La proposition E-Evidence de la Commission Européenne : structurer l’articulation entre le RGPD et le Cloud Act pour une coopération pénale internationale du transfert de données (Par Baptiste Malapert)

L’articulation des règlementations américaines et européennes concernant l’échange de preuves électroniques est aujourd’hui imprécise. Le Cloud Act américain et le RGPD européen, tout deux à prétention extraterritoriale, sont parfois incompatibles. Le Cloud Act vise de nombreux fournisseurs de services en ligne établis sur le territoire de l’Union Européenne, lesquels peuvent être en situation de violer le RGPD. La Directive européenne E-evidence proposée récemment par la Commission Européenne, a le potentiel d’établir un cadre de coopération pénale internationale du transfert de données entre les Etats-Unis et les pays membres de l’UE.

INTRODUCTION

               A l’ère du Numérique, l’accès à des preuves électroniques au cours d’enquêtes pénales est devenu un enjeu capital 1.

Face à l’effacement des frontières physiques et à l’éclatement du lieu de stockage des données dans le monde entier 2, il est souvent nécessaire pour les autorités judiciaires de demander aux autorités des pays où les données sont stockées le transfert de ces preuves.

L’approche formelle des autorités nationales pour obtenir le transfert de ces données s’organise dans le cadre d’accords classiques d’entraide judiciaire (ou Mutual Legal Assistance Treatise/MLAT) tels que prévus par la Convention de Budapest sur la Cybercriminalité entrée en vigueur le premier juillet 2004. Mais cette approche est souvent considérée comme trop longue et donc inadaptée au Numérique, hyper dynamique par nature et nécessitant des mesures immédiates. C’est pourquoi les autorités des Etats requérants choisissent souvent d’approcher directement le prestataire de service pour obtenir l’accès aux données. C'est ce type de méthode informelle qui était au cœur de la fameuse affaire « United States petitioner vs/ Microsoft Corporation » (17 Avril 2018), laquelle débouchera sur le Cloud Act. 3

Mais récemment, les Etats-Unis se sont dotés d’un outil juridique leur offrant l’accès à une quantité quasi illimitée de preuves électroniques sans avoir recours à cette approche traditionnelle de coopération : le “Clarifying Overseas Use of Data Act” (Cloud Act) proposé par le Congrès et promulgué par le Président le 23 Mars 2018 4.  Doté d’effets extraterritoriaux, le Cloud Act témoigne d’une approche offensive des Etats-Unis dans leur volonté d’accéder à des données, peu importe leur lieu de stockage.

Il permet expressément aux autorités américaines d’accéder aux données auprès des fournisseurs de services de communications électroniques ou d’hébergement sur le Cloud en se reposant sur le seul critère de l’établissement du fournisseur sur le territoire américain. Cela signifie que le lieu d’hébergement des données, la nationalité du titulaire (application aux « US persons » et aux « non US persons ») et la finalité de traitement ne sont plus pris en considération pour sa mise en pratique.

 Associé à la domination des acteurs américains dans les secteurs des services en ligne et de stockage en ligne, le Cloud Act vise un nombre colossal de fournisseurs de services, et donc une masse de données colossale. En effet, ces marchés font l’objet d’un oligopole avec « 65 % maîtrisés par Amazon, 15 % par Microsoft et 5 % par Google » 5.

On comprend l’inquiétude des commentateurs décrivant le texte comme une arme de guerre économique exceptionnelle au service des Etats-Unis. Le Canard Enchaîné annonçait par exemple que le texte « permet aux Etats-Unis [d’aspirer] – à notre insu – tous nos secrets stockés sur internet » 6.

               Pour sa part, l’Union Européenne adopte une attitude différente vis-à-vis des données (en particulier des données à caractère personnel 6) puisqu’elle a une approche défensive ; en opposition à l’approche offensive des Etats-Unis. Paradoxalement, ces deux stratégies transatlantiques prennent la forme d’une extra-territorialisation de leur droit respectif.

Effectivement, le récent Règlement Européen n°2016/679 dit Règlement Général sur la Protection des Données (RGPD), dont les dispositions sont directement applicables aux 28 Etats Membres de l’UE à compter le 25 Mai 2018 est le nouveau texte de référence sur la protection des données à caractère personnel. Le texte renforce et unifie la protection des données offerte aux individus au sein de l’Union dans le respect des articles 7 et 8 de la Charte des Droits Fondamentaux de l’Union Européenne garantissant le droit à la vie privée et l’obligation de protection des données à caractère personnel 7.

