Souveraineté numérique européenne : Microsoft se dit compatible

En fait. Le 19 mai, se sont tenues les 5es Assises de la souveraineté numérique, organisées par l’agence Aromates sur le thème cette année de « Quelle stratégie pour une 3e voie européenne ? ». Parmi les intervenants extra-européens : l’américain Microsoft, qui, par la voix de Marc Mossé, se dit eurocompatible.

En clair. Le directeur des affaires publiques et juridique de Microsoft – fonction que Marc Mossé (photo) a exercée pour la filiale française entre février 2006 et mai 2016 avant de passer à l’échelon européen (1) tout en restant basé à Paris et non au siège de Microsoft Europe à Dublin en Irlande –, était attendu au tournant. Lors de ces 5es Assises de la souveraineté numérique, le « M » de GAFAM a voulu montrer pattes blanches et démontrer que l’on pouvait être une « entreprise étrangère américaine » et être compatible avec la « souveraineté numérique européenne ». Antinomique ? Non. Marc Mossé, lui, parle de « ligne de crête » en rappelant les propos tenus par quatre femmes au pouvoir en Europe, Angela Merkel (chancelière d’Allemagne), Mette Frederiksen (Première ministre du Danemark), Sanna Marin (Première ministre de Finlande) et Kaja Kallas (Première ministre d’Estonie), dans une lettre adressée le 1er mars dernier à une cinquième femme de pouvoir, Ursula von der Leyen (présidente de la Commission européenne).

La souveraineté numérique, ce n’est ni exclure ni faire du protectionnisme
« La souveraineté numérique, c’est miser sur nos forces et réduire nos faiblesses stratégiques, et non pas exclure les autres ou adopter une approche protectionniste. Nous faisons partie d’un monde mondial avec des chaînes d’approvisionnement mondiales que nous voulons développer dans l’intérêt de tous. Nous sommes déterminés à ouvrir les marchés et à favoriser un commerce libre, équitable et fondé sur des règles ». Tout est dit. Et le directeur juridique de Microsoft Europe d’approuver : « C’est cette ligne de crête sur laquelle il faut être, qui renvoie à l’essentiel lorsque l’on parle de la souveraineté. C’est aussi la question de la règle de droit. La souveraineté, c’est la garantie par le droit de fonctions essentielles comme les valeurs européennes [auxquelles] les acteurs qui opèrent en Europe (et donc en France) doivent le plein respect ». Marc Mossé a aussi rappelé l’annonce faite le 6 mai par Microsoft qui s’engage à stocker et à traiter dans ses data centers en Europe – au nombre de treize dont trois en France – les données de ses clients, entreprises ou Continuer la lecture

Sécurité numérique : le Premier ministre plus que jamais en première ligne

Le Premier ministre est le régulateur de la sécurité numérique nationale. Le Conseil constitutionnel a confirmé en février dernier l’étendue de ses prérogatives et des garanties nécessaires en la matière. L’affaire « SolarWinds » appelle de telles garanties du côté des fournisseurs d’informatique en nuage.

Par Christophe Clarenc (photo), avocat, cabinet DTMV & Associés

La « transition numérique » de l’économie et des entreprises s’accompagne d’une démultiplication pandémique des violations et compromissions de sécurité des systèmes d’information (1), avec un flot continu de « fuites » massives de données, une industrialisation (à l’état de l’art) de l’exploitation des « failles » de sécurité, et une explosion des cyberattaques critiques. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) rapporte à cet égard un développement exponentiel à la fois des cyberattaques criminelles par rançongiciels et des menaces d’espionnage, de déstabilisation voire de sabotage à travers les attaques indirectes par rebond dans les chaînes de sous-traitance, d’approvisionnement et de partenariat industriels, dont la propre chaîne des fournisseurs de services d’informatique et d’infogérance en nuage. Le risque systémique d’attaques ciblées et vectorisées par la chaîne d’approvisionnement informatique est plus que confirmé par la campagne de cheval de Troie menée dans et à partir de la plateforme de gestion et de supervision informatique (Orion) du fournisseur américain SolarWinds, détectée en décembre dernier (2).

