Un juge fédéral américain a décidé mercredi de forcer Microsoft à révéler des données qui sont pourtant stockées en dehors des frontières des États-Unis. Une décision qui pourrait marquer un tournant dans l’approche des problématiques de respect de la vie privée.
Crédits : opensource.com, licence Creative Commons
Les frontières ont un rôle majeur et juridique dans le monde virtuel
Depuis le début des révélations d’Edward Snowden, de nombreuses questions se sont posées autour de la gestion par les États-Unis des données personnelles. Les documents de la NSA montraient notamment comment l’agence créait une gigantesque toile d’araignée dans laquelle elle pouvait vibrer un seul fil, correspondant à une personne, pour en trouver toutes les connexions sociales. Pour autant, et en théorie, la loi américaine est très claire sur ces fameuses données.
La NSA brasse une énorme quantité d’informations qu’elle ingère via différents systèmes de collecte et d’écoute. Cette collecte, aveugle et massive, se concentre avant tout sur les données étrangères. Le processus est légal aux États-Unis et se réfère en priorité à la Section 702 de la loi FISA (Foreign Intelligence Suveillance Act) : les données peuvent être stockées et analysées si elles proviennent d’utilisateurs non-américains et si elles sont stockées dans des serveurs qui, eux, se trouvent bien au sein des frontières du pays. Voilà pourquoi des entreprises telles que Microsoft, Apple, Google, Yahoo ou encore Facebook se retrouvent régulièrement cités dans les documents dérobés par Snowden, quand ce n'est pas directement par la NSA.
Le problème pour ces sociétés est que la communication faite autour de ces révélations successives est particulièrement dommageable et érode littéralement la confiance des utilisateurs, sans parler de celle des entreprises. Une érosion prévue par la commissaire européenne Neelie Kroes qui indiquait en juillet dernier : « Si les entreprises ou les gouvernements pensent qu’ils pourraient être espionnés, ils auront moins de raisons de faire confiance au cloud, et ce seront finalement les fournisseurs de solutions cloud qui rateront des opportunités. Payeriez-vous quelqu’un d’autre pour héberger vos secrets commerciaux ou autres si vous suspectez qu’ils sont partagés sans votre consentement ? »
Microsoft doit garder le contrôle des données à l'échelle de la planète
Mais cette limitation aux données stockées sur le sol des États-Unis est totalement remise en cause par la décision d’un juge fédéral de New York. Dans le cadre d’une enquête, il était en effet demandé à Microsoft de fournir de nombreuses informations sur un suspect : contenus de courriers électroniques, liste des contacts, numéros de téléphones renseignés, adresse postale, sessions de conversations horodatées, adresses IP et ainsi de suite. Problème : ces données sont hébergées sur un serveur situé à Dublin, donc hors des frontières des États-Unis.
Microsoft avait refusé de communiquer ces informations en se basant justement sur le fait que sur les données étaient dans un autre pays. Mais le juge James Francis a rappelé que toutes les entreprises fournissant des services internet étaient soumises à une autre loi de 1986, l'Electronic Communications Privacy Act (ECPA). De plus, la nature virtuelle du cloud efface les frontières physiques et la problématique n’est alors plus l’emplacement, mais le contrôle lui-même des données : Microsoft reste une firme américaine.
Pour Microsoft, pas de différence entre le monde réel et le monde virtuel
Pour le juge, la défense de Microsoft ne tient pas car elle est basée avant tout sur les affaires qui ont agité la sphère médiatique depuis bientôt un an : les révélations issues des documents de Snowden. Or, il ne s’agit pas ici d’une collecte aveugle de données dans le cadre de la loi FISA, mais bien d’une enquête ciblée et criminelle. En outre, le mandat délivré aux autorités était spécifique et concernait la recherche de preuves en ligne. D’après le juge, un tel mandat ne tient pas compte non plus des frontières géographiques.
Du côté de Microsoft, on s’indigne : « Un procureur américain ne peut obtenir un mandat des États-Unis pour fouiller la maison d’une personne située dans un autre pays, tout comme un procureur d’un autre État ne pourrait obtenir d’autorisation dans son propre pays pour conduire une fouille aux États-Unis. Nous pensons que les mêmes règles devraient s’appliquer dans le monde en ligne, mais le gouvernement n’est pas d’accord ». David Howard, vice-président et responsable juridique, ajoute dans la foulée que Microsoft fera appel de cette décision.
La Commission rappelle qu'il existe déjà des « canaux officiels de coopération »
Du côté de l’Europe, la position est encore plus tranchée. La Commission s’est ainsi exprimée à travers la voix de sa porte-parole Mina Andreeva sur le site de la BBC : « La position de la Commission est que ces données ne devraient pas être accessibles par ou transférées vers les autorités américaines en-dehors des canaux officiels de coopération, tels que les accords mutuels d’assistance juridique ou les accords sectoriels entre les États-Unis et l’Union qui autorisent de tels transferts ».
À l’heure où l’Europe met en place une protection des données personnelles, qui doit notamment bloquer tout transfert de données hors de l’Union sans accord explicite, la décision du juge ajoute donc du poids au débat actuel sur le respect de la vie privée et la considération des données personnelles. Il s'agit également d'un camouflet pour les entreprises américaines, dont Microsoft, qui noue des partenariats pour installer des serveurs locaux dans autres pays. L'argument de l'imperméabilité aux lois américaines ne tiendrait plus.