- La loi américaine sur la surveillance (section 702) permet un accès massif aux données du cloud sans mandat de perquisition classique.
- Le CLOUD Act et le SCA obligent les fournisseurs à fournir également des données extraterritoriales ; la protection juridique des étrangers reste limitée.
- RISAA 2024 élargit considérablement la définition des prestataires de services obligatoires, couvrant ainsi de nombreux prestataires non traditionnels.
- Le contrôle des données est décisif, pas l’emplacement du serveur ; le cloisonnement technique n’offre guère de protection fiable contre l’obligation de remise des données.
Les autorités, les entreprises et les personnes soumises au secret professionnel peuvent-elles utiliser des services de cloud computing de fournisseurs américains, de fournisseurs indirectement contrôlés par les États-Unis et d’autres fournisseurs ayant un lien avec l’étranger ? Cette question préoccupe la Suisse, mais pas seulement, depuis des années – en fin de compte depuis Edward Snowden. Pour les organes publics, le respect des droits fondamentaux et du secret de fonction est au premier plan, pour les particuliers, le droit privé de la protection des données et la question de savoir dans quelles conditions une externalisation vers un fournisseur de cloud est compatible avec les secrets professionnels. Une chronologie de la discussion correspondante nous avons publié sur droit des données.
Comme on le sait, la discussion porte avant tout sur la question de savoir quels sont les risques d’un accès des autorités à l’étranger qui peuvent être acceptés, si une „acceptation“ du risque de tels accès est même interdite ou si de tels accès doivent au contraire être acceptés parce que l’utilisation de solutions Cloud correspondantes permet de réduire d’autres risques pour les personnes concernées. Cette discussion relève du droit suisse fédéral et cantonal. Mais le droit des États étrangers concernés, et notamment des États-Unis, joue un rôle essentiel en tant que facteur de risque.
Dans ce contexte, un projet de loi, présenté en décembre 2025 expertise rendue publique par une demande de liberté d’information intéressant à lire et occasion d’une présentation correspondante. Une personne de l’université de Cologne avait rédigé en mars 2025, à la demande du ministère fédéral allemand de l’Intérieur (BMI), un avis de droit sur la situation juridique américaine. Jusqu’à présent, cette expertise n’est disponible que dans une version expurgée.
Mandat d’expertise
Le BMI a posé trois questions :
- Quelle est la situation juridique actuelle aux États-Unis ? Les services de renseignement américains ont-ils un droit d’accès direct aux informations du cloud et un droit de remise aux fournisseurs de cloud ?
- Les fournisseurs d’accès étrangers sont-ils également soumis à la juridiction américaine ?
- Un tel droit d’accès existe-t-il également lorsqu’une entreprise américaine crée une filiale allemande selon le droit allemand et exploite le cloud sur le territoire allemand ?
L’expertise analyse à cet effet le droit de surveillance américain pertinent, avec pour l’essentiel les conclusions suivantes, que nous avons en partie enrichies par des informations supplémentaires ou des indications complémentaires :
FISA
Section 702
Section 702 FISA (Titre VII) est la disposition centrale pour la surveillance des „Non-US Persons“ en dehors des Etats-Unis. Elle autorise les services secrets américains à collecter des données de communication auprès des „Electronic Communication Service Providers“ (ECSP). Le site Cour de surveillance du renseignement extérieur (FISC) approuve uniquement les paramètres de surveillance chaque année, et non les cibles individuelles.
L’article 702 s’applique aux tous les fournisseurs de services cloud et les centres de données Application. La procédure se déroule en grande partie sans contrôle judiciaire compréhensible ; un mandat de perquisition judiciaire n’est en principe pas nécessaire pour ordonner une perquisition.
Section 501/502
Section 501/502 FISA (Titre V), également appelé section 215 du USA PATRIOT Act, autorisait le FBI à demander au FISC des ordres de remise de „tangible things“ (entre autres des dossiers commerciaux et des documents). Cette disposition a servi de base à la Collecte de masse des métadonnées téléphoniques par la NSA. Le site USA FREEDOM Act 2015 a limité cette „collecte en vrac“ tout en prolongeant la durée de la disposition jusqu’en mars 2020.
Or, la section 501/502 a expiré en mars 2020 et a été depuis lors non renouvelé. L’expertise conclut en conséquence que la section 502 de la FISA n’est plus applicable.
