Le Cloud Act a été promulguée aux États-Unis le 23 mars 2018 (codifiée dans 18 U.S.C. Sections 2701–2713). La loi prévoit que les injonctions américaines émises en vertu de la loi sur Stored Communication Act (‘SCA’) peuvent atteindre certaines données situées dans d’autres pays que les USA.

Le Cloud Act apporte un éclaircissement important et nécessaire à la loi SCA qui été promulguée en 1986 afin de protéger les communications électroniques. Le SCA a défini des politiques de confidentialité pour ces communications, ainsi que les conditions dans lesquelles ces communications pourraient être obtenues par des agences fédérales américaines.

Reconnaissant les limites des outils d’application de la loi et des lois sur la protection de la vie privée pour gérer les demandes de preuves électroniques à l’ère du développement de l’informatique en nuage, le Cloud Act vient établir des procédures pour les demandes d’accès aux données localisées aux USA ou dans d’autres pays.

Les dispositions caractéristiques du Cloud Act modifient le régime créé par la SCA de trois manières principales :
(1) Les injonctions des autorités fédérales américaines émises dans le cadre de la SCA peuvent désormais atteindre certaines données situées dans des pays étrangers ;
(2) Le gouvernement des États-Unis et les gouvernements étrangers peuvent maintenant conclure des accords bilatéraux afin d’agir directement auprès des fournisseurs de services de chacun des pays ; et
(3) Les fournisseurs de services peuvent désormais suivre un processus formel pour contester les injonctions basées sur le Cloud Act.

1- Les injonctions des autorités américaines émises en vertu de la SCA peuvent maintenant atteindre des données situées à l’étranger.

Le SCA étend certaines obligations de confidentialité aux fournisseurs de services tiers. Cependant, ces obligations de confidentialité font l’objet d’exceptions. Par exemple, lorsque les fournisseurs de services de communication électronique et d’informatique à distance (ci-après, les « fournisseurs de services ») reçoivent les demandes de divulgation de données émanant d’entités gouvernementales ayant obtenu une injonction, ils doivent se conformer à l’injonction. Avant le Cloud Act, la question se posait de savoir si la divulgation des données s’étend aux données détenues dans des pays étrangers (hors USA).

Le Cloud Act élimine donc ce doute en disposant qu’un « fournisseur de services de communications électroniques ou de services informatiques à distance doit se conformer aux obligations du SCA (...) que ces communications, enregistrements ou autres informations soient situés à l’intérieur ou à l’extérieur des États-Unis. » [1]

La portée géographique a donc changé. En vertu du Cloud Act, les données qui sont stockées en dehors des USA chez un fournisseur des services soumis aux lois américaines pourraient faire l’objet d’une divulgation au gouvernement américain en vertu d’un mandat ou d’une assignation.

Pour clarifier, les services de communication électronique et les services informatiques à distance sont généralement des services professionnels qui offrent au public des services de courrier électronique, de messagerie électronique ou de stockage en nuage. [2]. Le type de données soumises au SCA est le contenu des communications électroniques et des documents stockés dans le cloud et des données non liées aux communications électroniques, telles que les enregistrements de transmission et les informations de compte utilisateur, mais pas les autres types de données personnelles ou professionnelles. [3]

Le Cloud Act crée également une certaine asymétrie dans la manière dont les fournisseurs de services doivent traiter les données stockées à l’étranger. En étendant les obligations de divulgation de 18 U.S.C. § 2703 du SCA en dehors des États-Unis, le Cloud Act a négligé d’étendre les protections de la vie privée de 18 U.S.C. § 2702 du SCA aux données stockées en dehors des États-Unis.

18 U.S.C. § 2702 du SCA dispose que, sous réserve de certaines exceptions, les fournisseurs de services desservant le public ne divulgueront sciemment aucune donnée à aucune personne ou entité. Il est clair que ce mandat s’applique aux données stockées aux États-Unis. Ce qui n’est pas si clair, c’est si cela s’applique aux données stockées en dehors des États-Unis. Cela signifie probablement que, pour se conformer à la loi SCA et au Cloud Act, les fournisseurs de services doivent uniquement respecter les obligations de confidentialité des juridictions dans lesquelles les données sont stockées, mais la question reste ouverte.

