Pantin. En visite au data center de Pantin, inauguré lundi 18 février, le ministre de l’Économie française a interrogé à plusieurs reprises l’opérateur Equinix au sujet du Cloud Act, adopté le 23 mars dernier par le parlement américain. Cette loi autorise les forces de sécurité américaines à obliger, par mandat ou assignation, les fournisseurs de services de Cloud Computing à fournir des données stockées sur des serveurs situés aux Etats-Unis comme à l’étranger. Du point de vue de la juridiction française, le Cloud Computing se réfère au « traitement de données d’un client, dont l’exploitation s’effectue par internet, sous la forme de services fournis par un prestataire » (1). Libéré de ses chaînes administratives et judiciaires, l’oncle Sam peut donc aisément réquisitionner des informations personnelles stockées sur le sol américain ou non, sans en informer les utilisateurs concernés.

Emails, conversations en ligne, photos, vidéos, comptes clients, documents corporate et confidentiels ainsi que communication des entreprises sont susceptibles d’être collectés par l’administration américaine.

Pour se procurer des informations sur un de leurs ressortissants, le gouvernement américain doit fournir des preuves aux juridictions concernées, qu’il soit accusé d’espionner pour le compte d’un autre pays ou d’être lié à un mouvement terroriste. À l’inverse, la réquisition de données d’un citoyen européen ne nécessite aucune preuve.

Ce principe d’extraterritorialité est une tradition se perpétuant et s’intensifiant depuis le Stored Communication Act (SCA) (4) de 1986, qui avait instauré une entraide judiciaire internationale basée sur des traités bilatéraux, afin d’obtenir des documents d’entreprises américaines à l’étranger. C’est en réalité le Patriot Act de 2001 qui marque le virage du multilatéralisme vers l’unilatéralisme. Le Foreign Intelligence Surveillance Act (FISA) (5), consolidé en 2001 puis 2008, ouvre le champs d’action aux individus non américains résidant à l’étranger. L’Electronic Communications Privacy Act (EPCA) (3), modifié en 2001, permet d’ajouter aux perquisitions ordinaires des perquisitions plus spécifiques comme le SCA Warrant, qui élargit la portée des SCA hors États-Unis.

L’exemple empirique le plus représentatif de l’évolution de la politique extraterritoriale américaine remonte à 2013. Microsoft se trouvait alors au centre des appétences américaines. L’administration voulait y saisir des données personnelles sur des serveurs basés en Irlande. Devant le refus de l’entreprise, l’affaire est remontée jusqu’à la Cour Suprême et a été suspendue jusqu’à l’entrée en vigueur du Cloud Act.

De part et d’autre de l’Atlantique, le Cloud Act vient également se heurter à des problématiques juridiques majeures. En Europe, l’article 48 du RGPD, relatif aux « Transferts ou divulgations non autorisés par le droit de l’Union » (2), se voit affaibli puisqu’il n’interdit pas les transferts de données hors Union Européenne mais les encadre. De façon similaire, aux Etats-Unis, de nombreuses associations comme Amnesty International ou Human Rights Watch contestent le Cloud Act car il enfreindrait le 4ème amendement contre la perquisition et les saisies déraisonnables.

Inscrite dans la Charte des libertés fondamentales européennes, le principe de liberté de vie privée se voit ainsi lourdement impacté par le Cloud Act.

La menace est également économique puisque ce cavalier législatif de 30 pages parmi les 2 000 du budget américain, fait perdre de nombreuses parts de marchés dans la branche du Cloud Computing en Europe, les stockages de données étant majoritairement localisés aux États-Unis. De plus, espionnages industriels comme économiques peuvent être concernés par cette loi de manière implicite.

Face à l’offensive américaine, Bruno Le Maire a été clair quant à son ambition d’augmenter le nombre de centres de données hébergés en France. Il désire mettre en avant un réseau électrique français robuste qui bénéficie d’un prix de l’électricité compétitif et décarbonée, grâce à l’énergie nucléaire, et la récente baisse de moitié de la fiscalité sur l’électricité consommée par les centres de données.

Outre les initiatives françaises, la coopération à l’échelle européenne avance à grand pas. C’est dans cet état d’esprit que c’est inscrit le règlement du 4 mai 2016, relatif aux questions du traitement des données personnelles, et la Directive 2016/680, concernant les protections des personnes physiques à l’égard de leurs données, tous deux entrés en vigueur en mai 2018. Le ministre de l’Economie semble à ce sujet avoir suggéré à la Commission d’œuvrer à une potentielle plateforme souveraine de stockage de données.

À l’image du Data Trust, différentes stratégies élaborées par les entreprises devraient être utilisées plus souvent à l’avenir, tout en prônant une coopération à la fois européenne et publique-privée. Le Data Trust, contrairement au Data Shard et Data Localization, permet en effet de séparer l’accès aux données techniques du serveur de l’accès aux informations personnelles des utilisateurs, les premières étant accessibles par l’entreprise et les deuxièmes, uniquement par le fournisseur du centre de donnée.

C’est par exemple le cas du Microsoft Cloud Allemand et de T-Systems où les données stockées sont accessibles par T-Systems, domicilié hors États-Unis, Microsoft n’ayant uniquement accès qu’aux données techniques.

Toutefois, le Data Trust seul ne pourra faire face aux décisions imprévisibles et unilatérales américaines. C’est peut-être une nouvelle occasion pour l’Europe, porteuse de projets communs et unie dans la complexité comme dans la diversité, de s’ériger en  rempart crédible aux injonctions américaines.

Perspectives :

  • Développement des entreprises de stockages de données sur le territoire européen afin d’atteindre une réelle autonomie face à l’offensive américaine. Ce déploiement pourrait s’associer à la négociation de possibles accords bilatéraux entre États-Unis et Europe.
  • Observation des travaux menés par la Commission Européenne comme par les entreprises et pays européens.
  • Deux scénarios semblent se démarquer. Le premier, plus optimiste, décrirait une situation où États-Unis et Europe coopéreraient pacifiquement dans l’échange de données personnelles, sans saisies déraisonnables. Le second, peut-être plus réaliste compte tenu de l’incertitude des décisions américaines, dessinerait alors les contours d’une relation plus conflictuelle, où les Américains poursuivraient leurs collectes massives de données extraterritoriales, poussant ainsi les Européens à s’unifier face au Cloud Act et à développer un tissu entrepreneurial compétitif autour du stockage de données.

Sources :

  1. Définition du Cloud Computing selon la législation française, Journal Officiel n°0129 du 06/06/2010.
  2. Parlement européen, Article 48 du RGPD, avril 2016.
  3. US Congress, Electronic Communication Privacy Act, 1986 avec amendements de 2001.
  4. US Congress, Stored Communication Act, 1986.
  5. US Congress, Foreign Intelligence Surveillance Act, 1987 avec amendements de 2001 et 2008.

Pierre Rousseaux