Les données personnelles, l’or noir, le carburant du numérique font l’objet de polémiques législatives au sein des Grandes puissances. Cette polémique se comprend dans la mesure où ces données sont la source de revenus de bon nombre de responsables de traitement.
Alors que certaines législations ont en vue de réaffirmer la maîtrise par les personnes concernées sur leurs données personnelles, d’autres par contre sont le reflet de l’action dictatoriale ou l’affirmation du pouvoir étatique sur les données personnelles de leurs ressortissants mais aussi des ressortissants d’Etats tiers. Il se crée ainsi un compromis entre les législations d’où l’intitulé du sujet « "Cloud Act" versus RGPD : le clash des législations » qui en est une parfaite illustration.

Dans cet article, nous n’avons pas pour but de présenter, sinon de scruter avec minutie le contenu de ces deux (2) législations mais de mettre en évidence quelques points fondamentaux mais farouchement opposés que présentent ces deux textes dans un premier temps avant de proposer des tentatives de solutions.

Pour ce faire, nous ferons l’historique de l’adoption du Cloud Act (I), présenterons les distinctions entre ces législations (II), avant d’évoquer la loi Californienne sur la protection des données comme alternative à ce conflit législatif (III).

I- L’historique de l’adoption du Cloud Act.

Le "Clarifyng Lawful Overseas Use of Data Act" ou Cloud Act est une Loi adoptée sous la présidence de G. Bush par le Congrès Américain suite aux attentats du 11 septembre 2001.
En effet, ce 11 septembre 2001, nous le savons tous, les tours jumelles en plein cœur de New-York et le Pentagone sont victimes d’une attaque terroriste ayant occasionné de nombreux dégâts.
Dans le but de faire face à cette attaque, Washington avait déjà voté le Patriot Act (United and Strengthening America by Providing Appropriate Tools Requires to Intercetpt and Obstruct Terrorism Act) c’est-à-dire la « loi pour unir et renforcer l’Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme ».
La finalité du Patriot Act était de permettre aux États-Unis de se doter d’une Loi anti-terroriste en vue de garantir la défense nationale en permettant aux administrations gouvernementales américaines (NSA, FBI, CIA…) d’obtenir des pouvoirs renforcés afin de lutter de manière plus efficace contre le terrorisme.
Toutefois, cette Loi à vocation anti-terroriste va se muer en dispositif relatif à la protection des données personnelles juste après l’entrée en vigueur du RGPD.

Une question se pose à savoir celle de la distinction Cloud Act et RGPD.

II- Distinction Cloud Act et RGPD.

La lecture des différentes publications sur la toile donne un aperçu du lien entre ces deux législations relatives à la protection des données personnelles, lesquelles publications laissent présager une apparente opposition entre le Cloud Act et le RGPD.
Nous nous posons donc la question légitime suivante : en quoi le RGPD et le Cloud Act sont opposés alors qu’ils sont tous deux relatifs à la collecte et au traitement de données personnelles ?

Le RGPD fait des données à caractère personnel la « propriété des personnes concernées ». En effet, de par les principes que prévoit le RGPD mais aussi les droits qu’il consacre au profit des personnes concernées, notamment le droit à l’oubli et le droit à la limitation de traitement, les personnes concernées ont un contrôle accru sur la collecte et le traitement de leurs données personnelles. En outre, le consentement de la personne concernée est un moyen on ne peut plus important permettant de la légitimation du traitement des données personnelles.
En clair, le RGPD met tout en œuvre pour que la personne concernée ait son mot à dire depuis la collecte jusqu’au traitement. Elle peut même revenir ad nutum sur le consentement qu’elle avait donné avant le traitement desdites données.
Selon Shillingford, spécialiste en cybersécurité [1] : « Avec le RGPD, l’Union européenne adopte une philosophie centrée sur l’individu, et vise à rééquilibrer la balance en sa faveur, face aux géants du Net qui brassent d’immenses quantités de données ».
C’est d’ailleurs cette maîtrise sur les données personnelles par la personne concernée reconnue par le RGPD qui est niée avec le Cloud Act.

En effet, le Cloud Act permet au Gouvernement américain, en l’occurrence à l’Exécutif, de négocier avec d’autres gouvernements des accords bilatéraux pour des échanges d’informations stockées sur les serveurs des entreprises, sans recourir au juge, faire valider les demandes et inversement.
Au premier regard, l’on pourrait être tenté de parler de « dictature des Etats » sur les données personnelles des individus dans la mesure où aucun individu personne physique n’intervient dans ce processus alors qu’il y a collecte et éventuellement traitement de données personnelles sans le consentement des personnes auxquelles elles se rapportent. C’est un permis officiel d’espionnage permettant aux fournisseurs de services électroniques américains de révéler les données de leurs clients aux autorités US et ce « quelle que soit leur localisation (…) à l’intérieur ou à l’extérieur des Etats-Unis ».
Cette loi vient remettre en cause nos appréhensions sur la notion de « souveraineté numérique ». En effet bien que les frontières numériques soient difficiles à cerner à cause des caractéristiques du réseau Internet notamment son opacité, le Cloud Act donne une compétence au-delà du territoire américain au Gouvernement américain. Toutefois, convient-il de noter que l’intervention des États-Unis est subordonnée à la signature d’un accord bilatéral.

