Il est de plus en plus courant dans des affaires criminelles que des preuves essentielles se trouvent à l’extérieur des frontières territoriales. Avant le développement du cloud computing, les preuves de crimes étaient en général disponibles à l’intérieur de la juridiction territoriale du pays requérant. Aujourd’hui le contenu de courriels, messages postés sur les réseaux sociaux et autres fichiers sont souvent stockés dans un pays tiers.
Un rapport de la Commission Européenne de 2018 indique que « plus de la moitié des enquêtes implique une demande internationale d’accès à des preuves électroniques ».
La mondialisation des preuves criminelles représente un défi majeur pour les autorités policières et judiciaires. Les mécanismes transfrontaliers traditionnels comme les traités d’entraide judiciaire mutuelle sont très largement considérés comme trop lents et trop fastidieux. Sur toute la planète, des pays répondent à ce défi par de nouvelles lois et propositions de loi, qui, outre des conséquences importantes sur le respect de la vie privé et des Droits de l’Homme, entraînent des changements des procédures policière et judiciaire, et de la gouvernance d’internet.
Le CLOUD Act
Le CLOUD Act, adopté par le Congrès américain dans le cadre d’une loi de finances, marque un changement fondamental dans l’évolution de l’accès transfrontalier aux preuves. La première partie du CLOUD Act soulevait la question de l’Arrêt attendu de la Cour Suprême dans l’affaire États-Unis contre Microsoft. Pour résumer brièvement, Microsoft défendait l’idée que l’injonction américaine n’avait aucune valeur puisque les courriels recherchés étaient stockés à l’extérieur du territoire des Etats-Unis, en Irlande. L’État américain défendait quant à lui l’idée que Microsoft pouvait avoir accès aux courriels depuis l’intérieur des États-Unis, et que donc l’endroit où ils étaient stockés n’avait pas d’importance. Le CLOUD Act apportait une solution au problème en disposant que les injonctions d’obligation de divulgation comme celles contestées dans l’affaire Microsoft Irlande s’appliquaient « dans tous les cas, que ces messages, archives ou autres types d’information se trouvent à l’intérieur ou à l’extérieur du territoire des États-Unis ». La loi crée aussi une clause de « courtoisie internationale » pour résoudre les éventuels conflits entre les lois américaines et celles des autres pays, même si elle s’applique dans un nombre limité de situations.
La seconde partie du CLOUD Act, la plus importante, crée pour les pays étrangers de nouveaux mécanismes d’accès aux contenus des communications hébergées par des prestataires de services américains. Selon la Loi sur la Confidentialité des Communications Électroniques (ECPA), les sociétés basées aux États-Unis ont interdiction de divulguer le contenu de communications directement aux gouvernements étrangers. Les gouvernements étrangers doivent en revanche effectuer une demande d’assistance judiciaire ou toute autre démarche diplomatique de demande d’accès aux données, même s’il s’agit de données de l’un de leurs ressortissants dans le cadre d’un crime commis dans leur pays, ce qui avait constitué une source de frustration croissante pour beaucoup de gouvernements, surtout dans la mesure où beaucoup de données du cloud sont stockées chez des fournisseurs basés aux États-Unis.
Le CLOUD Act permet de contourner ces restrictions dans certains cas bien définis, sur la base de l’adoption d’accord exécutifs bilatéraux entre les États-Unis et les autres États, et d’une série de prérequis de fond et de procédure. Dans les cas où il existe un accord bilatéral, les dispositions de blocage de l’ECPA sont partiellement levées et les pays concernés peuvent demander directement aux fournisseurs de services le contenu des communications de citoyens non-américains et de résidents.
Le CLOUD Act n’autorise ces accords bilatéraux qu’avec des pays respectant les Droits de l’Homme et l’État de droit, et seulement s’ils accompagnés d’une longue liste de prérequis pour chaque demande. Comme J. Daska et P. Swire l’ont préalablement expliqué ce genre d’accords peut, s’ils sont bien rédigés, aider à améliorer la protection fondamentale du respect de la vie privée et des Droits de l’Homme (même si certains ont élevé de vives critiques sur le niveau de ces protections). Comme P Swire l’a récemment exposé dans Lawfare, les États-Unis ont négocié le premier accord exécutif avec le Royaume –Uni.
E-evidence dans l’UE
Quelques semaines après l’adoption du CLOUD Act, la Commission Européenne a introduit un important ensemble de textes législatifs appelés E-evidence qui constitue une sorte de « CLOUD Act européen » destiné à faciliter l’accès des autorités policières et judiciaires européennes aux preuves électroniques. Comme le CLOUD Act, l’E-evidence cherche à fournir une alternative au cadre existant de l’aide mutuelle judiciaire. S’il était adopté, il permettrait aux autorités policières d’un État membre de conserver et obtenir des données directement auprès des prestataires de services établis ou représentés dans un autre État membre. Comme le CLOUD Act, l’E-evidence dispose que l’obligation de fournir ou de conserver des preuves électroniques existe « quelle que soit la localisation des données ».