2- Les gouvernements américains et étrangers peuvent désormais conclure des accords bilatéraux afin de présenter des injonctions basées sur le Cloud Act directement aux fournisseurs de services.

Les États-Unis, agissant par l’intermédiaire du pouvoir exécutif, peuvent désormais conclure des accords bilatéraux avec des gouvernements étrangers (ci-après un « accord exécutif »). Avant le Cloud Act, les fournisseurs de services pouvaient raisonnablement craindre que le respect d’une demande émanant de forces de l’ordre américaines ou étrangères puisse violer les lois de l’autre pays. Cela est particulièrement vrai en vertu du règlement général sur la protection des données de l’Union européenne (« RGPD »), qui interdit, en vertu de l’article 48, le transfert de données hors de l’Union européenne.

L’application du Cloud Act dans les pays étrangers qui ont conclu des accords avec les États-Unis permettra à chaque gouvernement de faire des demandes de données directement aux fournisseurs de services situés dans un des pays concernés.

Cependant il est important de noter que l’accord exécutif ne peut pas obliger les entreprises soumises à une injonction à déchiffrer les données stockées sur ses systèmes.

En outre, le Cloud Act limite les types d’injonctions pouvant être délivrées aux gouvernements étranger en vertu d’accords exécutif : les injonctions doivent avoir pour but d’obtenir des informations relatives à des infractions graves ; elles doivent identifier une personne, un compte, une adresse ou un dispositif spécifique et avoir une durée et une portée limitées ; elles doivent être justifiées par des faits crédibles et soumises à un examen ou à un contrôle par un tribunal ; et elles ne peuvent pas cibler les données sur les citoyens ou résidents américains - ces demandes doivent toujours passer par le processus de traité d’entraide judiciaire.

À l’heure actuelle, les États-Unis n’ont pas encore conclu d’accords exécutifs, et il n’est pas certain que les accords d’exécution seraient admissibles dans les conditions imposées par les articles 44 à 48 du RGPD. Il reste à voir comment l’UE réagira à ces accords exécutifs. Idéalement, de tels accords apporteraient de la clarté aux fournisseurs de services qui sont soumis à des exigences multi-juridictionnelles, mais jusqu’à ce que des accords soient effectivement conclus, il est difficile de prédire comment les fournisseurs de services seront concernés par ces dispositions.

3- Les fournisseurs de services peuvent maintenant suivre un processus formel pour contester les demandes d’application du Cloud Act.

En vertu du Cloud Act, les fournisseurs de services qui font face une injonction basée sur le Cloud Act concernant des données stockées dans un pays étranger disposant d’un accord exécutif avec les États-Unis disposent d’un délai de 14 jours pour agir en justice afin de modifier ou annuler l’injonction s’il est démontré que : (1) le client ou l’abonné dont les données sont concernées n’est pas un ressortissant des États-Unis et ne réside pas aux États-Unis, et (2) que la divulgation requise créerait un risque important de la violation par le fournisseur de services des lois du gouvernement étranger.

Un tribunal modifiera ou annulera l’injonction, le cas échéant, si les deux conditions ci-dessus sont remplies et que les intérêts de la justice exigent que la procédure judiciaire soit modifiée soit annulée. En examinant les intérêts de la justice, le tribunal examine les intérêts des États-Unis, du gouvernement étranger, de la probabilité que le fournisseur de services soit pénalisé pour avoir respecté l’injonction, l’importance des informations demandées et d’autres circonstances. Le Cloud Act prévoit également que, en cas de contestation, un fournisseur de services doit conserver, mais n’est pas obligé de produire, les données demandées.

Lorsque les données recherchées par les forces de l’ordre américaines ne se trouvent pas dans un pays avec lequel les États-Unis ont conclu un accord exécutif, le Cloud Act préserve expressément le droit d’un fournisseur de services de contester une injonction en vertu du common-law comity analysis (ce qui peut se traduire comme une analyse de courtoisie).

