Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Le FBI, Microsoft et la protection des données : interview de Me Jean-Sébastien Mariez

Un amicus curiae de la France ?
Droit 6 min
Le FBI, Microsoft et la protection des données : interview de Me Jean-Sébastien Mariez
Crédits : hundreddays/iStock

La Cour suprême américaine a pris sous la main le dossier opposant Microsoft au ministère de la Justice. Question fondamentale : le FBI peut-il, comme il le prétend, accéder à des emails stockés en Irlande par l'éditeur de Redmond ? Pour évoquer cette affaire, nous avons  interviewé Me Jean-Sébastien Mariez.

L’avocat Jean-Sébastien Mariez est spécialisé dans les domaines des nouvelles technologies. Il a participé dans le passé à plusieurs dossiers en défense de grandes entreprises, notamment Microsoft. Il a bien voulu répondre à titre personnel aux problématiques soulevées par ce bras de fer américain, sous l’angle de la jurisprudence de la Cour de justice de l’Union européenne et des principes de souveraineté.

Quel est le contexte de cette procédure devant la Cour suprême ?

Nous sommes dans une procédure pénale en matière de stupéfiants débutée en 2014. Le FBI a fait une réquisition de données de contenus, en l’occurrence des emails, à l’encontre de Microsoft. Les termes du débat sont les suivants : Microsoft soutient que pour obtenir des données situées en dehors du territoire américain, le FBI n’a pas d’autres choix de passer que par des instruments légaux comme les traités d'assistance judiciaire mutuelle (ou Mutual legal assistance treaty, MLAT, ndlr).

Si Microsoft évoque la coopération internationale, le gouvernement américain estime que ce n’est pas nécessaire. En pratique, il considère avoir le pouvoir de solliciter de manière unilatérale l’exercice de prérogative extraterritoriale sur des données situées en Europe, en l’occurrence en Irlande.

Au stade de la cour d’appel, au circuit de New York, l’éditeur l’a emporté face au gouvernement américain. Le dossier est maintenant dans les mains de la Cour suprême.

Y a-t-il eu des précédents ?

Les analogies sont toujours délicates, mais on peut dresser un parallèle avec deux affaires déjà jugées par la Cour de cassation en France s’agissant de Google Inc. et son homologue belge pour Yahoo. À chaque fois, le raisonnement a été le même : les actes d’enquêtes sont des actes domestiques, sans effet hors du territoire. Dans l’affaire française de novembre 2013, la Cour de cassation a par exemple considéré que les OPJ ont toujours la possibilité de demander directement à une partie privée étrangère des données, pour autant qu’il n’y ait pas de recours à des moyens coercitifs.  

Aux États-Unis, la question est désormais de savoir si le texte sur lequel se fondent les autorités a une vocation extraterritoriale…ou pas. Le FBI estime que ces opérations sont des actes d’enquêtes domestiques qui n’exigent pas de coopérations internationales. Il n’y aurait donc pas d’ingérence dans la vie privée hors du territoire américain puisque lorsque les agents ouvriront les paquets de données, ils seront sur le territoire américain. 

La question n’est finalement pas propre au droit américain mais soulève la problématique d’une coopération judiciaire efficace en raccord avec le cadre des droits fondamentaux. 

C’est aussi une problématique du respect de la juridiction de chaque État…

Il y a trois difficultés au regard des intérêts croisés des citoyens européens, des fournisseurs de services et des États. Ce qui saute aux yeux, c’est le conflit de loi. Un fournisseur de service aura un choix assez cornélien s’il est établi dans un État qui lui interdit de répondre à la réquisition d’un État tiers mais que celui-ci l’enjoint de lui transmettre des données sous peine de sanctions.

Un tel acteur serait en porte à faux avec les autorités de contrôles comme la CNIL, au regard de la protection des données personnelles et demain du Règlement général de protection des données (RGPD), mais aussi vis-à-vis de ses clients qui ont très à cœur que leur vie privée soit protégée. S’il y a transfert vers les États-Unis suite à un acte unilatéral des autorités américaines, il n’y a aucune garantie que les conditions de fond et de procédure requises par le droit de l’UE soient respectées.

Du coup, est-ce que cette affaire peut rejaillir sur le Privacy Shield ?

D’une façon ou d’une autre, oui. Le Privacy Shield est un instrument juridique du droit de l’Union. Si la Cour suprême donne finalement raison au gouvernement américain, cette décision ne va pas réserver le cas de cet accord passé avec la Commission européenne. Il y aura accès, point, et le droit de l’Union européenne n’est pas pris en considération à ce stade.

