Les États-Unis et le Royaume-Uni vont-ils s’échanger vos données personnelles ?

Le 21 juillet 2022, les États-Unis et le Royaume-Uni ont communément annoncé l’entrée en vigueur au 3 octobre 2022 du « Data Access Agreement » , signé en 2019 pour une durée de 5 ans. A compter de cette date, les deux pays auront la possibilité de s’échanger des informations concernant leurs citoyens respectifs … et peut-être pas que. Comme le montre le site du « Department of Justice » (DoJ), cet accord a été signé dans le cadre du « Cloud Act » étatsunien, ce dernier ouvrant la possibilité aux États-Unis de conclure des accords bilatéraux afin de permettre aux autorités de s’échanger des données. Il est le premier du genre, mais pas le dernier : un autre accord a été signé avec l’Australie en 2021, et un troisième avec le Canada est en discussion depuis mars 2022.

L’objectif ? La prévention, la détection, la recherche et la poursuite d’infractions qualifiés de crimes graves (« serious crimes » en anglais). Les catégories citées par l’annonce sont le terrorisme, les crimes à l’encontre des mineurs, ou encore les cybercrimes. Mais en réalité, la définition des « crimes graves » , qui est reprise un peu plus bas dans cet article, est beaucoup plus large.

Le RGPD n’est plus directement applicable au Royaume-Uni depuis sa sortie de l’Union européenne, mais le pays a fait l’objet d’une décision d’adéquation. Cela garantit que le niveau de protection des données personnelles au Royaume-Uni est sensiblement équivalent à celui proposé par le RGPD, ce qui permet des échanges de données personnelles facilités. Néanmoins, au regard des récentes décisions des autorités de protection des données vis à vis des outils étatsuniens, il est légitime de se demander quel impact pourrait avoir cet accord sur le niveau de protection des données personnelles au Royaume-Uni.

Le périmètre de l’accord


Afin de bien évaluer les impacts de cet accord, il faut commencer par en mesurer le périmètre aussi précisément que possible, étant précisé que les informations à son sujet restent à ce jour assez succinctes. Selon l’annonce, le « Data Access Agreement permettra d’accéder plus rapidement aux informations et aux preuves détenues par les fournisseurs de services de chacune de nos nations » . Il faut comprendre que les forces de l’ordre australiennes pourront demander l’accès aux serveurs des entreprises nord-américaines ou aux données qu’ils contiennent plus facilement (et inversement).

L’annonce n’en disant pas beaucoup plus, il faut s’en remettre au contrat pour y voir plus clair.
Tout d’abord, la notion de « crime sérieux » y est définie : il s’agit d’une infraction punie d’au moins 3 ans d’emprisonnement par la loi du pays signataire. Si un accord similaire avait été signé par la France, une partie substantielle des délits seraient concernés, de même que les crimes : le champ est donc relativement large. Pour donner un exemple d’actualité, selon les circonstances, cela pourrait inclure les rodéos motorisés.

Ensuite, les données concernées : il s’agit de celles qui sont possédées ou contrôlées par une société privée agissant offrant des services de communication au public (depuis les fournisseurs d’accès internet jusqu’à l’éditeur d’un forum), mais également des services de stockage ou de traitement des données. En particulier, sont concernés:

  • Le contenu des communications électroniques ou filaires ;
  • Les données traitées ou stockées pour un utilisateur (notamment les données relatives à son compte);
  • Les données de trafic et les métadonnées ;
  • Les données d’identité, l’adresse, les relevés téléphoniques et les moyens de paiement de l’abonné.

Globalement, toute l’activité d’un internaute est potentiellement concernée par ce contrat dès lors que l’entreprise qui les possède ou les détient est soumise à la législation des États signataires. Les appels téléphoniques filaires le sont également, mais il se font sans doute de moins en moins nombreux en dehors du cadre professionnel.

Il reste enfin à déterminer les circonstances de l’échange de données entre les autorités compétentes. Tout d’abord, il faut préciser que ces échanges se font de manière directe : l’autorité compétente au Royaume-Uni pourra directement demander à Google de lui fournir les données concernant Monsieur Dupond. Il y a toutefois quelques conditions. Des échanges ne pourront intervenir que dans le cadre d’une procédure visant à prévenir, détecter, investiguer ou poursuivre un crime grave, si :

  1. la demande est suffisamment motivée,
  2. un instrument juridique existant dans le pays signataire le permet,
  3. une autorité indépendante contrôle l’action de l’autorité à l’origine de la demande.