Notamment, contrairement au cadre légal établi par le Cloud Act et expliqué ci-dessus, l’analyse du common-law comity analysis est disponible même lorsque le client ou l’abonné est une personne américaine ou réside aux États-Unis. Les facteurs sur lesquels les tribunaux américains peuvent se fonder pour entreprendre une analyse common-law comity analysis sont l’importance des informations demandées, le degré de spécificité de la demande, la provenance des informations des États-Unis, la disponibilité de moyens alternatifs pour obtenir les informations et les intérêts américains et étrangers en jeu.

En résumé, le processus de contestation des demandes d’injonction prévu dans le Cloud Act fournit aux fournisseurs de services un processus formel pour contester ce type d’injonction ciblant des données situées dans un pays étranger ayant conclu un accord avec les États-Unis. Pour ce faire, l’individu objet de l’injonction doit être un client ou un abonné qui n’est pas un ressortissant américain et ne réside pas aux États-Unis, et l’injonction doit créer un risque que le fournisseur de services viole les lois du gouvernement étranger. Pour toutes les autres situations, y compris les injonctions ciblant des données stockées dans un pays étranger qui n’a pas d’accord de gestion avec les États-Unis, l’analyse du common-law comity analysis reste à la disposition du fournisseur de services.

4- Des Questions et Réponses.

4.1 Application du CLOUD ACT face à des données cryptées ?

Le Cloud Act n’apporte aucune précision quant au droit d’une agence fédérale américaine de demander l’accès à la clé de cryptage si les données sont cryptées. Avant l’adoption du Cloud Act, les agences fédérales américaines ont estimé qu’elle avait droit à un tel accès. Les sociétés opposées à la divulgation des clés de cryptage affirment, entre autres, que le SCA régit la saisie du « contenu » dans le stockage électronique et que les clés ne sont pas incluses dans le « contenu ».

Étant donné que le Cloud Act a été adoptée pour étendre le SCA, ces mêmes arguments continueront à s’appliquer. Il faut s’attendre que les agences fédérales américaines continuent à demander les clés de cryptage. Le succès d’une telle demande reste une question ouverte.

4.2 Comment le Cloud Act fonctionne-t-il dans un environnement de cloud où les applications sont sous le contrôle d’un client et où la société d’hébergement (par exemple, IBM, AWS) ne fournit qu’un système informatique autre que les applications (construites par le client) ?

Lorsqu’une entreprise de droit américain ne fournit que le système informatique du système cloud et qu’une entreprise client du fournisseur de cloud contrôle une application qui est hébergée par le fournisseur américain, la question est de savoir quelle « communication électronique ou autres enregistrement ou autres information concernant le client ou l’abonné » est en possession ou sous le contrôle de l’entreprise américaine.

Si l’entreprise américaine peut facilement accéder aux applications hébergées pour extraire les données demandées, le Cloud Act nécessitera la divulgation de ces données. Il faut donc faire très attention aux droits d’administrateur accordés à une entreprise américaine qui fournit des services d’hébergement.

Mais dans le cas où l’entreprise américaine ne peut pas accéder aux données hébergées, la demande sera probablement traitée de la même manière que les données cryptées, c’est-à-dire est ce que l’entreprise américaine peut utiliser des outils techniques à sa disposition pour divulguer les données demandées ? Si la réponse est oui, l’agence fédérale américaine demandera la production des données.

Dans le cas où les demandes des données qui sont traitées dans une application qui est sous le contrôle d’un client localisé dans un pays membre de l’UE, on peut s’attendre à des recours en justice afin de s’opposer à une telle demande car la divulgation des données requises créerait un risque important que le fournisseur de l’application viole les lois du pays membre de l’EU concerné. D’où l’importance d’une bonne application du RGPD au sein d’une entreprise.

4.3 Quel est l’impact du CLOUD ACT pour les données d’une personne américaine dont les données sont traitées dans un centre de données situé aux États-Unis ?

Si le centre de données est considéré comme fournissant un « service informatique à distance » défini comme « la fourniture au public de services de stockage ou de traitement informatiques au moyen d’un système de communications électroniques » et qu’il a la garde ou le contrôle des données recherchées par l’agence fédérale américaine, il pourrait être soumis à une injonction en vertu du Cloud Act.

