permet aux bras armés de l’Amérique, FBI en tête, de demander la fourniture des données sur les individus détenues par les fournisseurs de services, comme Amazon, Google, Microsoft, Facebook, etc.
On connaît les dérives engendrées par cette loi et les pratiques massives d’espionnage sur nos communications, téléphoniques ou internet, sous le couvert du Patriot Act. Un vide juridique, celui de l’extraterritorialité du Patriot Act, a cependant permis à certains acteurs, comme Microsoft, de s’opposer à cette communication lorsque ces données sont détenues hors du territoire américain.
Cloud Act vient renforcer Patriot Act
Voté en catimini par les deux chambres américaines, sans examen spécifique, puis promulgué à la va-vite ce 23 mars par le Président Trump, le Cloud Act (Clarifying Lawful Overseas Use of Data), vient corrigé le vide du Patriot Act. « Tout opérateur ou fournisseur de services en ligne doit se conformer aux obligations (…) pour préserver, sauvegarder ou communiquer les contenus de communications électroniques et tous enregistrements et informations relatives à un client ou abonné dont ils sont en possession où dont ils ont la garde ou le contrôle, quel que soit le lieu où ces communications, enregistrements et informations sont localisés à l’intérieur ou à l’extérieur des Etats-Unis. »
Le Cloud Act contraint les fournisseurs de services présents sur le territoire américain à produire les données qu’ils détiennent, et cela que ces données soient physiquement sur le territoire américain ou hébergées à l’extérieur des Etats-Unis. Voilà qui règle de façon unilatérale la question la territorialité, en donnant aux prestataires un rôle supplétif de surveillance jusqu’aux populations vivant en dehors du territoire américain !
L’administration américaine octroie tous les droits sur nos données
L’interprétation extensive du cumul du Patriot Act et du Cloud Act a un effet dévastateur : une entreprise française qui est présente aux Etats-Unis relèverait de la loi américaine jusque dans ses activités françaises ! Ajoutons à cela que la loi américaine dispense les fournisseur de services d’avertir leurs clients d’une requête émise à leur encontre.
Pour résumer, les services du gouvernement américain peuvent consulter nos données, même en France, la plupart des opérateurs français disposant de représentations aux Etats-Unis, et cela sans que nous n’en sachions rien… Le Président Trump a consolidé la capacité légale de son administration pour exfiltrer nos données !
Le RGPD peut-il nous protéger ?
Il existe une règle, celle de la hiérarchie des textes. Le RGPD peut donc en théorie bloquer les dérives liées à l’exploitation de la loi américaine si le texte européen est placé devant le texte américain. Pour cela, il suffirait d’établir un avenant aux contrats avec une clause qui stipule que le RGPD prévaut sur toute loi étrangère.
Nous vous invitons à tenter l’expérience et demander cette clause à vos fournisseurs, et à nous faire part de leur réaction… Même s’ils l’acceptent sans réagir, en cas d’injonction d’exfiltration, si l’administration américaine s’empare de vos données, votre fournisseur ne sera pas tenu de vous le signaler ! Mais surtout, certains opérateurs en conflit avec l'administration US vont pouvoir se retrancher le Cloud Act pour fournir les données à la demande, ce qui finalement risque fort de satisfaire les deux parties. Et comme leurs clients n'en sauront rien...