Alors que les juges américains se penchent sur la question de l’accès aux données des Européens par le FBI, la France et les États membres doivent faire valoir le standard de protection européen.
Nouvel épisode dans la bataille judiciaire conduite par les fournisseurs de service Internet, la Cour suprême des États-Unis a confirmé, lundi 16 octobre 2017, qu’elle acceptait d’examiner une affaire qui oppose, depuis 2013, Microsoft aux autorités américaines, suite au refus du géant américain de transmettre le contenu d’emails stockés sur le territoire d’un État européen, en l’occurrence l’Irlande.
Les mécanismes de coopération judiciaire internationale dans le cadre d’enquête pénale sont au cœur de ce litige.
En effet, Microsoft considère que les autorités américaines ne sont pas compétentes pour requérir la communication du contenu d’emails stockés en dehors du territoire des États-Unis, sauf à passer par la voie des instruments de coopération internationale « classique ». La cour d’appel du 2e circuit de New York lui a donné raison en juillet 2016. Google a, par ailleurs, soutenu une position similaire dans le cadre d’autres contentieux, sans pour autant connaître le même succès. À l’inverse, selon l’administration américaine, il n’est pas nécessaire d’en passer par les mécanismes de coopération internationale, ni plus globalement, de coopérer avec l’État sur le territoire duquel les données sont situées. Selon cette dernière, l’effet extraterritorial de la loi américaine l’emporterait, l’autorisant à accéder unilatéralement aux données situées sur le territoire d’un État membre de l’Union sans solliciter son accord ni même l’informer d’un acte d’enquête, qui constitue pourtant une ingérence portant atteinte à sa souveraineté.
De prime abord, pour autant qu’elle soit confirmée par la Cour suprême, la position américaine peut surprendre de par les difficultés qu’elle soulève au regard de la garantie des droits fondamentaux des citoyens ainsi que de la souveraineté des États membres de l’Union.
Premièrement, en vertu de la position américaine, des données à caractère personnel seraient transférées outre-Atlantique, et divulguées aux autorités locales et ce, en dehors de tout encadrement conforme au droit de l’Union. Deuxièmement, l’accès aux données par un acte unilatéral d’enquête émanant des autorités américaines ne répond à aucune des règles procédurales et conditions de fond, que chaque État est libre de déterminer souverainement. Cette atteinte à la souveraineté des États membres de l’Union serait d’autant plus inacceptable qu’elle ne serait pas assortie de la réciprocité qui pourrait légitimement être attendue. Si la loi américaine autorise les fournisseurs de service Internet à communiquer les métadonnées aux autorités d’un État tiers, elle interdit en revanche expressément de donner accès aux contenus de communication et aux données stockées aux États-Unis.
De plus, on peut s’interroger sur ce qui resterait alors de la volonté politique des États-Unis de négocier des accords de coopérations à la hauteur des défis de la prévention et de la répression de la criminalité à l’ère du tout numérique, dans un contexte où la Cour suprême consacrerait la légalité d’un pouvoir de réquisition unilatéral universel autorisant les autorités américaines à piocher dans les données localisées hors de son territoire. À n’en pas douter, les autorités de poursuite européennes pâtiraient d’une situation fortement préjudiciable aux impératifs d’efficacité des enquêtes conduites tous les jours en vue d’assurer la sécurité publique.
Reste à savoir quelle sera la réaction des États membres et de l’Union. La procédure devant la Cour suprême leur permet de faire valoir leur position et les enjeux de l’affaire en cours.
Par le biais de ce dispositif d’Amicus curiae, ce sont les juges américains qui sont susceptibles d’être directement interpellés par un, voire plusieurs États membres, et pourquoi pas, par la Commission européenne.
Pour la France, il s’agirait à n’en pas douter d’une occasion de ré-affirmer sa volonté de demeurer, y compris à l’ère post-Snowden, le « pays des droits de l’Homme ». Dans un contexte marqué par l’asymétrie du niveau de protection des données personnelles garanti de chacun des côtés de l’Atlantique, une intervention du gouvernement français aurait un premier mérite, celui de rappeler le standard élevé qui doit prévaloir dès lors que les données de citoyens européens sont en cause. Il faut préciser que ce décalage a en récemment été pointé du doigt par le Conseil national du numérique (CNNum) à l’occasion de l’examen annuel du Privacy Shield. L’organisme consultatif du gouvernement estime, en droite ligne des observations du Groupe de l’article 29 énoncées en 2016, que le mécanisme de transfert de données vers les États-Unis n’apporte pas les garanties suffisantes.
Précisément, ce sont les modalités de communication de données aux autorités américaines et l’accès des citoyens aux recours qui leur permettraient de faire valoir leurs droits de manière effective qui posent difficulté. Ces mêmes griefs sont d’ailleurs actuellement examinés par le Tribunal de première instance de l’Union européenne dans le cadre d’un recours en annulation visant le Privacy Shield. Il fait peut de doute que les arguments développés devant les juges européens se trouveraient renforcés si la Cour suprême devait valider la possibilité pour l’administration américaine de solliciter la communication de donnée en dehors du cadre prévu par la coopération internationale.
L’interpellation des juges américains trouve également tout son sens si l’on considère la nécessité de protéger les secrets industriels et commerciaux des entreprises françaises et à travers eux, les intérêts économiques essentiels de la France. Si le rapport du député Carayon relatif à la protection du secret des affaires pointait déjà en 2012 l’insuffisance de la loi n° 68-678 du 26 juillet 1968 dite « loi de blocage », on peut s’interroger sur ce qu’il resterait des industriels et commerciaux des entreprises françaises dans un contexte où la jurisprudence redoutée de la Cour suprême ferait tache d’huile en matière civile et commerciale. Les procédures de Discovery auxquelles sont confrontées les entreprises sont aujourd’hui contraintes par le cadre procédural prévu par la Convention de la Haye. À ce titre, les commissions rogatoires émises par les juges américains dont l’objet est l’exécution de ce type de procédure peuvent être rejetées sauf à ce qu’elles répondent à des impératifs tenant à l’énumération limitative des documents recherchés et leurs liens directs et précis avec l’objet du litige. Dans l’hypothèse où la Cour suprême donnerait raison à l’administration américaine, on peut craindre que cette garantie soit contournée. En effet, quid alors des garde-fous qui permettraient de prémunir les entreprises françaises du scénario où les demandes de communications de documents seraient directement adressées aux prestataires de service Cloud et ce, sans passer par les mécanismes de coopération internationale ?
Pour finir de convaincre de la nécessité d’apostropher la Cour suprême, il pourrait être relevé que le secret professionnel qui protège les correspondances adressées par un avocat à son client pourrait également être mis à mal par une décision ne retenant pas les arguments de Microsoft. Cependant, en cette période d’élection ordinale, il y a tout lieu d’espérer que nos confrères candidats s’empareront du sujet pour le porter aux oreilles attentives de notre gouvernement !
