La Cour suprême dira si la justice américaine peut accéder aux emails à l’étranger

La Cour suprême dira si la justice américaine peut accéder aux emails à l’étranger

Bande-annonce du season finale

Avatar de l'auteur
Vincent Hermann

Publié dans

Droit

16/10/2017 6 minutes
28

La Cour suprême dira si la justice américaine peut accéder aux emails à l’étranger

La Cour suprême américaine se penchera finalement sur le dossier Microsoft dans la bataille autour des emails stockés en Irlande par l'éditeur de Redmond. Cette décision, attendue de longue date, souligne les enjeux du périmètre juridique du cloud.

Depuis 2014, Microsoft est engagé dans une longue bataille dans les tribunaux. La justice américaine réclame de l’éditeur des emails stockés dans un centre de données situé en Irlande. Elle estime que puisque les données sont gérées par un service américain, elles héritent de cette nationalité.  Microsoft rétorque qu’un mandat ne saurait dépasser les frontières de son propre pays.

La requête pouvant initialement paraître simple, mais il est vite apparu qu’elle dessinait en filigrane le périmètre juridique du cloud. Deux visions très nettes s’affrontent, et il est impossible ici de ménager la chèvre et le chou. La Cour suprême, plus haute juridiction des États-Unis, était donc attendue au tournant pour établir une puissante jurisprudence.

Le tribunal de New York, seul contre tous

Lorsque le FBI s’est appuyé sur un classique mandat de recherche pour obtenir des informations dans une affaire de trafic de drogue, Microsoft s’est braquée. Pour la société de Redmond, un tel mandat ne peut pas être appliqué dans un pays étranger : un datacenter n’est pas une ambassade, et la structure se trouve physiquement en Irlande.

Que demandait Microsoft ? Que le FBI se mette tout simplement en relation avec la justice nationale étrangère, ici irlandaise, pour organiser et valider des deux côtés l’extraction des données, en évitant du coup tout imbroglio juridique international.

Le ministère de la Justice (DoJ) ne l’entendait pas de cette oreille : seule la nationalité de l’entreprise importe, les données n’ayant pas d’emplacement physique. Elles restent dans le giron de Microsoft et les questions de frontières sont hors de propos.

Cette demande du ministère a été combattue par Microsoft dans un tribunal fédéral de New York. Après avoir perdu en première instance, l’entreprise, largement soutenue par des entreprises et associations, a finalement gagné en appel. Or, si cette cour a donné raison à Microsoft, les autres tribunaux ont eu un avis inverse, et Google – qui se battait également contre de telles demandes - en a fait les frais plusieurs fois. À tel point que le géant de la recherche a fini par renoncer à ces batailles juridiques dans les États qui lui donnaient systématiquement tort. Seule la zone de New York penche donc du côté des entreprises.

Un socle juridique devenu inadapté

Dans ce type d’affaire, les mandats de recherche se basent sur le Stored Communications Act de 1986, lui-même une partie de l’Electronic Communications Privacy Act. Or, à aucun moment dans ces textes, le cas des données stockées dans d’autres pays n’a été pris en compte. Et pour cause : difficile à l’époque d’imaginer ce que pouvait être le cloud.

Il semblait de plus en plus évident que la Cour suprême finirait par s’emparer de la question. Dont acte. La question posée à la Cour est simple, mais cruciale : puisque l’application d’une loi fédérale dans d’autres pays n’a clairement pas été anticipée par le Congrès, les données stockées en Irlande sont-elles couvertes par le SCA de 1986 ?

Une interrogation qui illustre une nouvelle fois le choc du numérique avec les cadres juridiques, puisqu’il évolue plus vite que les lois.

Pour Microsoft, c’est au Congrès de s’en occuper

De son côté, l’éditeur se résigne devant la décision. Brad Smith, son directeur juridique, répète de son côté dans un billet de blog que la question nécessite un véritable travail démocratique au Congrès des États-Unis : « Les lois actuelles ont été écrites à l’ère de la disquette, et non pour le monde du cloud ».

Smith revient également sur une thématique qui lui tient à cœur : les données appartiennent à l’utilisateur, pas à l’entreprise. Puisqu’il s’agit de propriété, la demande doit se couler dans le cadre juridique du pays de résidence. Le responsable avait déjà abordé ce trouble autour du mandat, posant l’analogie d’une perquisition dans un domicile irlandais, qui n’aurait jamais été acceptée par les autorités locales.