En outre, l’article 3 du RGPD étend son applicabilité territoriale indépendamment des conditions de domiciliation, de citoyenneté ou de résidence du responsable de traitement ou de son sous-traitant sur le territoire de l’UE (critère d’établissement). De même, en vertu du critère de ciblage, le RGPD est applicable dans les cas où la personne ciblée se trouve sur le territoire de l’Union au moment du traitement (peu importe sa nationalité, lieu de résidence ou absence d’établissement du responsable de traitement sur le territoire de l’UE) (critère du ciblage). Enfin, le règlement s’applique aux situations où le responsable propose ses biens ou services à des personnes physiques sur le territoire de l’UE (critère du marché cible).

De par l’étendue de son champ d’application qui dépasse les frontières de l’Union, le RGPD est bien, lui aussi, un texte à prétention extraterritoriale. Toutefois, son objectif premier reste la protection des données personnelles et en particulier le contrôle des transferts de ces données à l’extérieur de la zone.

Les autorités américaines se basant sur le Cloud Act en vue d’émettre des injonctions d’accès à des données personnelles aux fournisseurs de services établis sur le territoire de l’UE risquent donc de se heurter aux dispositions du RGPD en l’absence d’un cadre de coopération pénale prévoyant l’articulation entre le Cloud Act et le RGPD. Toutefois, les récentes propositions de la Commission Européenne, nommées ensemble E-Evidence, apparaissent comme un premier pas vers une ouverture des négociations entre les deux puissances.

Se trouve ainsi posée une question essentielle : dans quelle mesure les propositions E-Evidence de la Commission Européenne permettent-elles de clarifier les rapports entre RGPD et Cloud Act par l’établissement d’une coopération pénale sur l’échange de données entre les Etats-Unis et l’Union Européenne ?

Si le défaut de clarté dans l’articulation de ces deux textes ne peut que favoriser les conflits de juridiction entre autorités américaines et européennes (I), de nouvelles perspectives de coopération sont rendues possibles par les récentes propositions de la Commission Européenne, nommées ensemble E-Evidence. Celles-ci apparaissent comme une opportunité à saisir par les deux puissances afin d’établir les jalons d’une coopération internationale contre la cybercriminalité et l'échange de données à caractère personnel, tout en assurant le respect des libertés et droits fondamentaux des justiciables européens et américains (II).

I : CONFLITS DE JURIDICTIONS ET ARTICULATION INCERTAINE ENTRE CLOUD ACT ET RGPD

Plusieurs Etats, ainsi que l’UE, se sont adressés aux Etats-Unis à travers diverses Amicus Curiae 8 pour critiquer l’extraterritorialité et le champ d’application quasi illimité du Cloud Act. Les critiques sont fondées à la fois sur une approche de droit international public, alléguant d’une atteinte à la souveraineté des Etats par l'extraterritorialité du Cloud Act, et sur une approche de droit international privé, axée sur le risque de conflit d’obligations imposé aux opérateurs. Du point de vue du droit de l’UE, les articles 44 et suivants du RGPD posent le régime des transferts de données auprès d’Etats étrangers. Or le RGPD interdit le transfert de données sur une demande unilatérale d’une autorité étrangère, sauf à se fonder sur un accord international tel un traité d’entraide judiciaire (article 48 du RGPD) ou sur un intérêt public de l’Etat requis (exception de l’article 49 du RGPD).

Aujourd’hui, l’articulation du Cloud Act et du RGPD n’est pas claire. Un fournisseur de services qui recevrait une injonction de transmission de données par les autorités américaines se verrait en position de violer le RGPD. Pour que le transfert de données soit justifié au sens du RGPD, plusieurs conditions doivent être respectées. Tout d’abord il faut que les droits fondamentaux des personnes concernées (droit à la vie privée et droit à la protection des données) soient protégés, et qu’elles disposent de voies de recours (article 46 du RGPD).

L’article 45 du RGPD encadre la protection des données en cas de transfert à un Etat étranger à l’Union Européenne. Ce transfert n’est autorisé que vers un pays tiers qui assure un « niveau de protection adéquat ».