Chaîne de compromission « SolarWinds »
Par compromission des mises à jour logicielles distribuées par cette plateforme, cette attaque a infiltré et infecté en profondeur les systèmes de près de 18.000 de ses clients-utilisateurs, dont plusieurs départements de l’administration américaine (Pentagone, NSA, Trésor, Justice, Energie), de grands fournisseurs de services informatiques et de cybersécurité comme Microsoft et FireEye, et une série de grands comptes industriels aux Etats-Unis et en Europe. Reçue comme un « Pearl Harbour » de la « Supply Chain Security », cette affaire a soulevé aux Etats-Unis un tourbillon d’interrogations et d’investigations sur l’état des risques, des faiblesses systémiques, notamment réglementaires, et des défaillances individuelles de sécurité dans l’industrie et la chaîne d’approvisionnement « IT » (Information Technology). Microsoft a répondu que ce type de cyberattaque « sera la norme ». Le New York Times a révélé que les mesures et la politique de sécurité de SolarWinds étaient structurellement déficientes, notamment pour satisfaire aux exigences de profitabilité de ses investisseurs. L’agence Moody’s a considéré que l’affaire Continuer la lecture

Sécurité des systèmes d’information et des données personnelles : nul ne peut ignorer ses responsabilités

RSI, NIS, OSE, OIV, PSC, EBIOS, RGPD, SecNumCloud, … Derrière ces acronymes du cadre réglementaire numérique, en France et en Europe, apparaissent les risques et les obligations en matière de sécurité des systèmes d’information et des traitements de données personnelles.

Par Christophe Clarenc, avocat, Cabinet DTMV & Associés

Les rapports d’activité pour 2018 publiés mi-avril (1) par, respectivement, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le « régulateur de la sécurité numérique » en sa qualité d’autorité en charge de la cybersécurité nationale,
et la Commission nationale de l’informatique et des libertés (Cnil), en charge de la sécurité des traitements de données personnelles, offrent et permettent un tour d’horizon rapide des évolutions réglementaires et de l’état des responsabilités en la matière.

Une réglementation évolutive
Au plan réglementaire, on doit tout d’abord mentionner la loi n° 2018-133 du 26 février 2018, le décret 2018-384 du 23 mai 2018 et l’arrêté du 14 septembre 2018 qui sont venus assurer la transposition en France de la directive européenne du 6 juillet 2016, dite « NIS », sur la sécurité des réseaux et systèmes d’information (RSI) des
« opérateurs de services essentiels » (2) (OSE) et des grands « fournisseurs de services numériques » (3) (FSN). Cette réglementation est supervisée en France
par l’ANSSI et dans la ligne de son dispositif de protection des RSI des opérateurs d’importance vitale (OIV) (4). Elle soumet les OSE et les FSN pour la protection de leurs RSI critiques à un régime de « règles de sécurité nécessaires pour garantir un niveau de sécurité adapté au risque existant compte tenu de l’état des connaissances », et de déclaration des incidents et de contrôle.
Cette réglementation définit et prescrit pour les OSE l’ensemble des « mesures appropriées » pour tout à la fois prévenir, limiter l’impact et gérer les incidents et compromissions de sécurité. Les règles de sécurité prescrites pour les FSN sont établies dans un règlement d’exécution du 30 janvier 2018 (5). Ces règles et mesures sont définies dans cinq « domaines » : celui de la « gouvernance » des RSI concernés (6) (analyse de risque, politique de sécurité décrivant l’ensemble des procédures et
des moyens organisationnels et techniques de sécurité mis en oeuvre, homologation
et audits de sécurité, cartographie (7)) ; celui de leur « protection » (architecture, administration, identités et accès), celui de leur « défense » (détection et traitement des incidents) ; et celui de la « résilience des activités » (gestion de crise en cas d’incident de sécurité ayant un impact majeur sur la fourniture des services essentiels en cause). Ces règles établissent le champ et les mesures de référence de la protection responsable des systèmes d’information critiques.
On peut ensuite mentionner le règlement européen sur la cybersécurité (8), voté en mars 2019 par le Parlement européen, qui vient, d’une part, donner mandat permanent et compétences à l’ENISA, l’Agence européenne chargée de la sécurité des RSI (9), d’autre part, établir une cadre pour la mise en place d’un « système européen de certification de cybersécurité » pour les processus, produits et services des technologies de l’information et de la communication (TIC). Ce dispositif, qui pourrait devenir un ressort essentiel du « marché unique numérique », devra s’articuler avec
les compétences de souveraineté et les intérêts normatifs et industriels fondamentaux des Etats membres avancés dans ce domaine, dont la France avec l’ANSSI. Les deux chambres du Parlement français avaient émis fin 2017 alerte et réserve sur ce point.
Le dispositif prévoit que la Commission européenne proposera la liste prioritaire des processus, produits et services TIC susceptibles d’être soumis à ce système de certification et que la certification, structurée en trois « niveaux d’assurance » (élémentaire, substantiel et élevé) procédera par démarche volontaire des acteurs intéressés.

