Les rapports suggérant d'instaurer la confidentialité pour les juristes d'entreprise ne manquent pas. Le dernier est celui de Monsieur le député Raphaël Gauvain.
J'en reviens à la procédure de demande de données dans le cadre du Cloud Act. Si le Procureur s'adresse directement à nous, pour les besoins de l'enquête, en demandant l'accès à des données précises, nous nous sommes engagés à informer notre client de cette demande, sauf dans l'hypothèse où cela nous serait expressément interdit, ce qui est prévu dans certaines conditions, elles-mêmes précisément qualifiées - risque pour l'intégrité physique ou la vie d'une personne, intérêt de l'enquête.... Si nous ne pouvons informer notre client, il nous reste la possibilité de considérer que la demande n'est pas fondée, soit parce qu'elle n'est techniquement pas réaliste, soit parce que les données ne sont pas stockées chez nous, soit parce que nous considérons qu'il existe un conflit de loi entre la demande et le droit français - loi protégeant les données en application du RGPD, ou future « loi de blocage » si par exemple les préconisations du rapport Gauvain étaient retenues.
Nous pourrions alors envisager deux options dans le cadre du Cloud Act. En l'absence d'accord négocié entre les États-Unis et l'Union européenne, comme c'est le cas actuellement, et si nous considérons qu'il existe un vrai risque de conflit de lois, nous pouvons nous y opposer devant le juge américain à travers la procédure de « comity analysis » - principe de courtoisie internationale en Common Lawi - par lequel le juge, pour régler un conflit de lois et mettre en oeuvre le droit international, procède à la balance entre un certain nombre de critères : l'intérêt des États-Unis dans l'obtention de ces preuves, les intérêts protégés par les lois de la France, et l'existence de moyens d'obtenir autrement ces preuves dans un délai raisonnable pour le bon déroulement de l'enquête. Aujourd'hui, en l'absence d'executive agreement entre les États-Unis et l'Europe, si la question se posait, nous pourrions fortement envisager de nous opposer à une demande d'accès dès lors que nous serions face à un conflit de lois fort, net et précis.
Concernant le RGPD en particulier, la question s'est posée devant la Cour suprême : Dans un mémoire en intervention déposé par la Commission européenne, cette dernière évoquait l'article 48 du RGPD qui constituait un conflit de lois... même si elle indiquait par ailleurs qu'une exception pouvait exister au titre de l'article 49. Cela affaiblissait quelque peu le conflit de lois constaté, alors que nous avons besoin d'une divergence précise, réelle et conséquente pour convaincre le juge américain...
Si la même question se posait demain et qu'un « executive agreement » avait pu être négocié entre les États-Unis et l'Union européenne, c'est cet accord qui fixerait précisément les règles de communication des preuves électroniques et anticiperait les difficultés, en fixant notamment les critères appliqués par le juge américain. Ce sont ces « executive agreements » qui ont vocation à préciser les règles et à établir la balance entre la protection des droits fondamentaux, dont la protection des données, et les nécessités d'une enquête au titre de la protection de la sécurité publique.
La position de Microsoft devant la Cour suprême - visant à protéger les données stockées en Europe - demeure, même si le cadre a évolué. Nous protégeons les données de nos clients : premièrement en répondant aux autorités qui nous sollicitent qu'il faut demander ces données directement aux clients, deuxièmement en avertissant nos clients si nous sommes saisis d'une telle demande, et troisièmement en envisageant fortement de nous opposer à une telle demande en cas de conflit de loi précis et clair.