Par ailleurs, Microsoft rappelle qu’une victoire du ministère de la Justice poserait la question de la réciprocité. Ainsi, puisque les États-Unis peuvent récupérer des données stockées dans un autre pays, ce dernier pourrait-il en faire autant ? La firme évoque des décisions unilatérales, une atteinte directe à la souveraineté des États, une incompatibilité avec le futur RGPD européen et le risque que les efforts autour d’une coopération internationale soient fracassés.

Autre souci, non évoqué par le représentant de Microsoft, un tel dossier pourrait jouer en défaveur du Privacy Shield, cet accord signé avec la Commission européenne qui permet aux entreprises américaines de traiter les données personnelles des européens sur leur sol. Si le DOJ dispose d'un accès mondialisé aux données, cela risque de créer un sérieux déséquilibre avec les droits et obligations existant en Europe. Et donc de menacer potentiellement le Privacy Shield.

Par ailleurs, Microsoft sait désormais que ses activités commerciales sont soumises à un risque de défiance selon le sens de la décision de la haute juridiction. 

La Cour suprême tient dans tous les cas entre ses mains un dossier brûlant. Notez qu’il ne s’agit pour l’instant que de la décision visant à ouvrir l'examen de cette affaire. Celle définitive n’arrivera que dans plusieurs mois. Très rapidement, plusieurs entités, dont des États étrangers, pourront désormais intervenir par la voie des amicus curiae. Il sera du coup intéressant de savoir ce que fera en particulier la France, ou des entités comme la CNIL.

28

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Le tribunal de New York, seul contre tous

Un socle juridique devenu inadapté

Pour Microsoft, c’est au Congrès de s’en occuper

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (28)


Ils ont les moyens de faire du lobbying pour qu’une loi tranche définitivement le sujet, ils aurait du commencer par cela.


Je tique à chaque fois quand on compare avec le cas Google. Pour moi, leurs discours sont différents et donc le cas aussi.



Microsoft a toujours dit que ces données sont en Irlande. Et je pense qu’ils peuvent le prouver.



Google a dit qu’ils ne savaient pas où elles étaient aux USA ou à l’étranger de par l’organisation de ses données qui sont distribuées éventuellement dans plusieurs pays :

“les données du cloud sont stockées dans des serveurs répartis un peu partout sur la planète” dit l’article de NXI du 16 mars 2017 cité ici.



La problématique est donc bien différente : localisation connue dans un cas et inconnue dans l’autre.

On peut considérer que dans le premier cas, la loi de l’Irlande s’applique et dans le second cas, celles des USA (la vision “consolidée” des données est faite depuis les serveurs US si l’utilisateur est aux USA).

La non connaissance de l’emplacement des données serait une façon trop simple d’être au-dessus des lois de tous les pays et cela n’est pas raisonnable si l’on tient à la justice.




Par ailleurs, Microsoft rappelle qu’une victoire du ministère de la

Justice poserait la question de la réciprocité. Ainsi, puisque les

États-Unis peuvent récupérer des données stockées dans un autre pays, ce

dernier pourrait-il en faire autant ?





Je ne sais pas si il pourrait en faire autant, mais jusqu’à preuve du contraire, la cour suprême ne décide que pour les USA, ce n’est pas la Cour Suprême Mondiale. Le pays tiers pourrait donc tout à fait interdire l’exportation des données stockées sur son sol, ce qui rendrait de fait invalide une décision positive de la cour suprême…




Il sera du coup intéressant de savoir ce que fera en particulier la France, ou des entités comme la CNIL.



Ben la France se couchera sur le dos, comme d’habitude.


Mais j’espère qu’elle va froncer les sourcils  très fort avant.


La France ? Ce pays dont l’armée, l’Education Nationale et toutes les grosses institutions utilisent exclusivement des logiciels Microsoft ? Ce pays qui est réputé pour ces mathématiciens et ses développeurs mais que la bêtise et le lucre de ses dirigeants fait qu’il préfère créer des chômeurs que de les mettre au travail à développer quoi que ce soit de national. Ce pays dont les dirigeants préfèrent les enveloppes de comissions à une réflexion honnete et profonde dans le cadre de leur fonction ? Mais un ministre va se dépêcher de lui porter toutes les données possibles en courant !

Quant aux States, c’est quand même le seul pays capable d’infliger une amende en milliards de dollars à une entreprise au prétexte qu’elle a conclu un accord commercial libellé en dollars avec un autre entreprise non étatZunienne…

Ouf, j’ai passé ma bile!<img data-src=" />








Coeur2canard a écrit :



Mais j’espère qu’elle va froncer les sourcils  très fort avant.





