I. Présentation géné­rale du US CLOUD Act

Le US CLOUD Act est une loi fédé­rale améri­caine adop­tée suite à une procé­dure judi­ciaire qui oppo­sait les auto­ri­tés améri­caines au Groupe Microsoft. Les auto­ri­tés améri­caines avaient exigé de Microsoft la commu­ni­ca­tion de cour­riels sauve­gar­dés sur des serveurs héber­gés par une société affi­liée à Microsoft en Irlande. Microsoft avait refusé au motif que les infor­ma­tions deman­dées n’étaient pas conser­vées sur sol améri­cain et échap­paient donc à la compé­tence des auto­ri­tés améri­caines. La juri­dic­tion d’ap­pel a confirmé l’ar­gu­men­ta­tion de Microsoft. Avant que la Cour Suprême des États-Unis n’ait eu l’oc­ca­sion de se pronon­cer sur cette ques­tion, le Congrès améri­cain a adopté le US CLOUD Act qui confère expres­sé­ment aux auto­ri­tés améri­caines un droit d’ac­cès sur des données héber­gées à l’étran­ger. Le US CLOUD Act complète le Stored Communications Act (le « SCA ») en vigueur depuis 1986.

Sur le plan des concepts, le US CLOUD Act est subdi­visé en deux parties, l’une ayant trait aux obli­ga­tions des entre­prises concer­nées (cf. Section 1 ci-après) et l’autre prévoyant la possi­bi­lité de conclure des execu­tive agree­ments entre les États-Unis et des pays tiers (cf. Section 2 ci-après).

1. US CLOUD Act – Partie 1

La première partie du US CLOUD Act oblige certains pres­ta­taires de services infor­ma­tiques qui disposent d’un lien avec les États-Unis à trans­mettre des données aux auto­ri­tés améri­caines (indé­pen­dam­ment du lieu d’hé­ber­ge­ment de ces données), pour autant que la procé­dure dans le cadre de laquelle ces données sont requises soit liée à des crimes graves (serious crimes). Dans ce contexte, plusieurs points méritent d’être précisés :

1. Le US CLOUD Act s’adresse aux four­nis­seurs (i) de services élec­tro­niques de commu­ni­ca­tion (elec­tro­nic commu­ni­ca­tion service provi­ders) et (ii) de services infor­ma­tiques à distance (remote compu­ting service provi­ders) (ces deux types de pres­ta­taires visés seront dési­gnés par le terme de « Prestataires IT » dans la présente note). D’une part, un four­nis­seur offre un service élec­tro­nique de commu­ni­ca­tion lors­qu’il donne la possi­bi­lité à ses utili­sa­teurs d’en­voyer ou de rece­voir des commu­ni­ca­tions élec­tro­niques. D’autre part, un four­nis­seur offre un service infor­ma­tique à distance lors­qu’il propose des services de stockage ou de trai­te­ment infor­ma­tique au moyen d’un système élec­tro­nique de commu­ni­ca­tion. Le champ d’ap­pli­ca­tion à raison de la matière du US CLOUD Act est donc large et inclut en parti­cu­lier les cloud service provi­ders tels qu’Amazon, Google et Microsoft.
2. Le US CLOUD Act concerne les Prestataires IT soumis à la juri­dic­tion améri­caine, à savoir prin­ci­pa­le­ment les entre­prises incor­po­rées aux États-Unis (pour toutes les données que ces entre­prises sont répu­tées « contrô­ler »), mais poten­tiel­le­ment égale­ment des entre­prises non-améri­caines qui disposent d’une filiale ou d’un autre type de présence stable sur sol améri­cain. Il appar­tient aux auto­ri­tés améri­caines de déter­mi­ner au cas par cas si une entre­prise étran­gère située en dehors des États-Unis est soumise à la juri­dic­tion améri­caine en raison de ses activités.
3. Le US CLOUD Act concerne les données « en posses­sion, sous la garde ou sous le contrôle » du Prestataire IT soumis à la juri­dic­tion améri­caine, indé­pen­dam­ment de la loca­li­sa­tion effec­tive de ces données :

