Pour lire l’article d’Olivier de Courcel, Avocat associé, du 18 novembre 2019 pour CIO Online.
Les lois extra-territoriales américaines atteignent-elles le territoire numérique ?
Depuis que le parlement français s’en est saisi, grâce notamment au rapport déposé en juin par le député Raphaël Gauvin, la question de l’extra-territorialité des lois américaines fait débat. En droit, ce terme désigne l’extension à l’étranger du champ d’application des lois d’un Etat. Le phénomène existe depuis des siècles, notamment avec le statut des ambassades qui restent exclusivement soumises au Droit de leurs pays d’origine. De nos jours il est illustré de manière frappante par la soumission de tout citoyen américain à l’impôt personnel prélevé aux Etats-Unis même quand il réside à l’année dans un autre pays. Mais c’est par son extension au territoire numérique que l’application des lois nationales américaines au-delà de leurs frontières géographiques pose aujourd’hui problème.
Différents types de lois et procédures américaines sont dénoncés, à tel point que les responsables informatiques ne peuvent plus ignorer comment leurs ressources risquent de s’y trouver soumises.
Les données captées via le Cloud
Depuis son adoption le 23 mars 2018 le Cloud Acttient la vedette parce qu’il indique explicitement que les nuages informatiques dont les données sont accessibles aux autorités américaines ne s’arrêtent pas aux frontières des Etats-Unis. Jusqu’alors, toutes les enquêtes ne se limitaient pas aux données hébergées sur le territoire fédéral, mais en apportant cette précision le Congrès répondait au souhait des prestataires de services informatiques de clarifier le texte existant, celui du Stored Communications Act(SCA) de 1986. Le législateur confirmait ainsi que les autorités américaines peuvent accéder à toutes les données accessibles aux personnes sur lesquelles elles enquêtent. Ce n’est pas différent de ce que prévoit le code de procédure pénale français, dans une rédaction elle aussi récente.
En réalité, l’intérêt du Cloud Actest de jeter la lumière sur le nombre d’enquêtes débouchant sur un accès aux données produites par les individus ou traçant leur vie personnelle. En droit commun un juge accorde un mandat de perquisition lorsqu’il y a des motifs raisonnables (probable cause) de croire que des preuves peuvent être obtenues sur une infraction pénale (crime) ou sur les moyens utilisés ou sur ses fruits. Des mandats de perquisition portant sur les données (SCA warrants) sont délivrés régulièrement par les juges, par centaines chaque année, aux autorités fédérales comme à celles des Etats. A cela s’ajoutent les procédures plus simples révisées par le US Patriot Act de 2001.
Dans ces conditions, tout service fourni par un prestataire de Cloud américain ouvre potentiellement l’accès aux données du client quelque soit leur lieu d’hébergement.
Le Cloud Actn’est que la face la plus visible de l’iceberg. C’est en effet dans le cadre de la loi fédérale sur le renseignement (Foreign Intelligence Surveillance Act – FISA) que les autorités fédérales (FBI, NSA, CIA…) déploient les programmes de surveillance de masse, avec une présence bien au-delà de leurs frontières grâce aux équipements déployés notamment par les GAFAM dans les réseaux de télécommunications (points d’échange internet, serveurs cache…). Dès lors que toutes les données circulant sur internet sont techniquement accessibles aux renseignements américains, la principale question juridique est de savoir comment les utiliser légalement, lorsque c’est nécessaire, c’est-à-dire comment les autorités peuvent les opposer officiellement aux entreprises ciblées.
Pour ce faire, les enquêteurs peuvent bien entendu obtenir d’un juge un mandat de perquisition qui « validera » a posteriorila collecte des données acquises en amont, dès lors que celles-ci s’avèrent suffisamment probantes (probable cause). Dans le cadre de certaines lois spéciales, néanmoins, il s’avère plus simple d’amorcer l’enquête officielle en faisant état d’informations dont l’obtention n’est pas nécessairement licite, mais qui en disent assez pour amener l’entreprise à délivrer d’elle-même les pièces qui l’incrimineront.