Titre IV FISA
Titre IV FISA (Sections 401 – 406) régit l’utilisation des Registres des stylos et Dispositifs Trap-and-Trace à des fins de renseignement. Un Registre des stylos capture „dialing, routing, addressing, or signaling information“ des communications sortantes, un Dispositif Trap-and-Trace les données correspondantes des communications entrantes (18 U.S.C. § 3127). Ces deux instruments ne saisissent explicitement aucun contenu de communication, mais uniquement des métadonnées.
Le site USA FREEDOM Act 2015 interdit ici aussi la collection en vrac et exige depuis lors un terme de sélection spécifique, Il s’agit donc d’un point de rattachement concret, comme une personne, un compte ou un appareil spécifique. L’obstacle à une ordonnance FISC selon le titre IV est moins important que pour une surveillance selon le titre I (surveillance électronique avec contenu) : Il suffit de certifier que l’information est susceptible d’être pertinent pour une enquête en cours sur la protection contre le terrorisme international ou les activités clandestines de renseignement.
Loi sur les communications stockées & loi CLOUD
Le site Loi sur les communications stockées (SCA) oblige les fournisseurs de services de communications électroniques et de services informatiques à distance à fournir le contenu des communications, les documents stockés dans le nuage et les métadonnées. Le CSA précise, avec la modification du Loi sur la CLOUD de 2018, que cette obligation s’applique également aux données stockées en dehors des États-Unis (le contexte était l’affaire États-Unis c. Microsoft Corp., (voir l’affaire “Crime contre la vie privée”, dans laquelle Microsoft a refusé de restituer des courriels stockés en Irlande).
Protection juridique
La protection juridique contre les injonctions SCA est limitée par le CLOUD Act. Les fournisseurs de services couverts peuvent contester une ordonnance („motion to quash or modify“, 18 U.S.C. § 2703(h)), si
- la personne concernée n’est pas une personne américaine et ne réside pas aux États-Unis,
- la publication est le droit d’un qualifier le gouvernement étranger blesserait, et
- le tribunal conclut, après une analyse de comitologie (c’est-à-dire une mise en balance des intérêts contradictoires), que l’ordonnance doit être levée.
En tant que qualifier le gouvernement étranger n’est considéré comme tel que l’État qui a conclu un accord avec les États-Unis. Accord exécutif selon 18 U.S.C. § 2523 a conclu. Ces executive agreements permettent tout d’abord un accès mutuel simplifié aux données entre les autorités de poursuite pénale et lèvent les restrictions qui s’appliqueraient sinon. Statuts de blocage (c’est-à-dire des interdictions de divulgation de données). Jusqu’à présent, de tels accords n’existent qu’avec le Royaume-Uni (en vigueur depuis octobre 2022) et avec l’Australie (en vigueur depuis janvier 2024). Des négociations sont en cours avec l’UE et le Canada (BSA TechPost).
Pour les entreprises suisses, il existe donc pas de protection juridique particulière à l’encontre d’ordonnances rendues en vertu de la SCA. Un prestataire de services peut certes, même sans executive agreement, invoquer une exception de courtoisie à l’encontre d’un client. common law-(Loi CLOUD § 103(c)), mais l’octroi d’une protection juridique est ici laissé à la large appréciation du tribunal américain compétent. Mais la Suisse devrait aussi accepter que les autorités américaines puissent notifier des ordres de remise directement aux CSP suisses, en dehors de l’entraide judiciaire. L’Association suisse des banquiers, en particulier, est opposée à un tel accord. sceptique à l’égard de.
EO 12333
Le site Ordre exécutif 12333 autorise ensuite les services secrets américains à collecter des informations pertinentes pour les services secrets à l’étranger. La participation des exploitants de serveurs n’est en principe pas nécessaire, des failles de sécurité dans l’infrastructure informatique sont exploitées. Les conditions de ces accès ne sont pas connues du public.
EO 14086 et cadre de confidentialité des données
L’expertise ne dit rien sur l’Executive Order 14086 – probablement parce qu’elle est fortement expurgée et/ou parce qu’elle se concentre en premier lieu sur les pouvoirs de surveillance et non sur les mécanismes de protection. L’ordonnance 14086 est toutefois pertinente pour l’image globale.
En octobre 2022, le président Biden avait Ordre exécutif 14086 („Enhancing Safeguards for United States Signals Intelligence Activities“ ; voir ici). Elle constitue, avec une ordonnance de l’Attorney General, le fondement Décision d’adéquation de la Commission européenne de juillet 2023, le cadre UE-États-Unis sur la protection des données. EO 14086 prévoit Restrictions à la surveillance par les services de renseignement de personnes non américaines :
- Le renseignement d’origine électromagnétique ne peut être utilisé que pour poursuivre des objectifs légitimes définis (tels que la lutte contre le terrorisme, le contre-espionnage, la protection de la sécurité nationale).