Il convient de noter qu’en application du Cloud Act, une « personne des États-Unis » est définie au sens large comme un citoyen ou ressortissant des États-Unis, un étranger légalement admis pour résider permanente, une association non incorporée composée de citoyens américains ou des étrangers légalement admis pour résider aux USA, ou une société constituée aux États-Unis. (18 U.S.C.A. § 2523)

4.4 Quel est l’impact du CLOUD ACT pour les données appartenant à une personne étrangère qui signe un accord de service avec une entreprise de son pays mais qui utilise les services d’un centre de données situé aux États-Unis ?

Dans ce cas, le Cloud Act atteindrait les données de la personne étrangère, sous réserve d’une requête en annulation de l’injonction (examinée dans le paragraphe 3 ci-dessus) du fait que l’injonction pourrait créer un conflit avec la loi étrangère (par exemple, le RGPD), cela correspond aux dispositions de 18 U.S.C.A. § 2703(h) (2) (A) du SCA.
« Un fournisseur de services de communications électroniques au public ou de services informatiques distants, y compris un service de communication électronique étranger ou un service informatique à distance, qui est tenu de divulguer en vertu de la présente procédure le contenu d’une communication électronique d’un l’abonné ou le client, peut déposer une requête en vue de modifier ou d’annuler le processus juridique lorsque le fournisseur croit raisonnablement ...
(i) que le client ou l’abonné n’est pas une personne des États-Unis et ne réside pas aux États-Unis ; et
(ii) que la divulgation requise créerait un risque important que le fournisseur viole les lois d’un gouvernement étranger reconnu."

18 U.S.C.A. § 2703 (h)(2)(B) prévoit que :
"Le tribunal peut modifier ou annuler la procédure judiciaire, le cas échéant, uniquement si le tribunal estime que ...
(i) la divulgation requise entraînerait la violation par le fournisseur des lois d’un gouvernement étranger reconnu ;
ii) sur la base de la totalité des circonstances, l’intérêt de la justice exige que la procédure judiciaire soit modifiée, soit annulée ; et
(iii) le client ou l’abonné n’est pas une personne des États-Unis et ne réside pas aux États-Unis."

En conséquence même s’il est établi que la personne en question n’est pas une « personne des États-Unis » et qu’une loi étrangère serait violée, le tribunal américain peut toujours considérer la « totalité des circonstances » et les « intérêts de la justice » pour décider d’annuler ou pas l’injonction.

5- Conclusion.

En vertu du CLOUD ACT, les demandes d’application de la loi américaines dans le cadre de la SCA peuvent désormais atteindre des données situées dans des pays étrangers. Afin d’être en mesure de contester une injonction et de protéger la divulgation des données, il est :
• Important d’être en conformité avec les lois locales sur la protection des données personnelles (RGPD par exemple).
•Important d’encrypter les données et de gérer les clefs de manière sécurisée.
•Important de contrôler les droits d’administrateur de base de données ou de système accordés aux fournisseurs de services en particulier ceux de droit américain.

Jean-Pierre Mistral

Comentaires:

• 
  Cloud act dans le cadre d’un partenariat commercial ?, sebastien, 14 novembre 2020

  Comme vous le savez sans doutes , OVH vient de crée un partenariat avec Google. dans ce cadre cela permettrais donc au institution américain d’avoir un accès aux données des personnes non résidant aux USA. il y a là plusieurs questions à ce posé ?
  1- sachant que 20% des serveurs actuel de ovh servent à des fins malhonnêtes. (j’ai déja publier des ip de chez ovh comme preuve.)
  le FBI pourrait très bien demander à ovh de divulgués toutes les données de ces serveurs cloud ?
  2- est ce que la responsabilité de l’entreprise d’hébergement pourrait être mise en cause.
• 
  Crypter ou Chiffre, Jocelyn Fontaine, 7 juillet 2022

  Bonjour

  Article très intéressant : ca serait bien d’utiliser les bons mots car crypter et chiffrer ce n’est pas la meme chose. Ici on parle de Chiffrement et non pas cryptage (encodage)
  Crypter (coder) c’est rendre illisible un texte sans connaitre la clé.
  Alors que chiffrer se fait via clé(s)

  cordialement