Le 16 juillet 2020, la Cour de justice de l’Union européenne (CJUE) rendait une décision clé dans le domaine de la protection des données personnelles, l’arrêt Schrems II. Celui-ci invalidait le « Privacy shield », c.-à-d. la décision d’adéquation 1 qui gouvernait le transfert de données entre l’Union européenne (UE) et les États-Unis. Depuis cette invalidation, les recommandations du Comité Européen à la Protection des Données (CEPD) de novembre 2021 s’agissant des mesures de sauvegardes supplémentaires à mettre en place en cas de transfert de données européeennes en dehors de l’Espace Economique Européen (EEE), et la publication des nouvelles clauses contractuelles types de la Commission Européenne le 4 juin 2021, les exportateurs européens de données ont l’obligation de réaliser des analyses d’impact (Transfer Impact Assessments ou « TIA ») préalablement à tout transfert hors EEE. Ces TIA imposent à l’exportateur de s’informer sur les lois applicables dans le pays d’export, s’agissant en particulier des lois de surveillance permettant aux autorités gouvernementales étrangères de demander voire la communication voire de saisir les données à caractère personnel de résidents européens. Les autortités de contrôle européennes sont particulièrement inquiètes s’agissant des lois fédérales américaines, qu’elles considèrent moins protectrices des droits des personnes. Dans cet article nous dressons une étude d’ensemble de ces législations.
Du Privacy Act au ECPA
Dès 1974, le gouvernement américain adoptait le Privacy Act afin d’établir un cadre légal permettant le contrôle de la collecte, la conservation, l’utilisation et la diffusion des données personnelles par les agences du gouvernement américain. Cependant, l’invention de l’Internet a modifié la notion de vie privée et a nécessité l’adoption de nouvelles lois concernant les communications électroniques et permettant d’assurer la sécurité de ces dernières et leur contenu.
Cela a mené à l’adoption du Electronic Communications Privacy Act (ECPA) en 1986. L’ECPA est divisé en trois sections :
(a) Le chapitre I du ECPA (U.S. Code sections 2510 – 2523), communément appelé le Wiretap Act, interdit l’interception, l’utilisation, la divulgation ou la tentative intentionnelle de ce faire ou d’avoir recours aux services d’un tiers pour les mêmes finalités. De plus, le Wiretap Act interdit l’utilisation de communications obtenues illégalement en tant que preuve dans le cadre d’un litige ou de poursuites.
(b) Le chapitre II du ECPA (U.S. Code SS 2701 – 2713), communément appelé le Stored Communications Act (SCA) protège la confidentialité du contenu des fichiers stockés par les fournisseurs de services et des enregistrements détenus sur l’abonné par les fournisseurs de services, tels que le nom de l’abonné, les enregistrements de facturation ou les adresses IP.
(c) Le chapitre III du ECPA (18 U.S. Code SS 3121 – 3127), qui traite des dispositifs d’enregistrement et de repérage, exige que les entités gouvernementales obtiennent une ordonnance du tribunal autorisant l’installation et l’utilisation d’un registre d’écoute (un dispositif qui saisit les numéros composés et les informations connexes vers lesquels les appels ou les communications sortants sont effectués par le sujet) et/ou d’un dispositif de repérage (un dispositif qui saisit les numéros et les informations connexes d’où proviennent les appels et les communications entrants destinés au sujet). Aucune communication réelle n’est interceptée par un registre d’écoute ou un dispositif de repérage. L’ordonnance d’autorisation peut être délivrée sur la base d’une certification par le demandeur que les informations susceptibles d’être obtenues sont nécessaires pour une enquête criminelle en cours.
L’ECPA permet au gouvernement américain d’accéder aux communications électroniques telles que les courriels, les publications sur les médias sociaux, les informations des bases de données du cloud public, et plus encore, avec une ordonnance du tribunal. En effet, l’ECPA prévoit une exemption pour les agents du gouvernement fédéral et des États de l’interdiction générale d’intercepter des communications filaires, orales et électroniques. Trois circonstances peuvent donner lieu à une telle exemption :
(1) en application ou en prévision d’une décision de justice ;
(2) avec le consentement des parties concernées ; et
(3) en ce qui concerne les communications d’un intrus qui interfère avec un système de communications électroniques.