« A provi­der of elec­tro­nic commu­ni­ca­tion service or remote compu­ting service shall comply with the obli­ga­tions of this chap­ter to preserve, backup, or disclose the contents of a wire or elec­tro­nic commu­ni­ca­tion and any record or other infor­ma­tion pertai­ning to a custo­mer or subscri­ber within such provi­der’s posses­sion, custody, or control, regard­less of whether such commu­ni­ca­tion, record, or other infor­ma­tion is loca­ted within or outside of the United States. » (Section 2713 (a) (1) du US CLOUD Act /​ nous mettons en évidence).

4. Finalement, l’on rappel­lera que la Suisse est partie à un accord inter­na­tio­nal, la Convention de Budapest, qui permet, en théo­rie, aux auto­ri­tés suisses de requé­rir des infor­ma­tions d’un pres­ta­taire de services loca­lisé à l’étran­ger et actif sur sol suisse (art. 18 de la Convention
   sur la cyber­cri­mi­na­lité) et donc d’exer­cer des préro­ga­tives simi­laires à celles prévues par le US CLOUD Act.

2. US CLOUD Act – Partie 2

La deuxième partie du US CLOUD Act traite de la possi­bi­lité pour les États-Unis de conclure avec d’autres États un execu­tive agree­ment, qui peut notam­ment régir les points suivants :

• Les États-Unis pour­raient requé­rir direc­te­ment (i.e., hors entraide) des données auprès d’un Prestataire IT ayant son siège dans l’État contrac­tant (même si ce Prestataire IT n’a pas de lien parti­cu­lier avec les États-Unis).
• A l’in­verse, l’État contrac­tant pour­rait requé­rir direc­te­ment (i.e., hors entraide) des données déte­nues par un Prestataire IT ayant son siège aux États-Unis, pour autant que ces infor­ma­tions ne concernent pas une US Person (personne rési­dente aux États-Unis ou de natio­na­lité américaine).
• Le Prestataire IT requis de four­nir les données dispo­se­rait de la possi­bi­lité de contes­ter, devant un tribu­nal améri­cain, la demande des auto­ri­tés améri­caines, pour autant que la personne concer­née ne soit pas une US Person. Dans un tel cas, le tribu­nal améri­cain procé­dera à une pesée des inté­rêts, en prenant en compte notam­ment (i) les inté­rêts des États-Unis, et parti­cu­liè­re­ment ceux de l’au­to­rité qui souhaite obte­nir les infor­ma­tions, (ii) les rela­tions entre la personne visée et les États-Unis, (iii) la proba­bi­lité d’une sanc­tion (dans l’État du Prestataire IT requis) ainsi que sa sévé­rité, (iv) la proba­bi­lité d’ac­cé­der aux données par d’autres canaux (e.g., l’en­traide inter­na­tio­nale) et (v) l’im­por­tance des données concer­nées pour l’en­quête (section 2713 (h) (3) du US CLOUD Act).

A l’heure actuelle, le seul execu­tive agree­ment en vigueur a été conclu entre les États-Unis et le Royaume-Uni le 3 octobre 2021. Depuis 2019, des négo­cia­tions seraient en cours entre les États-Unis et l’Union euro­péenne. Quand bien même les États-Unis souhai­te­raient que ces négo­cia­tions abou­tissent à un execu­tive agree­ment, il semble­rait que l’Union euro­péenne entend plutôt régler des problèmes d’ap­pli­ca­tion de sa légis­la­tion sur les preuves électroniques.