Voilà pourquoi il y aurait intérêt à ce que des États membres se lancent dans un amicus curiae (une intervention volontaire dans ce procès pour défendre un point de vue, ndlr). Celui de l’Irlande est d’ailleurs très clair lorsqu’il soulève la problématique de souveraineté de ce dossier américain. 

Un État, ici l’Irlande, détermine en pleine souveraineté les conditions procédurales à remplir pour qu’un prestataire de service internet puisse être autorisé à communiquer des données. Voilà maintenant une décision de la Cour suprême qui risque d’opter pour une décision sans considération de ces règles-là.  

Ces questions concernent également la réciprocité. À la lecture de cet article du Monde, on a l’impression que certains au gouvernement français pensent que cet accès pourra se faire sous réserve de réciprocité. Mais ce critère n’est pas plus intégré à la position soutenue dans les écritures du ministère de la Justice américain. D’ailleurs la loi empêche la réciprocité s’agissant des données de contenus. On essaie de ménager la chèvre et le chou alors que cette réciprocité ne peut avoir lieu qu’encadrée dans le marbre d’une convention internationale. 

Quels liens voyez-vous avec les chantiers européens notamment celui de la preuve numérique ? (e-evidence)

On a encore l’impression, toujours du côté du gouvernement français, que cette procédure américaine ne donnera lieu à aucun conflit avec le droit de l’Union européenne.

Depuis ces dernières années, le législateur européen a subi d’importants revers devant la Cour de justice de l’Union européenne. Il y a eu l’annulation de la directive sur la conservation des données, l’annulation du Safe Harbor et l’arrêt Télé2.

Au fil de ces décisions, la Cour a fixé une sorte de boite à outils, une grille de lecture des exigences relatives à la garantie des droits « by design », censées êtes prises en compte par le législateur européen dans tous les instruments en cours d’élaboration. En 2017, le Contrôleur européen à la protection des données a d’ailleurs diffusé un guide pour rappeler ces impératifs à l’attention des autorités.

Sur le projet « e-evidence », lorsqu’on regarde la consultation ouverte par la Commission jusqu’au 27 octobre, les questions posées donnent le sentiment que la Commission se demande si on doit se conformer à ces lignes directrices, notamment s’agissant du cadre procédural relatif à l’accès des données d’un État A vers un État B. 

Particulièrement, la Commission veut savoir si cet accès doit être limité à une liste d’infractions bien déterminées… ce qui est frappant est qu’il s’agit là d’impératifs issus du droit de l’Union et de la jurisprudence de la Cour de justice !

On se retrouve ici avec un cas identique, celui d’une autorité d’un État qui demande à un fournisseur de service en ligne de transférer des données, sans passer par son homologue étranger. Selon moi, les exigences de la Cour européenne devraient pousser les États membres sur la voie d’un amicus curiae afin de faire valoir que sans ces garanties, un accès, qu’il soit demandé outre-Atlantique ou intra-européen, ne peut pas fonctionner.

Nous sommes aujourd’hui dans une ère post-Snowden avec des instruments juridiques annulés par la Cour de justice, ce n’est pas rien ! Malgré ces rappels à l’ordre, des États membres et la Commission européenne visiblement n’en tirent pas les leçons, y compris au regard de l’opinion publique. 

Merci Jean-Sébastien Mariez.

40 commentaires
Avatar de Ami-Kuns INpactien
Avatar de Ami-KunsAmi-Kuns- 18/10/17 à 08:31:19

Me demande si les USA accepterons la réciprocité.:transpi: J'y crois peu personnellement.

Avatar de bloossom Abonné
Avatar de bloossombloossom- 18/10/17 à 08:37:08

Merci pour cet article passionnant!

On a vraiment l'impression que l'UE marche sur des oeufs: Elle devrait s'insurger et dénoncer le risque d'ingérence grossière dans le système judiciaire d'un de ses Etats membres, mais en même temps elle attend que les USA établissent un précédent lui permettant de justifier l'instauration d'un système pareil.

J'ose espérer que si la cour suprême des Etats-Unis se range du côté du FBI, il s'agira du dernier clou dans le cercueil du "privacy shield", mais quand on voit le peu de cas qu'ils ont fait de la décision précédente de la CJUE, j'en doute.

Avatar de fred42 INpactien
Avatar de fred42fred42- 18/10/17 à 08:49:00

bloossom a écrit :

J'ose espérer que si la cour suprême des Etats-Unis se range du côté du FBI, il s'agira du dernier clou dans le cercueil du "privacy shield", mais quand on voit le peu de cas qu'ils ont fait de la décision précédente de la CJUE, j'en doute.

