Chapitre 2. les risques découlant du transfert de données personnelles à l’étranger
Le transfert de données personnelles à l’étranger dans le cadre d’utilisation de services Cloud comporte non seulement des risques juridiques à l’égard du responsable de traitement des données ( section 1 ) mais également des risques d’ordre stratégiques pouvant impacter considérablement la réputation des entreprises ( section 2 ).
Section 1. Les risques juridiques des atteintes à la confidentialité des données : la responsabilité du responsable de traitement
Il existe des risques juridiques inhérents à la typologie du Cloud comme « point de passage » des données le rendant particulièrement sujet aux risques de surveillance. Nous verrons dans un premier temps quelles peuvent être les sources de responsabilité des fournisseurs Cloud établis sur le territoire de l’UE en cas de communication de données dans le cadre d’activités de surveillance ( A ). Dans un second temps, il sera question d’étudier la responsabilité des hébergeurs Cloud étrangers en cas de communication de données dans le cadre d’activités de surveillance ( B ).
A. La responsabilité des fournisseurs Cloud sur le territoire de l’UE en cas de communication de données dans le cadre d’activités de surveillance
Les nouvelles technologies augmentent les capacités de surveillance et la capacité de pénétrer dans la vie privée des individus. Lors des révélations d’E.Snowden sur les programmes de surveillance PRISM, XKeyscore, Boundless Informant et Bullrun du gouvernement américain, d’autres programmes européens ont été révélés comme Tempora, Muscular et Optic Nerve du gouvernement britannique. Il faut souligner que la cybersurveillance des citoyens n’est pas une pratique exclusive aux Etats-Unis et l’Union européenne n’est pas inactive dans ce domaine et intercepte aussi les données personnelles 55 .
Lorsqu’il s’agit de s’intéresser à la responsabilité des entreprises ayant participé activement ou passivement à des programmes de surveillance, il faut aussi s’intéresser à la manière dont au sein même de l’Union, les entreprises peuvent être poursuivies pour avoir permis d’accéder à des données personnelles dont elles ont la responsabilité.
55 FOLLOROU (J.), « Les services secrets britanniques ont accès aux données des clients français d’Orange », Le Monde , 20 mars 2014.
Cette question est d’autant plus importante pour questionner ensuite la sécurité des données personnelles dans un Cloud Souverain Européen, puisque comme le rappel l’article 1er de la Loi Informatique et Liberté : « l’informatique doit être au service de chaque citoyen et ne doit porter atteinte ni à la vie privée, ni aux libertés individuelles ou publiques ».
La nécessité d’assurer la sécurité nationale, permet aux États d’user de pouvoirs exceptionnels, pouvant limiter la protection dont bénéficient les citoyens. Mais ces dérogations ne s’appliquent pas de la même manière aux entreprises.
En fait, la responsabilité résultant des activités des services secrets ne produit pas de riches développements juridiques dans la mesure où ces cas nécessitent une résolution discrète, soit par négociation directe, soit diplomatiquement, et la sanction est d’autant plus impensable qu’elle est inacceptable puisqu’il s’agit d’une pratique habituelle entre Etats 56 . Ainsi, dans les affaires d’espionnage, les États poursuivent les agents du renseignement devant les tribunaux nationaux sans prendre de mesures répressives contre l’État qui les a menées. A titre d’exemple, en France, l’agent de renseignement peut être jugé devant les juridictions nationales, sur la base de l’article 702 du Code de Procédure Pénale dès qu’il entretient des intelligences avec une puissance étrangère 57 et livre des données informatisées 58 dont la divulgation est de nature à porter atteinte aux intérêts fondamentaux de la nation.
Même si l’ingérence de l’État dans la vie privée des citoyens est possible, elle doit être fondée en fait 59 et prévue par des lois accessibles, prévisibles et détaillées, afin de fournir des garanties aux personnes soumises à de la cybersurveillance dans des sociétés démocratiques. De ce fait, l’Union européenne autorise la collecte des données de connexion mais la directive 2006/24/CE impose aux opérateurs téléphoniques et aux fournisseurs d’accès Internet de maintenir, pendant une durée de six mois à deux ans (variable selon les lois nationales des pays) toutes les données permettant d’identifier les internautes, de déterminer leur localisation et de connaître la date et la durée de leur communication.
