Microsoft a de quoi se réjouir. La Cour suprême américaine s’est emparée d’un dossier qui oppose l’entreprise au département de la Justice, au sujet d’emails stockés en Irlande. Or, la plus haute instance des États-Unis a été inondée ces derniers jours d’amicus curiae émanant de très nombreux acteurs et pays.
Pour comprendre l’affaire, résumons-la rapidement. Dans le cadre d’une enquête pour trafic de drogue, la justice américaine a demandé à Microsoft de lui remettre des emails. Problème, ces emails sont « physiquement » stockés sur des serveurs en Irlande.
Deux visions s’affrontent. Armée du Stored Communications Act (1986), la justice estime que Microsoft étant une entreprise américaine, elle est en mesure de lui remettre des données qu’elle héberge, peu importe l’emplacement des serveurs. Pas d’accord, répond Microsoft : utiliser un mandat de recherche américain pour fouiller un serveur en Irlande reviendrait à fouiller un domicile dans un autre pays.
Depuis fin 2013 que ce combat a commencé, Microsoft n’a de cesse de répéter que la coopération internationale juridique est essentielle. L’entreprise ne s’oppose pas à la remise des emails, mais que la justice américaine se mette en relation avec celle d’Irlande pour convenir des modalités.
La firme craint un imbroglio juridique, avec en filigrane une problématique encore plus vaste : la confiance dans le stockage des données. Avec la reconduction récente de la loi FISAA et l’activation prochaine des règlements européens de protection de la vie privée (RGPD et ePrivacy), l’affaire prend plus que jamais un tournant international.
Une pluie d’avis
Comme s’en félicite aujourd’hui Microsoft, la Cour suprême – qui a fini par s'emparer du sujet mi-octobre – a reçu de très nombreux amicus curiae. Dans le système américain, il s’agit d’avis argumentés que des acteurs divers (entreprises, associations…) peuvent remettre à un tribunal pour apporter une aide juridique ou technique sur un thème précis. La pratique est très courante, et même si la Cour n’a aucune obligation d’en tenir compte, ils représentent de vastes courants d’influence.
Dans le cas présent, 288 organisations diverses réparties dans 37 pays se sont réunies autour de 23 amicus apportant tous leur soutien à l’une des deux visions : celle de l’entreprise. Des membres du Congrès, le Parlement européen, la Commission européenne, la Chambre américaine du commerce, l’ACLU (American Civil Liberties Union), l'Electronic Frontier Foundation, les universités de Berkeley, Stanford ou Harvard et même de grands groupes médias comme Fox News vont en ce sens.
La société de Redmond rappelle en outre le problème de confiance qui se poserait si le verdict de la Cour suprême devait lui être défavorable : « Actuellement, les entreprises américaines sont leaders dans le domaine des services de cloud. Cette position se base sur la confiance. Mais si le gouvernement américain peut affirmer une telle puissance unilatérale […], les pays et clients étrangers remettront en cause leur capacité à faire confiance aux entreprises américaines ».
Le message de Microsoft est clair : avec l’érosion de la confiance viendrait immanquablement celle du chiffre d’affaires, menaçant alors les emplois.
La France s’est largement exprimée
Le communiqué de l’entreprise cite expressément le cas de la France. Et pour cause : dans l’Hexagone, nombreux sont les acteurs à s’être exprimés en faveur d’une stricte limitation des mandats de recherche aux frontières respectives des pays concernés. En d’autres termes, si la justice américaine veut fouiller un serveur en Irlande, elle doit obtenir un mandat irlandais. Sans quoi le risque de choc juridique serait trop important.
La position française est plus que claire. Le 4 janvier déjà, elle indiquait se ranger fermement aux côtés de la Commission européenne. Et pour cause : l’affaire Microsoft est directement liée au RGPD et à ePrivacy, autrement dit le cadre de protection des données européennes.
Dans l’Hexagone, Tech in France et Syntec Numérique se sont notamment joints à Bitkom, DigitalEurope et d’autres structures européennes pour exprimer le même point de vue : les questions de données privées doivent être réglées par des arrangements multilatéraux. En page 11, ces acteurs expliquent en outre – encore une fois – que si la position du gouvernement américain devait dominer, il y aurait conflit direct avec le RGPD.
D’autres acteurs français sont présents dans les amicus, même si leurs noms n’apparaissent pas nécessairement dans la liste principale. Par exemple, la Quadrature du Net, Renaissance Numérique et les Exégètes amateurs ont rejoint Privacy International. Les vues exprimées sont les mêmes que précédemment, avec là encore un appel à la coopération internationale.
Confrontés à la délicate question du périmètre juridique du cloud, tous l’affirment : le Storage Communications Act n’a jamais été pensé pour aller piocher des données stockées à l’étranger. La nationalité d’une entreprise ne peut donc en aucun cas être un facteur suffisant.
Pour l’instant, difficile de savoir dans quelle direction penchera le cœur de la Cour suprême. Quelle que soit sa décision, elle établira une puissante jurisprudence. On ne sait pas non plus quand elle rendra son avis.
En attendant, ceux qui souhaitent en savoir davantage sur les motivations des uns et des autres peuvent consulter la liste des amicus curiae sur le site de la Cour suprême. Les acteurs français sont tous réunis dans les documents datant du 18 janvier (19 en tout).
