Données privées : Microsoft défie les États-Unis à la Cour suprême

JuridiqueLégislationRégulations

Ouverture, ce mardi à la Cour suprême des États-Unis, des hostilités entre le gouvernement américain et Microsoft, qui refuse de livrer des données stockées à l’étranger.

« Où un bitcoin est-il situé dans le monde ? Où se trouvent les sons et les images sur mon enregistreur ? Où est la neige tombée l’an dernier ? »

Cette réflexion qu’on avait pu entendre début 2017 à la cour d’appel de New York émanait d’un des membres du jury invité à trancher un litige opposant Microsoft au gouvernement américain.

Le premier l’avait emporté sur le second, qui le somme aujourd’hui encore de lui transmettre des informations associées à un compte de messagerie ouvert en Irlande par un citoyen irlandais dit impliqué dans une affaire de trafic de drogue.

À la demande du département américain de la Justice (DoJ), le dossier est remonté jusqu’à la Cour suprême, où le procès s’ouvre ce mardi.

Les organisations de défense des libertés civiles à l’ère numérique (ACLU, EFF…) soutiennent l’initiative pris par Microsoft au nom du droit au respect de la vie privée.

Des sociétés technologiques comme Amazon, Cisco, HP, Rackspace et Verizon se sont également rangées derrière la firme de Redmond. À l’inverse, une coalition d’une trentaine d’États fait front aux côtés du DoJ.

Trente ans…

Au cœur du débat, le Stored Communications Act, sur la base duquel les autorités ont sollicité leur mandat contre Microsoft.

La juridiction de première instance n’avait rien trouvé à redire sur ce texte de loi, au contraire de la Cour d’appel.

Dans le raisonnement de cette dernière, le Stored Communications Act n’avait pas été pensé, à son adoption en 1986, pour couvrir des demandes relatives à des données localisées hors du territoire américain.

À cet égard, le principe de non-extraterritorialité de la loi s’applique et le gouvernement va à son encontre en exigeant d’un fournisseur de services basé aux États-Unis qu’il communique des données stockées à l’étranger.

Neige et fragmentation

Un enjeu en particulier avait divisé les juges : l’exécution d’un mandat tel que celui requis contre Microsoft doit-elle être considérée sur le territoire où sont stockées les données ou bien sur le territoire où s’effectue leur divulgation ?

Le jury avait retenu, à une courte majorité, la première option. Parmi ceux qui avaient choisi la seconde, on avait souligné, par l’exemple du bitcoin et de la neige, que le lieu de stockage importait peu : Microsoft pouvait tout à fait accéder aux données depuis « tout ordinateur aux États-Unis ».

Autre problématique pointée du doigt à cette occasion : la fragmentation, ou comment une information peut être dispatchée sur plusieurs datacenters.

Google prend cet aspect en compte dans sa politique, qui consiste à ne dévoiler que les « fragments de données » localisés sur le territoire américain au moment de l’émission d’un mandat.

Bruxelles veille

Du côté de Microsoft, on accompagne les initiatives parlementaires visant à moderniser une législation « écrite pour l’ère de la disquette, pas pour le monde du cloud ».

Le groupe informatique soutient tout particulièrement un texte présenté au début du mois au Sénat : le CLOUD Act (« Clarifying Lawful Overseas Use of Data »).

Y sont notamment clarifiées les voies de recours pour les fournisseurs de services de communications électroniques ; entre autres, l’invocation d’éventuels conflits avec les lois d’autres pays.

Bruxelles en perçoit et compte intervenir, au nom de l’UE, en tant qu’amicus curiæ qui fournira – « sans parti pris » – des informations à la Cour suprême.

Un autre sort pour Google

On surveillera la possible influence d’un autre dossier dans lequel Google a échoué à faire valoir le « précédent Microsoft ».

La firme de Mountain View avait contesté, devant les tribunaux de Pennsylvanie, deux mandats émis par le FBI pour obtenir des données stockées hors des États-Unis.

Le premier vise trois comptes rattachés à un résident américain suspecté de fraude commise exclusivement sur le territoire national. Le deuxième concerne également un résident U.S., soupçonné d’avoir volé des secrets industriels à une société basée aux États-Unis.

Le débat s’est centré la notion de saisies, dont le 4e amendement de la Constitution américaine protège les individus lorsqu’elles sont non motivées.

La juridiction de première instance a conclu, dans les grandes lignes, que le fait de transmettre des données d’un serveur situé hors des États-Unis vers un datacenter en Californie ne représentait pas une « saisie » : Google transfère régulièrement des données entre ses installations sans que les utilisateurs soient mis au courant et cela ne les empêche pas d’accéder à leurs données.

Elle a, en outre, considéré que la complexité de l’infrastructure de Google écartait tout conflit avec les législations d’autres pays, étant donné que les informations visées sont susceptibles de changer d’emplacement à tout moment.


Lire la biographie de l´auteur  Masquer la biographie de l´auteur