Le stockage de données en ligne a le vent en poupe. Les leaders du marché sont bien sûr Américains. Avec des prestataires comme Google Drive, iCloud, ou encore Dropbox, les entreprises d’Outre-Atlantique battent le haut du pavé.
Pourtant, bien que leurs services soient de grande qualité, il n’est pas certain qu’elles ne pêchent pas de par leur nationalité. Stocker les données de son entreprise en ligne via des prestataires américains pourrait être une grave erreur.
Les Etats-Unis sont aujourd’hui la première puissance mondiale, que cela soit du point de vue militaire, du point de vue économique, ou encore du point de vue industriel. Ce faisant, son gouvernement s’arroge des prérogatives qu’il a tout pouvoir d’imposer à l’ensemble de la communauté internationale.
En l’espèce, les lois américaines, que constituent notamment le Patriot act ou encore le Cloud act, sont le bras armé d’une politique de gouvernance appliquée aux citoyens non-américains. En d’autres termes, selon vos choix, l’administration et la justice américaines ont autorité sur vous, ainsi que sur vos données.
On pourrait penser que les Etats-Unis d’Amérique, en tant que fer de lance de la démocratie dans le monde, possèdent le meilleur système politique, notamment dans sa théorie et dans sa pratique constitutionnelle des poids et contre-poids. C’est-à-dire la plus aboutie des séparations des pouvoirs, si chère à des théoriciens de l’Etat comme Montesquieu.
La réalité n’est pas tout à fait celle-là. Les lois de surveillance de masse mises en place par les Etats-Unis, depuis la seconde moitié du XXème siècle avec pour point d’orgue le Cloud act de 2018, semblent non seulement contraires à leur constitution, mais également à la vision classique de l’état de droit. Autrement dit, tout autre Etat mettant en place de tels dispositifs législatifs serait probablement immédiatement qualifié d’Etat policier.
Car, en plus du Patriot Act et du Cloud Act, les Etats-Unis font encore reposer leur arsenal juridique sur une loi et un décret présidentiel : le Foreign Intelligence Surveillance Act et l’Executive order. Nous allons donc vous expliquer, à la lumière de ces textes de loi, pour quelles raisons stocker ses données dans un Cloud géré par une entreprise américaine est un choix risqué. Pour ce faire, nous allons étudier la législation qui s’appliquera à vous dès lors que vous aurez choisi de sauter le pas.
Qu’est-ce que le Patriot Act et comment fonctionnent ses conditions d’extraterritorialité ?
Le Patriot Act est une loi américaine de sécurité intérieure, votée seulement 45 jours après les attentats du 11 septembre 2001. Autant dire, dans la précipitation, et par un Congrès encore traumatisé par les événements New-Yorkais.
Le résultat est un blanc seing donné aux autorités policières pour mener des investigations. Pourquoi ? Car bien que le mandat d’un juge soit nécessaire, ce dernier ne peut plus s’y opposer en arguant de l’absence de « cause probable » (probable cause).
Par conséquent, toutes vos données peuvent être saisies sans même que vous n’en soyez informé ou qu’un juge américain ne puisse s’y opposer. Ne pensez pas que la constitution américaine soit d’une grande aide, parce que d’après le ministère de la Justice américain, le Patriot Act ne fait que codifier des pratiques jurisprudentielles déjà reconnues par la Cour Suprême.
Elle a par exemple jugé, en 1979, que l’argument d’inconstitutionnalité des perquisitions secrètes était « frivole ». Douze ans plus tôt, elle avait déjà considéré que des officiers de police n’avaient pas à indiquer au mis en cause la, ou les raisons, d’une perquisition.
Néanmoins, ce qui fait la nouveauté du Patriot Act, pour une entreprise française ou européenne, c’est son application extraterritoriale. C’est-à-dire qu’à partir du moment où votre activité est suspectée d’entretenir des liens avec un individu ou un groupement terroriste menaçant le territoire américain ou ses intérêts, tout l’arsenal administratif peut se mettre en marche contre vous.