Et se facher tout rouge.<img data-src=" />









Graphico a écrit :



La France ? Ce pays dont l’armée, l’Education Nationale et toutes les grosses institutions utilisent exclusivement des logiciels Microsoft ?&nbsp;&nbsp;





Si la grande majorité du parc informatique des établissements est sous Windows,&nbsp;il y a quand même une forte présence de logiciels libres. Dans les collègespublics on utilise majoritairement Libre Office de ce que je vois, et pour les collèges en termes d’infra réseau tu es souvent sur du&nbsp;EOLE. Idem dans les lycées. Dans les écoles pas de tellesinfra donc des ordis majoritairement portables et sous Windows.&nbsp;&nbsp;

Après dans l’utilisation de logiciels ou ressources libres, c’est très variableselon les bahuts, mais je t’assure que c’est majoritairement du libre qui est utilisé&nbsp;quand c’est possible. Oui les ordis pourraient être sous Linux il y a quelques bahuts comme ça, et c’est pas moi qui te dirais le contraire. Mais quelques conditionsstructurelles et culturelles (la flemme de développer) rendent un parc sousLinux plus contraignants (au moins dans la tête des gens) à entretenir



Non là tu vas trop loin&nbsp;<img data-src=" />


mouai justement je trouve qu’avec les systèmes informatique existant la localisation physique des données n’a pas de sens. finalement l’important est la nationalité du propriétaire et la législation se référent aux donnés.



que la justice américaine demande des données pour un cas de justice d’un citoyen américain, je ne vois pas de problème… typique la les données sont sur un serveur irlandais, mais si cela se trouve il y’en a également une sauvegarde dans un serveur neozelandais. Le principe d’internet c’est justement la duplication et redondance des données.



Si dans un procès, la justice américaine avait demandé des donnés d’un citoyen français combien même celle ci se trouverai sur un serveur situé au USA, on pourrait accuser les état unis d’acte d’espionnage.








Coeur2canard a écrit :



Si la grande majorité du parc informatique des établissements est sous Windows, il y a quand même une forte présence de logiciels libres. Dans les collègespublics on utilise majoritairement Libre Office de ce que je vois



Normal, c’est gratuit, et il n’y a pas le budget pour des licences MSO.



Exactement. Et puis y a foison de choses de bonne facture dans le domaine du libre&nbsp;<img data-src=" />&nbsp;(dommage que pour le moment au niveau logiciel / applicatif pour le moment on y perd largement sur tablette)


Je me demande bien pourquoi ils ont besoin d’une décision de justice. La NSA doit déjà les avoir, ces données…

&nbsp;


oui mais pas de façon légale donc pas recevable pour un procès j’imagine…








loser a écrit :



oui mais pas de façon légale donc pas recevable pour un procès j’imagine…







C’est ça.<img data-src=" />









alex.d. a écrit :



Je me demande bien pourquoi ils ont besoin d’une décision de justice. La NSA doit déjà les avoir, ces données…









loser a écrit :



oui mais pas de façon légale donc pas recevable pour un procès j’imagine…









Ricard a écrit :



C’est ça.<img data-src=" />





C’est là tout l’intérêt des géants du web. Faire en sorte que le données de la NSA reste pas recevables devant un tribunal.



J’avoue ne pas savoir sur quel pied danser avec cette histoire. D’un côté Microsoft a raison, les données sont en Irlande, le DoJ doit se débrouiller avec ce pays pour les avoir, mais de l’autre côté, ça crée encore un espace de plus où les géants du Web ne sont pas responsables…









linkin623 a écrit :



J’avoue ne pas savoir sur quel pied danser avec cette histoire. D’un côté Microsoft a raison, les données sont en Irlande, le DoJ doit se débrouiller avec ce pays pour les avoir, mais de l’autre côté, ça crée encore un espace de plus où les géants du Web ne sont pas responsables…







Peut-être en faisant croire qu’ils ne regardent pas, pas vu ces données privées, pas responsable



Cette affaire peut avoir de gros impacts. Une certification a été mise en place pour garantir que les données confidentielles sont stockées en France et que leur accès n’est pas open bar pour les autorités étrangères. Microsoft est concerné par cette certification, certaine sociétés (dont la mienne) utilisant déjà Sharepoint.



