Patriot Act

De son vrai nom USA Patriot Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001). Les américains ont une propension étonnante à l’USA-centrisme. Tout tourne autour d’eux : quand un exterminateur (une météorite dévastatrice) tombe sur la Terre, c’est aux Etats-Unis. Idem pour toutes les catastrophes menaçant l’humanité toute entière.

Le Patriot Act est mort, vive le Freedom Act !

Normal, après cela, que les lois américaines s’appliquent partout : l’extra-territorialité semble la règle outre-Atlantique. L’USA Patriot Act est en un exemple, à ceci près qu‘il n’existe plus en tant que tel : il a été remplacé par l’USA Freedom Act en 2015. Plus exactement, le Patriot Act n’a pas été renouvelé en 2015, ce qui a fait que de nombreuses sections ont expirées et sont donc devenues inapplicables ; le Freedom Act est venu remettre en service (le lendemain) la plupart des dispositions, sous une forme modifiée.

Tout cela est un peu technique, mais nous n’avons donc plus à redouter le Patriot Act ! Il faut désormais redouter le Freedom Act.

Localisation

Une des principales inquiétudes de bon nombre d’entreprises (et d’utilisateurs) est que quelqu’un puisse accéder à ses données les plus importantes, sans son consentement. Or dans le cadre de la lutte anti-terroriste, le Patriot Act (et sa suite) autorise le gouvernement américain à aller fouiller un peu partout, parfois même sans avoir à prévenir la cible de ses investigations (grâce aux National Security Letters).

L’affaire Microsoft

Le point crucial est de savoir sur quels critères le gouvernement américain (car il n’y a pas forcément de supervision judiciaire) peut accéder à un système d’information. Un peu comme sur le mode de la citoyenneté américaine pour les impôts, les Etats-Unis aimeraient bien pouvoir intervenir et regarder partout. Tout le monde n’est pas de cet avis, et la localisation des données en dehors de Etats-Unis (notamment en Europe) devrait être une barrière à la curiosité américaine. Un long débat est toujours en cours début 2018, sur le sujet particulier de données liées à un trafiquant de drogues stockées par {{we|United_States_v._Microsoft_Corp._(2018)|Microsoft}} sur un serveur situé en Irlande12. Le 17 avril 2018, la Cour Suprême abandonne les poursuites3 mais on peut considérer qu’il ne s’agit que d’une décision technique, liée à l’adoption du Cloud Act, les poursuites risquant de reprendre avec l’éclairage nouveau de ces nouvelles dispositions légales.

Avec le RGPD qui arrive, la jurisprudence qui en sortira va influer énormément sur les risques à prendre en compte lors de l’utilisation de services d’entreprises américaines. Suffira-t-il que l’entreprise soit américaine pour qu’on puisse fouiller dans ses données, ou la localisation hors Etats-Unis suffira-t-elle comme barrière de protection ?

Voir aussi