Faut-il avoir peur du Cloud Act ?
Temps de lecture : 5 minutes
Publié le 14 janvier 2020
Souvent assimilé à un outil de surveillance par le public, le Cloud Act inquiète. Et pour cause : il permet aux autorités américaines de requérir la transmission de données stockées à l’étranger si elles sont hébergées par un fournisseur de services américain. Le tout, sans passer par les tribunaux et sans en informer les utilisateurs concernés. Mais plus de peur que de mal, pour nos experts Mathieu Coulaud et Bernard Ourghanlian, respectivement Directeur juridique et Directeur technique chez Microsoft France ! Ils nous expliquent en quoi cette législation ne restreint pas les droits des entreprises et de leurs clients.
Qu’est-ce que le Cloud Act ?
Le Cloud Act est l’acronyme de Clarifying Lawful Overseas Use of Data Act. Promulgué le 23 mars 2018, il s’agit d’une réponse législative au procès dit du New York Warrant case.
Tout a commencé par une série d’actions en justice. En 2013, le Department Of Justice (ministère de la justice américain), ordonne à Microsoft de lui donner accès aux informations de l’un de ses clients, dans le cadre d’une enquête pour trafic de drogue. Microsoft refuse de fournir les emails.
Pour quelle raison ? Ceux-ci sont stockés sur l’un des serveurs de Microsoft en Irlande et non sur le territoire américain. Les autorités américaines, peuvent-elles exiger qu’un fournisseur de services basé aux États-Unis produise le contenu du compte de messagerie d’un client stocké sur un serveur situé à l’étranger ?
En 2016, la Cour d’appel des États-Unis rend une décision en faveur de Microsoft, et en 2017, le Warrant Case est examiné par la Cour suprême des États-Unis. Puis dès 2018, le cadre juridique est clarifié grâce au Cloud Act, et la procédure à l’encontre de Microsoft est abandonnée. Les textes manquaient jusqu’alors de précision.
L’opportunité pour moderniser les services d’enquêtes était là. Il faut savoir que l’Europe réfléchit au même cadre. Elle est toutefois un peu plus lente dans l’adoption législative de ce texte.
Quel est l’objectif du Cloud Act ?
Cette loi fédérale permet aux autorités américaines de requérir d’un fournisseur de services la transmission de données dans le cadre de procédures pénales, même si elles sont stockées à l’extérieur du territoire. Les grandes entreprises américaines du numérique telles que Microsoft, qui héberge de nombreuses plateformes en ligne, sont particulièrement concernées. L’inquiétude a donc gagné une partie de la population, mais pour nos experts, il faut plutôt s’en réjouir. En effet, le Cloud Act permet avant tout de clarifier les relations entre les autorités américaines et les entreprises.
L’objectif du Cloud Act n’est pas seulement de donner aux autorités américaines le droit d’accéder aux données en dehors du territoire américain, mais de résoudre un problème. Si un crime a été commis quelque part, il est normal qu’on puisse avoir accès à des données situées potentiellement ailleurs. Le tout est de le faire dans le cadre de la légalité et en protégeant les droits des citoyens.
En effet, « le Cloud Act permet à Microsoft de s’opposer à des demandes lorsque nous avons la suspicion que la demande du juge va trop loin et qu’elle doit être clarifiée de manière beaucoup plus fine. Il est ainsi possible d’aller la contester », précise Mathieu Coulaud. Il est également possible de le faire dans le cadre d’un conflit de lois, qui permet de déterminer quelle loi va être appliquée lorsque plusieurs pays sont concernés par un même litige.
L’enjeu pour Microsoft est en outre d’informer ses clients si une demande à leur égard est faite. Dans la plupart des cas, il est possible de le faire. La loi l’interdit cependant dans le cadre de certaines affaires de blanchiment d’argent par exemple. « Le secret de l’enquête est alors majeur et nous devons le respecter », souligne Mathieu Coulaud.
Qu’est-ce que le Cloud Act change ?
Auparavant, les demandes des autorités américaines étaient régies par le Stored Communications Act de 1986, qui exigeait une demande d’entraide judiciaire internationale fondée sur des traités d’enquêtes judiciaire MLAT (Mutual Legal Assistant Treaty).
