cloud-act-souverainete-economique-france

Cloud Act US : comment se protéger face aux lois à portée extraterritoriale ?

#Réglementation 23.07.2019 4min Dernière mise à jour : 04.02.2021

La France cherche des solutions pour protéger ses entreprises contre les lois et mesures à portée extraterritoriales, notamment américaines (Cloud Act US). A la demande du Premier ministre, le député Raphaël Gauvain a donc rendu, le 26 juin dernier, un rapport visant à rétablir la souveraineté de la France. L’objectif est de protéger les organisations qui ne disposent pas aujourd’hui des outils juridiques pour lutter contre les actions extraterritoriales engagées à leur encontre.

Les Etats-Unis sont très clairement dans le viseur de la France. D’après le rapport Gauvain, ils ont « entrainé le monde dans l’ère du protectionnisme judiciaire ». Alors que la règle de droit, a, de tout temps, servi d’instrument de régulation, elle est devenue « une arme de destruction dans la guerre économique que mène les Etats-Unis contre le reste du monde », regrettent les auteurs du rapport intitulé « Rétablir la souveraineté de la France et de l’Europe et protéger nos entreprises des lois et mesures à portée extraterritoriale ».

Des milliards de dollars d’amendes au cours des 20 dernières années

Plusieurs dizaines de milliards de dollars d’amendes ont été réclamés à des entreprises françaises, européennes, sud-américaines et asiatiques au cours de ces 20 dernières années. Motif invoqué ? Leurs pratiques commerciales, leurs clients ou certains de leurs paiements ne respectent pas le droit américain. D’après le rapport Gauvain, « aucune de ces pratiques n’avait de lien direct avec le territoire des Etats-Unis et les entreprises concernées par ces amendes « se conformaient au droit de leur pays (s’agissant des sanctions internationales) ».

La France mal équipée pour contrer le Cloud Act US

Pour le député Gauvain, cette situation s’explique en partie par le faible niveau d’équipement de la France en ce qui concerne les outils juridiques nécessaires pour lutter contre les actions extraterritoriales judiciaires. A travers son rapport, l’élu cherche notamment à protéger les entreprises françaises face au Cloud Act US. Ce texte, promulgué par Donald Trump en 2018, permet aux autorités américaines d’obtenir des fournisseurs de stockage de données numériques américains, sur la base d’un simple « warrant » d’un juge, toutes les données non personnelles des personnes morales de toute nationalité quel que soit le lieu où ces données sont hébergées.

« Le Cloud Act organise ainsi un accès illimité des autorités judiciaires américaines aux données des personnes morales, rendant obsolètes et inutiles les Traités d’entraide judiciaire », peut-on lire dans le rapport présenté en juin.

Des textes comme le Cloud Act US « ont contribué à élargir toujours plus avant la définition du champ de la compétence normative et opérationnelle des Etats-Unis, soit de manière explicite soit, plus subtilement, en permettant aux autorités américaines, notamment au Département de la Justice de poursuivre aux États-Unis des personnes physiques ou morales étrangères suspectées d’avoir commis telle ou telle infraction (corruption, violation de sanctions internationales ou autres), alors même que les faits ont eu lieu en dehors du territoire des États-Unis et que le lien de rattachement entre l’infraction et le territoire américain apparaît extrêmement contestable ».

Comment rétablir la souveraineté de la France ?

Que peut-on faire pour contrer les mesures à portée extraterritoriale ? Quelle solution permettra à la France de protéger sa souveraineté économique ? Dans son rapport, Raphaël Gauvain avance certaines pistes, à commencer par trois mesures systémiques indissociables. Il propose en premier lieu de protéger la confidentialité des avis juridiques en entrepris par la création d’un statut d’avocat en entreprise, doté de la déontologie de l’avocat.

Autre recommandation faite dans le rapport : la modernisation de la loi de 1968, dite « loi de blocage ». L’objectif est d’en augmenter l’efficacité par une série de mesures autour du triptyque : déclaration (création d’un mécanisme obligatoire d’alerte en amon), accompagnement (mise en place d’un accompagnement des entreprises par une administration dédiée, le SISSE) et sanction (augmentation de la sanction prévue en cas de violation de la loi).

Vers une nouvelle loi pour protéger les entreprises des mesures extraterritoriales

L’auteur du rapport propose enfin d’adopter une loi protégeant les entreprises françaises contre la transmission par les hébergeurs de leurs données numériques non personnelles aux autorités judiciaires étrangères. Cette loi serait une « extension du RGPD aux données des personnes morales » qui permettra de sanctionner les hébergeurs de données numériques qui transmettraient aux autorités étrangères des données non personnelles relatives à des personnes morales françaises en dehors des canaux de l’entraide administrative ou judiciaire.

« Il est urgent et de la plus haute importance de prendre des mesures permettant de protéger les données non personnelles des personnes morales françaises contre les conséquences potentiellement très graves d’un siphonage de leurs données à des fins d’enquête pénales aux Etats-Unis qui ne respecteraient pas les règles de la coopération judiciaire internationale », précise le rapport.

A ce sujet, retrouvez notre épisode de podcast hors-série dédié à la souveraineté numérique, où notre CEO Stanislas de Rémur aborde la question du Cloud Act.

Ecouter notre épisode de podcast