L’objectif de cette synthèse est de comprendre ce qui oppose le Cloud Act (US Clarifying Lawful Overseas Use of Data Act) au RGPD.
Lors d’une séance plénière des autorités européennes de protection des données ( EDPB – European Data Protection Board) et du superviseur européen de la protection des données (EDPS – European Data protection Superviseur) , il y a eu la présentation de la réponse faite à l’UE qui voulait comprendre l’impact du Cloud Act sur le dispositif européen de protection des données personnelles.
Quelques rappels sur le fonctionnement du Cloud Act
– Le CLOUD Act a été adopté en mars 2018, afin de faciliter l’obtention de données stockées à l’étranger par les forces de l’ordre US. Il a remplacé le Stored Communications Act de 1986 qui nécessitait une demande d’entraide judiciaire internationale, fondée sur des traités bilatéraux (MLAT) pour obtenir des documents détenus à l’étranger par une entreprise américaine.
Pour le FBI, cela prenait trop de temps. En plus, cela ne permettait d’accéder qu’aux données détenues sur des serveurs hébergés aux États-Unis. Le Cloud Act a permis l’accès aux données hébergées en dehors des USA et cela, en dehors d’un accord d’entraide international.
– Concernant le périmètre des données accessibles, le principe est que le CLOUD Act n’autorise pas l’accès/la collecte systématique, à large échelle ou sans discernement des données personnelles.
En principe, cela passe devant un juge. Ensuite le périmètre de données à transférer est défini précisément et la cause de l’accès aux données doit être justifiée. Ca c’est le principe de base mais il y a des exceptions qui font que les US peuvent récupérer des metadata et sans passer par un juge ou sans avoir de mandat.
– Les données peuvent se trouver sur des : « Stored wired and electronic communications and transactional records access ». Le périmètre des supports de données est donc très large. Ne sont pas comprises les communications téléphoniques.
En quoi le Cloud Act viole le RGPD ?
– L’article 48 du RGPD est clair : « Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international, tel qu’un traité d’entraide judiciaire, en vigueur entre le pays tiers demandeur et l’Union ou un État membre ». Or, le Cloud Act n’est pas un accord international. Donc le transfert de données vers les US viole le RGPD.
Du coup, l’EDPS recommande de refuser les demandes directes de transfert de données. Lorsqu’il existe des traités d’assistance juridique d’entraide (mutual legal assistance treaty (MLAT), il faut faire référence au traité et en respecter toutes les étapes. Le traité permet de s’assurer que le transfert de données est supervisé par les juridictions européennes dans le respect du droit européen.
Pour que le transfert soit légal au regard du RGPD, il faut respecter deux étapes :
Etape 1 : La base légale doit être justifiée
Rappel et analyse des différentes bases légales listées dans le RGPD qui permettent de traiter (et donc transférer) des données personnelles :
– Une obligation légale qui prendrait sa source dans le droit d’un pays européen ou dans le droit européen autorise le transfert des données. Cette base légale pourrait être utilisée s’il y avait un accord international par rapport au Cloud Act. Or, ce n’est pas le cas (mais c’est ce que souhaitent obtenir à terme les autorités de protection des données européennes).
– Le transfert de données serait nécessaire pour protéger les intérêts vitaux de la personne dont les données sont transférées. Cette base légale pourrait être utilisée dans le cas d’enlèvement de mineurs par exemple, ou en cas de menace imminente pour l’intégrité physique ou la vie de la personne. Attention, on ne peut pas transférer les données personnelles d’une personne pour protéger les intérêts vitaux d’une autre (ou qui met en danger d’autres personnes). C’est toute la différence.
– Le transfert est rendu nécessaire dans le cadre d’une mission de service public. Cette base légale n’est pas valide puisque le transfert est à la demande d’une autorité américaine et pas européenne.
– Le transfert est nécessaire à l’intérêt légitime du responsable de traitement (ou d’un tiers) et ne nuit pas aux droits et libertés de la personne concernée. Là, c’est plus subtile. Ça peut-être dans l’intérêt légitime d’une entreprise européenne de transférer les données vers l’autorité américaine pour lutter contre la fraude, un crime ou simplement pour éviter les sanctions américaines. Toutefois, ce n’est pas acceptable car l’autorité est américaine et pas européenne. De plus, la transmission des informations peut nuire aux droits et libertés de la personne (violation du principe de proportionnalité du traitement de données). Enfin, l’intérêt légitime est une base légale acceptée lorsqu’elle tient compte des attentes des personnes concernées. Ce n’est pas le cas ici.
En conséquence, les autorités de protection de données européennes considèrent que tant qu’il n’y a pas d’accord international concernant ce genre de transferts de données, il n’y a pas de base légale valide pouvant justifier un transfert sous le Cloud Act.