En outre, les autorités gouvernementales peuvent intercepter des communications dans le cadre d’une enquête criminelle si elles obtiennent l’autorisation du ministère de la Justice.
Spécifions que l’ECPA ne vise que les résidents américains, et ne concerne conséquemment pas les résidents européens.
Le CLOUD ACT
Le CLOUD ACT de 2018 donne un pouvoir d’accès étendu aux autorités américaines en ce qui concerne les données que possèdent les organisations sujettes à la juridiction des États-Unis. Ainsi, le CLOUD ACT prévoit qu’un fournisseur de services de télécommunication ou de service informatique à distance (« electronic communication service provider », (ECSP)) sur lequel les autorités américaines ont juridiction doit, sous ordre de ces dernières, préserver, sauvegarder ou divulguer le contenu d’une communication électronique, tout enregistrement ou toute autre information concernant un client ou un abonné, que cette communication, cet enregistrement ou cette autre information soit située à l’intérieur ou à l’extérieur des États-Unis. Cependant, une fois de plus, ce pouvoir d’accès ne concerne que les informations concernant les résidents américains.
Le Foreign Intelligence Surveillance Act
Le Foreign Intelligence Surveillance Act de 1978 (FISA) s’inscrit dans les efforts du gouvernement américain pour contrer les menaces à la sécurité nationale. Elle confère entre autres aux autorités un droit de surveillance électronique ainsi que de fouille physique, ce qui est considéré comme particulièrement inquiétant par les autorités européennes.
FISA établit notamment que les surveillances électroniques non criminelles à l’intérieur des États-Unis ne sont autorisées que dans le but de collecter des renseignements étrangers et/ou du contre-espionnage étranger. De plus, elle identifie les puissances étrangères et leurs agents 2 comme étant les entités et les personnes pouvant faire l’objet d’une surveillance électronique et énonce une norme de cause probable qui doit être satisfaite avant qu’une surveillance électronique ne soit autorisée par une Foreign Intelligence Surveillance Court (FISC) 3 . Ainsi, bien que FISA permette au gouvernement américain de surveiller des personnes non américaines situées en dehors des États-Unis en contraignant les fournisseurs de services de télécommunication de leur fournir certaines informations à ce sujet, ce n’est pas toute personne étrangère qui peut être visée.
- En effet, les conditions suivantes doivent être respectées pour l’obtention d’une permission de surveillance :
La surveillance ne vise que les personnes non américaines qui se trouvent en dehors des États-Unis; - L’objectif de la surveillance est d’acquérir des renseignements liés à :
o des attaques réelles ou potentielles ou d’autres actes hostiles graves d’une puissance étrangère ou d’un agent d’une puissance étrangère ;
o le sabotage, le terrorisme international ou la prolifération internationale d’armes de destruction massive par une puissance étrangère ou par un agent d’une puissance étrangère ;
o les activités de renseignement clandestines menées par un service ou un réseau de renseignement d’une puissance étrangère ou par un agent d’une puissance étrangère ; ou
o une puissance étrangère ou un territoire étranger concernant la défense nationale des États-Unis, la sécurité des États-Unis ou la conduite des affaires étrangères des États-Unis; - L’objectif de la surveillance n’est pas de cibler en fin de compte une personne particulière, connue et dont on peut raisonnablement penser qu’elle se trouve aux États-Unis;
- La surveillance est menée en conformité avec le quatrième amendement de la Constitution américaine.
