L'extraterritorialité du Cloud Act à la lumière du projet européen E-evidence

Le Cloud Act a été vigoureusement critiqué pour son extraterritorialité et la menace qu'il fait peser sur le droit à la protection des données personnelles. Une analyse attentive de cette loi conduit toutefois à nuancer les positions radicales jusqu'alors exprimées.

Il faut également noter que la proposition de la Commission européenne d'avril 2018 de règlement "E-evidence" repose sur des mécanismes similaires.
Promulgué par le président américain le 23 mars 2018, le Cloud Act donne la possibilité aux autorités américaines d’exiger des prestataires de services électroniques, dans le cadre de procédures pénales, la divulgation de données, et ce, quelle que soit la localisation des serveurs où elles sont stockées. Cette dimension extraterritoriale a suscité de nombreuses critiques mais une analyse attentive de cette loi conduit toutefois à les nuancer. On peut d’ailleurs relever qu’il y a plusieurs similarités entre le Cloud Act et la proposition de la Commission européenne d’avril 2018 de règlement relatif à l’accès aux preuves électroniques en matière pénale (projet "E-evidence") qui instaure une procédure d’injonction européenne de production et de conservation de données. Ce projet n’indique pas que les seules données localisées dans l’UE peuvent être sollicitées et il s’applique dès lors aux données que les prestataires stockent aussi à l’étranger. 
Il faut en premier lieu relativiser le critère du lieu de stockage des données qui est en général inconnu des autorités lorsqu’elles sollicitent leur divulgation dans le cadre d’une enquête pénale. Les données sont fragmentées, dispersées et dupliquées par les prestataires sur plusieurs serveurs localisés dans des États différents, parfois selon des processus algorithmiques. La territorialité des données est le plus souvent déconnectée de la réalité des relations sociales dans le cadre desquelles elles sont générées et exploitées. Il faut distinguer, d’une part, la conduite litigieuse qui fait l’objet des poursuites et qui doit avoir un lien avec l’État exerçant sa compétence pénale et, d’autre part, les données permettant de caractériser les faits constitutifs de l’infraction. 
Google dispose par exemple de huit data centers aux États-Unis, quatre en Europe, deux en Asie et un au Chili. Un utilisateur de Google vivant sur le continent africain ne peut avoir ses données stockées dans son État de résidence. Si l’on s’en tient au seul critère formel du lieu de stockage, un État souhaitant y accéder dans le cadre d’une procédure pénale serait obligé d’activer des procédures d’assistance judiciaire. Il en découlerait une inégalité entre États difficilement justifiable : ceux sur le territoire desquels sont localisés les serveurs des principaux prestataires auraient davantage la possibilité d’obtenir directement la communication des données tandis que les autres devraient emprunter des procédures plus longues qui entravent l’efficacité de leur justice. Du privilège numérique découlerait donc un privilège juridique. 
Soulignons aussi que le périmètre des prestataires visés par le Cloud Act pourrait ne pas se limiter aux sociétés américaines et leurs filiales à l’étranger (par exemple Google, Microsoft, Facebook, etc.). Si l’exposé des motifs de la loi fait référence aux prestataires "subject to the jurisdiction of the United States", il n’est pas exclu que pourraient être concernées les sociétés européennes qui ont une filiale aux États-Unis de même que celles qui y conduisent des activités en ciblant le marché américain. Il est donc risqué de considérer qu’opérer seulement avec des prestataires exclusivement implantés dans l’UE permet d’être immunisé du Cloud Act. Afin de ne pas être atteint par cette législation, ceux-ci devraient également s’isoler radicalement du marché américain.
La proposition de règlement E-evidence procède de la même démarche. Le texte indique en effet qu’il "s’applique aux fournisseurs de services qui proposent des services dans l’Union" (Article 3.1). Son champ d’application personnel n’est donc pas limité aux seuls prestataires ayant une société établie dans un État membre. D’ailleurs, en imposant une obligation aux fournisseurs étrangers qui proposent des services dans l’UE d’y désigner un "représentant légal" vers lequel les demandes seront dirigées, ce dispositif créerait de toutes pièces un élément de rattachement territorial qui n’existait pas à l’origine. Belle astuce pour ne pas être taxé d’extraterritorialité !
Il convient également de préciser que le Cloud Act ne consacre pas un droit immédiat d’accès aux données au bénéfice des autorités américaines. Dans l’hypothèse de la conclusion d’un accord bilatéral (executive agreement) entre les États-Unis et l’autre État concerné, cette loi permet aux prestataires de s’opposer aux demandes de divulgation, en particulier lorsque cela impliquerait de se placer en contravention avec le droit d’un État étranger et de s’exposer à des sanctions (comity analysis– 18 USC §2703(h)). En l’absence d’un tel accord, le texte précise que les standards de la jurisprudence fédérale en matière de comity analysis restent applicables et l’analyse conduite par les juridictions américaines serait similaire. Dès lors, les prestataires pourraient s’opposer aux demandes des autorités américaines en faisant valoir les risques de violation du Règlement général sur la protection des données (RGPD) ou de la loi de blocage française du 26 juillet 1968.
Le projet E-evidence repose sur des considérations analogues. Il envisage la situation où le destinataire de l’injonction considère que sa mise en œuvre serait contraire aux lois applicables d’un pays tiers interdisant la divulgation des données et une procédure "d’objection motivée" est d’ailleurs prévue (Article 15.3). Cette évaluation repose sur des critères proches de ceux de la comity analysis des juridictions américaines et aurait pour fonction de tenir compte, et si besoin d’atténuer, les effets extraterritoriaux du futur règlement E-evidence.   
En définitive, on peut faire au projet E-evidence certains des reproches, souvent excessifs, adressés au Cloud Act. Plutôt qu’une hostilité de principe et finalement improductive, il faudrait davantage envisager ces deux textes comme une opportunité pour l’UE et les États-Unis afin de poser les jalons d’un dispositif multilatéral qui reste encore à élaborer sur la question de l’accès aux preuves électroniques.