Pourquoi parler du privacy shield qui s'applique à des données de ressortissants européens transférées sur le sol des USA ?

Ici, il s'agit de données sur le sol irlandais pour lesquels le privacy shield ne s'applique pas de toute façon.
Je ne pense pas que des données transférées par la contrainte légale aux USA rentrent dans le cadre du privacy shield.

Si la cour suprême décide en faveur du FBI, il faudra interdire aux sociétés sous juridiction des USA de gérer et stocker des données en Europe. Ce sera le seul bouclier permettant le respect du droit Européen.

J'avais déjà tiqué quand il a été cité dans l'interview

Avatar de Liara T'soni INpactien
Avatar de Liara T'soniLiara T'soni- 18/10/17 à 08:53:16

Les autorités peuvent toujours passer par la voie traditionnelle, et contacter un courtier de données partenaires de MS :windu::troll:

Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 18/10/17 à 08:54:20

Ami-Kuns a écrit :

Me demande si les USA accepterons la réciprocité.:transpi: J'y crois peu personnellement.

quand bien même (et avec les mêmes réserves que toi sur l'acceptabilité du truc outre-Atlantique) ça créerait une brèche plutôt béante dans le droit international : donner à une juridiction étrangère les mêmes pouvoirs que ceux dont elle dispose sur son propre sol...

Avatar de Soriatane Abonné
Avatar de SoriataneSoriatane- 18/10/17 à 09:06:27

Le soucis est que l'Europe est devenu très dépendante militairement des USA. On parle de l'Europe de la Défense mais surtout pour le renseignement.
Les document de Mr SNOWDEN ont bien montré cette dépendance.
Et les ministères européen de l'intérieur a cause de cette dépendance ont un avis biaisé sur le numérique.

Et on se retrouve avec des gouvernements/législateurs européen qui ont des avis en total opposition avec la CJUE qui a pourtant bien développé son raisonnement.

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 18/10/17 à 09:08:17

Soriatane a écrit :

Et on se retrouve avec des gouvernements/législateurs européen qui ont des avis en total opposition avec la CJUE qui a pourtant bien développé son raisonnement.

En ce moment les gouvernements et parlements font tout pour limiter le pouvoir du judiciaire (terrorisme, terrorisme, terrorisme)
Pays individuels ou UE, même combat

Avatar de bloossom Abonné
Avatar de bloossombloossom- 18/10/17 à 09:08:50

parce que le privacy shield est la reconnaissance, par la Commission, que le système juridique US offre une protection suffisante aux standards européens, permettant ainsi aux responsables du traitement de transférer des données aux Etats-Unis sans autre procédure ou autorisation.

L'accès de l'Etat aux données stockées fait partie des critères que la Commission doit examiner. C'était par ailleurs un des points de friction lors des négociations, les USA ne voulant rien savoir par rapport à leur programme de surveillance (violant pourtant les principes de protection des données des citoyens européens).

Ici, on parle d'une extension considérable de la capacité de l'Etat à accéder à des données personnelles de citoyens européens potentiels. Il est donc normal que cette mesure soit prise en compte lors de l'établissement d'une décision d'adéquation. Le lien est indirect avec le privacy shield

Par ailleurs, le privacy shield est déjà contesté parce qu'il ne semble pas réparer les défauts de son prédécesseur. On peut donc légitimement se demander quel sera le futur de cet accord.

Plus politiquement, en cas de décision de la cour suprême favorable au FBI, on assisterait à une modification considérable du rapport de force entre l'UE et les USA en ce qui concerne les données personnelles, ce qui pourrait mener l'UE à prendre des mesures plus strictes vis à vis des collecteurs, ou les USA à considérer le privacy shield comme vide de sens (comme tu le dis toi même). Indirectement, cette décision challenge l'existence même de cet accord (pour le mieux ou le pire)

Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 18/10/17 à 09:09:39

Soriatane a écrit :

On parle de l'Europe de la Défense mais surtout pour le renseignement dire qu'on verra plus tard parce que ça coûte des rond et qu'on a pô l'sou.

:windu:

Avatar de 2show7 INpactien
Avatar de 2show72show7- 18/10/17 à 09:16:54

@ Liara t'soni
Et passer par un courtier de l'ombre, c'est illégal :mdr:

Édité par 2show7 le 18/10/2017 à 09:18
Il n'est plus possible de commenter cette actualité.
Page 1 / 4