VEILLE TRANSNATIONALE DE REVUES JURIDIQUES
24 avril 2019
François Collart Dutilleul, La Charte de la Havane : Pour une Autre Mondialisation, Paris, Dalloz, Coll. Tiré à Part 2017
24 avril 2019

Flora Plénacoste & Emmanuel Daoud, Cloud Act : des inquiétudes légitimes

Dalloz IP/IT 2018. 680

Note de lecture, Faustin Ekollo, docteur en droit

Avril 2019

 

Une loi américaine du 23 mars 2018 permet à l’administration US d’accéder aux données hébergées à l’étranger,  sur le cloud, à travers toute société américaine impliquée dans leur conservation ou leur contrôle : Clarifying Lawful Overseas Use of Data Act, aka (alias) Cloud Act.  Cette législation a provoqué de nombreuses réactions dans la grande presse, aux Etats-Unis, en Europe et dans le Sud-Est asiatique. En revanche, les revues juridiques européennes ont en général été silencieuses sur le sujet. Même la Commission Européenne semble avoir  été assommée au point que  La commissaire compétente s’est contentée, comme première réaction, de regretter la procédure d’urgence employée pour faire passer ce texte.

Le très bel article commenté est une exception bienvenue à l’indolence générale en Europe par rapport au Cloud Act[i]. Cette loi a modifié le Stored Communications Act en pleine procédure pendante devant la Cour suprême, après une décision défavorable de juges du fond sur le fondement de l’ancien SCA, en retouchant les articles 18 USC §2701 et suivants. Il s’agissait bien sûr d’une affaire de transfert de données stockées à l’étranger, précisément en Europe.

Ajoutons que la lecture des dispositions  de l’article  18 U.S.C. § 2704 – U.S. Code, peut faire perdre son calme à n’importe quel analyste autrement flegmatique : sur simple réquisition d’une administration US, obligation d’assurer la conservation de copies discrètes des fichiers  étrangers (Backup preservation) sous peine de sanctions pénales de destruction de preuve. Plus grave, la lecture de l’article 18 U.S.C. § 2703. Required disclosure of customer communications or records  laisse proprement interdit :

Les dizaines  d’administrations fédérales US peuvent,  sur simple réquisition citant vaguement ses motifs (probable cause) après une commission rogatoire fédérale ou locale, obtenir un acte d’intrusion dans des serveurs installés à l’étranger pour les données y figurant, y compris les moyens et modalités de paiement.

Dans les versions annotées du texte de l’article 18 USCA § 2703, par exemple sur Westlaw, on peut lire un commentaire qui, s’agissant de l’historique devant la Cour suprême, indique que :

[A]fter certiorari was granted, Congress enacted and the President signed into law the Clarifying Lawful Overseas Use of Data Act (CLOUD Act), which amended the SCA by stating that obligations to comply with the SCA applied regardless of whether a communication, record, or other information was located within or outside of the United States, and soon thereafter, the Government obtained a new search warrant covering the information requested in the warrant at issue in the case [ii]

Les deux commentateurs au Dalloz IP/IT s’inquiètent à juste titre de ce que les juridictions américaines pourraient être tentées par une vision « patriotique » des litiges qui leur seront soumis. En réalité, ce n’est pas une simple hypothèse et les choses sont bien plus graves ; il y a une vieille tradition US qui accorde la prééminence aux positions de l’administration dans certaines hypothèses, spécialement la sécurité, l’armée et les affaires étrangères ; cette doctrine est désignée par l’expression très imagée de  Judicial Deference to Executive.

Résumons : Microsoft conteste une réquisition de l’administration devant un juge fédéral dont l’objet était d’obtenir des informations sur des données stockées à l’étranger, en Europe. Le juge fédéral de district donne raison à l’administration et inflige même une amende pour civil contempt à Microsoft. En appel, une présidente du 2e circuit infirme complètement la décision et annule la sanction de contempt par arrêt du 14 juillet 2016 ;  sur requête en déféré un panel de juges  de la cour d’appel du circuit rend une ordonnance du 24 janvier 2017 estimant qu’il n’y a pas lieu à faire réexaminer la  décision en formation plénière (en banc rehearing).  La Cour suprême rend une ordonnance ADD de recevabilité du pourvoi (certiorari) ; mais les analystes s’accordent pour estimer que l’arrêt à venir sera désastreux pour l’administration américaine. Dans l’intervalle, l’administration réussit à déposer un projet de loi selon des délais et des procédures dérogatoires. En effet, le projet de loi, par accord avec des membres de la Chambre des représentants, est introduit dans un autre texte collectif regroupant plusieurs textes essentiellement en matière budgétaire (Omnibus Spending Bill)[iii], destiné à éviter  une panne financière de l’Administration (shutdown) et qu’il est d’usage de faire passer en bloc sans débat, le président la promulguant ensuite sans véto.  Dès la promulgation de la nouvelle loi, l’administration émet une nouvelle réquisition conforme cette fois-ci au nouvau texte  ; Microsoft lui donne satisfaction en fournissant toutes les données ; puis, sur conclusions concordantes, la Cour suprême  peut prendre une ordonnance de radiation (vacated) per curiam,  le 17 avril 2018 [iv], comme si de rien n’était !

