La Cour suprême américaine a pris sous la main le dossier opposant Microsoft au ministère de la Justice. Question fondamentale : le FBI peut-il, comme il le prétend, accéder à des emails stockés en Irlande par l'éditeur de Redmond ? Pour évoquer cette affaire, nous avons interviewé Me Jean-Sébastien Mariez.
L’avocat Jean-Sébastien Mariez est spécialisé dans les domaines des nouvelles technologies. Il a participé dans le passé à plusieurs dossiers en défense de grandes entreprises, notamment Microsoft. Il a bien voulu répondre à titre personnel aux problématiques soulevées par ce bras de fer américain, sous l’angle de la jurisprudence de la Cour de justice de l’Union européenne et des principes de souveraineté.
Quel est le contexte de cette procédure devant la Cour suprême ?
Nous sommes dans une procédure pénale en matière de stupéfiants débutée en 2014. Le FBI a fait une réquisition de données de contenus, en l’occurrence des emails, à l’encontre de Microsoft. Les termes du débat sont les suivants : Microsoft soutient que pour obtenir des données situées en dehors du territoire américain, le FBI n’a pas d’autres choix de passer que par des instruments légaux comme les traités d'assistance judiciaire mutuelle (ou Mutual legal assistance treaty, MLAT, ndlr).
Si Microsoft évoque la coopération internationale, le gouvernement américain estime que ce n’est pas nécessaire. En pratique, il considère avoir le pouvoir de solliciter de manière unilatérale l’exercice de prérogative extraterritoriale sur des données situées en Europe, en l’occurrence en Irlande.
Au stade de la cour d’appel, au circuit de New York, l’éditeur l’a emporté face au gouvernement américain. Le dossier est maintenant dans les mains de la Cour suprême.
Y a-t-il eu des précédents ?
Les analogies sont toujours délicates, mais on peut dresser un parallèle avec deux affaires déjà jugées par la Cour de cassation en France s’agissant de Google Inc. et son homologue belge pour Yahoo. À chaque fois, le raisonnement a été le même : les actes d’enquêtes sont des actes domestiques, sans effet hors du territoire. Dans l’affaire française de novembre 2013, la Cour de cassation a par exemple considéré que les OPJ ont toujours la possibilité de demander directement à une partie privée étrangère des données, pour autant qu’il n’y ait pas de recours à des moyens coercitifs.
Aux États-Unis, la question est désormais de savoir si le texte sur lequel se fondent les autorités a une vocation extraterritoriale…ou pas. Le FBI estime que ces opérations sont des actes d’enquêtes domestiques qui n’exigent pas de coopérations internationales. Il n’y aurait donc pas d’ingérence dans la vie privée hors du territoire américain puisque lorsque les agents ouvriront les paquets de données, ils seront sur le territoire américain.
La question n’est finalement pas propre au droit américain mais soulève la problématique d’une coopération judiciaire efficace en raccord avec le cadre des droits fondamentaux.
C’est aussi une problématique du respect de la juridiction de chaque État…
Il y a trois difficultés au regard des intérêts croisés des citoyens européens, des fournisseurs de services et des États. Ce qui saute aux yeux, c’est le conflit de loi. Un fournisseur de service aura un choix assez cornélien s’il est établi dans un État qui lui interdit de répondre à la réquisition d’un État tiers mais que celui-ci l’enjoint de lui transmettre des données sous peine de sanctions.
Un tel acteur serait en porte à faux avec les autorités de contrôles comme la CNIL, au regard de la protection des données personnelles et demain du Règlement général de protection des données (RGPD), mais aussi vis-à-vis de ses clients qui ont très à cœur que leur vie privée soit protégée. S’il y a transfert vers les États-Unis suite à un acte unilatéral des autorités américaines, il n’y a aucune garantie que les conditions de fond et de procédure requises par le droit de l’UE soient respectées.
Du coup, est-ce que cette affaire peut rejaillir sur le Privacy Shield ?
D’une façon ou d’une autre, oui. Le Privacy Shield est un instrument juridique du droit de l’Union. Si la Cour suprême donne finalement raison au gouvernement américain, cette décision ne va pas réserver le cas de cet accord passé avec la Commission européenne. Il y aura accès, point, et le droit de l’Union européenne n’est pas pris en considération à ce stade.
Voilà pourquoi il y aurait intérêt à ce que des États membres se lancent dans un amicus curiae (une intervention volontaire dans ce procès pour défendre un point de vue, ndlr). Celui de l’Irlande est d’ailleurs très clair lorsqu’il soulève la problématique de souveraineté de ce dossier américain.
Un État, ici l’Irlande, détermine en pleine souveraineté les conditions procédurales à remplir pour qu’un prestataire de service internet puisse être autorisé à communiquer des données. Voilà maintenant une décision de la Cour suprême qui risque d’opter pour une décision sans considération de ces règles-là.
Ces questions concernent également la réciprocité. À la lecture de cet article du Monde, on a l’impression que certains au gouvernement français pensent que cet accès pourra se faire sous réserve de réciprocité. Mais ce critère n’est pas plus intégré à la position soutenue dans les écritures du ministère de la Justice américain. D’ailleurs la loi empêche la réciprocité s’agissant des données de contenus. On essaie de ménager la chèvre et le chou alors que cette réciprocité ne peut avoir lieu qu’encadrée dans le marbre d’une convention internationale.
Quels liens voyez-vous avec les chantiers européens notamment celui de la preuve numérique ? (e-evidence)
On a encore l’impression, toujours du côté du gouvernement français, que cette procédure américaine ne donnera lieu à aucun conflit avec le droit de l’Union européenne.
Depuis ces dernières années, le législateur européen a subi d’importants revers devant la Cour de justice de l’Union européenne. Il y a eu l’annulation de la directive sur la conservation des données, l’annulation du Safe Harbor et l’arrêt Télé2.
Au fil de ces décisions, la Cour a fixé une sorte de boite à outils, une grille de lecture des exigences relatives à la garantie des droits « by design », censées êtes prises en compte par le législateur européen dans tous les instruments en cours d’élaboration. En 2017, le Contrôleur européen à la protection des données a d’ailleurs diffusé un guide pour rappeler ces impératifs à l’attention des autorités.
Sur le projet « e-evidence », lorsqu’on regarde la consultation ouverte par la Commission jusqu’au 27 octobre, les questions posées donnent le sentiment que la Commission se demande si on doit se conformer à ces lignes directrices, notamment s’agissant du cadre procédural relatif à l’accès des données d’un État A vers un État B.
Particulièrement, la Commission veut savoir si cet accès doit être limité à une liste d’infractions bien déterminées… ce qui est frappant est qu’il s’agit là d’impératifs issus du droit de l’Union et de la jurisprudence de la Cour de justice !
On se retrouve ici avec un cas identique, celui d’une autorité d’un État qui demande à un fournisseur de service en ligne de transférer des données, sans passer par son homologue étranger. Selon moi, les exigences de la Cour européenne devraient pousser les États membres sur la voie d’un amicus curiae afin de faire valoir que sans ces garanties, un accès, qu’il soit demandé outre-Atlantique ou intra-européen, ne peut pas fonctionner.
Nous sommes aujourd’hui dans une ère post-Snowden avec des instruments juridiques annulés par la Cour de justice, ce n’est pas rien ! Malgré ces rappels à l’ordre, des États membres et la Commission européenne visiblement n’en tirent pas les leçons, y compris au regard de l’opinion publique.
Merci Jean-Sébastien Mariez.