Référentiels et socle de conformité
L’ANSSI a présenté en 2018 sa méthode EBIOS Risk Manager de référence pour l’analyse des risques de sécurité numérique et l’élaboration d’un « socle de sécurité solide appliquant les référentiels pertinents vis-à-vis de l’état de l’art (10) et de la réglementation », en vue notamment d’un label de conformité pour les éditeurs de solutions logicielles de gestion des risques et de la conformité. Le « régulateur de
la sécurité numérique » s’est également intéressé spécifiquement à la sécurité des données personnelles, en faisant évoluer son référentiel SecNumCloud pour intégrer les exigences du règlement général sur la protection des données (RGPD) et en publiant pour la matière des recommandations (« commandements de base »,
« précautions élémentaires ») tirées et adaptées de son guide d’hygiène informatique. Ce référentiel SecNumCloud concerne les prestations de services d’informatique en nuage (PSIN). Il fait partie des référentiels d’exigences et de labellisation développés par l’ANSSI pour qualifier les « prestataires de services de confiance » (PSC) (11).

Incidents, risques et manquements
La Cnil a elle-même publié en 2018 un guide de sécurité des données personnelles (12), consolidant et développant ses recommandations antérieures. Elle souligne dans son rapport pour 2018 que les « mesures de précautions élémentaires » rappelées dans les recommandations de son guide et de celui de l’ANSSI permettent de prévenir ou de limiter l’impact de nombreuses violations de données personnelles et « doivent aujourd’hui être le socle minimum sur lequel toute organisation fait reposer son système d’information ». D’autant que le RGPD, entré en vigueur en mai 2018, « impose à tous les organismes qui traitent des données personnelles de mettre en place des mesures pour prévenir les violations de ces données » et de pouvoir « apporter la preuve de
leur conformité ». En effet, le RGPD place la « garantie de sécurité appropriée » des données personnelles parmi les « principes » de conformité et de responsabilité du traitement des données personnelles, avec la responsabilité de « mettre en oeuvre des mesures techniques et organisationnelles appropriées pour assurer et être en mesure de démontrer que le traitement est effectué conformément au règlement » (13). La mise en oeuvre du « socle de sécurité » recommandé aura ainsi vocation à constituer la preuve de la conformité à l’obligation de garantie de sécurité appropriée des données personnelles traitées, obligation de moyen renforcée et de moyens effectifs à l’état de l’art, en particulier dans le cadre de la notification obligatoire d’une violation de données susceptible de révéler non seulement un défaut de sécurité causal mais une politique de sécurité défaillante.
L’ANSSI rapporte la survenance en 2018 de 1.869 signalements d’événements de sécurité, dont 391 incidents (hors OIV) et 16 incidents majeurs, contre respectivement 2.435, 794 et 20 en 2017. Elle rappelle l’étendue et l’intensité constantes des menaces et des risques de cybersécurité (sabotage, déstabilisation, espionnage, captations, fraudes, etc.), en soulignant que l’espionnage est le risque qui pèse le plus fortement sur les organisations, à travers notamment des attaques indirectes exploitant des relations de confiance établies entre parties prenantes. Le rapport publié en mai 2018 par la Délégation interministérielle aux industries de sécurité et à la lutte contre les cybermenaces (DMISC) sur l’état de la menace numérique en 2018 présente un tableau instructif des attaques, des fraudes et des dommages enregistrés avec le développement notamment du « crimeas- a-service » (CaaS) et souligne le risque majeur des objets connectés, à la fois cibles et vecteurs d’attaques, dont la sécurité n’est souvent pas la préoccupation principale de leurs fabricants. Il note par ailleurs que si la grande majorité des entreprises françaises sont touchées par des cyberattaques et que la France est le deuxième pays au monde le plus affecté par les vols de données personnelles, « la sécurité représente moins de 5 % du budget IT dans près de deux tiers des entreprises ». La Délégation parlementaire au renseignement a pu constater dans son rapport publié en avril 2018 que le tissu économique français « pâtit encore d’une culture de sécurité, notamment informatique, très largement déficitaire ». Pour sa part, la CNIL mentionne la poursuite en 2018 de nombreux signalements de violations de données personnelles issues de failles de sécurité et la réception entre fin mai 2018 (entrée en vigueur du RGPD) et fin décembre 2018 de 1.170 notifications de violations à la suite principalement d’atteintes à la confidentialité. De son analyse de ces notifications, elle a constaté tout d’abord que plus de 50 % des violations avaient pour cause un acte externe malveillant (principalement par piratage cyber et secondairement par vol physique) et environ 17 % un acte interne accidentel (principalement par adressage à un mauvais destinataire et secondairement par publication non volontaire). Ensuite, que ces violations mettaient « en évidence des faiblesses des systèmes d’information ou des processus mis en oeuvre au sein des entreprises ».
Tout comme en 2017, la majorité des sanctions (7 sur 10) et les montants les plus élevés de sanctions pécuniaires prononcés par la Cnil en 2018 l’ont été pour des manquements à la sécurité et à la confidentialité des données des utilisateurs ou des clients (14). Ces montants restent néanmoins limités au regard de la gravité des manquements des atteintes constatées.

