Données privées : pas de jurisprudence Microsoft pour Google

Face au gouvernement U.S., qui lui réclame des données stockées à l’étranger, Google n’a pas réussi à faire valoir un précédent en faveur de Microsoft.

Pas de précédent Microsoft pour Google.

Refusant, au nom du droit au respect de la vie privée, de fournir au FBI des données stockées hors du territoire américain, le groupe Internet a tenté de faire valoir une décision de justice rendue l’été dernier en faveur de l’éditeur de Windows, dans une affaire similaire. Il n’y est pas parvenu, en première instance devant un tribunal de Philadelphie (Pennsylvanie).

L’affaire en question n’est pas close. La balle est dans le camp du gouvernement U.S., qui a la possibilité de se pourvoir auprès de la Cour suprême. En l’état, la Cour d’appel a considéré que le fait, pour les services de renseignement, de demander à Microsoft de livrer des données localisées en Irlande, viole le principe de non-extraterritorialité de la loi.

Le juge Thomas Rueter n’a pas la même opinion. Dans sa décision (document PDF, 29 pages) rendue ce vendredi 3 février 2017, il explique, entre autres, qu’en cas d’infraction à la vie privée des individus que le FBI cible par l’intermédiaire de Google, ladite infraction ne se déroulerait pas là où les données sont récupérées, mais là où elles sont dévoilées. En l’occurrence, aux États-Unis.

C’est l’un des points importants dans le débat sur le caractère extraterritorial des mandats émis contre Google dans ce dossier.

Le premier date du 2 août 2016. Il porte sur trois comptes rattachés à un résident américain suspecté de fraude commise exclusivement sur le territoire national. Le deuxième, daté du 19 août, concerne également un résident américain, soupçonné d’avoir volé des secrets industriels à une société basée aux États-Unis.

Trente ans…

Les autorités ont effectué leurs demandes sur la base du Stored Communications Act (SCA).

Adopté en 1986, le texte a servi de fondement au verdict de la cour d’appel de New York dans le cas Microsoft. Les magistrats – pour le moins divisés – ont estimé qu’à l’époque, le Congrès n’avait pas imaginé qu’une demande concernerait un jour des données localisées hors du territoire U.S. Et que par là même, les demandes gouvernementales ne peuvent dépasser les frontières des États-Unis.

De son côté, Google a ajouté ne jamais pouvoir savoir précisément où des données se trouvent sur son réseau, dont l’architecture « dynamique » est conçue pour améliorer les temps d’accès. Un argument qui figure dans les réponses écrites faites entre novembre et décembre 2016 au gouvernement, après que celui-ci eut déposé une motion.

L’audience s’est déroulée le 12 janvier 2017, les deux affaires étant fusionnées pour l’occasion.

De nombreux précédents ont été invoqués, mais pas celui qu’espérait Google. Thomas Rueter a notamment mis en avant une récente décision de la Cour suprême, tout en s’appuyant sur le verdict qui avait été rendu en première instance contre Microsoft : le mandat étant adressé à un fournisseur de services de communications électroniques, il n’implique pas de perquisition.

Autre principe considéré comme « établi » : une juridiction peut, sous certaines réserves, demander à toute personne – physique ou morale – de dévoiler l’ensemble des informations sur lesquelles il a le contrôle, indépendamment de leur localisation.

C’est quoi, une saisie ?

Il existe un garde-fou : le 4^e amendement de la constitution américaine, qui protège les individus contre les « recherches et saisies non motivées ».

Dès lors, c’est une question de vocabulaire. Selon l’interprétation de Thomas Rueter, la « recherche » est définie comme toute atteinte à ce que l’on pourrait communément définir comme ressortissant de la vie privée. La « saisie », elle, intervient lorsqu’il y a « une interférence significative avec les intérêts possessifs dont jouit un propriétaire ».

Sur ce point, la Cour suprême avait donné l’exemple d’une valise fermée qu’on peut saisir sans compromettre son contenu. Et, à l’inverse, d’un véhicule en stationnement qu’on peut fouiller sans en déposséder le propriétaire.

Dans le cas présent, le fait de transmettre des données d’un serveur situé hors des États-Unis vers un datacenter en Californie ne représente pas une « saisie » : Google transfère régulièrement des données entre ses installations sans que les utilisateurs en soient mis au courant et cela ne les empêche pas d’accéder à leur données, ni ne remet en question leur droit de propriété. Et si interférence il y a, elle est « minime et temporaire » (parallèle avec les perquisitions : le relevé de numéros de série ou le photocopillage de documents).

La complexité de l’infrastructure de Google écarte par ailleurs, selon la justice, tout conflit avec les législations d’autres pays, étant donné que les informations visées sont susceptibles de changer d’emplacement à tout moment.

Assurant avoir répondu aux demandes qui lui ont été faites en fournissant des données qu’il savait localisées aux États-Unis, Google prévoit de faire appel.

Données privées : pas de jurisprudence Microsoft pour Google

Trente ans…

C’est quoi, une saisie ?

Fusillade de Sutherland Springs : l’enquête passe par la case iCloud

iPhone et chiffrement : les tribulations du FBI après la tuerie au Texas

Cellebrite piraté : il n’y a pas que l’iPhone de San Bernardino

Cybersécurité : cinq mesures pour protéger ses réseaux

Comprendre «l'après» peut aider les entreprises à se protéger contre les ransomwares

13 conseils pour télétravailler en toute sécurité

Choisir son fournisseur Cloud, une décision stratégique pour les PME

Le stockage dans le cloud continue d’inquiéter les PME

Numérique : le temps de l'augmentation est venu