De plus, le RGPD interdit tout transfert ou divulgation de données à caractère personnel par un responsable de traitement ou un sous-traitant à une autorité administrative d’un pays tiers. Le contraire ne vaut que s’il existe entre ce pays et l’UE ou un Etat Membre un traité d’entraide judiciaire (article 48 du RGPD). Il est certain que les fournisseurs de services établis sur le territoire de l’UE sont en situation inconfortable.

Aujourd’hui le transfert de données depuis l’UE en direction des Etats-Unis est encadré par le « EU-US Privacy Shield ». Il s’agit d’un ensemble d’accords et de traités passés entre le gouvernement américain et les institutions européennes et validés par la Commission le 12/07/2016.

Avant le Privacy Shield, c'était l'accord du Safe Harbor qui encadrait ces échanges. Validé par la décision d'adéquation n° 2000/520/CE de la Commission de l'Union Européenne, du 26 juillet 2000, celui-ci a été sérieusement remis en cause dès le mois d'août 2013 lorsque Edward Snowden, ancien agent de la NSA, a révélé l'existence de plusieurs programmes de surveillance et de renseignement, notamment le projet Prism. En vertu du Patriot Act du 26/10/2001, la NSA pouvait procéder à une collecte en vrac des données personnelles sur Internet sans recourir à un juge et sans condition de nécessité ou de proportionnalité.

Lors du célèbre arrêt Schrems, la Cour de Justice de l’UE constata la non-conformité de la décision d'adéquation n° 2000/520/CE au droit de l'UE ; notamment au regard des articles 7 et 8 de la Charte des droits fondamentaux qui garantissent le respect de la vie privée ainsi que la protection des données personnelles ; et finit par invalider le Safe Harbor.

Le Privacy Shield, négocié entre 2015 et 2016, fut accepté le 12 Juillet 2016 par la Commission Européenne en considérant que ses garanties relatives à la protection des données personnelles et de la vie privée sont du même niveau que celles applicables dans l’UE. Le texte cherche également à offrir des voies de recours aux justiciables européens, institue un médiateur au sein du "département d'Etat" et appelé Ombudsman, ainsi qu'une collaboration plus étroite avec les autorités de contrôle nationales.

Malgré ces pistes d'amélioration, le Privacy Shield n'a pas manqué d'être vivement critiqué dans sa rédaction actuelle, notamment par le G29 dans un avis du 30/05/2016 9. Le G29 considère en premier lieu que « les garanties de licéité et de proportionnalité contenues dans le Privacy Shield  sont, comme l’étaient celles de Safe Harbor, de nature déclarative ». En effet, les entreprises souhaitant intégrer l’accord doivent s’auto-certifier auprès du ministère américain du commerce. Pour le G29, cette mesure n’est pas une garantie de transparence de la collecte et du transfert des données puisque rien n’empêche les autorités américaines d’effectuer une collecte en vrac.

En outre, le G29 souligne que le Privacy Shield n’offre pas les mêmes garanties juridiques aux justiciables européens en théorie couverts par le RGPD, qu’aux citoyens Américains. Ces derniers sont couverts par le Quatrième Amendement de la Constitution Américaine qui protège les citoyens américains « contre les perquisitions et saisies illégales et disproportionnées »

Ces incertitudes juridiques sont renforcées par une analyse des enjeux politiques et économiques des forces en présence et notamment des Etats-Unis qui mènent aujourd’hui une guerre commerciale extrêmement agressive vis-à-vis même de ses partenaires européens.  Il est donc urgent que les Etats-Unis et l’UE négocient les conditions d’accès aux données personnelles dans le respect de la vie privée et de protection judiciaire des justiciables européens et américains.

C’est dans ce contexte qu’apparait la proposition « E-Evidence » de la Commission Européenne. Celle-ci établit les bases d’une coopération pénale intergouvernementale dans le respect du RGPD et de son articulation avec le Cloud Act. Elle témoigne également du mouvement d’extra-territorialisation du droit européen lié à la protection des données personnelles amorcé par le RGPD. Elle permettrait également de répondre aux nombreuses critiques adressées au Privacy Shield par le G29.

