Une récente évolution juridique a déclenché l’excitation des juristes en raison de sa complexité et de ses conséquences potentiellement considérables : la loi dite « Cloud Act », promulguée par le président Trump le 23 mars 2018.
Alors, qu’est-ce que le Cloud Act et pourquoi devriez-vous vous en soucier ? C’est la question que je me suis posée lorsque j’ai rejoint OVH le 14 mai 2018. J’ai passé les 20 dernières années dans des entreprises de l’aérospatiale et de la défense : pour moi, un nuage est une chose que l’on traverse en avion. Apparemment, cela a un tout autre sens chez OVH, j’ai donc dû en apprendre davantage à ce sujet. Il s’avère qu’il ne s’agit même pas de « cloud », mais de « CLOUD », en majuscules, pour « Clarifying Lawful Overseas Use of Data ». Un avocat remarquera immédiatement deux mots-clés : « clarifying », ce qui implique que cette loi n’est pas censée être révolutionnaire, et « overseas », ce qui nous dit que le législateur américain légifère sur un point qui se passe en dehors du sol américain. En effet, le contexte général dans lequel se situe cette nouvelle loi est la recherche d’un équilibre entre la nécessité d’enquêter rapidement et efficacement sur les crimes graves et la protection des droits des individus, en particulier leur droit à la vie privée, précisément dans le cas où leurs données sont situées en dehors des États-Unis.
Le Cloud Act est très clairement conçu pour aider les autorités judiciaires (Law Enforcement Agencies) à accéder rapidement aux données détenues par les fournisseurs de messagerie / de stockage / de cloud (appelons-les « hébergeurs »), afin « d’assurer la sécurité publique et de lutter contre les crimes graves, incluant le terrorisme ». Dans la suite de cet article, nous devons nous rappeler que la loi se limite à cette portée tout à fait louable. Aux temps d’avant Internet, quand les forces de l’ordre voulaient des preuves, elles envoyaient des agents chez vous pour les obtenir et, si vous étiez en dehors des États-Unis, les autorités américaines n’avaient pas le droit d’entrer chez vous. À l’ère du cloud, les données situées hors des États-Unis sont également difficiles à obtenir. Les forces de l’ordre doivent s’appuyer sur des accords d’assistance mutuelle entre gouvernements, les MLATs (Mutual Legal Assistance Treaty). L’obtention d’un MLAT pour accéder à des données à l’étranger peut prendre jusqu’à 10 mois, ce qui ralentit considérablement une enquête pénale. Le Congrès a donc adopté le Cloud Act pour accélérer les choses.
Que dit le Cloud Act et à qui s’applique-t-il ?
Bien que nous puissions lire dans la presse que la loi est un nouvel exemple de loi américaine « extraterritoriale », au sens strictement technique, elle ne l’est pas : elle ne s’applique qu’aux hébergeurs soumis au droit américain. Permettez-moi de le répéter plus clairement : le Cloud Act ne s’applique pas à OVH France, par exemple, il s’applique uniquement aux sociétés américaines et à leurs filiales. Et ce que dit la loi, c’est qu’un hébergeur américain doit donner, aux autorités américaines, l’accès aux données client : non seulement celles hébergées aux États-Unis, mais n’importe où dans le monde, où que ces données soient stockées. Voilà la partie extraterritoriale. Cela signifie que les autorités américaines n’ont plus besoin de passer par le processus de MLAT. Un hébergeur américain doit ainsi, par exemple, fournir des données stockées sur son serveur en Europe.
La Grande Question pour la plupart des clients et prospects d’OVH est la suivante : si je ne suis pas citoyen américain et que je confie mes données à la filiale européenne ou canadienne d’un hébergeur américain, les forces de l’ordre américaines, par exemple le FBI, peuvent-elles accéder à mes données ? Malheureusement, je dois donner ici une réponse d’avocat : « peut-être bien que oui, mais peut-être bien que non ». Premièrement, il est clair que le Cloud Act pourrait s’appliquer : peu importe où vos données sont stockées dans le monde, la société mère étant américaine, elle est soumise au Cloud Act. Deuxièmement, le FBI devrait d’abord obtenir le mandat d’un juge américain et devrait donc démontrer que vos données sont nécessaires pour une enquête criminelle sérieuse. (Il est intéressant de noter que cette étape est en réalité plus protectrice de vos droits que l’équivalent en droit français, où un juge ne serait pas impliqué.) Troisièmement, votre hébergeur aurait la possibilité de défendre vos droits sur les données, mais c’est selon son choix :
– L’hébergeur peut décider de vous informer du mandat afin de vous alerter du problème. Rien dans le Cloud Act ne l’empêche de le faire, mais rien ne l’y oblige non plus, et dans les cas graves, le mandat délivré par le juge exigerait la confidentialité.
