Washington. Depuis le Clarifying Lawful Overseas Use of Data Act1 la justice américaine est autorisée à perquisitionner toute donnée stockée par une entreprise américaine. La portée de cette loi s’étend aux données conservées sur des serveurs à l’étranger ainsi qu’aux filiales étrangères d’une société mère domiciliée aux États-Unis. La loi répond à un vide laissé par un système juridique international trop lent, à l’image des traités d’assistance judiciaire mutuelle (Mutual Legal Assistance Treaty), et à l’obsolescence du Stored Communications Act, loi datant des tout débuts d’internet en 1986…

Connaissant la domination des GAFAM et consorts, la justice américaine s’est octroyé d’un coup l’accès (sous réserve du cinquième amendement) à la quasi-totalité du cloud mondial. La majorité des citoyens européens sont touchés par cette loi, et pour ce qui est des entreprises européennes, elle s’applique aussi à leurs filiales américaines. Pis encore, la loi reste floue quant à l’accès aux données d’une société mère via sa filiale américaine.

Une analyse plus fine de l’Act révèle un conflit avec le chapitre V (articles 44 à 50) du RGPD (Règlement général sur la protection des données), concernant les transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales2. Dans son texte, le Cloud Act offre deux possibilités à l’Europe. Elle peut passer un accord bilatéral avec les États-Unis (executive agreement) ou se prévaloir du principe de courtoisie internationale (common law principles of comity). En réalité, les accords proposés dans le cadre du Cloud Act sont très avantageux pour les USA. Étant données les dispositions géopolitiques actuelles, et le faible poids européen sur le marché des nouvelles technologies, négocier des accords bilatéraux satisfaisants semble peu probable. Légiférer et jouer la carte du principe de courtoisie internationale semble plus raisonnable. Encore faut-il une Europe efficace, capable de prendre des décisions fortes et de les faire respecter3.

Avec le recul, on constate que les États-Unis ont su exploiter avec subtilité le dynamisme de leurs entreprises numériques, pour répondre efficacement, et clairement, aux évolutions technologiques. Dans le numérique comme avec la plupart des nouvelles technologies, l’avantage est à celui qui définit les paradigmes pour repenser les lois internationales. Au vu de l’état de fait présenté, l’Europe peut-elle utiliser sa puissance normative pour imposer de nouvelles lignes rouges ?

Afin d’obtenir une réponse à ce propos, il faudrait surveiller en particulier le projet e-évidence qui doit définir le droit d’accès aux données numériques pour la justice européenne. Nous pourrons juger une nouvelle fois de la subtilité des lois européennes et de la rapidité du processus décisionnel européen. Du côté de Washington, il faudra prêter attention à la jurisprudence sur le Cloud Act. Feront-ils fi du RGPD comme il ont pu le faire d’autres réglementations jugées peu contraignantes (comme le Règlement (CE) 2271/96), alors même que l’article 83 prévoit des sanctions rédhibitoires ? États-Unis contre Union, le Cloud Act permet de mettre en avant la confrontation économique et juridique qu’engendre ce nouveau monde numérique.

Perspectives :

  • La jurisprudence sur les conflits entre RGPD et Cloud Act sont à surveiller tout particulièrement.
  • L’avancée du projet e-évidence nous montrera la puissance décisionnelle de l’Union.
Sources
  1. United States Congress, H.R.4943 – CLOUD Act
  2. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, Journal officiel de l’Union Européenne, mai 2016, nºL119.
  3. MIGNON, Emmanuelle, Le Cloud Act ou l’impuissance européenne démasquée, La Revue des Juristes de Sciences Po, janvier 2019, nº16.