Si le DoJ et le FBI peuvent accéder comme ils veulent aux données stockées par des entreprises américaines en Europe, elles perdront un gros marché, et l’impact en terme d’image sera catastrophique. Le géants du Web sont responsables, ils appliquent juste un principe de base qui est qu’une autorité judiciaire n’a de compétences que sur son territoire.








linkin623 a écrit :



D’un côté Microsoft a raison, les données sont en Irlande, le DoJ doit se débrouiller avec ce pays pour les avoir, mais de l’autre côté, ça crée encore un espace de plus où les géants du Web ne sont pas responsables…





Ta phrase est contradictoire.

Tu dis que le DoJ doit se débrouiller avec l’Irlande, c’est donc que Microsoft est “responsable” vis-à-vis de l’Irlande. Tu dis ensuite que les géants du Web, donc Microsoft ne sont pas responsables.



J’ai mis responsable entre “” car ce n’est pas le terme exact. Microsoft n’est responsable de rien par rapport au contenu d’un mail d’un des ses clients stocké en Irlande. Un fournisseur de service n’est pas responsable du contenu qu’il stocke dans ce cas.



Il doit pas contre respecter une décision de justice qui lui demanderait de transmettre à la justice le contenu de ce mail.



C’est plus une histoire d’obligation que de responsabilité. Mais je pinaille, j’ai compris ce que tu voulais dire derrière ce mot.



Par contre, le discours de Google lui ferait, s’il était suivi, qu’ils n’auraient plus d’obligation vis-à-vis de la justice de n’importe qel pays. Voir mon message en #2 pour bien comprendre la différence. (Google dit que les données qu’on lui réclame sont peut-être en dehors des USA parce qu’ils ne savent pas où elles se trouvent)



J’ai du mal a comprendre ton parallèle avec Sharepoint, la mienne aussi l’utilise mais sur une infra cloud privé.

Donc les demandes d’autorités n’auraient pas d’effets.


Mais la justice US pourrait “punir” MS pour ne pas obtempérer.

En pratique s ila justice le décide, elle peut condamner qui elle veut pour ne pas avoir transformé de plomb en or, peu importe que ce soit impossible.



Bref si la justice US décide qu’elle s’applique aux données stockées dans tous les pays, MS devra choisir quelle loi violer : la loi Us, ou la loi locale du pays ou sont les données.



Dans ce cas je ne sais pas comment MS pourrait s en tirer, peut etre qu’ils peuvent s’en sortir avec MS US qui ordonne à sa filliale Irlandaise de fournir les données, mais avec celle ci refusant en vertu de la loi locale. (?)


Dans le cas de mon entreprise les données stockées sous Sharepoint sont stockées quelque part en Europe, pas en local. Donc là les demandes auraient des effets, puisque c’est un serveur Microsoft qu’on utilise.


En pratique, si les la justice de Trumpland obtient gain de cause, cela marquera un changement cataclysmique pour les entreprises utilisant Google Cloud, Azure, Google Cloud, Softlayer, Office365 et les autres.



Cela deviendrait follement dangereux pour une entreprise européenne en concurrence avec des entreprises US d’utiliser ces services même si les serveurs sont en Europe car les données pourraient être accédées à la moindre plainte ou dans toute campagne visant à mettre l’Amérique d’abord…


Les sociétés concernées pourraient décider de changer le lieu de leur siège social, à cause des implications qu’aurait uen telle décision. Ça peut être fun.








ragoutoutou a écrit :



Cela deviendrait follement dangereux pour une entreprise européenne en concurrence avec des entreprises US d’utiliser ces services même si les serveurs sont en Europe car les données pourraient être accédées à la moindre plainte ou dans toute campagne visant à mettre l’Amérique d’abord…





Si un entreprise EU est en concurrence avec une entreprise US, elle serait folle d’utiliser les outils cloud américains pour travailler déjà maintenant.



Beaucoup le sont… d’expérience: banques, secteur aéronautique, telco, pharma, ….


Tu es prêt à bloquer TOUT de google, facebook, youtube et twitter ? <img data-src=" /> (pas de NXI dans ce cas)


Il a parlé des outils cloud, pas de tous les outils. Je rappelle qu’il s’agit de délocaliser une partie de l’infrastructure de l’entreprise (puisqu’il se situait dans ce cas) sur des outils fournis et gérés par d’autres.



Dans ce cadre là, il faut effectivement éviter d’utiliser les outils cloud des sociétés US si l’on veut éviter de se faire espionner par leurs services secrets.