Pour enfoncer le clou, le superviseur rappelle que le traitement constitué par le transfert de données viole d’autres exigences du RGPD car :
- il ne permet pas de respecter le droit d’opposition des personnes
- il ne peut pas faire l’objet d’une analyse de la protection des données en amont (en raison du manque d’information sur les raisons du transfert)
- il ne peut pas donner lieu à une information satisfaisante des personnes concernées
Etape 2 : Le transfert de données doit correspondre à une dérogation de l’article 49 du RGPD
Le principe est que tout transfert hors UE doit être encadré par des garanties fortes : Binding Corporate Rules (BCR) pour les transferts au sein de groupes internationaux, les décisions d’adéquation des pays, les Clauses Types Contractuelles (CTT). Or, en cas de transfert sus le Cloud Act, ces garanties ne sont pas appliquées.
Nb : le Privacy Shield ne s’applique pas aux transferts demandés par les autorités américaines directement aux fournisseurs de service.
L’article 49 liste un certain nombre de dérogations à l’exigence de garanties fortes aux transferts hors Europe.
La question est donc ce savoir si le transfert de données, demandé en vertu du Cloud Act, peut correspondre à l’une de ces dérogations.
– dérogation si le transfert est nécessaire pour des motifs importants d’intérêt public. Cette dérogation ne fonctionne pas car il faut que l’intérêt public concerne le droit de l’union européenne. Or, ce n’est pas le cas avec le Cloud Act.
– dérogation si le transfert est nécessaire pour l’exercice d’un droit en justice. Cela peut être utilisé en cas de contentieux existant (pas à venir !) dans le cadre d’une enquête criminelle ou administrative.
– dérogation si le transfert permet de protéger les intérêts vitaux de la personne qui n’est pas en capacité de donner son consentement. cf point plus haut : il faut que les données transférées concernent la personne qu’il faut protéger. Cette dérogation ne permet pas de transférer les données d’une personne qui met en danger d’autres personnes.
– dérogation si le transfert permet de servir les intérêts légitimes du responsable de traitement sans menacer les droits et libertés des personnes dont les données sont transférées. Cf point plus haut. Ce n’est pas une dérogation valide pour le Cloud Act car il y a de nombreuses conditions imposées par le RGPD dont l’obligation d’informer la CNIL et la personne concernée par le transfert. Or, le transfert est censé resté confidentiel sous le Cloud Act.
Conclusion
Au regard de cette première analyse, il faudrait mettre en place des accords internationaux portant des garanties fortes de protection des droits et libertés des personnes et un cadre procédural précis pour assurer un niveau satisfaisant de protection des européens.
A moins que le mandat issu du Cloud Act ne rentre dans un accord international et du coup soit vu comme une obligation légale, la légalité des transferts demandés ne peut pas être établie (hors cas exceptionnel de transfert pour protéger les intérêts vitaux d’une personne ne pouvant pas donner son consentement) .
De plus, cette analyse a mis de côté d’autres obligations du RGPD que le Cloud Act ne permet pas de respecter telles que les obligations entre sous-traitants et responsable de traitement (les instructions sur les transferts de données par le sous-traitant doivent être prévues à l’avance et strictement respectées).
Le régulateur européen et le bureau précisent aussi qu’il faudra aller plus loin dans l’analyse mais invite tous les régulateurs des états membres à appliquer cette première analyse en cas de demande relative au Cloud Act.
Autres impacts du Cloud Act
Le Cloud Act risque d’aller à l’encontre d’autres réglementations ou cadres réglementaires que le RGPD :
- certaines réglementations nationales qui refusent les transferts hors de leurs pays
- Protocol on Privileges and Immunities of the European Institutions qui empêche les Prestataires de Services Cloud de révéler des données personnelles. Exemple : privilèges diplomatiques.
- Draft du Protocol to the Council of Europe Convention on Cybercrime ou les proposition législatives sur la preuve électronique en cours de négociation au niveau européen.
Il faudra aussi clarifier un autre point : comment s’assurer que les autorités américaines qui ont récupéré les données, ne les partagent pas avec d’autres entités, notamment hors UE?
Etat des lieux sur l’ouverture d’une négociation avec les USA en vue d’un accord international sur l’accès aux preuves électroniques dans le cadre de la coopération sur les affaires criminelles
En février 2019, la commission européenne a adopté une recommandation permettant d’ouvrir les négociations en vue d’un accord international sur ce sujet.
Le régulateur de la protection des données européen (EDPS) a donné sa vision en avril 2019 : il attend de cet accord international qu’il offre les garanties adaptées autour des transferts, rende opposables les droits des personnes concernées et permette des recours juridiques. L’EDPS a aussi recommandé la participation des autorités judiciaires pour qu’elles puissent s’opposer à l’accord en cas de violation des droits fondamentaux. L’EDPS a demandé à être tenu au courant des avancées des négociations.