Ne pensez pas que vous pouvez y échapper, même si vous ne comptez pas nouer de liens avec des groupes terroristes, ou avec un client dont les idées radicales vous auraient échappé. Nous verrons que la mise en pratique du Patriot Act est bien moins nette qu’il n’y paraît. Avant cela, intéressons-nous à un autre pendant sécuritaire : le Cloud Act.
Qu’est-ce que le Cloud act ?
Le Cloud Act a été voté en 2018, afin de renforcer le libre accès des autorités américaines aux données des utilisateurs de solutions de stockage de données en ligne.
Officiellement, il est présenté par le département de la justice comme permettant aux autorités d’Etats tiers de requérir toute société américaine hébergeant des données, dans le but d’en prendre connaissance dans le cadre de procédures criminelles.
De manière plus détaillée, il permet surtout à toute administration américaine d’obtenir des données sur n’importe quel utilisateur, dès lors qu’elles sont :
– soit stockées aux Etats-Unis,
– soit stockées par une société américaine dans n’importe quel pays du monde,
– le tout sans que personne ne le sache, hormis la société requise, et l’administration intéressée.
Ce dernier-né de la législation états-unienne n’est pas le seul outil au service du gouvernement américain.
Qu’est-ce que le FISA (Foreign Intelligence Surveillance Act) ?
Le FISA a été voté en 1978, par un Congrès souhaitant encadrer les pratiques des autorités fédérales en matière d’activités de surveillance. Comme le Patriot Act, cette loi tendait à codifier des pratiques déjà existantes.
Sa section 702, ajoutée en 2008, oblige les sociétés américaines à faciliter la surveillance ciblée d’une personne se trouvant à l’extérieur du territoire américain.
Cette loi vise en particulier les citoyens non-américains suspectés de posséder, de recevoir ou de communiquer des informations intéressant le contre-espionnage. Son champ d’application, tout comme le Patriot Act, vise officiellement à la lutte contre le terrorisme international.
L’executive order, ou le décret présidentiel 12333
Le décret présidentiel 12333, signé par Ronald Reagan en 1981, est, comme le rappelle le Washington Post, un document offrant des possibilités encore plus importantes que celles du Patriot Act dans sa section 215.
Toutefois, le décret présidentiel 12333 ne s’applique, cette fois, qu’aux citoyens américains résidant à l’étranger. Ce qui permettra tout de même aux agences de renseignement américaines de venir piocher dans vos données dès lors qu’elles s’intéresseraient à l’un de vos clients américain.
Dans le cadre de ce décret, toutes les données saisies par les agences de renseignement américaines, le sont sans aucun mandat et donc sans aucun contrôle du juge, ni même du Congrès.
Vous l’aurez donc compris, le droit n’est pas toujours la garantie du plus faible contre la puissance du plus fort. Il est loin d’être toujours protecteur des libertés individuelles ou, plus largement, des libertés publiques dans leur ensemble. Surtout quand on en vient à s’intéresser à son application, et donc à son interprétation.
Le droit n’existe que par l’interprétation que l’on en fait
Bien comprendre le droit ne pourra jamais se faire par le biais de la simple lecture d’une loi. Pourquoi ? Parce que son application littérale est toujours impossible. Autrement dit, pour comprendre la portée d’un texte de loi, il convient de bien cerner son application. C’est ici tout le problème que posent les lois américaines du Patriot Act et du Cloud Act.
Lorsque le Patriot Act évoque le terme d' »activité suspecte », comment se définit une telle activité ? Que vise ce concept ? Il n’y a que l’interprétation qui permet de qualifier telle ou telle activité de suspecte. Le problème est que chaque administration effectue sa propre interprétation de cette loi, et de manière totalement secrète.
Cela signifie qu’une fois vos données stockées grâce à une société américaine, toutes vos données sont accessibles à la discrétion d’administrations comme la CIA, la NSA, le Trésor, pour ne citer que les plus connues. Ennuyeux, n’est-ce pas ? Et ne pensez pas être à l’abri de toute investigation parce que n’êtes ni un criminel ni un terroriste.
La principale utilité de cet arsenal juridique n’est pas de pourchasser des terroristes, mais bel et bien de créer des distorsions dans la libre concurrence. Vous pensiez les Etats-Unis comme le parangon du libre-échange ? Vous aviez tout faux.
