Microsoft combat actuellement une décision d’un tribunal de New York lui enjoignant de remettre aux forces de l’ordre des données situées dans un serveur en Irlande. En appel, la firme tente une analogie pour illustrer la problématique juridique d’une telle demande.
Le choc de deux visions sur le statut des données dématérialisées
De la même manière que le cloud au sens large amène une réflexion sur la sécurité, comme nous avons pu le voir hier matin, il soulève certaines interrogations juridiques. Microsoft fait actuellement face à la justice américaine qui, dans le cadre d’une enquête pour trafic de drogue, réclame des données stockées dans des serveurs en Irlande. La juge Loretta Preska a demandé à la firme de bien vouloir remettre ces informations aux forces de l’ordre afin que l’enquête progresse.
Seulement voilà, en dépit de sa volonté d’aider la police, Microsoft a refusé d’appliquer la décision du tribunal et en a fait appel. La justice considère en effet que l’entreprise dispose de l’ensemble des données sous le coude, les serveurs n’étant là que pour augmenter la capacité du « réservoir ». Dans cette optique, peu importe l’emplacement du serveur puisque Microsoft garde le plein contrôle de ces données et peut les extraire quand elle le souhaite.
Le scénario de Microsoft pour démontrer la dangerosité de la demande
Ce n’est évidemment pas la vision de l’éditeur : l’emplacement géographique du serveur compte tout autant que s’il s’agissait d’une enquête pour récupérer un objet. Des accords internationaux permettent de mettre en place des coopérations entre les forces de l’ordre et une telle action de Microsoft reviendrait à en nier la réalité. La firme a donc tenté lundi une analogie pour faire comprendre à la cour à quel point la demande sur les données est inapplicable.
Elle demande donc d’imaginer un scénario, dans lequel la police allemande enquête sur une fuite d’informations à la presse. Elle effectue une descente à la Deutsche Bank, dont les locaux sont situés à Francfort. La police dispose d’un mandat de recherche et exige de la banque qu’elle réclame à sa succursale à New York des documents stockés dans l’un de ses coffres. Les documents, ayant servi pour un article dans le New York Times, sont ainsi rapatriés vers l’Allemagne.
Microsoft imagine alors la réaction outragée du secrétaire d’État américain, s’insurgeant contre la décision allemande de court-circuiter tous les accords en vigueur. Jusqu’à ce que la situation soit prise en main par le ministre allemand des Affaires étrangères : « Nous n’avons conduit aucune recherche extraterritoriale – en fait, nous n’avons même rien cherché du tout. Aucun agent allemand n’a jamais mis le pied aux États-Unis. La police a simplement demandé à une société allemande de fournir ses propres documents commerciaux, qui étaient en sa propre possession et sous son propre contrôle. La vie privée du journaliste américain a été intégralement préservée puisque la police allemande a obtenu son mandat d’un magistrat neutre ».
Droit de la maison mère ou droit local pour chaque succursale ?
Microsoft veut ainsi illustrer une opposition flagrante entre les points de vue : doit-on considérer que les succursales forment un tout avec la maison mère et que les documents possédés par l’ensemble sont accessibles par la justice du pays où elle réside, ou le droit local s’applique-t-il pour chaque antenne de la société ? Pour la juge de New York, il s’agit bien du premier cas : Microsoft est une entreprise américaine, Microsoft a le contrôle de toutes les données transitant dans ses services, donc Microsoft peut fournir ces données dans le cadre d’un mandat de recherche.
Un véritable syllogisme pour la firme qui tente de prouver par l’absurde que la demande est irréaliste et que les forces de l’ordre américaines devraient coopérer pleinement avec celles d’Irlande. Microsoft ne s’oppose en effet pas à la récupération des données, elle souhaite simplement que le problème se résolve avec l’autorisation irlandaise. Pour Brad Smith, responsable juridique de Microsoft, la justice américaine n'a pour l'instant pas répondu aux questions cruciales qui permettraient de trancher.
La situation est d’autant plus intéressante qu’elle souligne un statut spécifique des données lorsqu’elles résident dans le cloud. Une entreprise peut proposer un service invitant à stocker des informations dématérialisées, mais quelle juridiction appliquer ? Les mandats de recherche classiques sont-ils adaptés ? Des questions posées par la firme, et pas seulement puisque plusieurs ténors du secteur technologique soutiennent la firme, notamment Apple, AT&T, Cisco et Verizon.