56 DOUTRIAUX (C.), « Données personnelles et cybersurveillance », Revue de Défense Nationale, n°775, 2014, pp. 23-32.
57 Article 411-5 Code Pénal
58 Article 411-6 Code Pénal
59 CEDH, Janowiec et autres c. Russie, nos 55508/07 et 29520/09, §§ 213-214, 21 octobre 2013.
L’article 8 alinéa 2 de la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés fondamentales autorise la possible ingérence d’une autorité publique dans l’exercice du droit à la vie privée, si cette ingérence constitue une mesure nécessaire à la sécurité nationale. Ainsi le pouvoir de surveiller en secret les citoyens n’est tolérable que si les moyens prévus par la législation restent acceptables à titre exceptionnel, dans les seuls cas de nécessité d’intérêt public prévus par la loi et dans les limites fixées par celle-ci.
L’article 23 du RGPD permet, quant à lui, aux Etats membres de limiter par voie de mesures législatives l’ensemble des droits exposés par le RGPD lorsqu’il s’agit de garantir par exemple la sécurité ou la défense nationale. Ces limitations doivent cependant toujours respecter « l’essence des libertés et droits fondamentaux » et constituer « une mesure nécessaire et proportionnée dans une société démocratique ». Dans tous les cas, cette disposition ne permet pas au responsable de traitement de limiter sa responsabilité dans le cadre d’activités de surveillance et les autres dispositions du RGPD ne s’intéressent pas directement à cette question. Cependant, à travers l’interprétation de diverses dispositions, il est possible d’identifier des fondements sur lesquels des entreprises impliquées dans des programmes de surveillance pourraient être poursuivies. Tout d’abord l’article 82 permet à toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement, le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.
Ainsi, toute entreprise collectant des données pour des finalités qui ne sont pas déterminées, explicites et légitimes s’expose à des sanctions. A ce titre, il semble peu probable que des activités de surveillance massives constituent une finalité légitime du traitement de données personnelles. L’article 82 prévoit une possibilité pour ceux qui seraient mis en cause d’échapper à leur responsabilité s’ils démontrent « que le fait qui a provoqué le dommage ne [leur] est nullement imputable ». Il reviendrait alors aux fournisseurs de démontrer que les activités de surveillance se sont produites à leur insu et malgré des mesures de sécurité appropriées.
Les fournisseurs Cloud basés sur le territoire de l’Union Européenne et donc directement soumis aux juridictions des Etats membres ne disposent a priori pas de « traitement de faveur » pouvant leur permettre d’échapper à une éventuelle responsabilité dans le cadre d’activités de surveillance. Bien entendu, comme exposé précédemment, ce type d’affaire échappe le plus souvent aux voies juridictionnelles classiques et les affaires intra européennes n’y font pas exception. Cependant, la surveillance massive via des fournisseurs Cloud prend des proportions différentes lorsqu’elle se produit en dehors d’une organisation régionale fondée sur des transferts de compétences accrues. Cette surveillance est d’autant plus risquée lorsque l’on constate les difficultés de mise en œuvre extraterritoriale du RGPD.
B. La responsabilité des hébergeurs Cloud étrangers en cas de communication de données dans le cadre d’activités de surveillance : La difficile mise en oeuvre extraterritoriale du RGPD
L’article 51 du RGPD définit les autorités de contrôle chargées de surveiller l’application du Règlement. L’article 58 énonce les pouvoirs dont elles disposent, notamment le pouvoir d’adopter des mesures correctrices, telles qu’imposer l’interdiction d’un traitement, ordonner l’effacement de données à caractère personnel, retirer une certification ou imposer une amende administrative.
Ces pouvoirs de sanction ne sont applicables qu’à la condition que le responsable du traitement ou le sous-traitant soient établis sur le territoire de l’Etat membre de l’autorité de contrôle. Ainsi, en théorie, les autorités de surveillance peuvent exercer leurs pouvoirs d’enquête et de sanction de manière à produire des effets au-delà des territoires de l’EEE dans le cadre du droit international applicable. Toutefois, cela n’implique pas nécessairement que :
- Les pays tiers accepteront que les sociétés de surveillance exercent leurs pouvoirs d’enquête et de sanction d’une manière qui produise des effets sur leur territoire;
- Les pays tiers accepteront que les sociétés de surveillance engagent des actions en justice ou des procédures devant leurs cours ou tribunaux ;
- Les règles appliquées par les sociétés de surveillance dans l’exercice de leurs pouvoirs d’enquête et de sanction sont « acceptables » ou « applicables » devant les cours ou tribunaux des pays tiers ;
En effet, les pays tiers ne sont contraints, ni par le droit de l’UE, ni par la jurisprudence de la CJUE et en l’absence d’une convention internationale, d’un traité ou d’une quelconque disposition dans le droit national, rien ne les contraint d’accepter des procédures judiciaires sur leurs nationaux en matière de protection des données 60 .
