La Cour suprême américaine se penchera finalement sur le dossier Microsoft dans la bataille autour des emails stockés en Irlande par l'éditeur de Redmond. Cette décision, attendue de longue date, souligne les enjeux du périmètre juridique du cloud.
Depuis 2014, Microsoft est engagé dans une longue bataille dans les tribunaux. La justice américaine réclame de l’éditeur des emails stockés dans un centre de données situé en Irlande. Elle estime que puisque les données sont gérées par un service américain, elles héritent de cette nationalité. Microsoft rétorque qu’un mandat ne saurait dépasser les frontières de son propre pays.
La requête pouvant initialement paraître simple, mais il est vite apparu qu’elle dessinait en filigrane le périmètre juridique du cloud. Deux visions très nettes s’affrontent, et il est impossible ici de ménager la chèvre et le chou. La Cour suprême, plus haute juridiction des États-Unis, était donc attendue au tournant pour établir une puissante jurisprudence.
Le tribunal de New York, seul contre tous
Lorsque le FBI s’est appuyé sur un classique mandat de recherche pour obtenir des informations dans une affaire de trafic de drogue, Microsoft s’est braquée. Pour la société de Redmond, un tel mandat ne peut pas être appliqué dans un pays étranger : un datacenter n’est pas une ambassade, et la structure se trouve physiquement en Irlande.
Que demandait Microsoft ? Que le FBI se mette tout simplement en relation avec la justice nationale étrangère, ici irlandaise, pour organiser et valider des deux côtés l’extraction des données, en évitant du coup tout imbroglio juridique international.
Le ministère de la Justice (DoJ) ne l’entendait pas de cette oreille : seule la nationalité de l’entreprise importe, les données n’ayant pas d’emplacement physique. Elles restent dans le giron de Microsoft et les questions de frontières sont hors de propos.
Cette demande du ministère a été combattue par Microsoft dans un tribunal fédéral de New York. Après avoir perdu en première instance, l’entreprise, largement soutenue par des entreprises et associations, a finalement gagné en appel. Or, si cette cour a donné raison à Microsoft, les autres tribunaux ont eu un avis inverse, et Google – qui se battait également contre de telles demandes - en a fait les frais plusieurs fois. À tel point que le géant de la recherche a fini par renoncer à ces batailles juridiques dans les États qui lui donnaient systématiquement tort. Seule la zone de New York penche donc du côté des entreprises.
Un socle juridique devenu inadapté
Dans ce type d’affaire, les mandats de recherche se basent sur le Stored Communications Act de 1986, lui-même une partie de l’Electronic Communications Privacy Act. Or, à aucun moment dans ces textes, le cas des données stockées dans d’autres pays n’a été pris en compte. Et pour cause : difficile à l’époque d’imaginer ce que pouvait être le cloud.
Il semblait de plus en plus évident que la Cour suprême finirait par s’emparer de la question. Dont acte. La question posée à la Cour est simple, mais cruciale : puisque l’application d’une loi fédérale dans d’autres pays n’a clairement pas été anticipée par le Congrès, les données stockées en Irlande sont-elles couvertes par le SCA de 1986 ?
Une interrogation qui illustre une nouvelle fois le choc du numérique avec les cadres juridiques, puisqu’il évolue plus vite que les lois.
Pour Microsoft, c’est au Congrès de s’en occuper
De son côté, l’éditeur se résigne devant la décision. Brad Smith, son directeur juridique, répète de son côté dans un billet de blog que la question nécessite un véritable travail démocratique au Congrès des États-Unis : « Les lois actuelles ont été écrites à l’ère de la disquette, et non pour le monde du cloud ».
Smith revient également sur une thématique qui lui tient à cœur : les données appartiennent à l’utilisateur, pas à l’entreprise. Puisqu’il s’agit de propriété, la demande doit se couler dans le cadre juridique du pays de résidence. Le responsable avait déjà abordé ce trouble autour du mandat, posant l’analogie d’une perquisition dans un domicile irlandais, qui n’aurait jamais été acceptée par les autorités locales.
Par ailleurs, Microsoft rappelle qu’une victoire du ministère de la Justice poserait la question de la réciprocité. Ainsi, puisque les États-Unis peuvent récupérer des données stockées dans un autre pays, ce dernier pourrait-il en faire autant ? La firme évoque des décisions unilatérales, une atteinte directe à la souveraineté des États, une incompatibilité avec le futur RGPD européen et le risque que les efforts autour d’une coopération internationale soient fracassés.
Autre souci, non évoqué par le représentant de Microsoft, un tel dossier pourrait jouer en défaveur du Privacy Shield, cet accord signé avec la Commission européenne qui permet aux entreprises américaines de traiter les données personnelles des européens sur leur sol. Si le DOJ dispose d'un accès mondialisé aux données, cela risque de créer un sérieux déséquilibre avec les droits et obligations existant en Europe. Et donc de menacer potentiellement le Privacy Shield.
Par ailleurs, Microsoft sait désormais que ses activités commerciales sont soumises à un risque de défiance selon le sens de la décision de la haute juridiction.
La Cour suprême tient dans tous les cas entre ses mains un dossier brûlant. Notez qu’il ne s’agit pour l’instant que de la décision visant à ouvrir l'examen de cette affaire. Celle définitive n’arrivera que dans plusieurs mois. Très rapidement, plusieurs entités, dont des États étrangers, pourront désormais intervenir par la voie des amicus curiae. Il sera du coup intéressant de savoir ce que fera en particulier la France, ou des entités comme la CNIL.