- La surveillance doit être nécessaire et proportionnée.
- Un nouveau mécanisme de recours a été créé : Les personnes concernées des „qualifying states“ peuvent déposer des plaintes auprès du Civil Liberties Protection Officer (CLPO), dont les décisions peuvent être examinées par une nouvelle Cour d’examen de la protection des données.
En août 2024, le Conseil fédéral a invité les États-Unis à Liste des États offrant un niveau adéquat de protection des données, dans la mesure où les destinataires sont certifiés conformément au Data Privacy Framework. L’enregistrement n’est toutefois valable que pour les destinataires de données soumis au cadre, c’est-à-dire les entreprises américaines qui se sont certifiées auprès du ministère américain du commerce.
La question de savoir si EO 14086 offre une protection efficace dans la pratique est controversée. noyb a publié en novembre 2024 une Plainte contre l’autorité irlandaise de protection des données parce qu’elle ne prend pas de mesures contre Meta malgré les pratiques de surveillance connues. L’organisation argumente que le framework, comme ses prédécesseurs Safe Harbor et Privacy Shield, est juridiquement indéfendable.
Reforming Intelligence and Securing America Act (RISAA) 2024
L’expertise aborde également le Loi sur la réforme du renseignement et la sécurisation de l’Amérique (RISAA) qui est entré en vigueur le 20 avril 2024 et a prolongé la section 702 FISA jusqu’au 20 avril 2026 (voir notre contribution antérieure). En 2022, un centre de données en nuage s’était opposé à une ordonnance de restitution devant le FISC au motif qu’il n’était pas un „fournisseur de services de communication électronique“. Le FISC a donné raison à l’entreprise et a bloqué l’injonction. Le site Décision de la FISC de 2022 et la confirmation Décision FISCR de 2023 sont fortement noircis. RISAA a été la réponse législative.
En particulier, la section 25 a Définition du „fournisseur de services de communication électronique“ considérablement élargie. Cette définition en 50 U.S.C. § 1881(b)(4) détermine les entreprises qui peuvent être tenues de coopérer aux contrôles de l’article 702.
L’ancienne version se lisait comme suit :
(A) un opérateur de télécommunications […] ;
(B) un fournisseur de service de communication électronique […] ;
(C) un fournisseur de services informatiques à distance […] ;
(D) tout autre fournisseur de services de communication ayant accès aux communications par fil ou par voie électronique, que ce soit dans le cadre de la transmission de ces communications ou de leur stockage ; ou
(E) un officier, employé ou agent d’une entité décrite au paragraphe (A), (B), (C) ou (D).
La section 25 RISAA a ajouté une nouvelle lettre (E), l’ancienne (E) est devenue (F) avec un ajout. Le site nouvelle catégorie est le suivant :
(E) tout autre fournisseur de services ayant accès à des équipements utilisés ou susceptibles d’être utilisés pour transmettre ou stocker des communications par fil ou par voie électronique, mais n’incluant pas toute entité servant principalement de : (i) a public accommodation facility ; (ii) a dwelling ; (iii) a community facility ; or (iv) a food service establishment.
L’ancienne catégorie (D) exigeait comme un Communication Fournisseurs de services avec accès. La nouvelle catégorie recense chaque Fournisseur de services ayant accès à des équipements utilisés ou pouvant être utilisés pour communiquer. L’expertise :
„L’accès“ à de tels appareils est aujourd’hui probablement possible pour tout prestataire de services qui utilise par exemple des smartphones, des ordinateurs et des routeurs Wi-Fi dans son entreprise. Les prestataires de services ne doivent donc plus être des opérateurs de télécommunications. Au contraire, un nombre incalculable de prestataires de services est recensé, Les entreprises qui ont recours à ce type de services sont notamment les laveries automatiques, les coiffeurs, les centres de remise en forme, les cabinets de dentistes, les magasins de bricolage et les entreprises de location de bureaux.
Les organisations de défense des droits civiques comme le Centre Brennan pour la justicequi Electronic Frontier Foundation et le Centre pour la démocratie et la technologie ont critiqué la RISAA en la qualifiant de „Patriot Act 2.0“. Le sénateur Ron Wyden (D‑OR) l’a qualifié de
l’une des plus dramatiques et terrifiantes expansions de l’autorité de surveillance du gouvernement de l’histoire
Le sénateur Mark Warner (D‑VA), président du Senate Intelligence Committee, a reconnu que la disposition était „mal ficelé“, et a promis une correction par le biais de l’Intelligence Authorization Act. Cette correction, annoncée pour juin 2024, a certes été partiellement mis en œuvre, La définition élargie reste en principe en vigueur.