Plus précisément ce paquet législatif se compose de deux textes. Le premier est un projet de directive qui prévoit de contraindre tous les prestataires de services, établis dans l’UE ou ayant un lien substantiel avec au moins un État membre, à désigner un représentant légal dans l’UE. Ce représentant doit avoir la capacité d’accepter et de répondre aux injonctions de produire des preuves dans des procédures criminelles de la part des autorités compétentes de l’État membre.
Le second est un projet de règlement qui présente un mécanisme exhaustif destiné à faciliter l’accès aux preuves électroniques par les autorités judiciaires et policières grâce à deux nouveaux instruments législatifs : une injonction européenne de production et une injonction européenne de conservation. Dans le cas de l’injonction de production, les fournisseurs de services seraient tenus de fournir les données directement à l’État membre ayant émis l’injonction (dans un délai de 10 jours ou 6 heures dans les cas d’urgence), sous réserve d’un certain nombre d’exceptions et de restrictions.
La Commission européenne a présenté les textes E-evidence en avril. Ils sont maintenant examinés par le Conseil Européen ainsi que par le Parlement qui doit tenir une audience dans quelques semaines. Le rapporteur du Parlement, le député européen Birgit Sippel, a souligné l’importance de garantir une protection adéquate du respect de la vie privée et des droits fondamentaux.
Nationalisme de la donnée ou coopération mondiale ?
Alors que le CLOUD Act et E-evidence étaient en cours d’élaboration, d’autres pays ont pris ou envisagés des approches différentes. La Russie et le Chine, parmi de nombreux autres pays, ont promulgué des lois qui exigent la « localisation des données » – donc leur stockage à l’intérieur du pays. La localisation des données présente l’avantage, pour les autorités policières et judiciaires nationales, que les données concernées restent dans le pays en question, et par là même soumises aux lois (ou absence de loi) locales sur les modalités d’accès à ces données par le gouvernement. A notre avis, ce type de loi sur la localisation des données peut aussi avoir de considérables effets négatifs. Par exemple, les lois de localisation des données peuvent permettre à des régimes autoritaires d’accéder à certaines données, et donc, en l’absence de mesures élémentaires de protection du respect de la vie privée et des droits fondamentaux, représenter une menace pour la vie privée et les Droits de l’Homme. La localisation menace donc l’un des bénéfices fondamentaux d’internet, qui a permis à des dissidents et activistes des Droits de l’Homme d’utiliser des services d’internet mondiaux, hébergés hors de la juridiction nationale de leur pays et donc protégés –en partie – de la surveillance locale.
Parallèlement d’autres pays, grands et petits, cherchent d’autres moyens de faire face au défi que représente pour les autorités policières et judiciaires la mondialisation des preuves. En juin 2017, les 61 signataires de la Convention de Budapest sur la cybercriminalité se sont mis d’accord pour préparer un protocole additionnel à la convention qui faciliterait l’accès des autorités policières et judiciaires aux preuves détenues par les prestataires de services dans des juridictions étrangères, multiples ou inconnues. L’Australie envisage actuellement d’importantes réformes de ses lois relatives à l’accès aux données dans les affaires criminelles. L’Association Canadienne des Commissaires de Police a adopté récemment une résolution appelant à la négociation d’un accord bilatéral avec les États-Unis dans le cadre du CLOUD Act. L’Inde a débattu activement des obligations de localisation des données pour favoriser leur accès par les autorités policières et judiciaires. Les débats qui se sont tenus au cours d’une conférence organisée par le « Internet and Jurisdiction project » a également mis en lumière toute une série de réformes étudiées en Afrique, Amérique Latine et ailleurs.
Pour résumer, la mondialisation des preuves criminelles amène un changement historique dans les règles permettant l’accès aux communications et autres documents par les autorités policières et judiciaires, dans le respect de la vie privée et la protection des Droits de l’Homme. Comme nous l’expliquons dans un autre document posté sur l’IAPP le nouveau Cross-Border Data Forum est conçu pour offrir un mécanisme pour étudier, discuter et améliorer les nouvelles structures juridiques de ces enjeux essentiels.
Cet article est une traduction de l’article initialement publié dans l’IAPP’s Privacy Tracker blog.
![[FIC 2023] 4 enjeux essentiels pour survivre dans le Far West des noms de domaine](https://incyber.org/wp-content/uploads/2023/04/iStock-1410312530-480x300.jpg)
![[FIC 2023] Confiance dans le numérique : « On ne peut plus en croire ses yeux »](https://incyber.org/wp-content/uploads/2023/05/Plénière-480x300.png)