Sanctions des carences ou insuffisances
La Cnil souligne que ce ne sont pas les incidents de sécurité en tant que tels qu’elle
a sanctionnés, mais les carences ou les insuffisances manifestes dans les mesures prises pour assurer la sécurité, causales dans les violations constatées y compris dans les cas d’intrusions élaborées. Les motifs de manquement et les montants de sanctions pourraient se développer fortement sur la base du RGPD, et avec une meilleure répartition entre les différentes parties prenantes à la sécurité des traitements. Il sera également instructif de suivre le traitement par la DGCCRF du signalement que lui
a adressé la Cnil en novembre 2017, dans l’affaire de la sécurisation des jouets connectés (15), au regard des « enjeux de sécurité et de conformité qui persistent
en dehors du champ d’application de la loi “Informatique et Liberté” ». @

Le marché mondial du cloud est en plein boom, au risque d’échapper aux régulateurs nationaux

Les services de cloud dans le monde devraient franchir cette année la barre des 200 milliards de dollars. Les « as a service » (activité, infrastructure, application, logiciel, …) et les mégadonnées du Big Data font les affaires des prestataires du cloud computing, où les GAFAM s’en donnent à coeur joie.

« Les services en nuage bouleversent vraiment l’industrie.
Les prestataires bénéficient de plus en plus de stratégies cloud-first d’entreprises. Ce que nous voyons maintenant
n’est que le début. D’ici 2022, la croissance de l’industrie
des services infonuagiques sera près de trois fois celle de l’ensemble des services numériques », prévient Sid Nag (photo), vice-président analyste chez Gartner.

