Note de veille

Institutions - Recherche, sciences, techniques - Société, modes de vie

Extraterritorialité du droit américain : application au cyberespace

Par

L’entrée en vigueur du CLOUD [Clarifyng Lawful Overseas Use of Data] Act aux États-Unis en mars 2018 représente une nouvelle étape dans la volonté de Washington d’opérer un contrôle le plus large possible sur les données et le cyberespace en général, en profitant de la capacité des lois américaines de s’imposer au-delà des frontières. Seul domaine stratégique artificiel, le cyberespace est fondé sur un système de coopération public-privé particulier, au centre duquel se trouvent les États-Unis. Issu du domaine militaire américain — l’État contrôlant toujours certaines des infrastructures critiques — il repose aujourd’hui principalement sur un modèle économique issu du droit commercial californien. Cette donnée fondamentale se couple avec une double géographie, à la fois tangible et virtuelle, qui contribue à brouiller l’application du droit et la géopolitique du cyberespace.

Selon les couches considérées, les implications en termes de droit sont relativement différentes. Sur la couche matérielle [1], les infrastructures étant sises sur des territoires identifiés, il est relativement aisé d’appliquer le droit local. En revanche, sur les couches logicielle [2] et sémantique [3], les questions de transnationalité du droit et d’application différenciée sont plus délicates. Dans ces deux domaines, il est plus souvent fait appel au droit de la propriété intellectuelle, sans que celui-ci ne soit exclusif selon les cas (logiciel libre par exemple). La question des données, en particulier, est relativement complexe à trancher puisque ces dernières procèdent de la rencontre entre un utilisateur et une plate-forme, dans un modèle de cocréation [4]. Dans ce contexte, il est plus aisé pour certains États, à commencer par les États-Unis, de mettre en œuvre des politiques d’application extraterritoriale du droit national.

La protection des données

Ainsi le premier domaine dans lequel il est possible de voir cette application extraterritoriale du droit américain est celui de la protection / utilisation des données. La notion de la propriété des données demeurant relativement floue au plan international, il est possible pour certains États de s’immiscer dans ces questions. En 2012, lors de la saisie des serveurs de l’entreprise MegaUpload, les services judiciaires américains ont ainsi confisqué des quantités très importantes de données, d’utilisateurs provenant de nombreux pays. Cette affaire a donné lieu à une jurisprudence [5] qui fait du possesseur de l’infrastructure de stockage de données le copossesseur de la donnée. En ce sens et eu égard à l’importance des volumes de stockage de données aux États-Unis — environ 40 % du volume cloud mondial dont les principaux serveurs des GAFA(M) (Google Apple Facebook Amazon [Microsoft]) [6] —, le gouvernement américain dispose ici d’une capacité d’application de son droit sur des données d’utilisateurs non américains. En ce qui concerne le cloud, la législation américaine a récemment évolué sur ce point précis par le CLOUD Act de 2018. Celui-ci augmente les pouvoirs de contrainte des agences américaines de sécurité et de renseignement vis-à-vis des fournisseurs de stockage en ligne, que les données soient stockées sur ou hors du territoire américain.

La législation américaine sur le renseignement, avant l’entrée en vigueur du CLOUD Act, permettait déjà aux instances régaliennes de collecter des données un peu partout sur la planète. Le Foreign Intelligence Surveillance Act (FISA) de 1972, devenu depuis 2008 le FISA Amendments Act, permet aux agences de renseignement, depuis le dernier quart du XXe siècle, de mettre en œuvre des techniques d’interception en dehors du territoire américain pour la préservation de la sécurité nationale. Législation controversée [7], en particulier depuis les révélations d’Edward Snowden sur la collaboration public-privé dans la collecte de données, le FISA, dans une vision maximaliste de son application, permet aux États-Unis d’intercepter pratiquement toute donnée où qu’elle soit.

Du côté européen, il importe de considérer également que le Règlement général sur la protection des données (RGPD), au travers de son application viale Privacy Shield [8], est également une tentative européenne d’étendre le droit des données personnelles hors de ses frontières. Toutefois, si le Privacy Shield prévoit une application du droit de la vie privée européen sur le sol américain quand les données concernées sont celles de citoyens européens, il est également notable que les différentes législations américaines sur la sécurité nationale s’appliquent avant le Privacy Shield. Le Patriot Act de 2001 puis le CLOUD Act de 2018 offrent ainsi au gouvernement américain la possibilité de contourner le RGPD selon les besoins nationaux.