II. Compatibilité du US CLOUD Act avec le droit suisse

La ques­tion de la « compa­ti­bi­lité » du US CLOUD Act avec la légis­la­tion suisse concerne en premier lieu les Prestataires IT qui sont basés en Suisse et, poten­tiel­le­ment, soumis à une obli­ga­tion de divul­ga­tion d’in­for­ma­tions en raison de l’ap­pli­ca­tion extra­ter­ri­to­riale du US CLOUD Act. Cela étant dit, les entre­prises suisses qui confient des données (en parti­cu­lier des données person­nelles) à un Prestataire IT doivent égale­ment tenir compte de cette problé­ma­tique, dans la mesure où ces entre­prises suisses ont un rôle de data control­ler (respon­sable de trai­te­ment) qui assume une respon­sa­bi­lité règle­men­taire (art. 10a LPD et art. 9 nLPD) pour les acti­vi­tés de son data proces­sor (sous-trai­tant, typi­que­ment le Prestataire IT).

1. Compatibilité avec le droit suisse de la protec­tion des données ?

Le Rapport reflète certains points de fric­tion entre le US CLOUD Act et la LPD :

• Selon le prin­cipe de propor­tion­na­lité (art. 4 al. 2 LPD et art. 6 al. 2 nLPD), les droits de la personne concer­née doivent être préser­vés au mieux et un rapport raison­nable entre les fina­li­tés du trai­te­ment et les moyens utili­sés doit exis­ter. Le Rapport indique que la trans­mis­sion par le biais du US CLOUD Act ne consti­tue pas un moyen parti­cu­liè­re­ment respec­tueux des droits des personnes concernées.
• Ensuite, lors de la collecte de données, les fina­li­tés du trai­te­ment doivent être déter­mi­nées et recon­nais­sables pour la personne concer­née (art. 4 al. 3 et 4 LPD et art. 6 al. 3 nLPD). Comme l’in­dique le Rapport, la divul­ga­tion par le Prestataire IT de données person­nelles en réponse à une requête fondée sur le US CLOUD Act consti­tue une modi­fi­ca­tion de la fina­lité du trai­te­ment qui doit être commu­ni­quée à la personne concer­née. Or le US CLOUD Act prévoit que le Prestataire IT a, dans certains cas, l’in­ter­dic­tion de préve­nir la personne concer­née de la trans­mis­sion de ses données.
• Le US CLOUD Act entre égale­ment en conflit avec les règles rela­tives à la commu­ni­ca­tion trans­fron­ta­lière de données (art. 6 LPD et art. 16 à 18 nLPD). En effet, les États-Unis n’offrent pas un niveau de protec­tion des données adéquat au sens de l’art. 6 LPD, ce qui signi­fie que la trans­mis­sion doit être basée sur l’un des motifs justi­fi­ca­tifs figu­rant à l’art. 6 al. 2 LPD (respec­ti­ve­ment à l’art. 17 nLPD). Or ce n’est que dans des cas excep­tion­nels que le motif justi­fi­ca­tif de l’« inté­rêt public » (art. 6 al. 2 let. d LPD et art. 17 al. 1 let. c nLPD) pourra être invoqué.

2. Compatibilité avec le droit suisse de l’entraide ?

La commu­ni­ca­tion directe d’in­for­ma­tions à travers le canal prévu par le US CLOUD Act équi­vaut, dans les faits, à un contour­ne­ment des méca­nismes d’en­traide inter­na­tio­nale, qui prévoient une série de droits procé­du­raux en faveur de la personne concer­née et une inter­ven­tion d’une auto­rité suisse. Un mouve­ment simi­laire s’est déjà mani­festé dans le domaine fiscal (avec le passage à l’échange auto­ma­tique de rensei­gne­ments) et dans le domaine finan­cier (avec l’adop­tion de la Circulaire FINMA 2017/​6, Transmission directe, qui réserve toute­fois à ses chiffres 30–31 et 42 le respect des droits des personnes concer­nées, notam­ment en matière de protec­tion des données).

