Surveillance numérique : le Cloud Act américain rend légale la saisie administrative des données à l'étranger

La protection de la vie privée et des données personnelles viennent-elles de reculer encore un peu plus par la grâce du président américain Donald Trump ? ce dernier vient de signer — en forme de pied de nez ? — quelques jours après l'entrée en vigueur du RGPD (règlement pour la protection des données personnelles) le Cloud Act (Clarifying Lawful Overseas Use of Data Act) : les forces de police, les agences gouvernementales, toute l'administration américaine au final, peuvent désormais  obtenir la saisie légale des emails ou tout autres documents et communications électroniques localisés dans les centres de données d'entreprises américaines (datacenter) situés à l'étranger. La liste est longue, mais Google, Apple, Microsoft, Amazon, Facebook, Twitter, IBM, Oracle sont bien entendu les premiers concernés par cette nouvelle loi. Et ils sont étonnament enchantés…

Mieux protéger le consommateur ? 

Les entreprises américaines multinationales du Net estiment que le Cloud Act est une avancée en matière de protection des consommateurs et de résolution des "conflits de droit". Le principe défendu par cinq d'entre elles — et non des moindres puisque ce sont Microsoft, Apple, Facebook, Google et Oath — est celui qui voudrait, en résumé, que la législation fournirait désormais des mécanismes pour informer les gouvernements étrangers lorsqu'une demande légale implique leurs résidents, et qu'il serait alors plus simple d'engager un recours juridique direct lorsque cela serait nécessaire.  Ce soutien des cinq grandes entreprises a été l'objet d'un courrier à destination des sénateurs américains en février dernier de leur part pour confirmer leur adhésion au futur Cloud Act, aujourd'hui actif :

"If enacted, the CLOUD Act would create a concrete path for the U.S. government to enter into modern bilateral agreements with other nations that better protect customers. Importantly, the legislation would require baseline privacy, human rights and rule of law standards in order for a country to enter into an agreement."

"Si elle était promulguée, la loi CLOUD créerait une voie concrète pour que le gouvernement des États-Unis conclue des accords bilatéraux modernes avec d'autres pays qui protègeraient ainsi mieux les clients. Point important à souligner, la législation exigerait des normes de base en matière de respect de la vie privée, de droits de l'homme et d'état de droit pour qu'un pays puisse conclure un accord."

Les association de protection des libertés crient au scandale

Jusqu'alors les échanges les échanges d’informations entre pays dépendaient des MLAT (Mutual Legal Assistant Treaty) des accords mutuels d’assistance juridique datant de 1986, négociés par les gouvernements et ratifiés par le Sénat aux Etats-Unis. Comme le souligne le site spécialisé NextINpact, la procédure comportait plusieurs étapes dont la dernière qui incluait une validation de la justice américaine : 

Le Cloud Act permet donc à l'exécutif américain de négocier avec d'autres gouvernements des accords bilatéraux pour des échanges d'informations stockées sur les serveurs des entreprises américaines, sans recourir à un juge pour faire valider les demandes, et inversement : les administrations étrangères ayant signé un accord Cloud Act pourront accéder aux données des citoyens américains. Quelques limites au Cloud Act : les saisies de données personnelles sont possibles seulement dans le cadre d’une enquête criminelle et doivent viser spécifiquement un individu ou un  compte. Ces données saisies ne doivent servir qu'aux fins de l'enquête qui déclenche cette procédure.

Malgré ces apparents gardes-fou, des associations de défense des libertés numériques et des ONG crient au scandale et s'inquiètent des possibiltés offertes par cette nouvelle disposition : l’ACLU (American Civil Liberties Union) craint que les États-Unis ne négocient avec des pays peu scrupuleux en matière de vie privée, comme par exemple… l'Egypte. L'exemple donné par l'ONG Freedom of the press sur un journaliste en Egypte utilisant une boite Gmail est particulirement parlant : Google donnera l'intégralité des mails sur simple demande du gouvernement égyptien si un accord Cloud Act est passé. Alors que l'on sait la répression qui est exercée à l'encontre des journalistes en Egypte, cette possibilité d'éviter toute institution ou système judiciaire pour laisser un exécutif saisir les données personnelles des citoyens fait froid dans le dos. L'EFF (Electronic frontier foundation), association pionnière de la défense des libertée sur Internet n'est pas moins critique envers le Cloud Act et va plus loin encore puisqu'elle dénonce une mise à bas du quatrième amendement de la Constitution américaine qui garantit aux citoyens d’être prévenus en cas d’enquête. Effectivement, avec le Cloud Act, seuls le président et deux de ses ministres (Procureur général et Secrétaire d’État) peuvent connaître les détails d'une enquête, qui par essence, avec cette disposition, sera parfaitement opaque…