Stratégies de cloud-first, voire de cloud-only
Le marché mondial du cloud devrait encore progresser de 17,5 % durant cette année 2019 pour franchir la barre des 200 milliards de dollars, à 214,3 milliards précisément. C’est du moins ce que prévoit le cabinet d’études international Gartner, qui a fait part
de ses projections début avril. Cette croissance exponentielle à deux chiffres a de quoi faire pâlir d’autres secteurs numériques. A ce rythme, après les 200 milliards de dollars franchis cette année, la barre des 300 milliards sera allègrement dépassée en 2022.
Le segment le plus dynamique de ce marché en plein boom est celui du cloud des infrastructures systèmes, appelé IaaS (Infrastructure as a Service), suivi par le cloud des infrastructures d’applications, appelé PaaS (Platform as a Service). La troisième plus forte croissance est aussi celle du premier segment du marché des nuages numériques, à savoir le cloud des services logiciel, appelé SaaS (Software as a Service), qui pèse à lui seul 43,8 % du marché en 2018 et devrait même en représenter 44,6 % en 2022. « D’ici la fin de l’année, plus de 30 % des nouveaux investissements des fournisseurs de technologie dans les logiciels passeront du cloud-firstau cloud-only. Cela signifie que la consommation de logiciels sous licence continuera de chuter, tandis que les modèles de consommation en nuage par abonnement et le SaaS continueront de croître », prévoit Gartner. Les segments du cloud les plus techniques tels que les processus opérationnels, désignés par BPaaS (Business Process as a Service), et le management et la sécurité, désignés a fortiori par MSaaS (Management and Security as a service), continueront de progresser mais dans une moindre mesure par rapport aux autres segments. On retrouve ces tendances d’évolution du marché infonuagiques en France, qui devrait passer de 5,1 milliards de dollars/4,6 milliards d’euros en 2018
à 8,6 milliards de dollars/7,6 milliards d’euros en 2022 (voir tableau ci-dessous). Sur l’Hexagone comme ailleurs, SaaS est le plus gros segment, suivi du BPaaS, de l’IaaS, du PaaS, puis du MSaS.
Selon l’organisme de statistiques européen Eurostat, 26 % des entreprises de l’Union européenne (UE) – soit plus d’une sur quatre – ont acheté des services de cloud computing l’an dernier. La proportion est majoritaire chez les grandes entreprises
(56 %) et bien moindre chez les petites et moyennes entreprises (23 %). La première utilisation qui est faite de ces prestations à distance dans le « nuage informatique » concerne la messagerie électronique (69 %), suivie de près par le stockage des fichiers sous forme dématérialisée (68 %). Viennent ensuite la puissance de calcul achetée pour faire fonctionner leurs propres logiciels (23 %) et l’utilisation de logiciels dans le cloud pour gérer les informations sur la clientèle (29 %).
Pour les entreprises en Europe qui exploitent le Big Data, soit 12 % d’entre elles, les mégadonnées proviennent de sources de données variées : près de la moitié ont d’abord analysé les données de géolocalisation des appareils portables, tels que les smartphones, des connexions sans fil comme le Wifi ou le GPS (49 %). Ensuite, les mégadonnées sont issues des données générées par les médias sociaux et réseaux sociaux (45 %), de dispositifs ou de capteurs intelligents (29 %) ou encore de données provenant d’autres sources (26 %). Si aujourd’hui le Big Data est une expression dépassée par l’IA (l’intelligence artificielle), l’IoT (l’Internet des objets) ou encore la Blockchain, le cloud, lui, prospère tant que les données s’affirment de plus en plus comme le pétrole du XXIe siècle – comme l’a encore montré la 8e édition du Big Data Paris en mars dernier (1).

