Cloud Act

Cloud Act est l'acronyme de Clarifying Lawful Overseas Use of Data Act. Trop forts ces ricains pour les acronymes (presque aussi bien que Patriot Act). A l'instar du Patriot Act, ou dans le même esprit que le RGPD, il devrait permettre une collaboration plus facile dans les requêtes judiciaires.

L'objet du délit

Si je comprends bien, le but de cette loi est essentiellement de faciliter l'échange de données entre pays (comprenez : entre les Etats-Unis et le reste du monde) via des accords bilatéraux ou multilatéraux, dans le cadre d'affaires judiciaires graves. Cela se passera dans les deux sens, donc cela pourrait s'appliquer à des affaires du type Microsoft en Irlande[1], mais aussi pour un pays (respectant certains critères et ayant donc un accord avec les Etats-Unis) qui pourrait demander directement à un fournisseur de services US des données et autres informations personnelles sur une personne visée par une procédure judiciaire. Tout se jouera ensuite sur les conditions d'applications. Et le débat est largement ouvert aux Etats-Unis[2].

Au cours de son élaboration, ce texte a vite trouvé ses opposants[3] mais aussi ses souteneurs supporters, avec diverses analyses[4] allant dans les deux sens :

  • Les promoteurs du projet souhaitent un cadre réglementaire pour les requêtes judiciaires et administratives ;
  • Les détracteurs considèrent que cela mettait en péril la protection des données et de la vie privée.

Faites ce que je dis

Ce qui est amusant (si ça pouvait être drôle), c'est de voir que l'opposition au Cloud Act est surtout américaine, et que ses défenseurs agissent au nom des droits de l'homme (américain). Je me permets ce trait d'ironie, car les américains ont imposé plusieurs dispositions extra-territoriales très intrusives (au nom de la lutte anti-terroriste ou pour les impôts), mais alors qu'il s'agit de faciliter le travail de pays "amis" dans des affaires officielles (judiciaires ou administratives), on se montre beaucoup plus regardant[5]. Non pas que cela soit illégitime, mais l'absence d'un Cloud Act (éventuellement modifié et aménagé) ne ferait que prolonger le déséquilibre actuel et surtout l'inadaptation de nos lois et conventions internationales sur l'échange de données dans le cadre d'affaires judiciaires (ou plus si affinités).

Adoptons en douce

Fait. Le Cloud Act a été adopté subrepticement, via une ruse juridique, au cours du débat budgétaire, comme le regrette l'EFF[6] par exemple. En ce qui concerne l'affaire Microsoft[7], elle est devenue techniquement caduque mais nul doute qu'elle repartira de plus belle dès que le Cloud Act s'appliquera à l'Irlande.

Justement : va-ce s'appliquer ?

La réponse est (en avril 2018) : j'en sais rien. De prime abord, les dispositions du Cloud Act pourraient être en contradiction avec le Règlement Général sur la Protection des Données. On aura peut-être une réédition de l'affaire Safe Harbor, où la justice européenne a invalidé un dispositif législatif permettant l'échange de données (dans le cadre d'activités informatiques habituelles) avec les Etats-Unis.

Sources

Le texte est consultable ici, mais l'adresse peut n'être que temporaire, car le texte est toujours en discussion ici.

Références

  1. (en) Jennifer Daskal, « New Bill Would Moot Microsoft Ireland Case — And Much More! », sur Just Security, (consulté le 15 mars 2018)
  2. (en) Sharon Bradford Franklin, « Left Out of the Party on Cloud Nine: A Response to Jennifer Daskal », sur Just Security, (consulté le 15 mars 2018)
  3. (en) Camille Fisher, Electronic Frontier Foundation, « The CLOUD Act: A Dangerous Expansion of Police Snooping on Cross-Border Data », sur eff.org, (consulté le 14 mars 2018)
  4. (en) Joseph Marks et Heather Kuldell, « What to Know About the CLOUD Act », sur nextgov.com, (consulté le 14 mars 2018)
  5. (en) Robyn Greene, Open Technology Institute, « Skydiving Without a Parachute A Close Look at the CLOUD Act Shows It Lacks Essential Protections » [PDF],
  6. (en) David Ruiz, « Responsibility Deflected, the CLOUD Act Passes », sur eff.org, (consulté le 25 avril 2018)
  7. (en) « United States, Petitioner v. Microsoft Corporation » [PDF], (consulté le 23 avril 2018)