Skype est désormais sous le coup d’une enquête ouverte au Luxembourg pour sa gestion des données personnelles. Microsoft, qui a racheté l’entreprise en 2011, est accusée d’avoir manqué de transparence et risque des sanctions autant pénales qu’administratives.
Crédits : Mark Turnauckas, licence Creative Commons
Skype, de l'entreprise suédoise au service clé dans la stratégie de Microsoft
Skype est une entreprise qui fête cette année ses dix ans. Elle a été fondée principalement par Niklas Zennström, avec l’aide d’un autre Suédois, Janus Friis. Le client de communication VoIP a cependant été développé par la même équipe de trois développeurs estoniens qui étaient déjà derrière le célèbre KaZaA (partage de données en P2P). Deux rachats massifs vont transformer la vie de l’application : celui par eBay pour 2,6 milliards de dollars en 2005, et celui par Microsoft pour 8,5 milliards de dollars, annoncé en août 2011 et finalisé en octobre de la même année.
Or, c’est précisément Microsoft qui est désormais sous les feux des projecteurs. La sécurité des communications sur Skype a déjà fait l’objet de doutes, et elle a même été pointée du doigt par un regroupement d’associations et de journalistes en janvier dernier. Mais la couverture par les médias a pris un tout autre tournant depuis l’éclatement du scandale Prism, le système américain de surveillance des données de la NSA. Or, Skype détient aujourd’hui un rôle clé dans la stratégie de Microsoft, et les grandes entreprises américaines du cloud sont accusées d’être liées à la NSA, en fournissant régulièrement des données selon un mode plus ou moins automatique.
La plainte du Luxembourg
En juillet dernier, Microsoft se retrouve face à des attaques virulentes à la suite de la publication de documents dérobés par le lanceur d’alertes Edward Snowden. Dans ces derniers, il apparaissait que Microsoft avait mis en place des mécanismes spécifiques pour Skype et Outlook.com en particulier afin que la NSA puisse piocher dans les données qui circulaient. En particulier, cette récupération pouvait s’effectuer avant même la transmission d’un message à un contact, avant donc que le chiffrement des données n’intervienne. Une information qui faisait écho à d’autres documents qui révélaient, eux, que la NSA cherchait autant que possible à éviter le chiffrement lors des transmissions, soit en récupérant les données avant, soit en ayant la clé. Microsoft s'était évidemment défendue de telles actions.
C’est dans ce contexte que le Luxembourg a décidé d’ouvrir une enquête sur le client VoIP. Gerard Lommel, responsable de la protection des données dans le pays, a déposé la plainte à une date inconnue, mais The Guardian estime qu’elle a vraisemblablement fait suite aux révélations de juillet dernier. Interrogé par le journal anglais, le Lommel n’a d’ailleurs pas souhaité commenter outre-mesure la situation, indiquant simplement que l’enquête était en cours.
L'enjeu
Le Luxembourg a beau être un petit pays, l’enquête est significative, principalement pour deux raisons. D’une part, la constitution du Luxembourg garantit le droit et le respect de la vie privée. Elle sanctuarise le secret des correspondances, à moins qu’une loi spécifique n’indique le contraire. De même, aucune surveillance des citoyens ne peut être mise en place à moins qu’un juge n’en autorise expressément les forces de l’ordre. D’autre part, le Luxembourg est un pays emblématique, car les sièges de nombreuses entreprises y sont installés pour profiter de son système fiscal avantageux. C’est notamment le cas de Skype, qui y garde son quartier général, même depuis le rachat par Microsoft.
Le Guardian toutefois jette les bases d’une autre hypothèse : celle d’un accord secret entre le Luxembourg et la NSA. Un tel accord aurait pu prendre place entre le pays et l’agence sans même que le commissaire à la protection des données, Gerard Lommel, ne soit mis au courant. Pour le journal anglais, l’enquête revêt donc plusieurs formes et pourrait déboucher sur un certain nombre de révélations.
Il faut souligner en outre un aspect important de cette plainte. Bien que le Luxembourg soit un petit pays, il pourrait donner le signal que de telles plaintes sont possibles. C’est notamment le cas en Europe dont les relations avec les États-Unis se sont tendues suite aux multiples informations publiées par le Guardian, le Wahsington Post, le New York Times et Der Spiegel sur Prism et l’ensemble du système américain de surveillance. À ce sujet, nous avons d’ailleurs contacté la CNIL (Commission Nationale de l'Informatique et des Libertés), qui doit revenir vers nous dans la journée pour nous communiquer sa réaction.