N’étant plus adapté au monde d’aujourd’hui, il convenait de le modifier. Le Cloud Act est alors promulgué. Il n’annule cependant pas les traités d’enquêtes judiciaires MLAT, qui sont toujours en vigueur, mais permet de répondre à une autorité d’enquête plus rapidement. Cela devient possible en 8 à 10 mois contre plus de 12 mois pour les MLAT.
Concrètement, avant le Cloud Act, un enquêteur américain saisissait le parquet américain, qui lui-même saisissait le Ministère de la justice française. Celui-ci saisissait alors le fournisseur de service en question. Après le Cloud Act, la chaîne se resserre : l’enquêteur américain dépose sa demande devant un juge indépendant américain qui l’examine. Si elle est valable, le magistrat l’envoie au prestataire. Microsoft lance alors une procédure interne pour analyser de nouveau la demande.
Microsoft a plusieurs choix : s’il n’y a aucune interdiction dans le mandat, nous pouvons communiquer la demande d’enquête au client. Dans ce cas-là, ce dernier organise la réponse lui-même. S’il est interdit d’informer le client (cas de blanchiment d’argent par exemple), Microsoft revoit le mandat au cas par cas pour établir s’il est fondé.”
Microsoft fait-elle face à un afflux de demandes ?
Au cours des six premiers mois de janvier à juin 2019, les États-Unis ont établis seulement 126 mandats pour obtenir des données sur les clients à l’extérieur de leur territoire. Seulement un concernait une entreprise commerciale cliente Microsoft.
« Si on parle en volume, l’inquiétude que nous avons pu cerner à la naissance du Cloud Act ne se ressent pas sur le terrain, » explique Bernard Ourghanlian.
L’immense majorité vise des clients individuels, des particuliers. Les demandes qui concernent des entreprises sont extrêmement rares : « Si je suis un truand, a priori, je ne vais en effet pas utiliser le système de mon entreprise », souligne Bernard Ourghanlian.
Quels sont les grands principes qui guident Microsoft ?
« Le Cloud Act constitue incontestablement un progrès en matière de droit et de modernisation des échanges, précise Bernard Ourghanlian. Pour autant, il stipule et laisse la place à des accords entre États. Nous pouvons ainsi espérer que ce type d’accord puisse intervenir entre la France et les États-Unis pour vraiment aller au bout de l’exercice et faire en sorte d’établir une véritable symétrie dans les relations. Et ce, dans le but que les États se mettent d’accord sur le processus à mettre en œuvre pour donner accès à ces données ».
Microsoft a appelé l’ensemble des États à mettre en place des accords internationaux, fondés sur six principes pour respecter le droit des citoyens :
- Le droit universel de notification
- Une autorisation judiciaire préalable indépendante et une présentation minimale des faits
- Un processus juridique spécifique et complet ainsi que des motifs clairs de contestation
- Des mécanismes permettant de lever et résoudre les conflits avec les lois de pays tiers
- Des règles applicables à la recherche de données d’entreprises
- La transparence
Questions Fréquentes
Qu’est-ce que le Cloud Act ?
Promulgué le 23 mars 2018 le Cloud Act (acronyme pour Clarifying Lawful Overseas Use of Data Act) est une réponse législative au procès dit du New York Warrant case. Cette loi fédérale permet aux autorités étatsuniennes de requérir d’un fournisseur de services la transmission de données dans le cadre de procédures pénales, même si celles-ci sont stockées à l’étranger.
En savoir plus sur la législation européenne
Faut-il avoir peur du Cloud Act ?
Pour les experts de Microsoft, le Cloud Act est en réalité une bonne nouvelle puisqu’il permet de clarifier les relations entre les entreprises et les autorités des Etats-Unis. Il permet, entre autres, de résoudre un problème : celui de l’accessibilité des données situées sur un autre territoire lors d’une enquête pénale. Le tout de manière très encadrée.
https://experiences.microsoft.fr/articles/cloud/gdpr-2018-conformite-cloud/
