Je vous remercie de nous donner la possibilité de répondre à un certain nombre de questions, souvent posées, parfois complexes, pour lesquelles il est utile d'apporter des précisions et des éléments de contexte.
Pour répondre à la première question relative au Cloud Act, je souhaite effectuer un retour en arrière. Avant l'adoption de cette loi, Microsoft était déjà un acteur important du contentieux autour de l'accès aux données stockées en Europe puisque nous nous sommes opposés à une demande formulée par une autorité de poursuite américaine pour des données hébergées en Irlande. Nous nous y sommes opposés pour deux raisons principales : il nous apparaissait que la demande était formulée d'une part en méconnaissance du droit de la protection des données et de la vie privée alors applicable en Europe, même avant le RGPD, et d'autre part en méconnaissance de la souveraineté de l'État irlandais, étant considéré qu'il existait des procédures de coopération judiciaire internationales pour permettre l'accès à ces données afin de satisfaire les besoins de l'enquête criminelle en question.
Cette affaire nous a conduits devant la justice américaine - puisque nous nous opposions au gouvernement américain - et la Cour d'appel de New York nous avait donné raison, dans un arrêt important. L'affaire a ensuite été portée devant la Cour suprême des États-Unis qui a accepté de l'examiner - ce qui témoigne de l'importance de la question, puisque la Cour suprême choisit d'accepter ou non de traiter telle ou telle affaire. Le Cloud Act est donc intervenu après notre opposition à cette demande d'accès aux données, et après que nous avions fait valoir devant les juridictions américaines nos arguments tirés à la fois de la protection des droits fondamentaux et de la souveraineté des États.
Notre position en la matière n'est donc pas récente, elle était formée bien avant la modification de la législation américaine.
Avant que la Cour suprême ne rende sa décision, une modification du droit américain est intervenue via le Cloud Act qui a eu vocation à régler une partie des questions soulevées par cette affaire. En conséquence, la procédure devant la Cour suprême s'est arrêtée et le Cloud Act a fixé de nouveaux principes.
Le Cloud Act n'a pas modifié les règles d'attribution de juridiction américaine, mais a essayé de régler la question de l'accès à des données stockées en dehors des États-Unis en clarifiant certaines règles. Le Cloud Act aspire à établir une balance équilibrée entre la protection des droits fondamentaux, dont la vie privée, et l'efficacité des enquêtes criminelles et pénales, pour préserver la sécurité. C`est un texte de procédure criminelle. Il n'autorise pas un accès indéfini et indéterminé à l'ensemble des données, mais uniquement dans le cadre d'une poursuite et d'une infraction, pour des données déterminées qui peuvent effectivement être stockées à l'étranger.
Le Cloud Act connaît d'une certaine façon en Europe un texte miroir en cours d'adoption avec le projet de règlement « e-evidence » sur l'accès aux preuves électroniques stockées dans un des 28 autres États membres de l'Union européenne. Le Cloud Act envisage expressément la conclusion d'accords entre les États-Unis et d'autres États pour fixer un cadre et déterminer une balance entre les différents droits lorsqu'il s'agit d'accéder à des données dans le cadre d'une enquête criminelle. L'objectif de ce texte vise à établir un cadre adapté au XXIe siècle, avec des données pouvant être stockées dans différents États et où les enquêtes doivent parfois être menées rapidement, dans le respect des droits et libertés fondamentaux.
En résumé, l'accès aux données via le Cloud Act, ne peut se faire que dans le cadre d'investigations criminelles, pour des données précises et déterminées, et non pour un accès généralisé. Il reste encore à parfaire ce cadre avec l'adoption du règlement européen sur la preuve électronique et un accord éventuel entre les États-Unis et l'Union européenne, puisqu'un mandat de négociation en ce sens a été confié à la Commission....