Microsoft vient d’abandonner une action contre le ministère américain de la Justice (DoJ). L’entreprise luttait contre les gag orders, c’est-à-dire le silence imposé sur certaines requêtes de données. Pour Brad Smith, le directeur juridique, la situation évolue dans le bon sens, mais le Congrès doit se pencher sur ces questions.
Le secret des requêtes peut être imposé par une agence fédérale, telle que le FBI, quand elle fait une demande d’informations à une entreprise américaine. Cet élément du processus judiciaire s’applique aussi bien aux données des citoyens américains que celles des étrangers. Il n’est donc pas spécifique à la fameuse Section 702 de la loi FISA (Foreign Intelligence Surveillance Act), particulièrement mise en lumière dans le sillage d’Edward Snowden.
Ces gag orders sont émis quand les agences estiment que le seul fait d’avertir une personne (morale ou physique) suffirait à mettre en danger l’enquête. Microsoft estime toutefois qu’ils violent le Quatrième amendement de la constitution américaine, qui permet à toute personne d’être informée quand le gouvernement cherche ou saisit ce qui lui appartient. Le sacrosaint Premier amendement, sur la liberté d’expression, serait lui aussi égratigné.
Une plainte avait donc été déposée en avril 2016, l’entreprise étant soutenue par de nombreux acteurs via les classiques amicus curiae, des avis remis au tribunal par des tiers.
Microsoft s’estime satisfaite des changements
Dans un nouveau billet de blog, Brad Smith annonce que la plainte a été retirée. Combat trop intense ? Non, le DoJ a simplement accepté de revoir ses pratiques.
Pour le directeur juridique, il s’agit clairement d’une victoire : « Aujourd’hui marque une autre étape importante dans l’assurance que la vie privée des personnes est protégée quand elles stockent leurs informations personnelles dans le cloud ».
Le ministère de la Justice a accepté de revoir ses règles en la matière. Le plus important changement est une nouvelle politique limitant l’utilisation des gag orders. Elle passe par deux axes : réduction du nombre de mises sous silence et réduction des périodes imposées. Car le vrai problème des gag orders étaient qu’ils étaient de plus en plus accompagnés d’une durée indéfinie. En d’autres termes, la société concernée ne pouvait jamais prévenir son client.
Une chape de plomb moins épaisse
Il ne peut s’agir que d’un soulagement pour Microsoft. Non seulement la firme obtient ce qu’elle veut au bénéfice des grandes entreprises du cloud, mais elle peut également concentrer ses forces sur l’autre grand combat du moment : le périmètre juridique du cloud. Rappelons que la Cour suprême, plus haute juridiction du pays, s’est emparée de la question.
Les deux affaires sont d’ailleurs liées selon Brad Smith. Selon lui, les modifications apportées par le DoJ ne sont qu’une première étape, et il ne peut s’empêcher de relancer une idée répétée bien souvent : le Congrès doit réviser la loi Electronic Communications Privacy Act (ECPA) qui délimite la manière dont les données sont récupérées par les forces de l’ordre (au sens large).
Microsoft souhaite en fait qu’il soit inscrit dans cette loi un certain nombre d’éléments qui dépendent aujourd’hui de règles édictées par certains acteurs. Datant de 1986, l’entreprise la juge aujourd’hui totalement inadaptée, notamment pour les mandats de recherche appliqués au cloud. Elle espère donc que des « limites raisonnables » seront inscrites noir sur blanc dans un amendement, et soutient d’ailleurs un projet bipartisan allant dans ce sens.
Une portée difficile à évaluer
Depuis les premières révélations de Snowden, la vie privée et la sécurité des échanges ont été au cœur de nombreux débats. Si quelques changements peuvent laisser penser que la situation « s’améliore » – comme le Freedom Act de l’administration Obama – elle évolue finalement assez peu dans le fond.
On imagine assez mal les États-Unis renoncer à leur appareil de guerre quand il est question des données personnelles. L’explosion du cloud pose cependant de nombreuses questions, tant les informations stockées en ligne peuvent s’avérer une manne dans les enquêtes.
Il n’est d’ailleurs pas difficile de connaître la position du gouvernement américain sur la question. Quand le directeur du FBI, Christopher Wray, évoque presque 7 000 appareils mobiles illisibles au cours des onze derniers mois, c’est bien pour pointer un doigt accusateur sur le chiffrement. Dans la bataille de Microsoft sur les emails stockés en Irlande, et malgré la victoire de New York, tous les autres tribunaux fédéraux ont estimé qu’un mandat américain s’appliquait même si les données étaient stockées dans un autre pays. Il suffit que la société soit américaine.
Ces combats ne sont cependant pas lancés (uniquement) par bonté d’âme. Ils ont un coût que l’on peut apparenter aussi à un budget communication. L’image des grandes entreprises américaines a pâti du passage d’Edward Snowden, et beaucoup s’érigent désormais en chantres de la vie privée. Tout en continuant, pour la plupart, d’exploiter des montagnes de données personnelles pour leur services, à des fins publicitaires notamment.
