Qu’on ne s’y méprenne pas, le Cloud Act, adopté par le Sénat américain le 6 février 2018, n’a pas vocation à réglementer les activités de cloud. Cet acronyme trompeur devient davantage compréhensible lorsque l’on sait qu’il s’agit du Clarifying Lawful Overseas Use of Data Act. Reste que sa portée n’a rien à voir par exemple avec le programme Echelon1. Le Cloud Act amende le titre 18 du US Code consacré aux règles fédérales en matière pénale et de procédure pénale et plus particulièrement le chapitre 21 de ce titre consacré à l’accès aux données communiquées ou stockées par des prestataires IT, accès en principe interdit aux tiers. Le Cloud Act a donc pour objet de renforcer l’accès aux données électroniques détenues par les prestataires IT en dehors des Etats-Unis (on retrouve ici un lien avec le cloud…), lorsqu’il s’agit de lutter, et donc de poursuivre, les crimes. Si le Cloud Act vise expressément le terrorisme, il ne s’agit pas de la seule forme de criminalité visée.
Par Gilles Kolifrath, avocat, et Eric David, avocat, Kramer Levin
D’ailleurs, le Cloud Act a été adopté suite à un arrêt d’une cour d’appel de New York faisant droit aux demandes de Microsoft visant à l’autoriser à refuser de communiquer aux autorités de poursuites des données stockées en Irlande concernant un ressortissant non américain poursuivi pour une affaire de stupéfiants. Nul doute que les infractions des cols blancs sont également concernées. Au regard des grandes affaires de corruption ou de sanctions financières internationales qui opposent parfois les Etats-Unis et l’UE, on comprend les interventions multiples, et en dernier lieu celle du ministre de l’Economie devant l’Assemblée nationale le 15 janvier 2019, déclarant que «Nous sommes en train, avec le Premier ministre, de travailler à un dispositif de protection des données stratégiques de nos entreprises pour qu’elles ne puissent pas être récupérées par l’administration américaine ou par la justice américaine sans qu’elles soient averties». Il s’agit donc d’empêcher que les autorités des Etats-Unis puissent, à l’occasion de la lutte contre les infractions économiques et financières commises par les entreprises, accéder à des données stratégiques, voire d’ériger un obstacle à l’application extraterritoriale du droit américain (comme par exemple s’agissant des sanctions mises en place par les Etats-Unis à l’encontre des investisseurs en Iran).
Ces craintes affichées sont-elles pour autant justifiées ?
Le Cloud Act rappelle qu’il est avant tout une réponse aux problèmes rencontrés dans les investigations internationales. En effet, la...