Les données remises par les entreprises
Ces lois spéciales s’appuient sur le droit pénal américain qui permet aux enquêteurs d’obtenir la collaboration des suspects en leur faisant miroiter des remises de peine. Les entreprises peuvent ainsi plaider coupable ou bien négocier une transaction pour que les poursuites ne soient pas lancées (Non Prosecution Agreement– NPA), ou bien pour qu’elles soient suspendues (Deferred Prosecution Agreement – DPA).
La législation américaine sur la corruption et le blanchiment (Foreign Corrupt Practices Act – FCPA) a gagné une grande notoriété à cet égard puisque, de 2008 à 2017, elle a fondé des sanctions à hauteur de 8,8 milliards de dollars. Elle est surtout frappante par le fait que les deux tiers de ce montant ont été prononcés contre des entreprises européennes. En effet les sociétés cotées aux Etats-Unis, y compris les sociétés étrangères, tombent dans le champ d’application du FCPA pour tout acte de corruption active hors des Etats-Unis aussi bien que sur leur territoire. Il suffit que l’acte soit commis au moyen des services postaux américains ou de tout autre moyen ou instrument de commerce interétatique. Ceci couvre l’usage d’internet et les messages électroniques routés ou conservés sur des serveurs aux États-Unis, ainsi que l’utilisation de la monnaie américaine.
La législation sur les embargos tient également la vedette, surtout depuis qu’elle vise des pays que seuls les Etats-Unis traitent comme des ennemis. La BNP en a fait les frais en 2014 avec une amende « négociée » de 9 milliards de dollars pour avoir contourné les sanctions contre le Soudan et l’Iran dans les années 2000. La Société Générale a de même transigé en 2018, avec des accords DPA totalisant 1,3 milliard de dollars d’amendes. Le principal critère de rattachement à la loi américaine était ici l’usage du dollar, passant par les chambres de compensation fédérales.
Plus récentes, les sanctions américaines contre le Venezuela donnent également à réfléchir. Contestant la légitimité du maintien en poste du président du Vénézuéla, le gouvernement américain décrétait en août dernier le gel de tous avoirs et transactions en relation avec toute personne présentant un lien avec le gouvernement de ce pays. Cette décision s’applique aux biens et transactions situés sur le territoire des Etats-Unis, mais aussi à ceux en possession ou sous le contrôle de tout ressortissant des Etats-Unis.
Cette décision a amené l’éditeur Adobe à désactiver les comptes de tous ses clients vénézuéliens. Certes, depuis lors le gouvernement américain lui a accordé une dérogation et la situation a été rétablie. Mais la prise en otage d’acteurs mondiaux du numérique ne peut qu’alerter sur la dépendance qu’ils imposent à leurs clients. Souvent subies comme non négociables, les clauses de restriction sur les exportations de produits américains présentes dans tous les contrats informatiques concernés viennent ainsi prolonger le champ d’application des lois américaines sur tous les pays qui utilisent les technologies américaines.
D’autres législations spéciales mériteraient d’être mentionnées, notamment la loi FATCA qui organise le transfert de données bancaires au fisc américain.
Pour les enquêteurs, le recours aux transactions négociées (NPA, DPA) est tout bénéfice puisque, sous la menace d’amendes vertigineuses et d’incarcération de leurs dirigeants, les entreprises ouvrent grandes les vannes de leurs systèmes d’information. De plus, les enquêtes se déroulent pour la plupart avant la saisine du juge, de manière en fait non contradictoire et sans contrôle ni sur la régularité de la procédure, ni sur la constitution des infractions. Cette façon de procéder court-circuite la mise en œuvre de l’entraide judiciaire internationale et le respect des lois françaises, RGPD inclus.
Enfin, dans le cadre de ces transactions négociées, les entreprises non seulement renoncent à contester les faits et les griefs qui leur sont reprochés et payent des amendes, mais souvent s’engagent aussi à mettre en place des programmes de conformité (compliance) sous la surveillance de moniteurs externes. Ainsi les poursuites contre la Société Générale sont-elles suspendues pendant 3 ans mais pourront être reprises si les autorités américaines considèrent que la banque française ne s’est pas conformée à l’accord.
