En réaction au Cloud Act signé en mars dernier par le président américain Donald Trump, le géant du web Microsoft propose six principes de base à appliquer dans un cadre international aux demandes d’accès aux données faites par les Etats.

Alors qu’une bataille juridique opposait Microsoft et la Cour Suprême des Etats-Unis depuis 2014, sur l’exploitation du contenu d’une boite email d’un utilisateur situé en Irlande, l’adoption du Cloud Act est venu couper court à la procédure.

Si cette nouvelle loi a d’abord était perçue comme un bon compromis selon Microsoft, son président et directeur juridique Brad Smith a finalement décidé de riposter en proposant six principes de base qui pourraient être adoptés à l’échelle internationale dans le cadre d’accords entre Etats.

Les principes sont les suivants :

• Le droit universel pour les utilisateurs d’être prévenus quand un gouvernement accède à leurs données ;
• Les demandes d’accès des forces judiciaires aux données devraient être contrôlées et approuvées par des autorités judiciaires indépendantes ;
• Les opérateurs de services cloud doivent être informés de façon complète sur le processus d’accès aux données et disposer de moyens de s’opposer à des demandes inappropriées ;
• Des mécanismes doivent permettre de régler les conflits avec les autorités judiciaires d’autres pays ;
• Les entreprises ont le droit de contrôler leurs données et devraient recevoir directement les requêtes des autorités judiciaires ;
• Le public a le droit de savoir comment et quand les Etats cherchent à accéder à des preuves numériques et sur les protections qui s’appliquent à leurs données.

« Nous croyons fermement que nos clients ont le droit d’être protégés par leurs propres lois »

Brad Smith

Le premier principe, et sans doute le plus important, répond à un des principes fondamentaux posés par le RGPD qui est celui de la transparence des informations et les modalités d’exercice des droits de la personne concernée (articles 12, 13 et 14 du RGPD).

L’organisation américaine de défense des libertés numériques des citoyens, l’Electronic Frontier Foundation,a réagi favorablement dans un billet à l’annonce de Microsoft qui, selon elle, contribue à la lutte contre les abus potentiels du Cloud Act.

Le 23 mars 2018, le Congrès américain a adopté le Cloud Act (Clarifying Lawful Overseas Use of Data Act), signé par Donald Trump, autorisant les autorités américaines à réclamer les données personnelles récoltées par leurs entreprises à l’intérieur comme à l’extérieur des États-Unis.Cette législation englobe la saisie d’emails, documents et communications électroniques localisés dans les serveurs de sociétés américaines à l’étranger.

« Tout opérateur ou fournisseur de services en ligne doit se conformer aux obligations (…) pour préserver, sauvegarder ou communiquer les contenus de communications électroniques et tous enregistrements et informations relatives à un client ou abonné dont ils sont en possession où dont ils ont la garde ou le contrôle, quel que soit le lieu où ces communications, enregistrements et informations sont localisés à l’intérieur ou à l’extérieur des Etats-Unis. »

Il en résulte que les nouveaux principes vont dans le sens de la protection des données personnelles des utilisateurs, en conformité avec les différentes règlementations en vigueur.