II : UNE RECHERCHE DE COOPERATION ENTRE LES AUTORITES AMERICAINES ET EUROPEENNES : L’OPPORTUNITE PRESENTEE PAR LES PROPOSITIONS E-EVIDENCE ASSOCIEES AUX EXECUTIVE AGREEMENTS DU CLOUD ACT

               Les pouvoirs que se sont octroyés unilatéralement les Etats-Unis peuvent être considérées comme une atteinte à la souveraineté des Etats tiers puisqu’ils risquent de mettre en cause directement leur compétence territoriale dans le cadre de la protection et du transfert de données.

Afin de réagir à de probables ingérences américaines, les autorités européennes ont pour projet de renforcer les dispositions du RGPD au travers d’un règlement et surtout d’une directive. Ce « package législatif » appelé E-Evidence a pour objectif l’accélération des enquêtes pénales transfrontalières en facilitant l’accès aux preuves électroniques pour les autorités des Etats Membres. La directive E-evidence du 17 Avril 2018 permet également l’échange de données entre l’UE et les Etats-Unis et ce, tout en assurant le respect de l’article 48 du RGPD. Elle propose pour cela une obligation de désignation de représentants légaux sur le territoire européen pour les personnes morales établies à l’extérieur de l’UE. Cette astuce permet de créer un élément de rattachement territorial qui n'existait pas à la base.      

           Combinée avec les mécanismes du Cloud Act, la proposition E-Evidence pose les bases d’une coopération entre l’UE et les Etats-Unis et un modèle d’articulation intéressant entre systèmes juridiques pour l’accès à des preuves électroniques. Certains la comparent à un « Cloud Act à l’échelle de l’UE » 10.

Les deux textes partagent certains traits, notamment par rapport à la procédure judiciaire préalable nécessaire à la communication de certaines données (données de contenu, métadonnées). Concernant les autorités exécutives américaines, celles-ci doivent se voir octroyer un mandat (« warrant ») ; ou bien encore une ordonnance (« court order ») par une juridiction américaine et sous certaines conditions (présomption sérieuse qu’une infraction a été réalisée, précision des informations recherchées, utilité des données en question pour l’investigation etc.) 11.

Du côté de E-evidence, le texte indique qu’une « injonction européenne de production pour les données relatives au contenu peut être émise par « (a) un juge, une juridiction ou un juge d'instruction compétents dans l'affaire concernée ; ou (b) toute autre autorité compétente telle que définie par l'État d'émission […], après examen de sa conformité aux conditions d'émission d'une injonction européenne de production [...] par un juge, une juridiction ou un juge d'instruction dans l'État d'émission » 12.

Le Cloud act et la proposition E-evidence disposent donc de « garde-fous » juridiques, permettant de limiter leurs effets extraterritoriaux. Le juge américain a même la possibilité de modérer les effets du Cloud Act, qu’un accord international au sens du Cloud Act soit passé avec l’Etat étranger ou non. Le Cloud Act permet en effet au gouvernement américain de conclure des accords de coopération bilatéraux avec d’autres puissances à l’international (appelés « executive agreements ») concernant « the prevention, detection, investigation or prosecution of serious crime, including terrorism ». La condition donnée par le texte est que les autres Etats offrent des garanties procédurales similaires à celles des Etats-Unis. Il s’agit « des Etats étrangers dont le droit « affords robust substantive and procedural protections for privacy and civil liberties in light of the data collection » 13.

En présence d’un executive agreement, le Cloud Act liste précisément quelles exigences du droit étranger doivent être pris en compte par les juridictions américaines lorsqu’un prestataire de services fait opposition à la requête de transfert des autorités américaines. Le texte parle de « comity analysis », permettant une plus grande prévisibilité des décisions américaines. Il incite donc les étrangers à conclure de tels executive agreements.

Il est fort probable que, compte tenu du degré de protection offert par le RGPD, les Etats Membres de l’UE respectent les conditions requises par le droit américain. L’établissement d’un nouveau cadre relatif à l’échange de preuves électroniques entre les Etats-Unis et l’Union Européenne est une perspective positive afin d’assurer la protection de la vie privée, des données personnelles et des droits procéduraux dans le respect des principes fondamentaux de nécessité et de proportionnalité, lors de l’échange de preuves électroniques entre un Etats Membres de l’UE et les Etats-Unis. Ces accords permettraient également le respect de toutes les obligations respectives au Cloud Act et au RGPD, et de clarifier la situation des responsables de traitement établis sur le territoire de l’UE lorsqu’ils font face à des injonctions américaines de transfert des données.