Amazon et Microsoft en tête, suivis de Google
Le nuage informatique permet aux entreprises de créer un « lac de données », ou Data Lake (stockage des données dans leurs formats originaux ou peu modifiés), à partir duquel l’analyse des données et de leur valorisation peut s’opérer (data mining, marchine learning, business intelligence, cognitive search, master data management, …). Plus de dix ans après que l’expression « Big Data » ait été prononcée – le 22 décembre 2008 dans leur livre blanc (2) par trois chercheurs universitaires de la Computing Research Association américaine –, le cloud est un marché multimilliardaire à la croissance insolente. On estime que le tournant du cloud-first a été pris au cours des années 2013-2016, avec les GAFAM qui se sont engouffrés sur ce marché porteur pour leur plus grand profit. Amazon vient de doubler ses bénéfice grâce au cloud sur le premier trimestre 2019. Sa filiale AWS (Amazon Web Services), qui compte parmi ses clients Apple, Netflix ou encore Pinterest, est le numéro un mondial du secteur. Microsoft arrive en deuxième position grâce à Azure. Google Cloud est aussi à l’offensive avec le Français Sébastien Marotte, son vice-président pour la région EMEA. Le géant du Net compte parmi ses clients européens Airbus, Alstom, Sky, BNP Paribas, Drouot Digital, GRDF, Philips ou encore Veolia (3). L’entrée en vigueur il y a près d’un an en Europe – le 25 mai 2018 – du règlement général sur la protection des données (RGPD) ne semble pas freiner les ardeurs des GAFAM qui ont plus que jamais la tête dans les nuages. « Le “Cloud Act” américain est-il une menace pour les libertés des citoyens européens ? », s’était interrogé l’avocat franco-américain Winston Maxwell dans Edition Multimédi@ après l’affaire controversée « Microsoft » (4). Le Cloud Act fut adopté aux Etats-Unis il y a plus d’un an maintenant (5) – promulgué le 23 mars 2018. Ce texte de loi fédéral et sécuritaire américain prévoit une base juridique permettant
au gouvernement des Etats-Unis de conclure des accords avec des gouvernements étrangers concernant l’accès aux données détenues par les prestataires de services américains, et vice versa. En clair : les autorités publiques et les agences de renseignement américaines sont en droit d’obtenir – des opérateurs télécoms, des fournisseurs d’accès à Internet (FAI) et des fournisseurs de services de cloud – des informations et/ou enregistrements stockés sur leurs serveurs, que ces données et contenus « soient localisés à l’intérieur ou à l’extérieur des Etats-Unis ».

Cloud Act américain et RGPD européen
En outre, ce Cloud Act permet aux Etats-Unis de passer des accords bilatéraux avec d’autres pays, lesquels pourront à leur tour obtenir des informations de la part des fournisseurs de services américains. Or l’article 48 du RGDP dispose que « toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international ». Mais dans son amicus brief de 2017 dans l’affaire « Microsoft » (6), la Commission européenne estime que le RGPD tolérait – malgré son article 48 – des transmissions de données notamment sur le fondement de l’intérêt légitime ou de l’intérêt public. @

Charles de Laubier

Le « Cloud Act » américain est-il une menace pour les libertés des citoyens européens ?

La controverse née avec l’affaire « Microsoft » sur la localisation
des données prend fin avec le « Cloud Act » dans lequel le Congrès américain précise que la localisation physique de données n’est pas
un élément pertinent lorsqu’un juge américain émet un mandat de perquisition.

Par Winston Maxwell, avocat associé, Hogan Lovells

Le 23 mars 2018, le Congrès américain a adopté une disposition qui modifie le code de procédure pénale afin de préciser que la localisation physique de données n’est pas un élément pertinent lorsqu’un juge américain émet un mandat de perquisition. De plus, cette disposition prévoit la mise en place d’accords bilatéraux entre pays ayant un niveau de protection adéquat des libertés individuelles, afin de faciliter l’échange de données dans le cadre d’enquêtes criminelles.