„Data Broker Loophole“
Un deuxième aspect n’est mentionné qu’en marge de l’expertise, mais il complète le tableau : les autorités américaines peuvent contourner les restrictions constitutionnelles en achetant tout simplement certaines données.
Informations commercialement disponibles (CAI) désigne, selon une définition des services de renseignement américains, les informations accessibles au grand public à des fins commerciales, par achat ou par abonnement. CAI est considéré comme un sous-ensemble de Informations disponibles au public (PAI) et comprend notamment les données générées par les smartphones, les appareils connectés et les modèles commerciaux basés sur la publicité sur Internet. Ces données sont agrégées et vendues par des data brokers comme Acxiom, LexisNexis ou Oracle.
Le site déclassé en juin 2023 mentionné dans l’expertise Rapport de l’Office of the Director of National Intelligence (ODNI) de janvier 2022 documente cette pratique. Comme l’IAO est traitée comme une IAP, elle est soumise à moins de restrictions que d’autres méthodes d’enquête des services de renseignement. Mais selon le rapport, l’IAO est fondamentalement différente des IAP traditionnelles comme les journaux. Les IAO actuelles sont beaucoup plus sensibles, concernent pratiquement tout le monde, sont difficiles à éviter et faciles à désanonymiser. Le simple fait de constater que les IAO sont disponibles publiquement ne suffit pas :
[Dire que CAI est „publiquement disponible“ ou qu’il peut être acheté par „n’importe qui“ obscurcit la quantité et la sensibilité des informations disponibles à l’achat aujourd’hui. […] Pour dire que de vastes données constamment mises à jour sur des millions d’Américains obtenues grâce à une surveillance sophistiquée et opaque des entreprises équivaut à dire dans un journal que le gouvernement pourrait toujours sortir et acheter, c’est comme dire qu’un voyage à dos de cheval est matériellement indiscernable d’un vol vers la lune.
Le rapport mentionne quelques relations contractuelles pour l’acquisition de CAI :
- FBI: Contrat avec ZeroFox pour le „social media alerting“
- Agence de renseignement de la défense (DIA)Contrats pour les rapports sur les médias sociaux concernant les personnes demandant une habilitation de sécurité et avec LexisNexis pour „comprehensive on-line search results related to commercial due diligence“.“
- U.S. NavyContrat avec Sayari Analytics pour l’accès à une base de données contenant „tens of thousands of previously-unidentified specific nodes, facilities and key people related to US sanctioned actors“.“
- Département du Trésor: Accès au Banker’s Almanac
- Département de la défense: Accès à Jane’s online
- Garde-côtes: Contrat avec Babel Street pour „Open Source Data Collection, Translation, Analysis Application“.“
De plus, la DIA achète des données de localisation de smartphones sur le marché libre. Dans un Lettre au Congrès du 15 janvier 2021 la DIA l’a révélé :
La DIA fournit actuellement un financement à une autre agence qui achète des métadonnées de géolocalisation commercialement disponibles, agrégées à partir de smartphones. […] L’autorisation d’interroger les données de localisation des appareils américains a été accordée cinq fois au cours des deux dernières années et demie à des fins autorisées.
Le rapport avertit ensuite que données anonymisées facilement réidentifiées peuvent être utilisés :
Bien que les IAO puissent être „anonymisées“, il est souvent possible (en utilisant d’autres IAO) de désanonymiser et d’identifier des individus, y compris des personnes américaines.
A titre d’exemple, le rapport fait référence à une Recherche du New York Times de 2019, L’entreprise a utilisé 50 milliards de données de localisation de 12 millions d’Américains :
Il s’agissait d’un échantillon aléatoire de 2016 et 2017, mais il ne nous a fallu que quelques minutes – avec l’aide d’informations disponibles publiquement – pour désanonymiser les données de localisation. […] The Times a pu suivre les déplacements du président Trump via un membre de son service secret.