Le véritable problème occasionnant le conflit entre le RGPD et le Cloud Act c’est que, le Cloud Act offre un cadre légal aux saisies de données en Europe alors que le RGPD proscrit le transfert des données personnelles hors du continent Européen.
Selon l’article 48 du RGPD : « toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable de traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit à la condition qu’elle soit fondée sur un accord international tel qu’un traité d’entraide judiciaire, en vigueur entre le pays tiers demandeur et l’Union ou un Etat membre, sans préjudice d’autres motifs de transfert en vertu du présent chapitre ».
A l’analyse de cette disposition diversement commentée, l’on note que le caractère non conciliable du RGPD et du Cloud Act est tout autre en réalité. En effet, comme le prévoit le Cloud Act, le RGPD en son article 48 précité évoque la possibilité de transférer les données à un autre pays hors du continent « à la condition que ce transfert soit fondé sur un accord international ».
Cette possibilité d’accord international entre l’Europe et les Etats-Unis semble relever de l’utopie. En effet, après les échecs du Safe Habor, il faut noter que l’application du Privacy Shield qui avait pour but de réglementer le transfert des données à caractère personnel vers les USA a montré ses insuffisances.

Selon la Commission des Libertés Civiles, de la Justice et des affaires intérieures du Parlement européen (ci-après : LIBE), le récent scandale Facebook Cambridge Analytica démontre les insuffisances du Privacy Shield qui continue d’être considéré par l’Union Européenne comme une version allégée du RGPD qui n’offre pas le même niveau de protection aux données personnelles de l’Union Européenne.

Comme si cela ne suffisait pas, la promulgation du Cloud Act le 23 mars 2018 après une adoption assez mystérieuse, envenime les relations UE-USA.
Vu donc la volonté manifeste des Etats-Unis de ne pas se conformer au Privacy Shield et par voie de conséquence au RGPD se matérialisant par l’adoption du Cloud Act, par une résolution adoptée le 11juin 2018, la LIBE estime que si les Etats-Unis ne se conforment pas d’ici le 1er septembre 2018, le Privacy Shield sera suspendu.

Dans cette atmosphère assez tendue, le comportement du Gouvernement américain laisse présager que la possibilité d’un éventuel accord entre l’UE et les USA est quasi impossible, la procédure d’adoption du Cloud Act en dit long.

Toutefois, il est important de noter que l’adoption par la Californie d’une loi sur la protection des données pourrait être d’un apport bénéfique pour apaiser les tensions législatives entre les Etats-Unis et l’Union Européenne.

III- La loi Californienne : un tempérament aux tensions UE-USA.

Un Etat fédéré au sein des Etats-Unis d’Amérique, et non des moindres, s’est doté le 28 juin 2018 d’une loi assez originale sur la protection des données des internautes. Cet Etat c’est la Californie.

Officiellement dénommée "California Consumer Privacy Act of 2018", cette loi qui entrera en application le 1er janvier 2020 donne aux Californiens le droit de demander aux entreprises quelles données sont collectées sur eux ; comment elles sont utilisées et avec quelles parties tierces elles sont partagées.

Cette loi prévoit comme le RGPD un droit d’opposition, d’effacement au profit de la personne concernée et une protection particulière pour les enfants de 13 à 16 ans.

Elle présente plusieurs points communs avec le RGPD dans la mesure où elle réaffirme la maîtrise de ces derniers sur leurs données personnelles.

Cette loi pourrait "attendrir" les rapports UE-USA en vue de la signature éventuelle d’accords internationaux entre certains Etats fédérés des Etats-Unis avec l’Union Européenne pour le transfert et le traitement des données personnelles.

En outre, elle pourrait influencer les autres Etats au sein des États-Unis à repenser leurs législations, sinon adopter des lois similaires pour être conformes au RGPD et par voie de conséquence, assainir les relations tendues UE-USA bien que le Gouvernement fédéral des USA soit encore ferme sur sa décision.
C’est d’ailleurs ce qu’espère Robert Hertzberg, un sénateur californien à l’origine du projet de loi lorsqu’il affirme : « Vous verrez bientôt une copie de cette loi votée dans les cinquante États, car nous n’avons pas confiance envers le Gouvernement fédéral. On assiste à une véritable résurgence des États dans la promotion de la démocratie. »

Désiré Allechi, Juriste Spécialiste du Droit des TIC