Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

Data War : l’Europe a-t-elle perdu d’avance ?

Twitter Facebook Linkedin Google + Email
×

Tribune Cette semaine, Eric Caprioli et Pascal Agosti, avocats associés, reviennent sur le Cloud Act signé par Donald Trump et la souveraineté numérique européenne.

Data War : l’Europe a-t-elle perdu d’avance ?
Data War : l’Europe a-t-elle perdu d’avance ? © Infocux Technologies - Flickr - C.C.

Le titre pourrait paraître racoleur. Mais il n’en est rien. Les Etats ont compris l’intérêt stratégique que représentent les données numériques et se dotent progressivement de textes permettant d’y accéder, sous différents prétextes qui, s’ils ne sont pas fallacieux, n’en sont pas pour autant communs (la lutte contre le terrorisme semble ainsi s’étendre au-delà du raisonnable).

 

Le Cloud Act : trop c’est trop ?  

Le 26 mars 2018, Donald Trump signe le Clarifying Overseas Use of Data (désigné par Cloud Act) voté par le Congrès américain, noyé au milieu de la loi sur les dépenses américaines (présentant plus de 2232 pages !). Désormais, les USA disposent d’un cadre légal pour que les agences gouvernementales américaines et certaines autorités fédérales de police aient accès aux données, messages électroniques, documents et communications électroniques, stockés dans des datacenters de sociétés américaines, même si ces derniers sont localisés à l'étranger dans le cadre d’une procédure judiciaire mais sans avoir à recourir à l’US Patriot Act pour des affaires de terrorisme ou d’espionnage international, à l'ECPA pour demander des perquisitions et des saisies de droit commun ou encore à l’accord d’entraide judiciaire conclu en 2003 entre l’Union européenne et les État Unis d’Amérique qui précise que les États membres ne peuvent refuser leur assistance pour des motifs tenant au respect du secret bancaire ou aux règles applicables en matière de protection des données personnelles (art. 9. 2 b). Soulignons tout de même que l’accès aux données s’effectue sans passer devant un juge.

Sont ainsi concernés les datacenters situés sur le territoire de l’Union européenne des sociétés comme Microsoft, Google, IBM, AWS, Salesforce, Oracle... qui ont pourtant fait d’énormes efforts financiers pour paraître plus vertueuses et plus soucieuses de la protection des données de leurs clients européens. Certaines d’entre elles comme Microsoft ont défendu leurs positions en faveur du non accès aux données situées en dehors du territoire américain devant les tribunaux et Cour américaines jusqu’à la signature du Cloud act.

 

Le patriotisme numérique américain

Bien sûr, des gardes fous existent comme cette faculté offerte aux prestataires de Cloud US de contester la démarche diligentée par l’Administration américaine (COMITY ANALYSIS OF LEGAL PROCESS SEEKING CONTENTS OF WIRE OR ELECTRONIC COMMUNICATION. Section 2703 of title 18, United States Code)

La demande d’opposition d’un prestataire fondée sur ces points devra être portée devant un tribunal américain qui pourra alors casser ou non la demande de transfert de données. Cependant, on ne sait pas si le recours aura un caractère public ou pas. Pour éviter d’enfreindre les lois étrangères (par ex. le RGPD) les États-Unis pourront conclure des accords bilatéraux avec les Etats concernés et, en contrepartie négocier l’accès aux données sur le territoire américain.

Suite à la promulgation de cette loi, la Cour Suprême américaine a abandonné les poursuites dans l’affaire qui opposait depuis 2013 Microsoft à la justice US pour l’accès à des courriers électroniques stockés en Irlande. Microsoft s’est même félicité du vote de cette loi en permettant à l’Administration d’accéder aux données si longtemps défendues. 

De manière plus large, que se passerait-il si les intérêts nationaux (lutte contre le terrorisme, perte de marché) étaient mis à mal par l’opposition d’un prestataire américain ? Le patriotisme numérique ne jouerait-il pas à plein ?

 

Besoin d’une position européenne commune  et cohérente

Bien sûr, les questions de protection des données à caractère personnel posées dans le cadre du RGPD militent en faveur d’une souveraineté numérique européenne, les membres du G29 doutant fortement de l’efficacité du Privacy Shield. Il n’est pas douteux que cette réglementation ait fait bouger les Etats Unis en faveur du vote du Cloud Act.
D’ailleurs, les Etats membres de l’Union européenne n’ont rien trouvé à redire au Cloud Act. Bien au contraire. Ils réfléchissent à comment disposer des données concernant leurs ressortissants nationaux stockées sur le sol américain ou par des providers US.

A ce titre, la proposition de Règlement relative au cadre applicable en matière de liberté des flux de données non personnelles dans l’Union Européenne tend à bannir toute "exigence de localisation des données" entendue comme "toute obligation, interdiction, condition, limite ou autre exigence prévue par les dispositions législatives, réglementaires ou administratives des États membres, qui impose la localisation du stockage ou du traitement des données sur le territoire d’un État membre donné ou qui entrave le stockage ou le traitement des données dans un autre État membre" sans préciser les règles qu’ils entendent appliquer à des prestataires étrangers situés sur le sol européen.

Là où les Etats Unis se sont dotés d’un moyen d’accéder aux données situées hors de leur territoire, l’Union européenne prêche pour une libre circulation des données non personnelles sans que le périmètre de ces données soit clairement identifié. Alors à quand une prise de conscience réelle et efficace ? En attendant, les entreprises européennes devraient éviter de confier leurs données à des prestataires américains peut être moins chers mais sans doute plus facilement enclins pour des raisons légales à porter atteinte à la confidentialité de leurs données. Dès lors, pour s’assurer de cette confidentialité, il est recommandé de privilégier l’hébergement de données dans des datacenters européens disposant de règles juridiques protectrices et avec des prestataires de services français ou européens sans aucune sous-traitance non maitrisée. La souveraineté numérique ne doit pas être à sens unique, car à défaut, on risque de se trouver dans une voie sans issue pour nos intérêts (européens) !

 

Eric A. CAPRIOLI et Pascal AGOSTI, Avocats associés, Docteurs en droit
Société d’avocats membre de JurisDéfi

 

 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale