Impact réel de la loi américaine de 2018 sur le CLOUD: Still Hazy | Dechert LLP

[co-author: Catherine Adams, Trainee solicitor]

Plus d’un an après la promulgation de la loi américaine «Clarifier l’utilisation licite de données à l’étranger» ou de la loi CLOUD,¹ des questions importantes restent sans réponse sur la loi et son impact potentiel sur les enquêtes globales impliquant des données stockées dans le cloud.

La loi CLOUD fait deux choses. Premièrement, il autorise explicitement les services répressifs américains à obtenir des données détenues par des fournisseurs de services de cloud computing («CSP»), quel que soit l’endroit où ces données sont stockées physiquement dans le monde. Deuxièmement, la loi crée un cadre pour la négociation de traités bilatéraux qui donnerait à d’autres pays la possibilité d’accéder aux données en nuage stockées par les CSP américains.

Au-delà de cela, une incertitude considérable subsiste quant à la manière dont la loi sera appliquée. En raison des circonstances entourant son adoption – la loi CLOUD a été incluse dans un projet de loi de dépense d'urgence adopté par le président Trump pour éviter une fermeture du gouvernement fédéral – il n'y a pas d'antécédents législatifs, pas d'audiences de comités ni de rapports publiés, et pas de débat en ce qui concerne la loi. Et la loi elle-même ne contient aucune obligation de déclaration concernant l’utilisation des pouvoirs étendus par les forces de l’ordre ou les négociations de traités avec des gouvernements étrangers.

À ce jour, aucun tribunal américain n’a rendu d’avis clarifiant ces questions.² Il est intéressant de noter que le ministère de la Justice des États-Unis a récemment publié un livre blanc sur la loi CLOUD, davantage axé sur ce que la loi ne fait pas faire que ce qu'il fait. Par exemple, selon le livre blanc, la loi ne fait pas étendre l'autorité d'enquête ou la juridiction américaine, imposer aux autres pays des procédures judiciaires américaines, autoriser le gouvernement américain à obtenir de «nouvelles» données qui ne sont pas encore à la portée de la loi, ou voler des secrets commerciaux de sociétés étrangères.³ Ce thème «Nous appartenons au gouvernement et à l’aide» est repris dans la couverture plus générale de la blogosphère sur la loi CLOUD.

L’autodéclaration volontaire des DSP nous apprend que les CSP américains reçoivent un nombre sans précédent de demandes de procédures judiciaires (rapportés ici dans un format consolidé pour la première fois). Il n’est pas clair si cette augmentation est liée à la loi CLOUD ou au simple fait que des volumes croissants de données commerciales et personnelles sont stockées dans le Cloud. Nous savons également que les États-Unis et le Royaume-Uni négocient actuellement en vue de l’élaboration d’un traité sur le CLOUD Act et que le Royaume-Uni a adopté une loi similaire au CLOUD Act de l’année dernière pour permettre la conclusion d’un tel accord.

Compte tenu de ces incertitudes et de ces développements, ainsi que du mouvement massif des données vers le stockage en nuage, nous avons jugé bon de prendre du recul et de donner un aperçu des principaux problèmes rencontrés par les entreprises mondiales qui tentent de naviguer avec succès dans beaucoup de ces zones relativement inexplorées. Les sujets clés de cette mise à jour incluent:

• Un bref résumé (nous promettons) du résumé de la loi CLOUD;
• Aperçu des problèmes laissés en suspens par la loi CLOUD;
• Autodéclaration par les CSP américains;
• Une analyse du nouveau livre blanc du MJ;
• Les réponses mitigées des pays européens à la loi CLOUD; et
• Questions à surveiller en 2019 et au-delà

Que fait la loi CLOUD?

La loi CLOUD apporte deux modifications importantes au droit américain. Premièrement, il étend la portée explicite de l’application de la loi américaine aux données stockées dans le nuage. La loi Stored Communication Act («SCA») permet aux services répressifs américains d’exiger des informations sur les clients des fournisseurs de services de communication, y compris le contenu des communications électroniques, mais la loi n’indique pas clairement si cette autorisation est étendue aux données stockées en dehors des États-Unis.⁴ La loi CLOUD donne désormais aux responsables de l’application de la loi fédéraux et des États le pouvoir explicite de délivrer des assignations à comparaître, de demander des mandats ou des ordonnances judiciaires obligeant les CSP soumis à la juridiction américaine à conserver et à produire des données partout où les CSP décident de les stocker globalement. Voir "Prévision de l'impact de la nouvelle loi américaine CLOUD".

La loi CLOUD introduit également un nouveau mécanisme d'application de la loi transfrontalière avec les «gouvernements étrangers qualifiés» («QFG»). Une fois certifiés en tant que tels, les QFG obtiennent plusieurs privilèges, dont le plus important est que la loi autorise les CSP américains à se conformer aux demandes des QFG en matière d’application de la loi qui violeraient la loi américaine sans aucune surveillance du gouvernement américain ou devant s’appuyer sur des demandes de MLAT. .⁵

Pour être reconnus en tant que QFG, les pays doivent d'abord remplir une liste de critères pour s'assurer qu'ils disposent de lois «adéquates» en matière de droits de l'homme, de libertés civiles, de cybercriminalité et de collecte de données gouvernementales. Le gouvernement étranger doit ensuite conclure un accord bilatéral avec le gouvernement américain. La loi spécifie une liste exhaustive de dispositions que l’accord doit inclure – principalement pour empêcher le ciblage des personnes américaines et limiter la manière dont le gouvernement étranger stocke et utilise les données qu’il acquiert. Une fois qu'un accord est conclu, il doit être certifié par le procureur général et secrétaire d'État et envoyé au Congrès, qui dispose d'un délai de 90 jours pour opposer son veto à l'accord. Voir "Prévision de l'impact de la nouvelle loi américaine CLOUD".

Les QFG bénéficient de deux autres avantages. Tout d’abord, lorsque les forces de l’ordre américaines recherchent des données stockées dans la juridiction du QFG, les CSP peuvent notifier cette demande aux QFG même si un tribunal américain a ordonné au CSP de garder la demande secrète en vertu de l’article 18 U.S.C. § 2705 (b)) du SCA. Deuxièmement, les QFG peuvent limiter ou annuler les demandes des services répressifs américains qui sont en conflit avec le droit interne du QFG. Voir "Prévision de l'impact de la nouvelle loi américaine CLOUD".

Plusieurs autres caractéristiques de la loi méritent d’être soulignées:

• La loi CLOUD n'impose aucune nouvelle exigence aux CSP vis-à-vis des gouvernements étrangers; c'est simplement les permis qu'ils coopèrent avec les QFG s'ils le souhaitent.
• La loi CLOUD ne confère aucun droit au créateur ou au propriétaire des données. La loi n'impose jamais aux fournisseurs de services de sécurité ou aux gouvernements étrangers de divulguer les demandes de données au client. La loi ne prévoit pas non plus de mécanisme permettant au client de contester les demandes émanant de gouvernements américains ou étrangers.
• La loi ne définit pas le «nuage» ni les «services en nuage», mais reprend les définitions existantes de la loi de 1986 sur la confidentialité des communications électroniques, voir 18 U.S.C. §§ 2510 (12), qui ont été interprétés de manière large par les tribunaux américains pour s’appliquer au courrier électronique, à la messagerie instantanée, à la visioconférence, aux appels sans fil, au stockage de données à distance ou de sauvegarde, ainsi qu’à l’hébergement ou au traitement dans le cloud.
• La loi n'impose aucune obligation de transparence ou de rapport au procureur général ou au département d'État en ce qui concerne les négociations avec les gouvernements étrangers souhaitant obtenir le statut de QGF au titre de la loi, à l'exception de la certification finale par le Congrès. Cela signifie que le public américain peut ne pas avoir connaissance d'un accord potentiel avec un QFG avant qu'il ne soit déjà signé
• On ne sait pas ce qui se passera lorsqu'une demande de données extraterritoriale est en conflit avec la loi du pays où les données sont stockées. La loi CLOUD permet aux CSP de contester des assignations à comparaître contraires aux lois des QFG uniquement. Dans d'autres contextes, les tribunaux ont appliqué l'analyse de la courtoisie de common law aux assignations à comparaître contraires au droit étranger. Voir, par exemple, États-Unis v. Field, 532 F.2d 404, 407 (5th Cir. 1976). Il est possible que les tribunaux américains adoptent une approche similaire en ce qui concerne les assignations à comparaître aux termes de la loi CLOUD, mais il est également possible que le fait que cette loi soit distinguée des QFG signifie que les lois des autres pays ne bénéficient pas de tels aménagements.

Auto-déclaration CSP

Les «cinq grands» CSP (Amazon, Apple, Facebook, Google et Microsoft) divulguent actuellement publiquement le nombre de demandes d'application de la loi qu'ils reçoivent. Ces divulgations sont purement volontaires (non requises par la loi CLOUD) et sont peut-être effectuées afin que les CSP puissent démontrer leur engagement à protéger la confidentialité des clients, même face à une procédure judiciaire opposée aux forces de l’ordre américaines. Comme le montre le graphique ci-dessous, ces rapports montrent que les CSP ont reçu beaucoup plus de demandes de procédures judiciaires en 2018 qu'en 2017. Il est difficile de dire quelle part de cette croissance est due à l'augmentation du nombre de demandes de données stockées à l'étranger par les CSP américains, car ces demandes avaient également augmenté. augmente régulièrement sur une base annuelle au cours des trois années précédant l’adoption de la loi CLOUD.

En outre, ces rapports ne révèlent pas en quoi la loi CLOUD a modifié la manière dont les CSP répondent aux demandes du gouvernement. Par exemple, bien que certains rapports indiquent la fréquence à laquelle les CSP contestent les demandes du gouvernement, ils n'indiquent pas combien de ces défis sont basés sur des conflits potentiels avec le droit étranger. Une recherche dans les dossiers de tribunaux disponibles au public ne permet pas de savoir si les CSP ont déjà contesté ces contestations – bien qu'il soit possible que certaines d'entre elles aient été faites sous scellés.

DOJ Livre blanc

Le nouveau livre blanc du ministère de la Justice fournit quelques indications sur la manière dont le ministère de la Justice interprète la loi CLOUD, bien que celle-ci ne traite pas nombre des questions les plus importantes soulevées ci-dessus. Il est également important de comprendre que ces livres blancs – s'ils doivent être considérés comme des «documents d'orientation» – sont purement informatifs, ne relèvent pas du niveau de réglementation ou de règle et ne sont pas juridiquement contraignants pour le Département.⁶

Le livre blanc semble avoir pour objectif premier d’expliquer pourquoi la loi CLOUD est une bonne chose et d’apaiser les inquiétudes du public, des CSP ou des gouvernements étrangers sur la loi. Ainsi, une grande partie du livre blanc et de la FAQ qui l'accompagne met davantage l'accent sur ce que la loi CLOUD ne fait pas que sur ce qu'elle fait.

Dans les avantages de la loi, le livre blanc présente la loi CLOUD comme un moyen plus efficace de gérer les réalités informatiques du XXIe siècle sans les inconvénients du processus de la MLAT tout en protégeant les libertés civiles. Le Livre blanc rappelle également la position du gouvernement selon laquelle la loi était nécessaire pour que les États-Unis se conforment à la Convention internationale sur la cybercriminalité, également connue sous le nom de Convention de Budapest.⁷

On pourrait penser que le Livre blanc promet davantage d’assurances qu’il ne peut en fournir. Par exemple, alors que le livre blanc vante les avantages des accords entre cadres supérieurs avec les QFG,⁸ les avantages réels dépendront des termes et conditions des accords exécutifs eux-mêmes, dont aucun n'existe encore. Et bien que le livre blanc indique que la loi est «neutre en matière de cryptage» (autrement dit, elle n’oblige pas les fournisseurs de services de sécurité à décrypter les données des clients), la loi elle-même ne précise pas le cryptage. Ainsi, le caractère totalement neutre de la loi en matière de cryptage peut dépendre de la manière dont il est interprété par les tribunaux et / ou des termes des accords spécifiques conclus avec les QFG par le pouvoir exécutif, ce qui n’est guère une recette pour des normes de données mondiales uniformes.

En ce qui concerne les effets de la loi, le livre blanc ne dit pas grand chose sur la manière dont la loi sera mise en œuvre, si ce n’est ce que prévoit la loi elle-même. Mais cela clarifie trois limitations importantes. Premièrement, le livre blanc explique que la loi n’a pas modifié les exigences juridictionnelles préexistantes,⁹ ce qui signifie que bien que la loi clarifie ce Les données le gouvernement peut chercher, il ne s'étend pas qui le gouvernement peut le chercher. Ainsi, par exemple, un fournisseur de services de certification canadien ne desservant que des clients non américains avec des données stockées au Brésil reste hors de la portée des forces de l’ordre américaines, sans un traité séparé. Deuxièmement, le livre blanc précise que la loi n'oblige pas les fournisseurs de services de communication à partager des données avec des gouvernements étrangers, même les QFG, mais supprime simplement un conflit de lois potentiel s'ils le souhaitent ou s'ils sont obligés de le faire par une loi étrangère.^dix Cependant, encore une fois, il reste à voir si les accords exécutifs pourraient imposer des exigences supplémentaires aux CSP américains.

Troisièmement, le Livre blanc est d’avis que des conflits avec le droit étranger, même non-QFG, peuvent préempter le processus juridique américain. Bien que la loi CLOUD permette aux QFG de contester les procédures judiciaires en conflit avec leurs lois, il reste à déterminer si une analyse conflits / courtoisie serait autorisée lorsque la demande américaine est en conflit avec les lois d’un non-QFG. Le Livre blanc soutient que même en l’absence d’un tel accord, les tribunaux sont habilités à procéder à une analyse de courtoisie et à une analyse des conflits et à potentiellement limiter ou modifier la demande américaine.¹¹ Mais rien dans la loi n'oblige les tribunaux à le faire, et, comme indiqué précédemment, la question de savoir si un tel test est implicite dans la loi reste une question ouverte, d'autant plus que la loi prévoit un mécanisme permettant de contester les assignations à comparaître contraires à la loi. des QFG uniquement.

Réponses mitigées des pays européens

Comme indiqué ci-dessus, l'une des principales questions relatives à la loi CLOUD est de savoir combien de gouvernements étrangers choisiront (ou pourront) demander le statut de QFG. Parce que la loi CLOUD impose aux GFQ de respecter les normes des droits de l'homme et des libertés civiles, bon nombre des GFK les plus probables se trouvent en Europe. Les réactions réelles des pays européens ont toutefois été nettement mitigées. Jusqu'à présent, aucun pays n'a été reconnu comme QFG et seul le Royaume-Uni est en train de prendre des mesures pour le faire.

Depuis 2015, avant même l’adoption de la loi CLOUD, des représentants des États-Unis et du Royaume-Uni avaient engagé des négociations en vue de la conclusion d’un accord de coopération accordant des droits réciproques de demande de données électroniques aux CSP.¹² La loi CLOUD a mis en place la législation requise aux États-Unis pour donner effet à un tel accord.¹³ Le Royaume-Uni a récemment adopté une loi analogue, la loi sur la COPO (loi sur les productions d'outre-mer), qui aligne le Royaume-Uni sur le régime de données en nuage aux États-Unis. À l'instar de la loi CLOUD, la loi COPO permettra aux autorités britanniques d'obtenir des données électroniques des CSP de pays étrangers, s'il existe un accord de coopération internationale désigné («DICA»), et pourrait permettre à ces pays étrangers d'accéder aux données stockées dans la base de données. Royaume-Uni.¹⁴

Les perspectives pour un UK-U.S. La législation de l’Union européenne a également un impact sur le respect de cet accord, car le règlement général sur la protection des données de l’UE interdit le partage de données avec des gouvernements étrangers. La Commission européenne cherche également à obtenir un mandat pour négocier un traité sur la preuve électronique avec les États-Unis,¹⁵ ce qui rend peu probable que d’autres États membres essaient de faire de même. Même si le Brexit se produit, le gouvernement britannique a annoncé son intention de faire adopter un projet de loi sur la protection des données à l'image du GDPR après le Brexit.¹⁶ Cela soulève d'autres questions sur la possibilité d'une DICA avec les États-Unis, même si le Royaume-Uni quitte l'UE.

Aucune négociation en vertu de la loi CLOUD avec des pays autres que le Royaume-Uni n'a été rapportée, bien qu'il soit possible que ces négociations se déroulent à huis clos, car le gouvernement des États-Unis n'est pas obligé de les divulguer.

Un rapport rédigé principalement par le député de l'Assemblée nationale française, Raphaël Gauvain, pour le Premier ministre Edouard Philippe, présente une vision très différente de la loi américaine CLOUD.¹⁷ Avec plus d'une centaine de pages et de plaintes historiques et récentes concernant l'application extraterritoriale du droit américain et du protectionnisme judiciaire, ainsi que de préoccupations relatives à la vulnérabilité des entreprises françaises et de leurs données au regard de la loi CLOUD aux forces de l'ordre américaines, le rapport Gauvain propose une augmentation massive du nombre d'entreprises. et amendes personnelles pour violation de la prétendue loi française sur le blocage, création d'un privilège juridique protégeant les communications juridiques internes contre toute divulgation lors de procédures étrangères et extension de la protection de la vie privée du RGPP aux données créées par des personnes morales. Bien que le rapport Gauvain ne reflète pas nécessairement les vues du gouvernement français, il souligne la profonde méfiance et la méfiance à l'égard de la loi CLOUD dans les pays de droit civil et l'incertitude de chercher à obtenir le statut de QFG.

En résumé, il est difficile de savoir quels pays, le cas échéant, deviendront des GFQ dans un avenir proche.

Conclusion et enjeux à surveiller en 2019 et au-delà

Comme le montre clairement cette mise à jour, l'impact réel de la loi CLOUD ne manque pas de questions. À ce titre, nous surveillerons et rendrons compte (le cas échéant) des problèmes suivants:

• Les tribunaux américains autoriseront-ils la contestation par la courtoisie des citations à comparaître dans lesquelles le respect serait incompatible avec les lois d'un autre pays non certifié QFG?
• Constaterons-nous des tendances significatives dans les demandes d'application de la loi utilisant la loi CLOUD ou des difficultés accrues des fournisseurs de services de sécurité à ces demandes?
• Est-ce que d'autres gouvernements seront intéressés à devenir des QFG?
• Le gouvernement français adoptera-t-il et donnera-t-il suite aux propositions législatives énoncées dans le rapport Gauvain?
• Un accord américano-britannique en vertu de la loi CLOUD sera-t-il concrétisé? Et plus généralement, que signifieront le Brexit et le GDPR pour le partage de données entre les États-Unis et le Royaume-Uni?

Notes de bas de page

1) Le texte complet de la loi est disponible ici. Vous trouverez une analyse détaillée de l’histoire et des mécanismes de la loi CLOUD ici.