Plus de garanties aux Européens
Certains voient dans le « Cloud Act » – pour Clarifying Lawful Overseas Use of Data Act (1) – une menace pour les libertés des citoyens européens et une possible mise en cause de l’accord « Privacy Shield », le bouclier vie privée (2). En réalité, le Cloud Act sert simplement rétablir une situation qui existait avant la décision de la Cour d’appel américaine dans l’affaire Microsoft. Cette décision de 2016 de la Cour d’appel de Manhattan contredisait d’autres décisions qui estimaient qu’un juge pouvait ordonner la communication de toutes données sous le contrôle direct ou indirect de l’entreprise en cause, peu importe la localisation des serveurs (3). En raison de cette décision «Microsoft » (4), la Cour suprême des Etats-Unis s’apprêtait à rendre une décision sur l’interprétation de cette disposition du code de procédure pénale. Le Congrès américain a réagi plus vite en adoptant le Cloud Act, lequel met fin donc à cette controverse.
Aux Etats-Unis comme en France, il existe deux corps de lois relatifs à la collecte de données par les autorités : en premier lieu, le code de procédure pénale qui régit les enquêtes criminelles ; en deuxième lieu, les dispositions sur la collecte de données dans le cadre des activités de renseignement. Aux Etats-Unis, ces dernières dispositions se trouvent dans le « code de l’espionnage et de la guerre ». En France, ces dispositions se trouvent dans le « code de la sécurité intérieure ». La controverse entre l’Europe et les Etats-Unis après l’affaire Snowden concernait les activités de renseignement (5). Après l’arrêt « Schrems » de la Cour de Justice de l’Union européenne (CJUE) (6), la Commission européenne et le gouvernement des Etats-Unis ont négocié des changements afin de garantir que les citoyens européens ne font pas l’objet d’une surveillance de masse et bénéficient de certaines garanties qui n’existaient pas auparavant. Ces garanties n’ont pas été abrogées par l’administration Trump et le mécanisme du « Privacy Shield » reste intact pour l’instant. Les dispositions du récent Cloud Act ne concernent pas ces activités de renseignements. Il s’agit uniquement d’enquêtes criminelles encadrées par le code de procédure pénale américain. Le Cloud Act concerne une partie de ce code qui permet à un juge saisi par le procureur d’ordonner à un fournisseur de services de communiquer des données relatives à une personne suspectée d’avoir commis un crime. C’est la même procédure que celle appliquée lorsqu’il faut fouiller la maison d’un suspect. Le niveau de preuves et de garanties des droits individuels est à son niveau le plus élevé, car le procureur doit démontrer l’existence d’un faisceau d’indices concordants indiquant qu’une personne identifiée a bien commis un crime et que les preuves se situent probablement à tel ou tel endroit. Un mandat de ce type ne peut être délivré afin d’« aller à la pêche » pour des renseignements.
La logique est complètement différente de celle applicable en matière de renseignements où l’objectif est justement d’aller à la pêche pour des signaux faibles indiquant la présence de menaces graves contre les intérêts de l’Etat. Les dispositions du code de procédure pénale amendées par le Cloud Act ne font aucune différence entre les citoyens américains et les autres. Par conséquent, un Européen qui est visé par une enquête criminelle aux Etats-Unis bénéficie des mêmes garanties qu’un Américain. En matière de renseignements, la situation est différente. A l’origine,
les lois sur le renseignement aux Etats-Unis accordaient moins de droits
aux personnes situées en dehors du sol américain. C’était l’un des points principaux qui posait problème dans l’affaire « Privacy Shield » et qui a poussé l’administration américaine à accorder plus de garanties aux Européens dans le contexte des activités de renseignements.

Documents localisés à l’étranger
Avant la décision de la Cour d’appel dans l’affaire Microsoft, la plupart des tribunaux américains admettaient la possibilité d’ordonner la production de documents sous le contrôle direct ou indirect du prestataire, peu importe la localisation physique des données. Ainsi, si le prestataire pouvait avoir accès aux documents, le juge estimait qu’il était légitime d’exiger leur communication, même si ces documents étaient localisés à l’étranger.
La Cour d’appel fédérale a pris le contrepied de cette jurisprudence en décidant que la loi sur les mandats de perquisition ne permettait pas à
un juge d’ordonner la communication de documents localisés à l’étranger. La Cour suprême s’est saisie de la question mais a mis fin à l’affaire lorsque le Congrès américain a adopté le Cloud Act qui précise justement que la localisation physique des serveurs n’est pas importante en matière de mandat de perquisition.