3. Compatibilité avec l’art. 271 CP

Même si ce point n’est (curieu­se­ment) pas mentionné dans le Rapport (hormis une brève réfé­rence, en page 47, à une « auto­ri­sa­tion »), la commu­ni­ca­tion depuis la Suisse de données person­nelles à une auto­rité améri­caine pour­rait égale­ment entraî­ner des consé­quences pénales sous l’angle de l’art. 271 CP. En effet, cette dispo­si­tion punit celui qui, sans y être auto­risé, aura procédé sur le terri­toire suisse, pour un État étran­ger, à des actes qui relèvent des pouvoirs publics. En parti­cu­lier, la personne qui remet des infor­ma­tions concer­nant des tiers, qui sont proté­gées par l’ordre public suisse, à une auto­rité étran­gère en dehors de l’en­traide admi­nis­tra­tive ou judi­ciaire, ou sans auto­ri­sa­tion, pour­rait encou­rir une respon­sa­bi­lité pénale sous l’angle de l’art. 271 CP (cf. notam­ment l’ar­rêt de la Cour des plaintes du Tribunal pénal fédé­ral CA.2019.6 du 5 décembre 2019, c. 1.1.1).

III. Est-ce que la Suisse devrait conclure un execu­tive agree­ment ?

Comme mentionné plus haut, les États ont la possi­bi­lité de conclure un execu­tive agree­ment avec les États-Unis pour régler plusieurs éléments d’ap­pli­ca­tion du US CLOUD Act.

Bien que cet accord bila­té­ral puisse amener certains éléments posi­tifs (par exemple : défi­ni­tion plus précise de la notion de serious crime, possi­bi­lité pour le Prestataire IT de contes­ter devant les tribu­naux améri­cains la demande de rensei­gne­ments des auto­ri­tés améri­caines si la demande ne concerne pas une US Person), l’on conçoit mal qu’un tel accord puisse pallier les incom­pa­ti­bi­li­tés du US CLOUD Act avec le droit suisse, qui ont été mises en exergue ci-dessus. L’Association suisse des banquiers (ASB) a publié une prise de posi­tion qui recense les exigences mini­males que devraient conte­nir un execu­tive agree­ment (notam­ment : exclure du champ d’ap­pli­ca­tion des injonc­tions à l’en­contre de socié­tés ayant leur siège en Suisse, limi­ter le cercle des personnes concer­nées aux US Persons, possi­bi­lité de se préva­loir du secret bancaire) afin d’être accep­table pour l’in­dus­trie finan­cière. Il semble peu vrai­sem­blable que ces exigences puissent être agréées par les États-Unis. Par ailleurs, la conclu­sion d’un execu­tive agree­ment s’ac­com­pa­gne­rait proba­ble­ment d’une non-appli­ca­tion de l’art. 271 CP aux commu­ni­ca­tions couvertes par un tel execu­tive agree­ment, alors même que cette dispo­si­tion pénale offre aujourd’­hui une certaine assu­rance aux clients des Prestataire IT basés en Suisse : en effet, les employés de ces derniers sont expo­sés à un risque pénal en cas de trans­mis­sion d’in­for­ma­tions aux États-Unis.

Finalement, la conclu­sion d’un execu­tive agree­ment pour­rait égale­ment avoir un impact néga­tif sur le main­tien de la déci­sion d’adé­qua­tion dont béné­fi­cie le droit suisse de la protec­tion des données (art. 45 RGPD), étant précisé que la Commission euro­péenne est toujours en train d’exa­mi­ner le main­tien de cette décla­ra­tion suite à l’en­trée en vigueur du RGPD. La conclu­sion d’un execu­tive agree­ment (pour autant que celui-ci ne reflète pas des termes simi­laires à un poten­tiel accord entre les États-Unis et l’Union euro­péenne) ne serait pas un élément favo­rable en vue du main­tien de cette décla­ra­tion d’adéquation.