En 2018, la Cour suprême des États-Unis a jugé, dans Carpenter c. États-Unis a toutefois décidé que les autorités de sécurité avaient en principe besoin d’une décision de justice pour obtenir des données de localisation auprès des fournisseurs de télécommunications. Selon le rapport de l’ODNI, les services de renseignement n’ont pas de position commune sur l’applicabilité de la loi sur la protection des données. Carpenter sur des données achetées. La DIA considère par exemple que Carpenter- comme n’étant pas applicable aux données achetées. L’expertise fait référence à cette pratique :
Alors que la Cour suprême des États-Unis a déclaré dans l’affaire Carpenter que les autorités de sécurité ne peuvent en principe obliger les entreprises à fournir les données demandées que sur la base d’une décision de justice, cette décision de justice est en partie vide de sens dans la pratique. Tant que les entreprises fournissent les données „volontairement“, selon l’interprétation des autorités de sécurité, il n’est pas nécessaire d’obtenir une décision de justice.. Cependant, les autorités de sécurité achètent le volontariat des entreprises avec de l’argent comptant, comme l’a révélé un rapport du gouvernement américain en 2022.
Le site Le quatrième amendement n’est pas à vendre, La proposition de loi visant à interdire cette pratique a été adoptée par la Chambre des représentants en avril 2024 par 219 voix contre 199, mais elle a été rejetée par le Sénat en tant qu’amendement à la loi RISAA. L’achat de données reste donc autorisé au niveau fédéral. Seul l’État du Montana a interdit aux forces de l’ordre d’acheter des données en mai 2025 (en vigueur depuis le 1er octobre 2025), qui ne pourraient sinon être obtenues qu’avec un mandat de perquisition.
En réponse aux critiques, l’ODNI a publié le 8 mai 2024 une Cadre de politique IC pour l’information commercialement disponible qui vise à mettre en œuvre les recommandations du rapport et à établir des normes uniformes pour les agences de renseignement. Des rapports datant de janvier 2025 montrent cependant que le DHS a de nouveau acquis l’accès à des systèmes de surveillance capables de surveiller les téléphones portables dans les quartiers et de suivre les mouvements dans le temps. L’ACLU a publié des documents de l’ICE qui montrent comment l’agence tente de construire une justification légale pour l’achat de données de localisation sans mandat.
Le contrôle et non l’emplacement du serveur est décisif
L’expertise conclut en outre que le Le lieu de stockage des données n’est pas pertinent d’un point de vue juridique n’est pas un problème. Ce qui est déterminant, c’est plutôt le contrôle des données :
Il ne fait aucun doute que les dispositions du SCA s’appliquent également de manière extraterritoriale. Cela correspond à la volonté claire du législateur du CLOUD Act. En outre, il est de jurisprudence constante des tribunaux fédéraux américains que les documents doivent être restitués même s’ils se trouvent en dehors des États-Unis, mais que le débiteur a le contrôle de ces documents. La notion de contrôle est interprétée au sens large, de sorte que tout cadre supérieur qui peut faire en sorte que les informations soient envoyées dispose d’un contrôle dans ce sens.
Si un groupe américain possède une filiale allemande, les tribunaux américains devraient pouvoir ordonner à la mère de fournir des données à la filiale aux autorités américaines. Les entreprises européennes peuvent également soumettre à l Juridiction américaine dans la mesure où ils ont des contacts commerciaux avec les États-Unis. L’expertise renvoie pour cela à Plixer Int’l, Inc. c. Scrutinizer GmbH, La Cour européenne des droits de l’homme (CEDH) a rendu un arrêt dans lequel elle déclare qu’une entreprise allemande de technologies de l’information était soumise à la juridiction américaine du seul fait que son site web en anglais était accessible aux clients américains et que l’entreprise avait servi pendant quelques années environ 150 clients américains avec un chiffre d’affaires d’environ 200 000 USD :
L’exploitation d’un site web qui s’adresse au moins aussi à des clients américains ou qui ne les exclut pas explicitement de l’accès au site web peut suffire à l’établissement d’une specific personal jurisdiction. Pour un fournisseur de services informatiques en nuage, le simple fait d’offrir ses services à des clients américains peut suffire si la procédure porte précisément sur cette activité.
Mesures techniques de protection ?
L’expertise poursuit son examen, si les fournisseurs de Cloud peuvent se soustraire à une obligation de remise par des mesures techniques, La Commission européenne a estimé qu’il n’y avait pas lieu d’interdire l’accès aux données, par exemple en s’excluant eux-mêmes de l’accès aux données, mais elle a émis de sérieux doutes à ce sujet :
Il semble douteux qu’une obligation de restitution puisse être évitée par le fait que les fournisseurs de cloud s’excluent techniquement du cloud. […] Dans le droit procédural américain, les parties sont toutefois tenues de conserver les informations pertinentes pour la procédure avant même le début du litige. […] Si un fournisseur de services en nuage s’exclut de son accès au serveur en nuage par des mesures techniques, il ne peut plus satisfaire à ces obligations et risque parfois des amendes importantes, des conséquences pénales, ou les deux.