Les Etats Membres de l’UE et le Conseil européen ont d’ailleurs pris la décision de mandater la Commission européenne aux fins de négociation d’un nouveau cadre avec les Etats-Unis le 6 Juin 2019. C’est donc un accord à l’échelle Européenne qui est favorisé par les Etats Membres dans une perspective de résolution des conflits de lois et d’établissement de règles communes claires, plutôt qu’une approche multipartite où les négociations seraient menées par chaque Etat Membre de manière individuelle 14.

Au cas où ils seraient conclus, il est nécessaire que ces accords précisent les conditions de transfert de données numériques vers les Etats-Unis de manière à ne pas violer les droits nationaux et européens, notamment le RGPD. Il faut pour cela que les injonctions de divulgation de données ciblent la personne concernée et ne permettent pas la récupération en vrac des données en cause.

Il s’agira également pour les accords à venir d’organiser et répartir les compétences entre Etats, en garantissant un niveau élevé de protection des données au sens des droits de chaque système.

Un tel accord pourrait également permettre à l’UE d’accéder au statut de « Qualifying Foreign Government » au sens du Cloud Act, lui offrant la possibilité de faire barrière à une divulgation exigée par l’administration américaine. Ainsi, les fournisseurs de services établis sur le territoire de l’UE auront la possibilité de s’opposer à une injonction américaine de transfert de données si les conditions cumulatives suivantes sont respectées : la personne ciblée n’est pas américaine ou ne réside pas aux Etats-Unis ; et la transmission des données représente pour le fournisseur requis un risque important de violation du RGPD.

 

En bref, les propositions E-evidence ouvrent la voie à une clarification de l’articulation entre Cloud Act et RGPD, dans le respect des droits fondamentaux des individus à leur vie privée et à la protection de leurs données personnelles ainsi que de toutes les garanties procédurales de droit pénal. Partant, si ces négociations aboutissent, elles peuvent potentiellement ouvrir la porte à la création d’un modèle global d’échange de données personnelles dans un cadre pénal international.

 

 

  • SOURCES :

1 : Myriam Quéméner, « La preuve Numérique dans un cadre Pénal », 18 Avril 2019.

2 : P. S. Berman, Legal Jurisdiction and the Derritorialization of Data: Vanderbilt Law Review, vol. 71, 2018, p. 23.

3 : Le Cloud Act est né des suites de l’affaire « United States petitioner vs/ Microsoft Corporation » (17 Avril 2018). En l’espèce, un juge américain avait délivré un mandat en vue de perquisitionner des données stockées par la filiale européenne du groupe. Microsoft s’est défendue en soulignant que l'injonction américaine était infondée. En effet, les données en cause étaient hébergées sur le territoire irlandais, et non américain. Or, les Etats-Unis s’appuyaient sur le Stored Communications Act, adopté en 1986 et encadrant l’accès à des données électroniques. Toutefois, l’application de ce texte ne repose sur aucune prétention extraterritoriale.

Après de nombreux débats sur cette question de l’extraterritorialité du mandat américain, le Congrès, saisi par le gouvernement américain, adopte le Cloud Act. Promulgué par le Président américain le 23 Mars 2018, le Cloud Act permet expressément aux autorités américaines d’avoir accès aux données auprès des fournisseurs de services de communications électroniques ou d’hébergement sur le Cloud.  Ce pouvoir repose sur le seul critère de l’établissement du fournisseur sur le territoire américain. En conséquence, le lieu d’hébergement des données, la nationalité du titulaire (application aux « US persons » et aux « non US persons ») et la finalité de traitement ne sont plus pris en considération.

4: Le Cloud Act est né des suites de l’affaire « United States petitioner vs/ Microsoft Corporation » (17 Avril 2018). Dans cette affaire, un juge américain avait délivré un mandat en vue de perquisitionner des données stockées par la filiale européenne du groupe. Microsoft s’est défendue en soulignant que l'injonction américaine était infondée. En effet, les données en cause étaient hébergées sur le territoire irlandais, et non américain. Or, les Etats-Unis s’appuyaient sur le Stored Communications Act, adopté en 1986 et encadrant l’accès à des données électroniques. Toutefois, l’application de ce texte ne repose sur aucune prétention extraterritoriale.