Droit international et accords bilatéraux
Il faut rapprocher cette disposition de l’article 57-1 du code de la procédure pénale en France, lequel précise que les réquisitions concernent les données situées à l’étranger dès lors qu’il existe un point d’accès autorisé
en France et que la mesure n’est pas en contradiction avec le droit international. L’article 18 de la convention du Conseil de l’Europe sur la cybercriminalité – à laquelle les Etats-Unis sont signataires – évoque également la possibilité d’ordonner la communication d’informations
« sous le contrôle » du prestataire. Cette convention permet à une autorité d’ordonner : « à une personne présente sur son territoire de communiquer les données informatiques spécifiées, en sa possession ou sous son contrôle, qui sont stockées dans un système informatique ou un support de stockage informatique ; et à un fournisseur de services offrant des prestations sur le territoire de la Partie, de communiquer les données en sa possession ou sous son contrôle relatives aux abonnés et concernant de tels services » .
Le Cloud Act rétabli la situation qui existait avec la décision de la Cour d’appel de 2016. Le débat dans chaque situation sera de savoir si les données sont « en la possession ou sous le contrôle » d’un prestataire.
Le deuxième apport du Cloud Act est de permettre la conclusion d’accords bilatéraux permettant aux autorités judiciaires de pays « amis » de pouvoir ordonner la communication rapide de documents sans passer par les procédures plus lourdes d’entraides judiciaires. En plus de la convention
du Conseil de l’Europe, les procédures d’entraides judiciaires actuelles s’appuient sur les accords bilatéraux de coopération dénommés MLAT (Mutual Legal Assistance Treaty). Le système actuel d’entraide judiciaire n’est plus adapté au volume d’affaires nécessitant de telles coopérations en matière de données. Un groupe de travail au niveau du Conseil de l’Europe planche sur le sujet, ainsi que la Commission européenne qui vient de proposer un règlement « e-evidence » – pour electronic evidence, ou preuves électroniques – pour faciliter l’accès aux données pour les juges.
Le Cloud Act s’inscrit donc dans cette tendance générale qui vise à trouver des mécanismes de coopération plus efficace entre autorités judiciaires, notamment pour les enquêtes sur les crimes les plus graves. Le Cloud Act permet aux opérateurs de communications électroniques et prestataires
de cloud de répondre à des requêtes judiciaires émises par un pays ayant conclu un accord avec les Etats-Unis.
Ces accords seraient autorisés uniquement avec des pays qui respectent les mêmes valeurs constitutionnelles que les Etats-Unis en matière d’enquêtes judicaires. Un tel accord est en négociation avec le Royaume-Uni et d’autres pays européens pourraient suivre. Pour un Européen, il paraît surprenant que les Etats-Unis insistent sur l’existence d’une protection adéquate en matière de libertés individuelles. Généralement, c’est tout le contraire : l’Europe reproche aux Etats-Unis l’absence de protection adéquate. Cependant, en matière d’enquêtes judiciaires, l’Europe et les Etats-Unis partagent à peu de choses près les mêmes systèmes de protection des individus. Aux Etats-Unis, ces protections découlent du 4e Amendement de la Constitution qui, depuis 1789, protège l’individu contre diverses formes de perquisitions par les autorités de police. Les règles de procédure dans le « Stored Communication Act » (7) et le Cloud Act respectent ces principes, et ne font aucune différentiation entre des citoyens américains et des citoyens européens. L’Europe et les Etats-Unis sont généralement sur la même longueur d’onde en matière d’enquêtes judiciaires, ce qui n’est pas le cas
en matière de renseignement où les suspicions européennes restent fortes. Et le droit international dans tout ça ? Le principe de « courtoisie internationale » (8) oblige chaque autorité à tenir compte de l’existence de lois étrangères et de s’efforcer d’éviter des conflits avec ces lois. Dans les procédures de discovery en matière civile, les juges américains reconnaissent de plus en plus l’importance des lois européennes en matière de protection des données à caractère personnel, et prennent ces lois en considération. Le Cloud Act inscrit le principe de courtoisie internationale dans la loi en matière de procédures pénales, mais uniquement à l’égard des accords bilatéraux de coopération.

Le RGDP : une barrière à la coopération ?
L’article 48 du règlement général sur la protection des données personnelles (RGDP, ou, en anglais GDPR), lequel est entré en vigueur depuis le 25 mai 2018, semble interdire tout échange de données en dehors d’une procédure d’entraides judiciaires. Selon la Commission européenne, cet article 48 n’est pas aussi catégorique et permet d’autres bases légales de transfert vers des autorités étrangères. Dans son amicus brief (9) devant la Cour suprême dans Etats-Unis, dans le cadre de l’affaire Microsoft, la Commission européenne a souligné que le RGPD tolérait des transmissions de données notamment sur le fondement de l’intérêt légitime ou de l’intérêt public. L’article 48 n’est donc pas une barrière infranchissable. @