En matière pénale, à l’exception des lois plus douces, cette pratique de loi rétroactive pour interférer dans les affaires en cours est désormais combattue de manière presque universelle. La Cour EDH l’interdit sur le fondement de l’article 6, § 1 de la Convention EDH ; le fait pour un Etat d’intervenir de manière décisive pour orienter en sa faveur l’issue d’une instance est considéré comme une loi rétroactive. Les tribunaux africains vont dans le même sens sur le fondement de l’article 7, § 2,  de la Charte africaine des droits de l’homme et des peuples ; idem en Amérique latine par l’article 8, § 1, du Pacte de San José ; la Charte arabe des droits de l’homme va dans le même sens dans son article 15.  Si les américains y dérogent si facilement, si joyeusement, c’est simplement qu’il existe un consensus national américain sur la nécessité impérieuse de continuer à espionner massivement les européens ; en effet, les articles 25 et 26 de la Déclaration des droits et le 14e amendement (Equal Protection & Due Process) interdisent la rétroactivité des lois pénales.

On pense forcément à une hypothèse grave, lorsque l’on lit la littérature de l’Union Européenne : n’existe-t-il pas une acceptation des européens à la surveillance massive que leur infligent les Etats-Unis ? Certes, la presse européenne a salué la réaction européenne de suspension du bouclier de protection des données UE-Etats-Unis, le 5 juillet 2018 [v]. Mais quand on lit la résolution européenne,  on se demande si les autorités européennes étaient vraiment au courant du catalogue d’humiliations et d’actes d’espionnages systématiques continuellement décidés par les Etats-Unis au grand jour ? Voici un échantillon limité des expressions que l’on retrouve, répétées ad nauseam dans la Résolution du Parlement européen du 5 juillet 2018 sur l’adéquation de la protection assurée par le bouclier de protection des données UE–États-Unis :

  • […] un certain nombre de questions en suspens, importantes et très préoccupantes, concernant à la fois le commerce et l’accès des autorités publiques américaines aux données transférées aux États-Unis
  • […] constate que la surveillance de masse perdure 
  • […] que le 11 janvier 2018, le Congrès américain a modifié et réautorisé pour six ans la section 702 du FISA sans répondre aux préoccupations que la Commission exprime dans son rapport d’examen conjoint et de l’avis du groupe de travail «article 29»
  • […] que Facebook Inc., Cambridge Analytica and SCL Elections Ltd sont des entreprises certifiées dans le cadre du bouclier de protection des données et qu’en tant que telles, elles ont bénéficié de la décision d’adéquation comme base juridique pour le transfert, en vue du traitement ultérieur, de données à caractère personnel de l’Union européenne vers les États-Unis
  • […] le mécanisme du médiateur mis en place par le département d’État américain n’est pas suffisamment indépendant et n’est pas doté de pouvoirs effectifs suffisants pour mener à bien ses missions et offrir aux ressortissants de l’Union des voies de recours efficaces

Deux mois avant le Cloud Act, en guise de réponse aux demandes de garanties sollicitées avec insistance par les autorités européennes sur les données, les autorités américaines avait réactivé à son maximum la loi sur l’espionnage des pays étrangers, Foreign Intelligence Surveillance Act, FISA, en pleine négociation avec les européens, sans que cela ne les émeuvent.

Le Nouveau Testament avait inventé l’image de l’humiliation par la seconde joue tendue après une giffle. Le visage de l’Union européenne est probablement constitué d’un décagone.

 

PS-PJ : Tag, résumé et membres du site [vi]

 

 

[i] A la suite des invraisemblables pratiques d’espionnage systématique US et britanniques dévoilées par Edward Snowden,   quelques juristes européens avaient estimé indispensable une législation européenne ou nationale protégeant sérieusement les données de la gloutonnerie US ; en France, dès 2014 plusieurs articles en ce sens avaient été publiés par les avocats du Blog du cabinet Alain Bensoussan (Lexing).

[ii] Traduction libre : [Après] la décision ADD  de recevabilité du pourvoi [par la Cour suprême] une  loi sur la clarification de l’utilisation licite des données à l’étranger (loi CLOUD) a été adoptée par le Congrès et promulguée ; elle modifiait le SCA en indiquant que l’obligation de se conformer à ce dernier s’appliquait indépendamment du fait qu’une ou d’autres informations se trouvaient à l’intérieur ou à l’extérieur des États-Unis. Peu après, le gouvernement a obtenu une nouvelle commission rogatoire couvrant les informations requises dans les réquisitions dans l’affaire en cause.

[iii] Les législations omnibus se rapprochent, en France, des cavaliers législatifs dont le principe est interdit par le Conseil constitutionnel depuis une trentaine d’année, sur le fondement de l’article 45 de la Constitution (lien, même direct) :  Cons. const. 4 août 2011, no 2011-640 DC. On pourrait aussi les rapprocher de certaines lois-programmes qui sont des fourre-tout…

[iv] 584 U. S. ____ (2018), No. 17-2

[v] Et différents Etats européens ont pris des lois contre le transfert des données hors de l’UE…

[vi] Tag – Cloud Act, Omnibus Spending Bill, Clarifying Lawful Overseas Use of Data, Foreign Intelligence Surveillance Act, FISA

Résumé – Le Cloud Act vu d’Europe

Membres permanents du site France Ohada Droit

  • Amadou Diallo, Secrétaire général de la Cour suprême de Mauritanie
  • Maître Patricia SUID VANHEMELRYCK, Avocat à Nice
  • Maître Thioye Mamadou SOW, SG Ordre des Notaires de Mauritanie
  • Maître Thierry Serra, Avocat à Paris
  • Faustin EKOLLO, docteur en droit, Secrétaire du site
  • Association alaistithmar fi muritania, investir en Mauritanie, الاستثمار في موريتانيا

Publié in France Ohada droit, notes de lecture, avril 2019

 

Laisser un commentaire