Intervention de Bruno Bernard

L'extraterritorialité est malheureusement un concept à la mode en ce moment. Beaucoup de règlements sont extraterritoriaux en matière numérique : le RGPD est, par exemple, extraterritorial de fait. C'est toute la problématique de l'application du droit dans des sphères qui ne sont pas traditionnelles. Les sollicitations que nous sommes susceptibles de recevoir d'agences gouvernementales ne se limitent pas aux États-Unis.

Pour ce qui concerne le Cloud Act précisément, nous rappelons que son application suppose la demande d'un juge, sollicité par une agence gouvernementale.

Notre processus est standard, mais relativement fort. La question se pose de savoir où se trouve la donnée. La plupart du temps, elle est chez le client. Nous demandons donc que l'agence ou le juge s'adresse directement à notre client. Si la demande est adressée directement à Cisco, nous en notifions le client, pour éviter toute rupture de confiance. Il est possible qu'une décision judiciaire nous l'interdise, auquel cas nous la contestons devant la juridiction compétente.

Ensuite, nous communiquons des données aux autorités qui ont réellement compétence. Dans le cas du Cloud Act, par exemple, nous ne communiquons pas de données en l'absence de la décision d'un juge. Nous cherchons également toujours à réduire la portée de la requête au strict minimum correspondant à la demande.

Dans la configuration où la demande légale d'un gouvernement nous mettrait dans une situation de conflit de lois entre deux législations ayant autorité sur les données (par exemple, entre un pays européen et les États-Unis), nous irions devant un juge pour réfuter cette demande, en invoquant les traités d'assistance judiciaire mutuelle existants.

Je tiens également à signaler que nous publions un rapport de transparence (transparency report), dans lequel nous listons les demandes de transmissions de données par pays. Elles sont très peu nombreuses, notamment depuis l'entrée en vigueur du Cloud Act.