De plus, la notion de fournisseur de service de télécommunication est centrale en ce qui concerne les pouvoirs d’accès qu’attribue FISA aux autorités gouvernementales, puisque ce sont ces organisations qui peuvent être obligées de fournir les données des personnes auxquelles elles fournissent les services. Dans les faits, la loi fournit une définition large qui permet au gouvernement d’identifier nombre d’acteurs en tant que fournisseur de service de télécommunication, telles les compagnies offrant des services téléphoniques, les fournisseurs de messagerie électronique, les fournisseurs de services d’hébergement des données, etc. La loi ne fournit pas une liste exhaustive, ce qui signifie qu’un nombre important de compagnies pourraient être l’objet d’une telle demande d’accès de la part des autorités gouvernementales. Bien que la notion de minimisation, c.-à-d. le principe selon lequel les mesures d’accès adoptées par le gouvernement américain doivent être raisonnables aux fins visées et ne doivent pas viser l’information d’une personne américaine, vient tempérer le pouvoir d’accès qu’ont les autorités américaines, leurs prérogatives demeurent étendues.
EO 12333
Alors que la loi FISA couvre les activités de surveillance à l’intérieur des États-Unis, le gouvernement américain peut également mener des activités de surveillance à l’extérieur des États-Unis en vertu de l’EO 12333. Le EO 12333, ou Executive Order 12333 en anglais, est un décret exécutif signé par le président américain Ronald Reagan en 1981. Ce décret est l’un des principaux textes réglementant l’activité des services de renseignement américains, tels que la CIA et la NSA, et vise à protéger les intérêts nationaux des États-Unis en matière de sécurité nationale et de politique étrangère. Le EO 12333 énonce les principes généraux qui guident l’activité des services de renseignement, notamment la collecte de données étrangères, la protection de la vie privée et des libertés civiles, ainsi que la conduite d’opérations secrètes à l’étranger. Ce décret a été modifié à plusieurs reprises depuis son adoption initiale, notamment pour tenir compte de l’évolution des technologies de communication et de la menace terroriste après les attentats du 11 septembre 2001.
Le EO 12333 a des implications importantes pour la protection des données personnelles des personnes, car il donne aux services de renseignement américains, sous certaines conditions, le pouvoir de collecter des informations sur des personnes à l’étranger, y compris des informations sur des citoyens non américains. Cette collecte de données peut inclure des informations personnelles, telles que des noms, des adresses, des numéros de téléphone, des emails et des messages en ligne, ainsi que des données de localisation et des informations financières. Il peut être difficile d’évaluer si l’importateur de données est soumis à l’EO 12333, puisqu’il peut ne pas avoir d’indication qu’une agence de renseignement américaine a cherché à obtenir des données unilatéralement en dehors des États-Unis en vertu de l’EO 12333.
L’EO 12333 prévoit toutefois un certain nombre de limitations spécifiques concernant la collecte des données personnelles des personnes étrangères par les services de renseignement américains. Entre autres, la collecte doit être liée à la sécurité nationale des États-Unis, à la politique étrangère ou à des fonctions gouvernementales 4 . De plus, la collecte doit être effectuée conformément à la loi et aux politiques applicables, notamment en matière de vie privée et de libertés civiles 5 . En conséquence, Le EO 12333 n’accorde pas un pouvoir sans limites aux services de renseignements américains et comporte de nombreux garde-fous.
Conclusion
Même si certaines lois américaines vont potentiellement très loin en ce qui concerne les droits d’accès aux données personnelles accordés aux autorités aux agences de renseignements et aux autorités américaine, il serait faux d’affirmer que ces dernières ont accès à toute donnée personnelle de résidents européens sans aucune protection ou possibilité de contester ledit accès. Parfois la contestation se fera dans la cadre de la demande d’accès soumise par le gouvernement américain au fournisseur américain de services de communications électroniques saisi de la demande, comme c’est le cas dans le cadre de la loi FISA. Parfois, s’agissant d’une collecte en vertu de l’EO 12333, il peut être difficile de s’opposer à l’accès, puisque les actions des agences américaines de surveillance sont plutôt menées en secret. Néanmoins, tel que mentionné précédemment, le pouvoir des entités américaines n’est pas absolu, et certains gardes-fous ont été mis en place pour encadrer leurs actions.
En conclusion, bien que la protection des données personnelles contre les demandes d’accès par des autorités de surveillance n’est pas assurée aux États-Unis de la même façon qu’elle peut l’être en Europe, cela ne signifie pas qu’il n’y a aucune mesure de protection. Cependant, il est primordial de se familiariser avec les cadre légal américain et de se renseigner quand aux particularités qui caractérisent celui-ci.
