Jusqu’où va le Patriot Act ?

Olivier-Iteanu-article

Olivier Iteanu – Avocat à la Cour, chargé d’enseignement à l’université Paris-I-Sorbonne

Dans le cas où l’hébergeur français d’une entreprise est cédé à un groupe américain, est-elle soumise à l’USA Patriot Act…

L’actualité des technologies de l’information connaît deux phénomènes contraires. Le premier est la transformation numérique des entreprises. Cela signifie plus d’externalisation ou d’infogérance, c’est-à-dire le fait de confier un certain nombre de services élémentaires rendus par le système d’information de l’entreprise à un tiers (stockage des données ou hébergement).

Le second phénomène défraie, quant à lui, régulièrement la chronique. C’est la multiplication des affaires où des milliers – voire des millions – de données clients sont captées par des tiers. Souvent, c’est illicite : des cybercriminels monnayent leurs prises. Parfois, c’est légal (mais peut-être pas légitime) : ce sont les Etats, au premier rang duquel on trouve les Etats-Unis d’Amérique*.

Très tôt, le législateur américain a organisé la « collaboration » obligatoire des prestataires pour qu’ils communiquent aux autorités du pays, les données de leurs clients. C’est la loi du 26 octobre 2001. Dite USA Patriot Act, elle autorise le FBI à capter auprès des hébergeurs, toutes données de toutes personnes de toutes nationalités et localisées partout dans le monde, sur la base d’une ordonnance d’un juge. Le génie de ce texte est d’instaurer un système de secret imposé à la fois au juge et au prestataire d’hébergement.

Pour échapper à cette loi, les entreprises européennes font souvent le choix d’un prestataire européen. Mais, le rachat de cet hébergeur peut-il bouleverser la donne ? En droit, le « rachat » recouvre deux situations très différentes. En premier lieu, il peut s’agir d’acquérir une branche d’activité, le fonds de commerce dans lequel se trouvent les contrats et pas la société elle-même. Par l’effet de la cession du fonds (donc des contrats), le client devient alors le cocontractant de la société acheteuse, dans notre cas, la société américaine qui a « racheté » son contrat. Depuis une décision d’un juge de New York du 13 mai 2014, on sait que le système judiciaire américain considère que la loi USA Patriot Act s’applique aussi à l’étranger. En l’occurrence, Microsoft Corporation s’est vue imposer le rapatriement aux EtatsUnis de données hébergées en Irlande. Alors oui, dans ce premier cas, les clients se trouvent par l’effet de la cession, sans contestation possible, dans le giron américain, même si leurs données sont physiquement stockées à l’étranger.

Attention aux clauses de votre contrat

Mais le rachat peut aussi se faire par une prise de contrôle au capital de la société de l’hébergeur. Autrement-dit, l’hébergeur français reste de droit français, mais son propriétaire devient une société de droit américain. Le client, quant à lui, ne change pas de cocontractant. La réponse à la question posée, est alors plus délicate. Elle va dépendre de qui va opérer les infrastructures d’hébergement, celles-ci pouvant être sous-traitées à la société américaine. Plus simplement, il conviendra de savoir si la société américaine aura en pratique un accès aux données stockées par l’hébergeur français.

Dans ces deux situations, on peut raisonnablement penser qu’au regard du ScreenHunter_110 Mar. 03 11.59 mode de fonctionnement del’USA Patriot Act, les données du client pourraient un jour se trouver entre les mains du FBI. La seule façon pour un client de se protéger contre une telle mésaventure, est de faire un bon usage de l’outil juridique qu’est le contrat conclu avec son hébergeur pour anticiper ces situations et les contrôler. Le contrat doitainsi interdire la cession du contrat sans l’accord préalable du client ; ce que l’on nomme la clause d’incessibilité. Le contrat doit également prévoir d’imposer l’agrément préalable du client pour toute soustraitance, même partielle, de la prestation d’hébergement. Cette clause de sous-traitance est d’ailleurs assez classique. Enfin, le contrat peut imposer l’information explicite et écrite du client à l’occasion de tout changement de contrôle de la société et, surtout, la possibilité donnée au client, dans ce cas, de sortir sans délai et sans pénalités du contrat.

La clause de réversibilité parachèvera le système mis en place pour permettre au client de récupérer ses données ou les transférer chez son nouveau prestataire. On le voit clairement, on a fait de la clause du contrat qui prévoit un engagement de l’hébergeur sur la localisation physique des données, un graal. Cette seule clause du contrat ne suffit pas à résoudre tous les problèmes. Le client doit contrôler toute la vie du contrat et… de son prestataire d’hébergement.

*Les Etats-Unis ne sont plus seuls dans ce domaine, rejoints récemment par la France avec la loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019, et portant diverses dispositions concernant la défense et la sécurité nationale et notamment son article 20.