L’exportation de technologies

Au-delà de l’acquisition des données, un autre domaine, plus restreint, est concerné par l’extraterritorialité du droit américain : l’exportation de technologies considérées comme matériels de guerre. La réglementation International Traffic in Arms Regulation (ITAR) qui oblige les entreprises étrangères utilisant des composants américains à demander aux États-Unis une autorisation d’exportation vers un tiers, évolue ces dernières années pour prendre en compte le domaine cyber. La liste des technologies soumises à ITAR a ainsi été modifiée plusieurs fois, avec une orientation de plus en plus marquée vers les technologies liées à la cybersécurité de haut niveau (sondes, matériels d’interception, systèmes cryptographiques, etc.) [9]. À ce titre, un certain nombre d’équipements cyber sont ainsi considérés comme des systèmes militaires, alors que leur emploi peut tout à fait être civil. En plus de la réglementation ITAR qui est la plus contraignante, l’exportation des technologies sensibles est également régulée par le gouvernement américain au travers de l’Export Administration Regulations (EAR) [10]. La sévérité des peines, financières mais également pénales, pour les contrevenants aux réglementations ITAR et EAR dissuade généralement les entreprises étrangères de contrevenir à celles-ci.

Les États-Unis disposent donc d’une palette assez complète de règles de droit destinées à agir sur les couches tant matérielle et logicielle (ITAR, EAR) que sémantique (FISA Amendments Act, CLOUD Act, Patriot Act). Grâce à la puissance économique et à l’attractivité du marché américain, les États-Unis ont la capacité de dénier aux entreprises étrangères toute velléité d’exportation de technologie vers des pays considérés comme hostiles. Si la révélation en 2013 du scandale PRISM [11] a pendant un temps jeté l’opprobre sur les pratiques des États-Unis en ce domaine, les critiques ont néanmoins cessé sans véritable changement de la part de Washington. La publication fin 2014 de la Third Offset Strategy du département de la Défense a consolidé l’importance des technologies cyber émergentes (objets connectés et surtout intelligence artificielle) dans le domaine de la défense. Il est ainsi plus que probable que les États-Unis cherchent à renforcer leur capacité à réguler la circulation des technologies et des données au niveau international.



[1] Correspondant à l’ensemble des éléments physiques du cyberespace (ordinateurs, câbles, serveurs, etc.).

[2] Correspondant à l’ensemble des programmes de discussion homme-machine (logiciel) et machine-machine (protocole).

[3] Correspondant à l’ensemble des données et informations transitant dans les deux premières couches.

[4] Voir Mazzucchi Nicolas, « Les données sont-elles une marchandise comme les autres ? », Note de la FRS (Fondation pour la recherche stratégique), n° 12, 25 juillet 2018. URL : https://www.frstrategie.org/web/documents/publications/notes/2018/201812.pdf. Consulté le 14 juin 2019.

[5]Kravets David, « Feds Tell Megaupload Users to Forget About Their Data », Wired, 11 juin 2012. URL : https://www.wired.com/2012/06/feds-megaupload-data/. Consulté le 14 juin 2019.

[6]Christian Patrick, « Where Are the World’s Cloud Data Centers and Who is Using Them? », TeleGeography, 10 avril 2018. URL : https://blog.telegeography.com/where-are-the-worlds-cloud-data-centers-and-who-is-using-them. Consulté le 14 juin 2019.

[7]Donohue Laura K., The Future of Foreign Intelligence: Privacy and Surveillance in a Digital Age, Oxford : Oxford University Press, 2016 (analysé sur le site de Futuribles).

[8] Entré en vigueur en août 2016, le Privacy Shield est un accord transnational Union européenne / États-Unis qui crée une réciprocité des législations de protection de données. Les entreprises américaines qui traitent les données personnelles de citoyens européens sur le sol américain sont donc tenues d’appliquer la législation européenne. Voir la présentation qu’en fait la CNIL (Commission nationale de l’informatique et des libertés). URL : https://www.cnil.fr/fr/le-privacy-shield. Consulté le 14 juin 2019.

[9] Voir la page « Electronic Code of Federal Regulations », en particulier les catégories XI et surtout XIII. URL : https://www.ecfr.gov/cgi-bin/text-idx?SID=6ec3889baa964310e7773de01ec8712f&mc=true&node=se22.1.121_11&rgn=div8

[10]Bigart Andrew, « The Cybersecurity Market and Dangers of U.S. Export Law », Forbes, 30 avril  2012. URL : https://www.forbes.com/sites/ciocentral/2012/04/30/the-cybersecurity-market-and-dangers-of-u-s-export-law/. Consulté le 14 juin 2019.

[11] Programme américain de surveillance électronique par la collecte de renseignements à partir d’Internet et d’autres fournisseurs de services électroniques (NDLR).

Read related content

Devenir membre

Cet article est en accès libre jusqu'au 1/08/2019. Devenez membre pour accéder à l'ensemble des productions de l'association.

Membership