Cabinet franco-américain expert dans les réglementations nord-américaines en matière de protection des données à caractère personnel, L’Avocat transatlantique vous accompagne dans la mise en conformité transatlantique de vos traitements de données. N’hésitez pas à nous contacter – notre équipe transatlantique de juristes spécialisés en droit des données à caractère personnel sera ravie de vous accompagner !
1 « Une décision d’adéquation est une décision de la Commission européenne établissant qu’un pays tiers, par l’intermédiaire de sa législation interne ou de ses engagements internationaux, offre un niveau de protection des données à caractère personnel comparable à celui garanti dans l’Union européenne. Grâce à une telle décision, les données à caractère personnel peuvent circuler en toute sécurité entre l’Espace économique européen (EEE) (soit les 27 États membres de l’UE plus la Norvège, le Liechtenstein et l’Islande) et le pays tiers concerné, sans que des autorisations ou des garanties supplémentaires soient nécessaires »; voir « Questions et réponses sur la décision d’adéquation concernant le Japon », Commission Européenne, 23 janvier 2019, en ligne : < https://ec.europa.eu/commission/presscorner/detail/fr/MEMO_19_422 > (consulté le 8 juillet 2022).
2 Une puissance étrangère est définie à l’art. 1801 (a) FISA en tant que « (1) foreign government or any component thereof, whether or not recognized by the United States, (2) a faction of a foreign nation or nations, not substantially composed of United States persons, (3) an entity that is openly acknowledged by a foreign government or governments
3 to be directed and controlled by such foreign government or governments, (4) a group engaged in international terrorism or activities in preparation therefor, (5) a foreign-based political organization, not substantially composed of United States persons, (6) an entity that is directed and controlled by a foreign government or governments; or (7) an entity not substantially composed of United States persons that is engaged in the international proliferation of weapons of mass destruction.”
Un agent d’une puissance étrangère est défini à l’art. 1801 (b) FISA en tant que « (1) any person other than a United States person, who (A) acts in the United States as an officer or employee of a foreign power, or as a member of a foreign power as defined in subsection (a)(4), irrespective of whether the person is inside the United States, (B) acts for or on behalf of a foreign power which engages in clandestine intelligence activities in the United States contrary to the interests of the United States, when the circumstances indicate that such person may engage in such activities, or when such person knowingly aids or abets any person in the conduct of such activities or knowingly conspires with any person to engage in such activities, […] (D) engages in the international proliferation of weapons of mass destruction, or activities in preparation therefor; or (E) engages in the international proliferation of weapons of mass destruction, or activities in preparation therefor, for or on behalf of a foreign power, or knowingly aids or abets any person in the conduct of such proliferation or activities in preparation therefor, or knowingly conspires with any person to engage in such proliferation or activities in preparation therefor or (2) any person who (A) knowingly engages in clandestine intelligence gathering activities for or on behalf of a foreign power, which activities involve or may involve a violation of the criminal statutes of the United States, (B) pursuant to the direction of an intelligence service or network of a foreign power, knowingly engages in any other clandestine intelligence activities for or on behalf of such foreign power, which activities involve or are about to involve a violation of the criminal statutes of the United States; (C) knowingly engages in sabotage or international terrorism, or activities that are in preparation therefor, for or on behalf of a foreign power, (D) knowingly enters the United States under a false or fraudulent identity for or on behalf of a foreign power or, while in the United States, knowingly assumes a false or fraudulent identity for or on behalf of a foreign power; or (E) knowingly aids or abets any person in the conduct of activities described in subparagraph (A), (B), or (C) or knowingly conspires with any person to engage in activities described in subparagraph (A), (B), or (C).”
chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/https://www.fletc.gov/sites/default/files/imported_files/training/programs/legal-division/downloads-articles-and-faqs/research-by-subject/miscellaneous/ForeignIntelligenceSurveillanceAct.pdf p. 2.
4 Section 1.1. EO 12333.
5 Section 2.3 EO 12333.