IV. Conclusion

Le US CLOUD Act, lu en paral­lèle avec les dispo­si­tions de la nouvelle LPD (qui érigent au rang d’in­frac­tion pénale le non-respect des règles suisses en matière de partage trans­fron­ta­lier de données person­nelles, art. 61 let. a nLPD) et avec la posi­tion stricte du Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence dans le contexte de la trans­mis­sion de données person­nelles vers des États répu­tés « non-adéquats » (Guide pour l’exa­men de la licéité de la commu­ni­ca­tion trans­fron­ta­lière de données du 28 juin 2021), doit clai­re­ment être un point d’at­ten­tion pour toute entre­prise suisse qui envi­sage de confier le trai­te­ment (y compris le stockage) de données person­nelles (en clear text) à un Prestataire IT. Tel sera typi­que­ment le cas des pres­ta­taires de services en matière de cloud compu­ting, tels que Microsoft, Amazon et Google. L’analyse du risque décou­lant du US CLOUD Act doit égale­ment inter­ve­nir si la partie cocon­trac­tante est l’en­tité suisse ou euro­péenne (par exemple irlan­daise dans le cas de Microsoft) du groupe. De même, l’ana­lyse de risque doit égale­ment être déclen­chée si un sous-trai­tant du pres­ta­taire de services présente un lien avec les États-Unis, pour autant natu­rel­le­ment que ce sous-trai­tant ait accès aux données en clear text.

Cela étant dit, le US CLOUD Act ne doit pas non plus entraî­ner le blocage complet de tout projet impli­quant un pres­ta­taire soumis à cette légis­la­tion. Il convient en effet de rappe­ler que les moda­li­tés d’ac­cès à l’in­for­ma­tion prévue par la Partie 1 du US CLOUD Act sont limi­tées aux situa­tions de serious crimes. Par ailleurs, le risque lié au US CLOUD Act peut être limité (sans être supprimé tota­le­ment) en travaillant sur les trois axes suivants :

• Préparation d’une analyse de risque docu­men­tée qui explique les raisons qui ont amené le respon­sable de trai­te­ment à initier un projet nonobs­tant les risques rési­duels décou­lant du US CLOUD Act.
• Introduction de clauses spéci­fiques dans le rapport avec le Prestataire IT (par exemple une « defend your data clause » ; sur les éléments à prendre en consi­dé­ra­tion dans le contrat avec le Prestataire IT, voir notam­ment swiss​pri​vacy​.law/27).
• Information trans­pa­rente des personnes concer­nées et, éven­tuel­le­ment, un consen­te­ment (art. 6 al. 2 let. b LPD et art. 17 al. 1 let. a nLPD) de celles-ci.

L’on relè­vera qu’une juri­dic­tion fran­çaise (le Conseil d’État) a estimé, certes dans le cadre d’une ordon­nance statuant en référé, que le risque d’une divul­ga­tion fondée sur le US CLOUD Act ne consti­tuait pas, en tant que tel, un trans­fert de données person­nelles vers un État « non adéquat » (sur ce point : voir notam­ment Marine Largant/​Philipp Fischer, Health Data Hub, in : Jusletter 7 juin 2021). Ainsi, selon cette ordon­nance, ce risque ne déclenche pas les exigences décou­lant de l’ar­rêt Schrems II (déci­sion de la CJUE n° C‑311/​18) et, donc, des prises de posi­tion subsé­quentes des auto­ri­tés (Recommandations du Comité Européen de la Protection des Données de juin 2021 ; en Suisse, le Guide pour l’exa­men de la licéité de la commu­ni­ca­tion trans­fron­ta­lière de données du Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence du 28 juin 2021 est perti­nent dans ce domaine).

En dernier lieu, l’on rappel­lera que le US CLOUD Act ne consti­tue pas l’unique prisme par lequel un projet d’ex­ter­na­li­sa­tion de données doit être analysé. L’impératif de sécu­rité des données (à savoir la protec­tion contre des intru­sions de tiers qui ne sont pas acteurs gouver­ne­men­taux) et la néces­sité de garan­tir la busi­ness conti­nuity repré­sentent des enjeux tout aussi impor­tants, voire même plus cruciaux en termes de risques effec­tifs pour les données person­nelles confiées à un tiers.