D’ailleurs, la collecte de données ne concerne pas que les données de vos clients. Ce n’est pas pour rien que l’administration du Trésor américain est également intéressée à la captation des données. Le FCPA va vous démontrer que le stockage de vos données numériques peut définitivement vous coûter cher.
Le FCPA act, ou le nouvel impôt des sociétés non-américaines
La loi contre la corruption internationale d’agents public (Foreign Corrupt Practice Act), votée en 1977, permet à la justice américaine de condamner des entreprises à verser des sommes considérables en pénalités. Ainsi en 2014, Alstom a versé 772 millions de dollars, Siemens 800 millions en 2008, Daimler 185 millions en 2010, et Alcatel-Lucent 137 millions en 2010. Ce ne sont là qu’une petite partie des plus gros montants.
Comment pensez-vous que les preuves sont rapportées ? Par tout moyen, y compris par le biais des données que vous avez dans votre Cloud. Si vous pensez être à l’abri parce que vous n’avez ni filiales ni salariés aux Etats-Unis, sachez que le FCPA s’applique dès que les intérêts américains sont en jeu. Là encore, la notion d' »intérêts américains » est sujette à interprétation, et ce n’est pas la vôtre qui importe.
A la lumière de toutes ces informations sur la législation américaine, l’option d’un Cloud géré par une société française ou européenne, sur le territoire européen, semble plus qu’intéressante. Toutefois, il reste nécessaire de faire un point sur le fameux RGPD.
Le RGPD, à la lumière du droit français et du droit européen
Le Règlement Général sur la Protection des Données (RGPD), a été adopté par l’Union européenne pour garantir la sécurité des données que les utilisateurs confient sur Internet aux sociétés opérant sur le sol européen.
Il est important de s’intéresser aux obligations faites à la société responsable du traitement des données de ses utilisateurs ainsi qu’aux sanctions qui s’y rapportent, avant de comprendre son articulation dans le transfert de données, notamment vers les Etats-Unis.
Les obligations du responsable du traitement des données
Le RGPD veille notamment à la défense des droits de l’enfant dans le cadre de la collecte de données. Si la collecte de données relatives à un enfant de moins de 13 ans est toujours interdite, elle n’est autorisée, pour les enfants âgés de 13 à 16 ans, qu’avec l’autorisation des parents, et si elle concerne un service directement destiné aux enfants.
Le RGPD impose également au responsable du traitement des données, de ne collecter que les données strictement nécessaires à la finalité de la collecte et de s’assurer qu’il peut procéder à l’effacement des données à la demande de la personne concernée.
Le respect de l’ensemble des obligations imposées par le RGPD peut donner lieu à l’attribution d’un certificat par l’autorité de contrôle. Ce certificat est valable pour une durée de trois ans renouvelables.
Pour plus d’informations sur les détails du RGPD, la CNIL (commission nationale de l’informatique et des libertés) a mis en ligne un guide s’adressant aux très petites entreprises (TPE) et aux petites et moyennes entreprises (PME). Ce guide vous apprendra notamment à dresser la liste de vos fichiers, à trier vos données, ou encore à les sécuriser.
En cas de manquement aux obligations édictées par le RGPD, l’entreprise en faute s’expose à de très lourdes sanctions financières.
Les sanctions applicables en cas de manquement
En ce qui concerne la France, la CNIL se saisit d’un dossier de trois façons :
– suite à une plainte d’usagers directement sur le site de la CNIL,
– suite à un contrôle du site internet ou de la société,
– suite à une violation des données.
La CNIL dispose alors de tout le panel de sanctions allant du communiqué public sur légifrance et sur le site de la CNIL à une sanction financière pouvant aller jusqu’à 20 000 000 d’euros ou 4% du chiffre d’affaires mondial réalisé sur l’exercice précédent.
Ainsi, la CNIL a condamné Google au paiement d’une amende de 150 millions d’euros du fait de sa politique de Cookies pratiquée sur Google ainsi que sur Youtube. La CNIL reprochait à la société américaine de ne pas permettre aux utilisateurs de refuser les cookies avec la même facilité que celle de les accepter.
Le même jour, soit le 31 décembre 2021, la CNIL a également sanctionné Facebook à hauteur de 60 millions d’euros pour des raisons similaires à celles ayant entraîné la sanction de Google.
