Le Règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018 dans l’Union européenne a modifié le paysage législatif relatif à la protection des données personnelles tel que nous le connaissions. Celui-ci s’applique au « traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. » Tandis que certaines entreprises doivent toujours prendre des mesures pour s’y conformer, l’adoption du Cloud Act américain, a quant à elle été très peu médiatisée.

Quel est l’objectif du Cloud Act ?

Le Cloud Act (Clarifying Lawful Overseas Use of Data Act) a été adopté le 23 mars 2018, et bien qu’il n’ait pas le même objectif que le RGPD, il pourrait avoir des répercussions néfastes sur la protection des données à caractère personnel. En particulier, en dehors du territoire des États-Unis.

La principale conséquence de cette loi réside en ce que les compagnies de communications américaines seront obligées de fournir des informations concernant toutes les datas stockées sur leurs serveurs, peu importe si celles-ci se trouvent sur le territoire américain ou à l’étranger (et plus particulièrement sur le territoire de l’Union européenne). Évidemment, si cette possibilité inquiète (et à raison), il existe toutefois certains garde-fous : la communication des données ne peut avoir lieu uniquement dans le cadre d’une enquête criminelle en cours et les données doivent cibler un individu en particulier, ou un contenu spécifique (et non un groupe entier d’individus). Cependant ces conditions peuvent sembler bien futiles lorsque l’on imagine les dérives auxquelles le Cloud Act pourrait mener.

Les opérateurs et compagnies de communications américaines peuvent également refuser de divulguer des données sur base du Cloud Act si :

  • La personne concernée n’est pas un citoyen américain, ne réside pas de manière permanente aux États-Unis ou encore si les données concernent une association de citoyens américains.
  • La divulgation d’informations pourrait créer un risque de violation d’une loi d’un gouvernement étranger.

Le Cloud Act constitue une alternative à la procédure des « Traités d’Entraide Judiciaire Mutuelle », qui jusqu’à maintenant restait très chronophage. Cette procédure permettait de demander aux compagnies de fournir des informations concernant certains individus (mais ces traités présentaient des garde-fous plus importants que ceux du Cloud Act).

Le RGPD et le Cloud Act sont-ils compatibles ?

Comme développé ci-dessus, le principal problème du Cloud Act réside dans sa dimension extraterritoriale. Nous pouvons par conséquent nous poser la question suivante : quelles en seront les conséquences pour les entreprises européennes dont les données sont protégées par le RGPD ?

C’est ici que les choses se compliquent : le RGPD interdit (ou tout du moins règlemente strictement) les transferts de datas en dehors de l’Union européenne, sauf si ledit transfert répond à certaines conditions qui sont développées aux articles 44-49 du règlement. En dehors de ces articles, un fournisseur qui respecterait les conditions du Cloud Act violerait le RGPD. De plus, l’article 48 du Règlement restreint le transfert de datas à la requête d’un pays en dehors de l’UE seulement si ce transfert à lieu dans le cadre d’un accord international ou d’un Traité d’Entraide Judiciaire Mutuelle. Cet article 48 semble être en contradiction avec le Cloud Act, et plus particulièrement son paragraphe 2713 (Un fournisseur de services de communications électroniques ou d’informatique à distance, doit se conformer aux obligations de ce chapitre pour préserver, sauvegarder ou divulguer le contenu de communications filaires ou tout autre dossier ou autres informations concernant un client ou un abonné qui se trouvent en la possession, détention ou contrôle du fournisseur, et ce, peu importe si ces communications, dossiers ou autres informations sont localisées sur le territoire des États-Unis ou en dehors.)

Les grandes compagnies telles que Amazon ou Google (qui possèdent un Cloud Américain) violent donc le RGPD lorsqu’elles traitent des données de citoyens européens et les communiquent aux autorités américaines. Ce n’est évidemment pas un débat purement théorique, puisque comme nous le savons à présent, une violation du RGPD peut amener jusqu’à une amende d’un montant équivalent à 4% du chiffre annuel de la compagnie. De plus il n’existe pas de traité international régissant le transfert de données entre les US et l’UE (seulement le « Privacy Shield »). Cependant, selon un doctrine- certes minoritaire, le Cloud Act ne serait pas intrinsèquement incompatible avec le RGPD (et son article 48), mais pourrait constituer une opportunité pour lutter contre la cybercriminalité, par exemple.

Le Privacy Shield

Le Privacy Shield est un outil légal qui permet le transfert de tout type de données personnelles depuis l’UE vers les USA. Cet outil a été élaboré par le département américain du commerce en collaboration avec la Commission européenne, et a été adopté en juillet 2016. Cet accord remplace l’ancien « Safe Harbor » qui lui-même avait été déclaré invalide par la Cour de Justice de l’UE en octobre 2015. Le Privacy Shield offre un niveau de protection adéquat aux données transférées, et force les entreprises à faire preuve de transparence sur l’usage qu’elles font de ces données.
Évidemment cet outil n’est pas sans défaut : le Parlement européen, le 5 juillet 2018 a adopté une résolution réclamant la suspension du Privacy Shield. Bien que cette résolution n’ait pas de pouvoir coercitif, la Cour de Justice de l’UE ainsi que la Commission européenne, pourraient quant à elles suspendre le Privacy Shield si les États-Unis ne respectent pas les obligations qui leur incombent. Ceci s’inscrit évidemment dans un contexte où la protection des données personnelle prend une place de plus en plus importante (depuis l’adoption du RGPD dans l’UE)

Conclusion

Pour le moment, les relations tumultueuses entre le RGPD et le Cloud Act nous empêchent de prévoir clairement les conséquences auxquelles elles pourraient aboutir. La possibilité que les autorités américaines puissent demander à des entreprises basées dans l’UE, de communiquer certaines données personnelles est évidemment contraire au RGPD.
Pendant ce temps, les entreprises européennes doivent évaluer le risque que peut représenter une affiliation à fournisseur américain. Dans la situation actuelle, il nous paraît même plus sage d’éviter les fournisseurs d’accès américain en dehors du territoire US. Si pour le moment, le Cloud Act et le RGPD ne peuvent coexister harmonieusement, les entreprises européennes doivent se conformer en premier lieu aux exigences du Règlement européen pour éviter de devoir payer des dommages et intérêts très élevés.
De plus, le Cloud Act pourrait également avoir des conséquences négatives sur le Privacy Shield, mais seul l’avenir nous le dira. Il faudra attendre une réaction de l’Union européenne pour éclaircir la situation, et soit confirmer la compatibilité entre le RGPD, ou au contraire l’invalider.

Ecrit par Léo Foucher