CLOUD Act américain, compatibilité avec la loi du 30 juillet 2018 relative avec la protection du secret des affaires (V. G. Mathias et A. Alfer, Conséquences du Cloud Act pour les Européens ?, Expertises, juin 2018, p.225-226):
Le « Clarifying Lawful Overseas Use of Data Act » (dit Cloud Act, que l’on peut traduire par « loi clarifiant l’usage légal des données hébergées à l’étranger »), adopté par le Congrès américain le 23 mars 2018, vient renforcer les dispositions du Stored Communications Act dont l’application est en débat devant la Cour Suprême des Etats-Unis.
Dans cette affaire, les autorités américaines ont demandé à Microsoft, dans le cadre d’une enquête portant sur un trafic de drogue, de leur diffuser le contenu du compte de messagerie d’un utilisateur.
Or, Microsoft a refusé au motif que les données étaient stockées en Irlande et que le Stored Communications Act ne pourrait pas s’appliquer en dehors du territoire américain.
C’est pour éviter que se renouvelle ce type de situation qu’a été adopté le Cloud Act.
Ce texte prévoit que l’obligation, qui pèse sur les opérateurs de télécommunication et de communications électroniques, de transmettre aux autorités gouvernementales, par exemple dans le cadre d’une enquête de police, le contenu d’une communication, que ces données « soient situées dans le territoire des Etats-Unis ou dans le territoire d’un autre pays ».
Il s’agit donc d’une application extraterritoriale de la loi américaine.
Les opérateurs ne pourront s’opposer aux demandes de divulgation qu’à la condition de rapporter la preuve des deux conditions suivantes :
- D’une part, le client ou l’abonné n’est pas un citoyen américain, un résident permanent des Etats-Unis en situation légale, une association composée majoritairement de citoyens américains ou de résidents permanents ou une corporation américaine,
- D’autre part, la divulgation des informations créerait un risque matériel de violation de la législation d’un gouvernement étranger ayant conclu un « accord exécutif » avec le gouvernement américain. (De tels « accords exécutifs » permettront également d’obtenir une réciprocité dans la divulgation des informations).
Cette nouvelle législation suscite des interrogations tant au regard du RGPD, tel qu’intégré dans la loi du 20 juin 2018 relative à la protection des données personnelles, qu’au regard de la récente protection du secret des affaires, dont la directive a été transposée en France par la loi du 30 juillet 2018 relative à la protection du secret des affaires (V. G. Mathias et A. Alfer, Conséquences du Cloud Act pour les Européens ?, Expertises, juin 2018, p.225-226).
Et l’on peut légitimement se demander s’il sera « possible de conclure un accord exécutif sans faire de concessions sur la protection des données à caractère personnel » (G. Mathias at A. Alfer, art. préc.).
Annabel QUIN,
Maître de conférences à l’Université de Bretagne-Sud
Ancienne avocat au Barreau de Paris
Mise en ligne: 01/10/2018