– L’hébergeur pourrait demander une ordonnance du tribunal modifiant ou annulant le mandat. C’est un processus assez compliqué. L’hébergeur peut essayer de le faire en vertu des dispositions du Cloud Act, qui sont précises et claires, mais uniquement applicables dans les pays qui ont signé un accord bilatéral avec les États-Unis*. Aujourd’hui aucun pays n’a signé de tel accord. Sinon, l’hébergeur peut s’appuyer sur le principe juridique traditionnel connu sous le nom de « comity » qui n’est pas affecté par le Cloud Act, mais qui reste assez complexe. Vous ne feriez pas partie de cette demande judiciaire ; vous devriez compter sur votre hébergeur pour mener à bien la procédure… et sur le fait que le juge (américain) préfère l’argument de l’hébergeur à celui du FBI.
C’est pourquoi il n’est pas possible de savoir précisément si vos données seraient ou non transmises par un hébergeur américain. Rappelons que l’objectif global du Cloud Act est d’éviter que ne se reproduise le cas de Microsoft qui refusait de transmettre des données détenues en Irlande.
En quoi le Cloud Act concerne-t-il OVH ?
Comme expliqué précédemment sur ce blog, avant même le Cloud Act, OVH a conçu sa structure d’entreprise dans le but de garantir la protection maximale à ses clients. Le Cloud Act ne s’applique pas à OVH France, ni à OVH Canada, car ces sociétés n’appartiennent pas à un groupe américain. Si une agence américaine souhaitait obtenir des données détenues par OVH France ou Canada, elle devrait passer par la procédure MLAT.
Le Cloud Act s’applique évidemment à OVH US, qui est une société américaine. Mais il s’agit d’une filiale indépendante d’OVH, qui a sa propre gouvernance et dont la stratégie, le marketing et les opérations sont indépendants du reste du groupe. De plus, OVH US n’a pas accès aux données hébergées par les autres sociétés du groupe. Si les autorités américaines obtenaient un mandat exigeant qu’OVH US divulgue des données détenues par d’autres sociétés du groupe, OVH US ne serait pas en mesure de s’y conformer car ces données ne sont pas en sa possession, ni sous sa garde ou son contrôle.
Le Cloud Act est nouveau et nous ne savons pas encore comment il va s’appliquer. La loi prévoit que les gouvernements étrangers s’engagent par le biais d’accords bilatéraux afin de rendre l’application du Cloud Act plus fluide. Il est possible qu’une sorte de cadre soit mis en place entre la Commission européenne et les États-Unis, mais il s’agit actuellement de spéculations. Une autre idée est que l’Europe adopte sa propre version du Cloud Act, une version de ce texte appelé « e-Evidence » est en discussion. Nous devrons attendre et voir ce qu’il se passe.
En attendant, OVH respecte le droit de ses clients de choisir où leurs données sont conservées et, dans la mesure où cela est juridiquement possible, ce qui leur arrive. Vous pouvez décider d’héberger vos données chez OVH US si vous le souhaitez (vous devez alors être client d’OVH US, et non d’OVH France), et dans ce cas elles seront soumises au Cloud Act. Ou vous pouvez choisir de conserver vos données en Europe ou au Canada, et vous pouvez même choisir dans quel centre de données les stocker. OVH veut que ses clients puissent décider librement, et qu’ils soient informés pour prendre des décisions éclairées. C’est pourquoi la transparence fait partie de notre culture et c’est pourquoi j’ai choisi d’apporter des explications sur cette question juridique complexe.
*La principale base sur laquelle votre hébergeur pourrait s’opposer à un mandat est que, s’il devait fournir les données, il violerait lui-même la loi d’un autre pays. C’est certainement le cas si vous êtes européen, car vos droits sur vos données personnelles sont protégés par la loi européenne et le RGPD.