CLOUD Act

Un article de Wikipédia, l'encyclopédie libre.
Sauter à la navigation Sauter à la recherche

Le Clarifying Lawful Overseas Use of Data Act ou CLOUD Act (H.R. 4943) est une loi fédérale des États-Unis de 2018 sur la surveillance des données personnelles, notamment dans le Cloud. Elle modifie principalement le Stored Communications Act (en) (SCA) de 1986 en permettant aux forces de l'ordre (fédérales ou locales, y compris municipales [1]) de contraindre les fournisseurs de services américains, par mandat ou assignation, à fournir les données demandées stockées sur des serveurs, qu'ils soient situés aux États-Unis ou dans des pays étrangers. Critiquée par certaines associations de défense de la vie privée, cette loi permet notamment aux forces de l'ordre américaines d'obtenir les données personnelles d'un individu sans que celui-ci en soit informé, ni que son pays de résidence ne le soit, ni que le pays où sont stockées ces données ne le soit [1].

Histoire[modifier | modifier le code]

Le CLOUD Act a été adopté afin de faciliter l'obtention de données stockées à l'étranger par les forces de l'ordre. Le Stored Communications Act (en) de 1986 exige, en effet, une demande d'entraide judiciaire internationale, fondée sur des traités bilatéraux (MLAT) pour obtenir des documents détenus à l'étranger par une entreprise américaine. C'est la Convention de Budapest de 2001, sur la cybercriminalité, qui avait suggéré d'utiliser ces traités bilatéraux pour l'échange de données personnelles dans un cadre judiciaire ou de sécurité nationale.

À la fin des années 2010, le Federal Bureau of Investigations (FBI) s'est plaint de difficultés pour obtenir des données à distance par l'intermédiaire de fournisseurs de services; ces derniers avaient réussi à faire valoir devant les tribunaux que la portée légale des mandats délivrés en vertu de la SCA ne s'appliquait qu'aux données détenues sur des serveurs hébergés aux États-Unis, même s'ils avaient le plein contrôle des données elles-mêmes à distance. Au moment où le projet de loi CLOUD Act a été présenté par l'administration Trump, une bataille juridique opposant depuis 2013 Microsoft dans son refus de délivrer des informations d'un compte Outlook stockées en Irlande est en instance devant la Cour suprême, le gouvernement américain soutenant que de telles restrictions entravent ses enquêtes[2],[3].

Inversement, les entreprises étrangères peuvent également avoir accès aux données stockées par les entreprises américaines à l'étranger [Quoi ?]. Le deuxième point important de la loi concerne la possibilité de conclure des accords bilatéraux, offrant un accès analogue aux autorités étrangères sur des données stockées aux États-Unis, et en dehors des règles concernant le droit américain des données personnelles [4].

Le CLOUD Act est le résultat de plusieurs tentatives du Congrès de modifier le SCA pour permettre aux autorités d'obliger les fournisseurs de services à transmettre des données stockées sur des serveurs étrangers sous leur contrôle: les projets de "Loi sur l'accès aux données stockées à l'étranger" (LEADS Act) de 2015 et de loi sur la protection des communications internationales (ICPA) en 2017, toutes deux fortement soutenues par le sénateur républicain Orrin Hatch, visaient tous deux à modifier la SCA, mais n'ont pas été adoptés[5].

Le CLOUD Act a reçu l'appui du ministère américain de la justice et de grandes entreprises technologiques comme Microsoft, Apple et Google, qui y voient là une source de sécurité juridique. Brad Smith (Microsoft) a notamment déclaré : « Aujourd'hui est un jour important pour le droit à la vie privée dans le monde entier. Le CLOUD Act crée un cadre juridique moderne permettant aux forces de l'ordre d'accéder aux données au-delà des frontières »[4].

La loi a été jointe au projet de loi sur le budget fédéral (le Consolidated Appropriations Act, 2018 (en)) et a été adoptée, sans examen spécifique (c'est-à-dire qu'elle a été votée ipso facto par le vote sur la loi de finances), par les deux chambres, avant d'être promulguée le . Peu après son adoption, le ministère de la Justice a demandé à la Cour suprême de renvoyer l'affaire United States contre Microsoft Corp. (en) aux tribunaux inférieurs: en raison du CLOUD Act, celle-ci perd en effet beaucoup de son importance juridique (puisqu'elle ne concerne plus le droit actuel - voir mootness (en)).

Critiques[modifier | modifier le code]

Le projet de loi (et la loi elle-même) a été critiqué par plusieurs groupes de défense des droits civiques, dont l'Electronic Frontier Foundation, l'American Civil Liberties Union, Amnesty International et Human Rights Watch[6]. Ces groupes soutiennent que la loi enfreint le quatrième amendement contre les perquisitions et saisies déraisonnables, puisque le gouvernement peut obtenir des données stockées à l'étranger sans passer par les tribunaux (américains ou étrangers), et sans en informer les utilisateurs touchés [7]. Certains de ces groupes défendant les droits civiques craignent que le gouvernement américain n’examine pas de façon suffisamment détaillée les demandes des pays étrangers concernant les données de leurs citoyens, stockées sur des serveurs aux États-Unis. Cela pourrait permettre que ces données soient utilisées dans ces pays pour des usages illégaux vis-à-vis des lois américaines[8].

David Ruiz, de l’organisation Electronic Frontier Foundation indique à ce sujet que « Les polices américaine et étrangères auront accès à de nouveaux moyens pour saisir des données dans le monde entier »[9],[10].

Références[modifier | modifier le code]

  1. a et b C. Fischer, The CLOUD Act: A Dangerous Expansion of Police Snooping on Cross-Border Data, Electronic Frontier Foundation, 8 février 2018
  2. Elodie Lamer, « Pourquoi le «Cloud Act» américain inquiète l’Union européenne », Le Soir Plus,‎ (lire en ligne)
  3. (en) Lawrence Hurley et Dustin Volz, « U.S. Supreme Court wrestles with Microsoft data privacy fight », The Globe and Mail,‎ (lire en ligne)
  4. a et b (de) Bernd Mewes, « CLOUD Act - US-Gesetz für internationalen Datenzugriff und -schutz verabschiedet », sur heise online,
  5. (en) Patrick Maines, « The LEADS Act and cloud computing », TheHill,‎ (lire en ligne)
  6. Dominique Filippone, « Cloud Act : Trump signe la loi pour saisir emails et données à l'étranger - Le Monde Informatique », LeMondeInformatique,‎ (lire en ligne)
  7. (en) Neema Singh Guliani et Naureen Shah, « The CLOUD Act Doesn’t Help Privacy and Human Rights: It Hurts Them », Lawfare,‎ (lire en ligne)
  8. (en) Camille Fischer, « The CLOUD Act: A Dangerous Expansion of Police Snooping on Cross-Border Data », Electronic Frontier Foundation,‎ (lire en ligne)
  9. « Aux Etats-Unis, une loi vise à encadrer la saisie d’e-mails à l’étranger », sur Le Monde.fr,
  10. « USA: une loi pour encadrer la saisie d'emails à l'étranger », sur www.agefi.com,

Lien externe[modifier | modifier le code]