Après de nombreux débats sur cette question de l’extraterritorialité du mandat américain, le Congrès, saisi par le gouvernement américain, adopte le Cloud Act. Promulgué par le Président américain le 23 Mars 2018, le Cloud Act permet expressément aux autorités américaines d’avoir accès aux données auprès des fournisseurs de services de communications électroniques ou d’hébergement sur le Cloud.  Ce pouvoir repose sur le seul critère de l’établissement du fournisseur sur le territoire américain. En conséquence, le lieu d’hébergement des données, la nationalité du titulaire (application aux « US persons » et aux « non US persons ») et la finalité de traitement ne sont plus pris en considération.

5: Alexis Deroudille, Farid Fatahn, Rev. UE 2019. 442 « L'extraterritorialité du RGPD dans le contexte du « Cloud Act » » – Dalloz

6 : Le Canard Enchaîné, 30 mai 2018, n° 5092

7 : La Commission Nationale Informatique et Liberté (CNIL), qui est chargée en France  de la protection des données personnelles et préservation des libertés individuelles dans le monde Numérique (en particulier sur Internet), définit la donnée personnelle comme étant « toute information se rapportant à une personne physique identifiée ou identifiable. Une personne physique peut être identifiée : directement (exemple : nom et prénom) ; indirectement (exemple : numéro de sécurité sociale, adresse postale ou courriel, mais aussi la voix ou l’image) ».

8: Brief amicus curiae of European Commission on Behalf of the European Union, 13/12/2017

https://www.supremecourt.gov/DocketPDF/17/17-2/23655/20171213123137791_17-2%20ac%20European%20Commission%20for%20filing.pdf

9 : Avis 4/2016 du G29 concernant le «Bouclier vie privée UE-États-Unis» (Privacy Shield) Projet de décision d’adéquation (30 Mai 2016)

https://edps.europa.eu/sites/edp/files/publication/16-05-30_privacy_shield_fr.pdf

10 : (Régis Bismuth « Informatique - Every Cloud Has a Silver Lining Une analyse contextualisée de l'extraterritorialité du Cloud Act », 04 Octobre 2018).

11 : 18 U.S. Code § 2703(a), (b) (c), et (d).

12 : Article 4 de la proposition de règlement E-Evidence

13: (Cloud Act, 18 U.S.C. §2523(b)(1)).

14: Communiqué de presse de la Commission Européenne du 6 Juin 2019 : « Union de la sécurité: la Commission reçoit un mandat pour entamer des négociations concernant des règles internationales relatives à l'obtention de preuves électroniques »

https://ec.europa.eu/commission/presscorner/detail/fr/IP_19_2891

 

TEXTES OFFICIELS

-Charte des Droits Fondamentaux de l’Union Européenne https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A12012P%2FTXT

-Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

-Clarifying Lawful Overseas Use of Data Act or Cloud Act (H.R. 4943).

https://www.congress.gov/bill/115th-congress/house-bill/4943

-Convention de Budapest, signée le 23/11/2001

« La Convention est le premier traité international sur les infractions pénales commises via l'Internet et d'autres réseaux informatiques, traitant en particulier des infractions portant atteinte aux droits d'auteurs, de la fraude liée à l'informatique, de la pornographie enfantine, ainsi que des infractions liées à la sécurité des réseaux. Il contient également une série de pouvoirs de procédures, tels que la perquisition de réseaux informatiques et l'interception.

Son principal objectif, énoncé dans le préambule, est de poursuivre "une politique pénale commune destinée à protéger la société contre le cybercrime, notamment par l'adoption d'une législation appropriée et la stimulation de la coopération internationale". »

https://www.coe.int/fr/web/conventions/full-list/-/conventions/treaty/185

-Arrêt de la Cour (grande chambre) Google Spain SL et Google Inc. contre Agencia Española de Protección de Datos (AEPD) et Mario Costeja González, 13 mai 2014.

-Cour suprême, United States v. Microsoft Corp., per curiam, 17 avr. 2018, 584 US 2018.

-Article 3 du RGPD :

« 1. Le présent règlement s'applique au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou non dans l'Union » (RGPD, art. 3.1). 2. Le présent règlement s'applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées:

a) à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement soit exigé ou non desdites personnes; ou

b) au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union.