Ces fortes sanctions mettent à elles seules en lumière l’importance de la question de la protection des données en Europe. Toutefois, dans un monde globalisé ou, particulièrement sur Internet, l’ensemble des réseaux s’entre-pénètrent, le partage des données rend l’articulation de protection des données quelque peu complexe.
Du Privacy Shield à Shrem II, le juge s’érige en gardien des données personnelles
Les données collectées en Europe peuvent faire l’objet d’un transfert de données vers des Etats tiers. C’est notamment le cas entre l’Europe et les Etats-Unis, lorsqu’une maison-mère transfère des données à caractère personnel vers une filiale ou sur un autre serveur.
De 2016 à 2020, la réglementation applicable à ce transfert de données de l’Union européenne vers les Etats-Unis était encadrée par le Privacy Shield. Il s’agissait d’un traité bilatéral qui offrait des garanties aux utilisateurs européens quant au traitement de leurs données personnelles aux Etats-Unis.
Toutefois, cette garantie de protection des données n’était pas aussi efficace du côté américain que le traité voulait bien le laisser entendre. Ainsi, un avocat autrichien du nom de Schrem, attaqua la société Facebook Ireland en justice en arguant du manque de protection de ses données personnelles, transférées en tout ou partie aux Etats-Unis, à l’instar de celles de tous les utilisateurs de ce réseau social.
La Cour de justice de l’Union européenne, dans un arrêt connu sous le nom de Schrems II, donna raison au requérant et mit ainsi un terme au Privacy Shield. Les principaux arguments de la décision portent sur la facilité d’accès des autorités publiques américaines, ainsi que de leurs services de renseignement, aux données personnelles transférées.
Au sein même de la France, des associations se sont érigées contre la collecte de données par le gouvernement. Ainsi, le Conseil d’Etat a notamment dû s’exprimer sur le partenariat entre l’Etat et la plate-forme Doctolib dans le cadre des rendez-vous de vaccination contre le Covid 19.
Le Conseil d’Etat a débouté les associations de leur demande, après avoir vérifié la qualité de la sécurisation des données, au motif qu’aucune donnée médicale n’était collectée.
Dans le même ordre d’idées, des associations comme La Quadrature du Net, attaquaient devant le conseil d’Etat le décret du 25 février 2011, imposant la conservation des données numériques aux fournisseurs d’accès internet.
Les juges administratifs rejetèrent leurs arguments sur des motifs relatifs à la sécurité nationale, à la défense des intérêts fondamentaux de la Nation, ainsi qu’à la lutte contre la criminalité.
Toutefois, il n’est pas possible pour les forces de l’ordre européennes, de réquisitionner un fournisseur d’accès à Internet ou une société sans l’autorisation préalable d’un magistrat. C’est ce dernier qui apprécie l’utilité d’une telle demande dans le cadre des investigations dont les enquêteurs lui rendent compte.
Conclusion
En conclusion, la situation européenne en matière de traitement des données et d’accessibilité de ces données par des administrations, qu’elles ressortent de la compétence des ministères de l’intérieur ou de la justice des Etats membres de l’Union européenne, est fortement encadrée. Il n’existe pas en Europe de lois comparables aux législations américaines en la matière.
Par conséquent, si une société souhaite stocker des données en ligne via des solutions de type Cloud, il importe de sélectionner un prestataire européen stockant ses données sur le sol européen.
Auquel cas, il convient également de vérifier que cette société ne fasse pas transiter ces données vers une filiale basée dans un Etat tiers à l’Union européenne, Etats-Unis en tête. Ainsi, les lois extraterritoriales américaines ne pourront que très difficilement s’appliquer à une société n’ayant aucun lien avec ce territoire.
Stocker ses données via des compagnies américaines, c’est ouvrir grand la porte à l’espionnage industriel et aux pratiques de concurrence déloyale les plus high-tech. On l’a vu, que cela soit avec Siemens, Alcatel-Lucent, ou encore Alstom, le gouvernement américain, appuyé par la justice, ne recule devant rien pour affaiblir la concurrence faite à ces entreprises.
Ne donnons donc pas le bâton pour nous faire battre.