Le Cloud Act, la dernière Loi américaine qui en dit long (par Olivier Iteanu, avocat)

Le 23 mars 2018, le Président américain Donald Trump a promulgué une Loi votée en expresse et presque par surprise, par le Congrès à Washington DC. L’intitulé de la Loi est CLOUD ACT. Elle signifie Clarifying Lawful Overseas Use of Data, en français clarifier un usage légal des données hors Etats-Unis d’Amérique. Un jeu de mot sur la technologie bien connue du cloud computing, jeu de mot que tout le monde n’appréciera sans doute pas. Votée pratiquement deux mois jour pour jour avant l’entrée en application du Règlement Général sur la Protection des Données[1] dit RGPD qui est censé réguler l’usage des données des résidents européens, cette concordance de temps a de quoi troubler. Le CLOUD ACT a-t-il été voté pour répondre par avance au RGPD ? Lorsqu’on se rappelle que l’objectif affiché du RGPD est de redonner le contrôle de ses données au résident de l’Union Européenne, on peut être inquiet par le seul intitulé de la Loi américaine. Ce titre acte d’une réalité désormais acceptée et considérée comme normale par le gouvernement des Etats-Unis. Les prestataires digital doivent collaborer et assurer un rôle de supplétif de l’administration américaine dans la surveillance des populations, même celles vivant à l’extérieur du pays, par exemple les résidents européens. Ainsi, le CLOUD Act ajoute cette disposition au droit positif américain : « tout opérateur ou fournisseur de services en ligne doit se conformer aux obligations [de cette Loi] (…) pour préserver, sauvegarder ou communiquer les contenus de communications électroniques et tous enregistrements et informations relatives à un client ou abonné dont ils sont en possession où dont ils ont la garde ou le contrôle, quel que soit le lieu où ces communications, enregistrements et informations sont localisés à l’intérieur ou à l’extérieur des Etats-Unis. » Le texte est effectivement ici clair. Il s’agit de « any record » et les contenus sont expressément visés. On est donc loin des seules métadonnées. Pour l’Europe, l’équation est désormais simple. Nous sommes la zone du monde la plus perméable aux services numériques made in usa. Ces entreprises, souvent de très grandes tailles, GAFAM en tête, ont construit un quasi monopole sur le territoire européen. Alors que les règles du jeu sont désormais annoncées avec effectivement une grande clarté, nos autorités publiques vont-t’elles demander des garanties à ces entreprises pour leurs citoyens ? Ou au gouvernement des Etats-Unis ? Va-t-on mettre en place une politique publique favorisant l’émergence de solutions alternatives européennes ? Force est de constater que les révélations Snowden de juin 2013 n’auront rien changé à cette lente dérive constatée depuis 15 ans, pas plus d’ailleurs que le dernier scandale Cambridge Analytica impliquant Facebook. De tout cela nous en parlerons le 5 juin prochain à l’Ecole Militaire de Paris pour la 4^ème édition de la Cloud Independence Day, qui n’aura jamais aussi bien porté son nom. Avec le soutien du Cesin, du Cigref, du Clusif, du FIC2019, du Forum Atena et Medef, nous avons construit une journée sans langue de bois sur le thème « la souveraineté numérique, est-elle l’avenir du numérique ». Le Congrès américain à sa façon, vient de répondre par l’affirmative pour ses propres intérêts. Et les nôtres ?

Olivier Iteanu

Avocat

Responsable du Comité de pilotage de la Cloud Independence Day

[1] Règlement UE 2016/679 du 27 avril 2016 devant entrer en application le 25 mai 2018 (article 99)