Microsoft a perdu une manche dans son combat contre une juge fédérale américaine qui lui imposait de fournir des données situées géographiquement dans un autre pays. Malgré les avertissements des conséquences en cascade que cette décision aurait, le juge n’a pas été sensible aux arguments. La firme a décidé de faire appel.
Des données stockées sur des serveurs situés à Dublin
Depuis plusieurs mois, Microsoft défiait le gouvernement américain sur une problématique qui paraissait simple initialement. Il était demandé à la firme, dans le cadre d’une enquête, de fournir des informations. Normalement, devant le mandat délivré par le juge, l’entreprise aurait dû s’exécuter, mais elle a refusé. La raison invoquée était limpide : ces données n’étaient pas situées aux États-Unis, mais en Irlande, dans des serveurs à Dublin.
Microsoft avait combattu cette décision qui ne pouvait, selon elle, que provoquer des catastrophes en cascade sur le plan juridique international. Les billets sur les blogs officiels se sont multipliés pour sensibiliser l’opinion, et plusieurs entreprises, comme Verizon et Apple, se sont jointes au procès pour apporter leur propre éclairage, largement dans le sens de Microsoft. Même l’EFF (Electronic Frontier Foundation) avait soutenu la firme de Redmond, estimant que la décision du juge ferait du tort aux internautes, « parce qu’elle permettrait aux États-Unis d’obtenir des enregistrements électroniques stockés ailleurs sans obligation de passer par les accords d’assistance mutuelle ou les lois des autres pays ».
La vision de Microsoft n'a pas fait mouche
Mais la juge fédérale Loretta Preska a finalement décidé hier que ces arguments n’étaient pas pertinents. Elle a donc accordé au gouvernement américain l’obtention des informations demandées, et Microsoft devra s’exécuter en rapatriant les données stockées en Irlande. Pour la juge, il ne s’agit en effet absolument pas d’une problématique basée sur la localisation, mais uniquement sur le contrôle des informations.
Les deux visions qui s’opposent sont relativement simples mais ne peuvent pas être conciliées. Pour Microsoft, ainsi que d’autres entreprises comme Apple, Cisco et AT&T, la portée d’un mandat délivré par un juge américain ne peut dépasser les frontières des États-Unis. De fait, si les données sont situées dans un autre pays, c’est la juridiction de ce dernier qui entre en piste. Les entreprises craignaient, peut-être à juste titre, que forcer la main ne ferait que créer des tensions avec les autres pays, leur donnant l’exemple de ce qui peut être fait, en dehors de tous les sentiers balisés et des accords de coopération en la matière.
Pour le gouvernement, ainsi que plusieurs juges fédéraux, la question des frontières n’entre pas en jeu. Microsoft est une entreprise américaine spécialisée dans le cloud. Un mandat délivré par un juge américain s’applique à toute sa structure et les données qu'elle contrôle. La localisation des serveurs n’est pas alors pas plus pertinente aux yeux de la justice qu’elle ne l’est pour l’utilisateur classique, qui ne sait pas où ses données sont stockées réellement. La juge Preska a d'ailleurs précisé qu'il est depuis longtemps demandé aux banques de fournir des informations provenant de leurs succursales dans le monde.
Importance des frontières : un contraste saisissant en fonction des cas
Microsoft a donc perdu cette manche et a annoncé immédiatement son intention de faire appel. La firme regrette que la portée d’un mandat puisse s’étendre hors des États-Unis, ce qui revient pour elle à permettre à la police américaine d’enquêter dans un domicile étranger. Elle déplore également que la juge n’ait pas pris en compte un argument capital, souligné d’ailleurs par d’autres entreprises, notamment Cisco : l’érosion de la confiance dans les entreprises américaines liées au cloud. Une érosion prédite par la commissaire européenne Viviane Reding et dont les entreprises se plaignent désormais, prises dans le sillage des révélations d’Edward Snowden.
En outre, on ne peut s'empêcher de remarquer que la décision de la juge souligne un piquant contraste. D’un côté, des frontières sans importance quand il s’agit de récupérer des informations dans le cadre d’une enquête. De l’autre, l’importance cruciale de ces mêmes frontières avec la loi FISA qui autorise la collecte automatisée des données si elles proviennent d’utilisateurs étrangers et qu’elles circulent sur des serveurs qui doivent être situés… sur le sol américain obligatoirement.
Il sera intéressant de voir si Microsoft soulève la question de la conformité avec la convention de 2004 (STE n° 185) qui impose en effet d'obtenir le consentement du responsable du traitement lorsque les données sont établies à l'étranger, comme c’est le cas avec Microsoft Irlande. Actuellement, on ne sait cependant pas exactement si l’affaire traitée par la justice américaine, centrée sur le trafic de drogue, entre dans ce cadre.
