Données à l’étranger : les entreprises américaines font bloc face à un juge

Plusieurs poids lourds ont décidé de rejoindre Microsoft dans son combat contre un mandat lui intimant l’ordre de fournir des données stockées ailleurs qu’aux États-Unis. Même si l’Electronic Frontier Foundation est de la partie, il faut rappeler que dans le contexte actuel, une telle réaction est aussi une bataille de communication.

Un juge américain exige des données stockées en Irlande

Rappel des faits. Début mai, un juge fédéral de New York délivre un mandat permettant la saisie de données d’au moins un utilisateur dont les données sont stockées en Irlande. En temps normal, ce type de mandat est demandé pour un internaute américain. En effet, la section 702 de la loi FISA n’autorise la reprise directe des données que si l’utilisateur est étranger et que ses données sont stockées sur un serveur au sein des frontières des États-Unis. Une différence que l’on retrouve au cœur des polémiques déclenchées par les révélations successives d’Edward Snowden.

Microsoft s’était insurgé, insistant sur la valeur locale du mandat : comment un juge pouvait-il autoriser la récupération de données n’étant pas sur le sol américain ? Pour le juge en question, la défense de Microsoft ne tenait car elle prenait justement appui sur les problématiques engendrées par les révélations de Snowden. Il n’était pas question ici du renseignement et de la collecte massive, mais bien d’une enquête classique dont ces données devenaient des éléments.

David Howard, l’un des responsables juridiques de la firme, avait alors publié un véritable réquisitoire contre cette décision sur l’un des blogs officiels de Microsoft : « Un procureur américain ne peut obtenir un mandat des États-Unis pour fouiller la maison d’une personne située dans un autre pays, tout comme un procureur d’un autre État ne pourrait obtenir d’autorisation dans son propre pays pour conduire une fouille aux États-Unis. Nous pensons que les mêmes règles devraient s’appliquer dans le monde en ligne, mais le gouvernement n’est pas d’accord ».

L'EFF met en garde contre les ricochets mondiaux d'une telle demande 

Le message était d’autant plus important que Microsoft est l’une des entreprises fortement affectées par l’affaire Snowden et les liens troubles pouvant exister avec la NSA. Mais l’entreprise n’est plus seule à lutter contre la décision du juge, dont elle a d’ailleurs fait appel. Dans un communiqué paru vendredi, l’EFF apporte son soutien à Microsoft en précisant qu’elle a rédigé un « amicus curiae ». Dans le droit américain, un amicus est un document écrit fourni par un tiers dans le cadre d’un procès. Les éléments qui y sont contenus peuvent apporter un autre éclairage au juge sur un sujet particulier.

L’EFF est consciente des arguments du juge : les entreprises américaines risquent d’avoir trop vite fait d’arguer du caractère international de leurs activités pour se soustraire aux enquêtes. Par extension, il suffirait aux utilisateurs de créer des comptes à l’étranger pour obliger les forces de l’ordre américaines à négocier un droit de récupération des données avec les autorités compétentes du pays ciblé. Mais l’EFF est plus proche des arguments de Microsoft et ajoute que la décision du juge ferait du tort aux internautes « globalement, parce qu’elle permettrait aux États-Unis d’obtenir des enregistrements électroniques stockés ailleurs sans obligation de passer par les accords d’assistance mutuelle ou les lois des autres pays ».

AT&T, Verizon, Cisco et Apple arrivent en renfort 

Mais si l’EFF peut valoriser le point de vue de Microsoft, le soutien tout aussi direct d’autres poids lourds privés pourrait aider plus efficacement la firme. C’est ainsi qu’AT&T, Verizon, Cisco et Apple ont tous fait part de leurs inquiétudes. Pour Verizon par exemple, la crainte d’une fuite des clients vers des cieux plus cléments est réelle, les entreprises pouvant envisager de déménager pour ne plus être soumises à ce type de règle. AT&T aborde pour sa part le problème de la réciprocité : si les États-Unis se permettent de passer outre les lois étrangères et les accords mis en place, les autres pays procèderont de même.

Mais les deux opérateurs américains ne sont pas les seuls à exprimer des inquiétudes puisqu’Apple et Cisco sont entrées eux aussi dans la danse. Dans un amicus commun, ils résument la situation : si la justice américaine souhaite opérer en dehors des sentiers battus des accords d’assistance, il deviendra difficile d’obéir à une loi dans un pays sans en enfreindre une autre à l’étranger. Pour les deux entreprises, le juge fait tout simplement une erreur en ignorant sciemment les lois des autres pays, ce qui créera à terme de sérieux problèmes pour les sociétés prises dans l’étau.

Le marteau et l'enclume 

Le point de vue global qui se dégage des entreprises dans cette bataille juridique est qu’elles finiront par se retrouver entre le marteau et l’enclume. Elles reprochent au juge de ne considérer qu’une seule facette du problème et d’ignorer le danger sous-jacent : si elles acceptent de remettre des données stockées ailleurs qu’aux États-Unis, il pourrait non seulement y avoir un très fort mécontentement des utilisateurs étrangers, mais également un effet boule de neige. Pour Apple et Cisco d’ailleurs, la situation est claire : « le magistrat ignore les réalités des poursuites criminelles internationales ».

Si les entreprises insistent autant sur ce point, c’est parce qu’une telle décision, si elle devait être maintenue, écornerait encore davantage leur image. La problématique est double : la situation actuelle, avec l’impossibilité inhérente de garantir aux utilisateurs qu’un autre pays ne viendra pas puiser dans leurs données, et l’effet d’accumulation.

Car la communication est pratiquement la seule arme qu’il reste aux acteurs concernés pour faire oublier le déluge d’informations sur les liaisons qui peuvent exister avec les agences de renseignements. Car elles ont beau publier des communiqués de presse, les documents sur le programme Prism étaient clairs sur leur implication dans la surveillance globale. De fait, la crise de confiance qui en a émergé pourrait perdurer et encourager les internautes et les entreprises à une nouvelle forme de protectionnisme numérique. Un problème qu’avait mis en avant l’année dernière la commissaire européenne Viviane Reding.