CLOUD Act : quel degré d'exposition pour Bleu et S3NS ?
Des coentreprises « binationales » de cloud hyperscale telles que Bleu et S3NS sont-elles immunisées face au CLOUD Act ? Un rapport remis au gouvernement néerlandais donne des pistes.
Bleu, immunisé contre le CLOUD Act ? L'initiative semble structurée pour. En tout cas d'après Greenberg Traurig. Le cabinet d'avocats émet cette opinion dans un rapport récemment remis au ministère de la justice néerlandais. Sujet : l'applicabilité dudit CLOUD Act aux entités localisées dans l'Union européenne.
Entré en vigueur en 2018, le texte modifie deux sections de l'ECPA (Electronic Communications Privacy Act). D'un côté, celle dite « Wiretap Act ». Dans sa version amendée, elle ouvre la voie à des accords bilatéraux entre les États-Unis et d'autres pays, permettant aux autorités répressives américaines de « court-circuiter » les mécanismes de type lettres rogatoires et accords d'assistance mutuelle (voir notre article « CLOUD Act : quelles protections pour nos données ? »).
En l'état, il n'existe aucun accord « Wiretap » avec des pays de l'UE. Seuls le Royaume-Uni et l'Australie ont pour le moment signé avec Washington (des négociations sont en cours avec le Canada). Dans ce contexte, Greenberg Traurig a consacré son analyse à l'autre section ECPA que modifie le CLOUD Act. En l'occurrence, le SCA (« Stored Communications Act »). Dans sa version amendée, le texte englobe, en plus des « services de communications électroniques », les « services informatiques distants ». En cette vertu, les États-Unis peuvent demander à accéder autant à des communications électroniques (contenu et métadonnées) qu'à des documents stockés dans le cloud.
Le CLOUD Act donne en outre une dimension extraterritoriale au SCA (son acronyme signifie « Clarifying lawful overseas use of data »). Sur le papier, les fournisseurs des services visés doivent donc fournir les données qui leur sont demandées, peu importe leur localisation, aussi longtemps qu'ils les ont « la possession, la garde (custody) ou le contrôle ».
CLOUD Act : la question du « lien suffisant »
Si la localisation des données n'importe pas, celle des entités qui les « possèdent », « gardent » ou « contrôlent » a son importance. On ne peut leur soumettre de requêtes que si elles disposent d'un « lien suffisant » avec les États-Unis.
Certains éléments ne souffrent d'aucune contestation, comme le fait d'avoir une maison mère basée sur place. Dans d'autres cas, c'est plus compliqué. Parmi les facteurs qui peuvent entrer en ligne de compte :
- Vente de produits et/ou de services à des individus et/ou entreprises établis aux US
- Activités publicitaires/marketing aux US
- Recours à des fournisseurs de services établis aux US
- Existence d'un site web accessibles depuis les US
Lire aussi : STMicroelectronics présente son modèle financier pour 2027-2028 et sa trajectoire vers son ambition 2030
Le géoblocage des sites web, une précaution ?
Sur ce dernier point, Greenberg Traurig cite une décision que la Cour d'appel avait rendue en 2018. Elle avait établi l'existence d'un « lien suffisant » concernant une entreprise allemande. Pour deux motifs principaux. D'une part, celui-ci disposait d'un site web sans géoblocage ni avertissement aux visiteurs hors US. De l'autre, il avait une clientèle sur place (quelque 150 clients, pour environ 200 000 $ de revenus sur trois ans).
À l'inverse, la Cour de cassation a déjà rejeté à plusieurs reprises toute existence d'un lien « suffisant ». Par exemple, explique Greenberg Traurig, dans un dossier où un homme divorcé se voyait réclamer une pension alimentaire. Le seul lien avec le territoire de compétence de la juridiction saisie était le fait que son ex-femme y résidait.
La Cour a pris une décision de la même teneur concernant un constructeur automobile sans présence physique sur le territoire de compétence du tribunal, mais dont un client avait emprunté les routes.
Une compétence juridique « à la carte »
De l'analyse des liens avec les US peuvent découler deux niveaux de compétence : général (liens suffisamment importants pour exposer l'entité étrangère à toutes poursuites) ou spécifique (uniquement pour un périmètre d'activité). Parmi les éléments qui peuvent justifier d'une compétence générale, la détention d'un compte en banque et/ou de possessions matérielles aux US, ainsi que l'organisation de réunions sur place.
Dans le cas de la compétence spécifique, la justice doit prouver, tour à tour, que :
- Les activités concernées par la requête ou bien leurs effets sont géographiquement liés aux US
- L'entité a délibérément tiré parti de la possibilité de réaliser ces activités sur place
- L'exercice de compétence est « raisonnable », au sens où il ne handicape pas l'entité face à sa concurrence (un point de moins en moins pertinent avec la numérisation des procédures de justice, souligne Greenberg Traurig)
Les employés, cibles idéales ?
Plutôt que de solliciter une entité, serait-il possible de passer par un citoyen américain qui travaille pour elle ? En théorie, non. Mais dans la pratique, oui. En premier lieu, par le « consentement volontaire ». À ce sujet, on nous mentionne une étude selon laquelle, « sous pression, plus de 90 % [des personnes sollicitées » accèderaient aux demandes de communication de telles données.
Le mécanisme du mandat peut aussi s'appliquer aux personnes physiques... tout comme la citation à comparaître. Il est possible de s'y opposer, mais la démarche peut se révéler lourde, d'autant plus lorsque l'intéressé n'est pas autorisé à en parler à son employeur. Il existe par ailleurs une zone d'ombre sur les notions de « possession », de « garde » et de « contrôle », que les textes ne définissent pas. On peut partir du principe qu'un employé est dans ce cas si, par exemple, il a stocké des données en local, affirme Greenberg Traurig.
Le CLOUD Act n'exigeant pas des fournisseurs qu'ils communiquent les données en clair, la meilleure parade reste-t-elle le chiffrement ? Oui, s'il est de qualité, reconnaît le cabinet d'avocats, sans entrer dans les détails. Du côté des CSP, hyperscalers en tête, on vante effectivement cette option, dans un modèle où c'est le client qui détient les clés.
Lire aussi : Comment le CISPE propose de décliner le Data Act
Photo d'illustration © Pixabay via pexels.com
Sur le même thème
Voir tous les articles Actualités