Tel est le cas du fameux « mandat de perquisition » américain, mais pas seulement : l’on peut supposer que dès lors que la loi du pays signataire autorise l’accès aux données, par exemple par les services de renseignement, le feu passe au vert. Selon l’accord, les données échangées devront être ciblées : il est nécessaire d’identifier un compte ou une personne. Toutefois, il n’existe pas de restriction relative à la nationalité ou au lieu de résidence de la cible (à l’exception de données relatives aux « U.S. persons » ), ni au nombre de personnes qui peuvent être concernées par la demande.

Quoi qu’il en soit, l’on peut constater que, si quelques garde-fous ont effectivement été prévus pour éviter les demandes abusives, le périmètre de l’accord est très large. Dans la mesure où des données relatives à des résidents de l’Union européenne pourraient être concernées, il convient de s’interroger sur les conséquences de l’accord pour la conformité des transferts vers le Royaume-Uni. En particulier, l’on peut se demander si cet accord est susceptible de remettre en cause la décision d’adéquation.

Les conséquences de cet accord vis à vis du RGPD


Cet accord n’est pas sans conséquences sur la protection des données personnelles au sein de l’Union européenne, puisqu’il ne prévoit pas une exclusion expresse de ses résidents. Ainsi, il est tout à fait envisageable que parmi les personnes surveillées se trouvent un ou plusieurs résidents européens. Selon notre analyse, la décision d’adéquation du Royaume-Uni — qui est déjà remise en cause par leurs projets de réformes — est encore plus mise à mal par ce « Data Access Agreement » .
En effet, si l’on reprend le raisonnement des autorités de protection des données européennes, il faut considérer qu’il y a un transfert dès lors que des personnes en dehors de l’Union européenne peuvent légalement ou techniquement avoir accès aux données : il importe peu qu’elles accèdent réellement aux données ou non. Ces transferts sont par ailleurs problématiques parce que, selon la CJUE dans l’arrêt Schrems II, les lois américaines en matière de renseignement « ne correspondent aux exigences minimales attachées, en droit de l’Union, au principe de proportionnalité » . La Cour avait également souligné l’absence de voies de recours effectives, qui est effectivement regrettable.

En conséquence, tout transfert de données vers le Royaume-Uni est susceptible d’entraîner un transfert de données vers les États-Unis (et inversement) dans la mesure où les services de renseignement étatsuniens pourront avoir accès à ces données. En conséquence, pour que le transfert de données puisse être réalisé en conformité avec le RGPD, il faudrait non seulement que le Royaume-Uni soit un pays adéquat — ce qui est toujours le cas à ce jour — mais que les États-Unis également. Ou, à défaut, que les transferts soient mis en place avec des garanties appropriées, ce qui n’est pas simple à mettre en œuvre dans ce contexte.

Cette condition sera de plus en plus difficile à remplir à mesure que les accords « Cloud Act » se multiplieront : dès lors que des données seront envoyées directement sur les serveurs de sociétés soumises à la législation américaine, il faudra que tous les pays signataires aient bien encadré le transfert (par la voie législative ou contractuelle) pour qu’il puisse être conforme : cela inclut le Royaume-Uni, l’Australie, et peut-être le Canada dans un futur proche.
En revanche, l’on peut se demander si le schéma inverse fonctionne : des données sont transmises au Royaume-Uni et sont récupérées par les États-Unis dans le cadre d’une enquête. L’Australie pourra-t-elle demander l’accès à ces données à son cocontractant américain ?


Quoi qu’il en soit, ces accords risquent de compliquer la tâche aux délégués à la protection des données : espérons qu’ils ne se fassent pas trop nombreux. Par ailleurs, à défaut d’adéquation de tous les acteurs, une position au niveau européen serait la bienvenue !

Pour approfondir…

> Transferts hors UE: pas de mise en conformité proportionnée au niveau de risque
19 mai 2022
> La CNIL a interdit l’utilisation de Google Analytics, mais pas que …
10 février 2022
Retour en haut