Données privées : la bataille Microsoft – États-Unis remonte à la Cour suprême
La Cour suprême des États-Unis va examiner le dossier qui oppose Microsoft au gouvernement U.S. concernant l’accès à des données stockées à l’étranger.
« Nos méthodes de communication ont radicalement changé ces trente dernières années ; pas les lois qui les gouvernent. »
Microsoft émet ce commentaire en réaction à une annonce de la Cour suprême des États-Unis.
La juridiction de dernier ressort a confirmé, ce lundi, qu’elle se penchera, à la demande du département de la Justice (DoJ), sur un dossier qui oppose le premier éditeur mondial au gouvernement américain.
Au nom du droit au respect de la vie privée, Microsoft refuse de transmettre aux autorités U.S. des informations associées à un compte de messagerie ouvert en Irlande par un citoyen irlandais dit impliqué dans une affaire de trafic de drogue.
Les organisations de défense des libertés civiles à l’ère numérique (ACLU, EFF…) soutiennent cette démarche d’opposition, au même titre que des sociétés technologiques comme Amazon, Cisco, eBay et Verizon. À l’inverse, une coalition de 33 États – à laquelle s’est joint Porto Rico – fait front aux côtés du DoJ.
Trente ans
Microsoft l’avait emporté en appel : la justice avait considéré qu’en exigeant d’un fournisseur de services basés aux États-Unis qu’il communique des données stockées à l’étranger, le gouvernement américain allait à l’encontre du principe de non-extraterritorialité de la loi.
Au cœur du débat, l’Electronic Communications Privacy Act, sur la base duquel l’administration américaine avait sollicité un mandat en 2013.
Le jury d’appel a estimé que lors de l’adoption du texte en 1986, le Congrès n’avait pas imaginé qu’une demande concernerait un jour des données localisées hors du territoire américain. Et jugé qu’en l’absence de preuves du contraire, les demandes gouvernementales en matière de transmission de données ne peuvent dépasser les frontières.
Microsoft est sur la même ligne. La firme apporte son soutien aux initiatives parlementaires visant à moderniser une législation « écrite pour l’ère de la disquette, pas pour le monde du cloud ».
En tête de liste, l’International Communication Privacy Act of 2017, proposition de loi déposée en juillet au Sénat – et reprise à la Chambre des représentants – par Orrin Hatch (Parti républicain, Utah), Chris Coons (Parti démocrate, Delaware) et Dean Heller (Parti républicain, Nevada).
La relativité des données
Le verdict de la Cour suprême est attendu pour la mi-2018, selon Reuters.
On surveillera plusieurs aspects qui avaient divisé les juges en procédure d’appel. Notamment l’exécution du mandat : doit-elle être considérée sur le territoire où sont stockées les données ou bien sur le territoire où s’effectue leur divulgation ?
L’un des membres du jury qui avaient privilégié la seconde option – et donc penché en faveur du gouvernement – avait souligné que Microsoft pourrait tout à fait accéder aux données en question depuis tout ordinateur aux États-Unis et que le lieu de stockage importait donc peu.
Un autre avait fait remarquer que n’importe quel individu résidant aux États-Unis pouvait très bien prétendre qu’il se trouve en Irlande, ses données étant alors stockées sur place.
La Cour suprême aura peut-être aussi à examiner les problématiques de fragmentation, ou comment une information peut être dispatchée sur plusieurs datacenters.
La politique de Google prend en compte cet aspect : le groupe Internet s’est engagé à ne dévoiler que les « fragments de données » localisés aux États-Unis au moment de l’émission d’un mandat.