2) Nous n'avons connaissance que de deux opinions judiciaires citant la loi CLOUD. Premièrement, peu après l’adoption de la loi, la Cour suprême a rejeté le Microsoft Corp. c. États-Unis cas, qui a examiné si le gouvernement pouvait assigner des CSP pour les données stockées à l’étranger, en concluant que la loi CLOUD rendait le cas théorique. Voir ici. La seconde, une affaire de tribunal fédéral de district de Columbia, a brièvement passé en revue la loi afin d’analyser l’utilisation par le Congrès des mots «warrant» et «assignation» dans une loi différente. Mémorandum Opinion, In re Application of Leopold, n ° 13-mc-00712 (D.D.C. 26 février 2018).

3) Ministère américain de la justice, promotion de la sécurité publique, de la protection de la vie privée et de l’état de droit dans le monde: objet et impact de la loi CLOUD (2019) [hereinafter “DOJ White Paper”], disponible ici.

4) C’était le problème présenté dans Microsoft c. États-Unis. Le MJ a signifié un mandat d'arrêt à Microsoft pour obtenir des informations sur le compte et les courriers électroniques de l'un de ses clients. Microsoft a fourni les informations de compte de l’utilisateur stockées sur des serveurs aux États-Unis, mais a refusé de remettre les courriers électroniques eux-mêmes, car ils étaient stockés sur un serveur en République d’Irlande. Microsoft a fait valoir que la SCA s’appliquait uniquement aux données stockées aux États-Unis, tandis que le gouvernement faisait valoir que la SCA s’appliquait à toutes les données détenues par les CSP américains, quel que soit le lieu où elles étaient réellement conservées. La loi CLOUD est devenue loi avant que la Cour suprême des États-Unis ne se soit prononcée dans la Microsoft Cas. Après l’adoption de la loi, l’affaire a été classée sans suite. Voir ici.

5) Le SCA interdit aux fournisseurs de services de communication de partager les données des clients avec des tiers, y compris des gouvernements étrangers. Avant la loi CLOUD, pour obtenir des données sous le contrôle de fournisseurs américains, un gouvernement étranger aurait besoin d’un MLAT. Cela reste le statu quo pour les gouvernements étrangers qui ne sont pas des QFG.

6) Les dispositions actuelles du manuel du MJ concernant les documents d'orientation des agences indiquent clairement qu'elles ne créent aucun droit ni obligation légaux et n'ont aucun effet juridiquement contraignant sur le ministère. Voir Manuel du MJ, § 1-19.000 Limitation de la délivrance de documents d'orientation. Aucune des clarifications prescrites dans les sections 1-19.000 n’est incluse dans le livre blanc CLOUD Act.

7) Livre blanc du DOJ, p. 2. Le gouvernement a avancé le même argument dans le Microsoft Cas. Voir Mémoire pour les États-Unis, Microsoft c. États-Unis, n ° 17-2.

8) Voir DOJ Livre blanc à 5.

9) Id. à 8.

dix) Id. à 5.

11) Id. à 15-16.

12) Briefing de la bibliothèque de la Chambre des lords: projet de loi sur les infractions pénales (ordonnances de production à l'étranger) [HL]5 juillet 2018.

13) Document d'information de la Chambre des communes: Projet de loi sur la criminalité (ordonnances de production à l'étranger) [HL]30 novembre 2018.

14) La loi va plus loin – Le Royaume-Uni introduit des ordres de production à l'étranger, Dechert OnPoint, 7 mars 2019.

15) Voir Commission européenne, Questions et réponses: Mandat pour l'UE-États-Unis. coopération en matière de preuve électronique (5 février 2019), disponible ici.

16) Département «Sortir de l'Union européenne: L'échange et la protection des données à caractère personnel – Document de partenariat futur, 24 août 2017». disponible ici.

17) Raphaël Gauvain, Claire D’Urso, Alain Damais et Samira Jemal, Restaurer la souveraineté de la France et de l’Europe et protéger nos entreprises contre les lois et les mesures à portée extraterritorialeRapport présenté à la demande de M. Edouard Philippe (Premier ministre), 26 juin 2019, Assemblée nationale, France. Le rapport complet peut être trouvé ici.