CLOUD Act : vers un changement de paradigme pour la détermination de la souveraineté sur le champ numérique ?

Alumni d’IRIS Sup’ en Géoéconomie, gestion des risques et responsabilité de l’entreprise et de Grenoble École de Management, Sara Benhadji s’est intéressée aux enjeux de souveraineté numérique dans le cadre de son alternance en Affaires publiques chez IBM. Elle y est désormais consultante en stratégie et fait partie du Conseil régional des Jeunes d’Île-de-France en parallèle.

Cet article est basé sur son mémoire de fin d’études à IRIS Sup’ portant sur « La souveraineté numérique européenne face au CLOUD Act » dirigé par Sylvie Matelly, directrice adjointe de l’IRIS.

« En 2018, les États-Unis adoptent le CLOUD Act, qui, dans le cadre d’une enquête judiciaire, permet aux autorités américaines de demander aux fournisseurs de services de communications soumis à la juridiction américaine, la production de données sous leur « possession, garde ou contrôle », et ce indépendamment de la localisation des dites données. Tandis que les États se sont historiquement construits sur le principe de territorialité (qui légitime leur autorité dans un périmètre géographique déterminé), le CLOUD Act remet en question l’idée d’une souveraineté numérique fondée sur le territoire. Aussi, en s’intéressant aux données dans le cloud, largement dominé par des fournisseurs américains, ce texte met en exergue une forme de dépendance technologique européenne.

Par ailleurs, l’importance accordée à la protection de la vie privée, la volonté de créer des acteurs forts du numérique, mais également l’expérience de certains abus comme l’affaire Snowden fait craindre en Europe un détournement du CLOUD Act sous couvert d’une enquête judiciaire.

Ces défiances sont alimentées par un certain nombre d’incertitudes juridiques contenues dans le texte. Par exemple, la notion de « possession, garde ou contrôle » est utilisée depuis des décennies dans les litiges pénaux et civils aux États-Unis, avec des interprétations judiciaires variant d’une affaire à l’autre. Il n’est donc pas possible de prévoir avec certitude comment les tribunaux interpréteront ces termes. Un certain nombre de garanties juridiques et procédurales compliquent fortement un usage détourné du CLOUD Act, mais elles ne rendent pas la divulgation de données totalement impossible.

En plus d’une provision extraterritoriale, le CLOUD Act prévoit également la possibilité pour le gouvernement américain de signer des accords bilatéraux avec des gouvernements étrangers. Ce sont les executive agreements. Ils autorisent les deux pays signataires à adresser leurs requêtes de données directement auprès des fournisseurs en cas d’enquêtes portant sur des « crimes graves ».

À ce jour, deux executive agreements ont été signés : l’un avec le Royaume-Uni en 2019, et l’autre avec l’Australie en 2021. Aussi l’échantillon est-il trop réduit pour pouvoir en inférer des tendances générales et anticiper la teneur d’un executive agreement avec l’Europe. On peut noter toutefois certaines asymétries d’exigence. Par exemple, l’accord britannique contient des restrictions de ciblage et des dispositions de minimisation inégales en fonction de critères tels que la nationalité et le lieu de résidence. En cas de requête britannique auprès d’un fournisseur basé aux États-Unis, le Royaume-Uni n’est pas autorisé à cibler les données d’une « U.S. person ». Les États-Unis ne sont pas tenus de la même exigence. L’accord australien, moins inégal, veille à instaurer un certain niveau de réciprocité pour l’acquisition, la conservation et la diffusion d’informations liées à des « Australian persons ». Ce périmètre est cependant moins restrictif que celui des « US persons ».

Un autre point important qu’il convient de souligner est que la signature d’un executive agreement ne prévient pas obligatoirement contre une utilisation unilatérale d’une provision du texte par les États-Unis. Les accords signés avec le Royaume-Uni et l’Australie spécifient que les procédures convenues ne sauraient être exclusives. Les États-Unis se réservent donc le droit de contourner certaines limitations prévues par l’executive agreement. Dans ce contexte, quel est donc l’intérêt pour un État de conclure un executive agreement avec les États-Unis ? Interrogé au sujet de l’accord signé avec le Royaume-Uni lors d’une conférence publique le DOJ a plaidé que les autorités britanniques étaient désormais en mesure d’accéder à des données de contenu hébergées par des fournisseurs américains. La signature d’un accord entre les États-Unis et l’Europe ne mettra donc pas nécessairement de point final au débat sur le CLOUD Act en Europe.

Si le texte est critiquable à de nombreux égards, il convient toutefois de prêter attention aux mutations dont il est le symptôme. En particulier : la nécessité croissante de partage de preuves transfrontières pour la résolution d’enquêtes pénales. Le CLOUD Act se veut l’instrument d’une simplification des méthodes de coopération judiciaire.

Jusqu’ici, les traités d’entraide judiciaire (MLAT) ont représenté le meilleur outil pour faciliter la collecte de données tout en respectant la compétence territoriale de chacun. Mais dans un contexte de numérisation des preuves, ces procédures se heurtent aujourd’hui à des limites. D’une part, des mois voire des années peuvent s’écouler avant que la procédure n’aboutisse, laissant le temps aux accusés de supprimer ou déplacer les preuves. D’autre part, l’augmentation du nombre d’enquêtes requérant l’accès à des preuves électroniques exerce une pression sur les services de justice américains. En effet, les États-Unis concentrant une grande partie des centres de données sur leur territoire, ils sont de fait impliqués dans la plupart des procédures de divulgation de données.

On peut également questionner l’approche retenue par les MLAT, qui se fonde sur la localisation des données pour identifier la juridiction compétente. Alors que les États-Unis concentrent 38% des capacités d’hébergement mondiales sur leur territoire, certains pays, en Afrique notamment, ne comptent que très peu, voire pas du tout de centres de données. Dès lors, comment s’assurer que cette fracture numérique ne se traduise pas en une fracture juridique et garantir à chaque État un exercice équitable de sa souveraineté ?

Aussi, si le CLOUD Act est parfois décrié en Europe, le projet E-evidence repose sur des mécanismes similaires. Des données hébergées à l’étranger peuvent théoriquement être la cible de demandes gouvernementales européennes puisque tout fournisseur proposant des services dans l’Union doit être soumis au texte.

CLOUD Act et projet E-evidence sont donc deux réponses unilatérales à une même problématique : celle de l’essoufflement des voies de coopération traditionnelles. Il est intéressant de noter qu’aucun des deux textes ne s’affaire à améliorer la procédure des MLAT. Au contraire, ils s’appliquent à fournir un cadre pour l’accès direct des autorités publiques aux données hébergées par les fournisseurs, suggérant ainsi que l’approche retenue par les MLAT serait dépassée.

Le CLOUD Act est donc le symptôme du besoin de coopération internationale pour répondre aux nouveaux enjeux de lutte contre la criminalité. Ce texte nous invite à repenser la souveraineté dans le champ numérique, au-delà du seul principe de territorialité. »

CONSULTER L’ARTICLE COMPLET