3. Le présent règlement s'applique au traitement de données à caractère personnel par un responsable du traitement qui n'est pas établi dans l'Union mais dans un lieu où le droit d'un État membre s'applique en vertu du droit international public. »

-Commission de l'Union européenne, Décision du 26 Juillet 2000, conformément à la directive 95/46/CE, n° 2000/520/CE.

-CJUE, 6 oct. 2015, aff. C-362/14, Maximillian Schrems c/ Data Protection Commissioner

 

-Le Règlement et la Directive nommés ensemble « package E-Evidence » ou simplement « propositions E-Evidence » :

-Commission de l'Union européenne, « Proposition de directive établissant des règles harmonisées concernant la désignation de représentants légaux aux fins de la collecte de preuves en matière pénale », COM(2018) 226 final, 2018/0107(COD).

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM%3A2018%3A226%3AFIN

-Commission de l'Union européenne, Proposition de règlement relatif aux injonctions européennes de production et de conservation de preuves électroniques en matière pénale, COM(2018) 225 final, 2018/0108(COD).

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM%3A2018%3A225%3AFIN

-« Union de la sécurité: la Commission recommande de négocier des règles internationales pour l'obtention des preuves électroniques », 05/02/2019

 https://europa.eu/rapid/press-release_IP-19-843_fr.htm

               RESSOURCES EN LIGNE

- Patrick JACOB, Cahier de droit de l’entreprise n°4, dossier 28  « Droit du numérique ; Quand les nuages ne s'arrêtent pas aux frontières, Remarques sur l'application du droit dans l'espace numérique à la lumière du Cloud Act », Juiller 2018 -  Lexis 360®

https://www-lexis360-fr.faraway.parisnanterre.fr/Document/droit_du_numerique_quand_les_nuages_ne_sarretent_pas_aux_frontieres_remarques_sur_lapplication/sztMnrsjZaG-WrlbvBvNnAApVwHIBJXltxgnODNxr9A1?data=c0luZGV4PTEmckNvdW50PTEzNyY=&rndNum=1415641762&tsid=search1_

 

-Régis Bismuth, La Semaine Juridique Entreprise et Affaires n° 40, 4 Octobre 2018, 1497 « Informatique - Every Cloud Has a Silver Lining Une analyse contextualisée de l'extraterritorialité du Cloud Act » - Lexis 360®  

https://www-lexis360-fr.faraway.parisnanterre.fr/Document/informatique_every_cloud_has_a_silver_lining_une_analyse_contextualisee_de_lextraterritorialite_du_cloud/QGxVZhDzrLWJhC9VAS-6TeIZ0wK71HeoUtTym99kAhA1?data=c0luZGV4PTEmckNvdW50PTIm&rndNum=1101564198&tsid=search1_

 

- Myriam Quéméner, Fasc. 1105, « La preuve Numérique dans un cadre Pénal », 18 Avril 2019- Lexis 360®

https://www-lexis360-fr.faraway.parisnanterre.fr/Document/fasc_1105_la_preuve_numerique_dans_un_cadre_penal/Nor2-zEc4iW2Stu7IUTrfaH2mAVLv8svys_N2anwO541?data=c0luZGV4PTEmckNvdW50PTU3NTQm&rndNum=356815723&tsid=search2_

 

-Alexis Deroudille, Farid Fatah, Rev. UE 2019. 442, « L'extraterritorialité du RGPD dans le contexte du « Cloud Act » » - Dalloz

https://www-dalloz-fr.faraway.parisnanterre.fr/documentation/Document?id=RMC/CHRON/2019/0311&ctxt=0_YSR0MT1jb250ZXh0ZSBkdSBjbG91ZCBhY3TCp3gkc2Y9c2ltcGxlLXNlYXJjaA==&ctxtl=0_cyRwYWdlTnVtPTHCp3MkdHJpZGF0ZT1GYWxzZcKncyRzb3J0PcKncyRzbE5iUGFnPTIwwqdzJGlzYWJvPVRydWXCp3MkcGFnaW5nPVRydWXCp3Mkb25nbGV0PcKncyRmcmVlc2NvcGU9RmFsc2XCp3Mkd29JUz1GYWxzZcKncyRicT0=&nrf=0_UmVjaGVyY2hlfExpc3Rl