Sommaires exécutifs 21 févr. 2019

Faire la lumière sur le Cloud Act

Récemment, et peut-être en réponse aux plans du gouvernement du Québec de transférer une grande partie des données personnelles qu’il détient à une infrastructure en infonuagique très probablement hébergée par un serveur américain, nous avons constaté un regain d’intérêt et d’inquiétude au sujet des effets de la loi américaine Clarifying Lawful Overseas Use of Data Act, connue sous le nom de Cloud Act sur la protection des données.

Danielle Miller Olofsson est l’auteure du présent article.

Bien qu’il soit justifié de s’inquiéter de la portée extraterritoriale d’une loi, l’alarmisme et les idées fausses au sujet du Cloud Act n’ont pas lieu d’être. Ils peuvent en fait détourner l’attention d’un risque tout aussi important : la cybersécurité. 

Qu’est-ce que le Cloud Act?

Le Cloud Act est une loi qui a été adoptée le 23 mars 2018 en grande partie en réponse à l’affaire Microsoft Corp. c. les États-Unis, dans laquelle Microsoft a contesté l’extraterritorialité de l’application de la loi américaine demandant l’accès aux données électroniques stockées sur des serveurs de Microsoft en Irlande. Bien que Microsoft ait perdu au procès, elle a gagné en appel. Le Congrès a ensuite adopté le Cloud Act, rendant tout appel à la Cour suprême inutile. 

Bien accueilli par des entreprises comme Microsoft et Apple, le Cloud Act permet essentiellement au gouvernement américain de demander à un fournisseur de services de communications ou d’informatique à distance de préserver, sauvegarder ou divulguer le contenu d’un fil ou d’une communication électronique. Il permet également au gouvernement d’accéder à tout document ou autre information concernant un client ou un abonné en sa possession, sous sa garde ou son contrôle, que le fournisseur soit situé aux États-Unis ou à l’étranger. Essentiellement, la loi permet au gouvernement des États-Unis d’amorcer un processus d’accès aux données hébergées sur un serveur américain, même si ce serveur est situé dans un autre pays. 

Toutefois, le Cloud Act permet également au fournisseur de services de présenter une requête en annulation ou en modification du processus de divulgation si : 

  • le client ou l’abonné n’est pas un citoyen américain et ne réside pas aux États-Unis; et 
  • la divulgation créerait un risque important que le fournisseur viole les lois du territoire étranger.

Un tribunal devrait alors appliquer un critère en trois étapes dans lequel il détermine : 

  • premièrement, la divulgation incite-t-elle le fournisseur à enfreindre les lois d’un territoire étranger? 
  • deuxièmement, l’intérêt de la justice exige-t-il que le processus de divulgation soit modifié ou annulé? 
     
  • troisièmement, si le client ou l’abonné est un citoyen ou un résident des États-Unis.

Compte tenu de ce qui précède, étant donné que la plupart des renseignements que les entreprises québécoises stockent dans l’infonuagique – même les infonuagiques hébergés par des serveurs américains – concernent des citoyens et des résidents de pays autres que les États-Unis, et que les lois québécoises sur la protection des renseignements personnels, notamment la Loi sur la protection des renseignements personnels dans le secteur privé (articles 17 à 23) et la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels permettraient certainement d’éviter un transfert, il est très difficile d’imaginer pourquoi un serveur américain ne déposerait pas de motion pour annuler une divulgation. En effet, le Cloud Act donne enfin aux grands serveurs américains un moyen de résister aux demandes de divulgation du gouvernement, apaisant ainsi les craintes de payer des coûts élevés qu’ont les organisations qui refusent d’utiliser ces serveurs en raison de leur incapacité à protéger l’information de la portée extraterritoriale du gouvernement américain. Il est également difficile, mais peut-être pas impossible, de concevoir qu’un tribunal puisse rejeter une requête pour modifier ou annuler une demande si les circonstances appropriées étaient réunies. 

Bien que le caractère extraterritorial de la législation adoptée par les États-Unis à la suite des attentats terroristes du 11 septembre 2001 ait suscité de vives inquiétudes justifiées, de nombreuses indications donnent à penser que les États-Unis se retirent de leur position antérieure selon laquelle ils pouvaient chercher des informations n’importe où et par n’importe quel moyen. Le Cloud Act est sans doute un exemple de cette nouvelle approche. Un autre exemple est le USA Freedom Act, qui a remplacé le Patriot Act en 2015 et qui a considérablement réduit la portée extraterritoriale de l’Amérique.

Ainsi, si l’extraterritorialité a pu être un argument convaincant pour les serveurs non américains qui cherchent à attirer les entreprises en jouant sur des craintes justifiées, ces craintes ne sont plus aussi justifiées qu’elles l’étaient autrefois. De plus, en matière de protection des données, bien que la souveraineté nationale soit une préoccupation légitime, une deuxième préoccupation tout aussi urgente est la cybersécurité et le fait que les grands serveurs, pour la plupart américains, disposent des ressources nécessaires pour offrir la protection la plus adéquate contre les criminels qui cherchent à accéder à nos données et à en abuser. 

L’équipe Web de BCF

L’équipe Web de BCF offre à notre clientèle des services et des conseils juridiques pertinents à propos de leur présence sur Internet. Cet environnement en constante évolution requiert l’expertise d’une équipe multidisciplinaire comme celle de BCF.

Restez à l’affût!

Inscrivez-vous à nos communications et bénéficiez de notre connaissance du marché pour déceler de nouvelles occasions d’affaires, vous renseigner sur les meilleures pratiques innovantes et recevoir les plus récents développements. Découvrez en primeur notre intelligence d’affaires et nos événements.

Inscrivez-vous