Dans certains cas, comme avec le commissaire britannique à la protection des données, la coopération est facilitée par des accords internationaux (article 16 et 17 du traité 108) et par une volonté de coopération se matérialisant par un nombre élevé de protocoles et d’accords avec les autorités étrangères chargées de la protection des données 61 .
Dans d’autres cas, comme avec les Etats-Unis, la mise en œuvre de poursuites ou de sanctions est particulièrement complexe. Tout d’abord parce qu’il n’existe pas à l’heure actuelle de conventions internationales ou de traités entre les Etats-Unis et d’autres pays visant à faciliter la reconnaissance et la mise en oeuvre des jugements étrangers 62 . Au niveau fédéral, le Congrès américain n’a pas non plus adopté de loi générale régulant la reconnaissance et la mise en œuvre des jugements étrangers sur le territoire américain. Ainsi la reconnaissance des jugements étrangers relève du droit des Etats fédérés. Dans le cas de la Californie par exemple, l’adoption du Consumer Privacy Act de 2018 a ouvert la voie à la coopération avec l’agence Californienne de protection des données 63 . Cette coopération ne s’est pour l’instant pas étendue à d’autres Etats.
Concernant un autre acteur important du Cloud, la coopération avec la Chine semble possible en théorie, mais difficilement réalisable dans la pratique en l’absence de traité d’assistance judiciaire mutuelle à ce jour 64 .
Ainsi, en l’absence d’entreprises disposant d’un siège ou d’un établissement sur le territoire de l’Union, les autorités de contrôles ne disposent que de très peu de moyens pour sanctionner le non-respect des dispositions du RGPD. Quand bien même certains géants du Cloud possèdent un établissement sur le territoire de l’UE, se pose la question de l’adéquation entre les sanctions prévues par le droit existant et les bénéfices pouvant être générés par le marché des données personnelles et notamment du Cloud.
60 Centre de recherche, Information, Droit et Société, Milieu Consulting SRL, (dir. EDPB) « Study on the enforcement of GDPR obligations against entities established outside the EEA but falling under Article 3(2) GDPR » Final Report, 2021.
61 Voir les Mémorandum d’entente conclu par l’ICO dans le domaine de la protection des données :
62 FOLSOM (R.). Principles of International Litigation and Arbitration, 2d ed., West Academic, Concise Hornbook, 2019, pp. 447-490;
63 California Consumer Privacy Act of 2018, § 1789.199.10.
64 AZZI (A.), « The challenges faced by the extraterritorial scope of the General Data Protection Regulation », Journal of Intellectual Property, Information Technology and e-Commerce Law , Vol. 9, No. 2, 2018, p. 66.
Le service de Cloud AWS d’Amazon a généré en 2023 21,3 milliards de dollars, pour Microsoft ce chiffre monte à 75 milliards de dollars en 2023. En comparaison l’amende record de la CNIL à l’encontre de Microsoft s’élevait à 60 millions d’euros 65 et l’autorité luxembourgeoise chargée de la surveillance du RGPD a sanctionné Amazon Europe d’une amende de 746 millions d’euros en 2021 66 .
65 CNIL, Délibération SAN-2022-023 du 19 décembre 2022.
66 Les détails de cette affaire sont limités mais la mesure est probablement liée à une plainte déposée par le groupe français de défense des droits numériques « La Quadrature du Net » en 2018, qui visait la façon dont Amazon obtient le consentement pour cibler les publicités.
L’impact des sanctions pécuniaires sur les géants de Cloud sont difficilement quantifiables mais pour l’heure, les sanctions du RGPD semblent avoir davantage d’effet dissuasif sur les petites et moyennes entreprises que sur les « hyperscalers » du Cloud américain. Au-delà des risques juridiques, la crainte majeure des entreprises porte sur les risques extra-judiciaires qu’impliquent l’hébergement en Cloud.