Cette épée de Damoclès constitue une arme puissante puisque les moniteurs nommés par les autorités américaines prennent pied dans l’entreprise pour une longue période et interviennent, en réalité, pour le compte de ces autorités : si l’entreprise qui les paie ne se conforme pas, ils peuvent se voir accuser de complicité d’obstruction à la justice…. Ainsi en 2011, dans le cadre d’un monitoringimposé à l’occasion d’une affaire au Costa Rica, les moniteurs d’Alcatel-Lucent avaient revu en 3 ans près de de 2 millions de documents et en avaient communiqué 200.000 à l’administration fédérale.
Une note de la DGSI publiée en avril 2018 constatait que les mêmes avocats américains étaient intervenus pour des audits préventifs dans les groupes Technip et Alstom, sans pour autant prémunir ces groupes contre amendes et démantèlement. Et elle enfonçait le clou en concluant que confier à des « moniteurs » contrôlés par Washington « un accès privilégié à des données stratégiques du groupe », sous couvert de mise en conformité à la législation américaine, risquait de laisser ces données « exploitées pour des raisons purement commerciales » une fois transmises aux Etats-Unis.
Face à une justice sans juge qui applique la législation nationale au-delà du territoire national, au motif que des données étrangères y sont accessibles, les réactions possibles sont de plusieurs ordres. Cela va sans dire, les entreprises quelles qu’elles soient doivent s’efforcer d’être irréprochables. Mais cela ne suffit pas face à des textes parfois ambigüs et à une application discrétionnaire par des administrations hors contrôle. La guerre économique actuelle exige la mise en œuvre d’armes juridiques du même ordre : loi Sapin 2, RGPD et ses suites, loi de blocage des investissements étrangers, etc. Surtout, elle appelle l’application du principe de réciprocité, dans les procédures judiciaires, dans les échanges d’informations et dans les sanctions. Mais en pratique la question se pose aussi et avant tout au responsable informatique, gardien des données de l’entreprise.
Des données protégées ?
L’analyse d’impact que justifie tout investissement informatique significatif, y compris toute migration vers le Cloud, doit évidemment prendre en compte les atteintes potentielles à la confidentialité des données.
Pour ce qui concerne la DSI de l’entreprise, ceci relève d’une gestion des habilitations qui, a priori, ne devrait laisser accessible sur chaque territoire que les données qui le concernent. Le cloisonnement peut ainsi permettre d’établir des frontières étanches même pour les administrateurs. Il peut aussi aider à mettre à l’écart les données les plus sensibles aux risques d’enquêtes intrusives. En l’absence de « Cloud souverain » en France, l’ANSSI pourvoit à l’établissement du référentiel SecNumCloud destiné à sécuriser les entreprises sur ces aspects. Ce référentiel ne demande plus l’hébergement des données en France, que même le rapport du Sénat sur la souveraineté numérique (1eroctobre 2019) considère comme une solution imparfaite.
Les terminaux sont aussi concernés. Ainsi, en août dernier, le Contrôleur européen à la protection des données (EDPS) a émis des recommandations aux institutions de l’Union européenne qui utilisent les produits et services Microsoft, notamment de ne pas utiliser pour l’instant Office Online ni l’application mobile Officeapps. Ceci rejoint une alerte de la DGSI sur les risques de captation des données dans le cadre du déploiement généralisé de solutions Microsoft dans les universités françaises.
Enfin le chiffrement de bout-en-bout s’avère la solution techniquement la plus recommandée, dès lors que les prestataires de service n’en possèdent pas les clés. L’insistance des gouvernements pour demander des Backdoorsaux messagerie Whatsapp et Telegram démontre l’efficacité de ce procédé. Encore faut-il qu’il soit piloté de près afin de rester à l’état de l’art de la technologie, d’une part, et d’éviter les maillons faibles, d’autre part. Le procès lancé fin octobre à San Francisco par Whatsapp contre l’éditeur israélien du spywarePegasus montre en effet la vulnérabilité des accès par les smartphones.
Dans ce contexte de défense contre, il est vrai, aussi bien la cybercriminalité que l’intelligence économique, la guerre économique lancée par « l’ami américain » en projetant ses législations hors de ses frontières transforme les nouveaux territoires virtuels en un champ-de-bataille numérique. Le constat est coûteux, mais c’est l’histoire qui tourne…
° ° °