Microsoft a porté plainte contre le département américain de la Justice. La firme indique dans un communiqué que les conditions d’application de certaines demandes de données sont devenues insupportables. Elle réclame que les règles de transparence évoluent enfin.
Même si les dernières semaines ont surtout été marquées par le combat entre Apple et le FBI, la position de Microsoft sur la vie privée a été progressivement mise en avant depuis les premières révélations d’Edward Snowden, comme pour de nombreuses autres entreprises d’ailleurs. Si la collaboration avec les forces de l’ordre est jugée « normale » dans le cadre des enquêtes, beaucoup s’élèvent contre la chape de plomb qui pèse sur la communication.
Bien que la situation ait en effet légèrement évolué avec le Freedom Act de l’année dernière, les entreprises n’ont globalement que très peu de possibilités quand il s’agit d’informer les clients de ce qui a été demandé, et par qui. Or, cette communication est directement liée à l’image de l’entreprise, qui doit lutter depuis bientôt trois ans pour restaurer un niveau de confiance nettement altéré par les documents du lanceur d’alertes.
L'interdiction de communiquer sur ce qui a été demandé
Brad Smith, directeur juridique de Microsoft, explique ainsi dans un billet de blog que sur les seuls 18 derniers mois, 5 624 demandes ont été faites par le département de la Justice. Toutes concernaient des données en possession de la firme, à qui il suffisait de puiser dans son cloud – après en avoir examiné le bienfondé pour chacune, rappelle le responsable. 2 576 de ces requêtes étaient accompagnées d’un « gag order », c’est-à-dire l’obligation pour la société de ne pas en dévoiler le moindre détail.
Mais le vrai problème pour Microsoft est que 68 % de ce lot, soit 1 752 ordonnances, n’étaient accompagnées d’aucune limite de temps. « Ce qui signifie qu’il nous est effectivement interdit pour toujours de dire à nos clients que le gouvernement a obtenu leurs données » indique Brad Smith. En l’absence d’ordonnance, ou après la date indiquée, une entreprise est en effet libre d’informer sa clientèle sur ce point, en précisant les informations qui ont été récupérées.
Le DoJ violerait deux amendements de la constitution américaine
Un droit hérité directement du Quatrième amendement de la constitution américaine, qui permet à toute personne tierce ou morale d’être informée quand le gouvernement cherche ou saisit ce qui leur appartient. Or, le système actuel viole cet amendement selon Brad Smith. Le Premier non plus ne serait pas épargné, alors qu’il garantit normalement à une entreprise le droit d’informer le client de la manière dont les « actions du gouvernement affectent ses données ».
Pour le responsable, la situation illustre un glissement des habitudes, alors que les lois n’ont pas accompagné les évolutions de manière satisfaisante. Les documents sensibles étaient ainsi rangés dans des endroits fermés, avec l’obligation pour le gouvernement d’informer leurs propriétaires lors d’une saisie. Les renseignements se trouvent maintenant souvent dans des ordinateurs ou dans le cloud, mais l’obligation, si elle est toujours là, peut être court-circuitée.
« Des limites raisonnables à l’utilisation de ces ordonnances secrètes »
Un autre exemple du flou juridique concerne le stockage même des données. On se souvient que l’année dernière, Microsoft s’était opposée à la décision d’un juge qui avait ordonné à la firme de remettre aux forces de l’ordre des informations au sujet d’un trafiquant de drogues. Problème, les précieuses données se trouvaient sur un serveur en Irlande. Pour la justice, cela ne faisait aucune différence, puisque Microsoft était une entreprise américaine. Mais cette dernière n’était pas d’accord : il fallait composer avec le droit irlandais et établir un pont.
Microsoft dépose donc plainte contre le département de la Justice, afin que cesse une pratique considérée comme abusive. Brad Smith précise d’emblée que le but n’est pas de faire renoncer le gouvernement au secret de manière absolue, mais simplement d’en faire « une exception, pas une règle ». Il explique : « Bien que la plainte d’aujourd’hui soit importante, nous pensons qu’il existe une opportunité pour le département de la Justice d’adopter une nouvelle politique qui poserait des limites raisonnables à l’utilisation de ces ordonnances secrètes. Le Congrès a également un rôle à jouer dans la création et la validation de solutions qui puissent à la fois protéger les droits des gens et répondre aux besoins des forces de l’ordre. Si le DoJ n’agit pas, alors nous espérons que le Congrès amendera l’Electronic Communications Privacy Act pour y intégrer des limites raisonnables. En fait, les clauses secrètes de l’ECPA aujourd’hui vont plus loin que les autres lois qui contiennent des limitations claires […] ».
Une armure de chevalier blanc
Même si le choc qui se prépare est différent de ce qui a opposé Apple au FBI, le fondement est le même : le flou autour du curseur qui se balade entre le respect de la vie privée et la sécurité. Cela étant, il est évident que Microsoft prépare son armada d’avocats pour la bataille en approche. Le procès qui va suivre va en effet attirer de nombreux regards, ce qui – exactement comme pour Apple – pourrait avoir un impact majeur sur l’image de l’entreprise.
La plainte n’ayant été déposée qu’en fin de semaine dernière, il est trop tôt pour parler d’un calendrier, qui risque de s’étaler sur de nombreux mois, voire plusieurs années. Il sera également intéressant d’observer les réactions des autres entreprises, qui pourraient participer à la procédure sous la forme d’amicus curiae, c’est-à-dire des avis remis à la cour pour éclairer le juge sur une situation particulière. Rappelons que ces documents peuvent ou non être pris en compte et qu’ils n’ont pas d’autre valeur que consultative.
