Une étude dresse les enjeux, problèmes et dommages collatéraux de l’affaire Microsoft Ireland

Quid du privacy shield ? 10
Accès libre
image dediée
Crédits : hundreddays/iStock
Justice
Par
le jeudi 07 décembre 2017 à 17:53
Marc Rees

L’affaire opposant Microsoft au gouvernement américain a fait l’objet d’une étude signée Théodore Christakis, professeur de droit international notamment à l’Université de Grenoble. Il revient longuement sur les enjeux du dossier qui éclabousse l’Europe.

L’affaire est un véritable serpent de mer depuis fin 2013. Les données du problème ? D’un côté, dans le cadre d’une enquête en matière de stupéfiants, la justice américaine a réclamé de Microsoft la copie de plusieurs emails.

Rien de plus banal, pourrait-on dire, les juges ont aujourd’hui pour habitude de scruter les activités en ligne, notamment les correspondances privées, pour nourrir les procédures en cours.

Sauf qu’un grain de sable a grippé les relations entre la justice et l’éditeur : les emails en question sont stockés non aux États-Unis, mais dans un serveur en Irlande.

Pas de souci pour le gouvernement américain qui s’arme du Stored Communications Act de 1986 (SCA). Mais de son côté, Microsoft dénie toute portée extraterritoriale à cette disposition législative relative au droit de communication (voir l'interview de Me Jean-Sebastien Mariez).

Après bien des péripéties devant les instances inférieures, le bras de fer entre ces deux acteurs est aujourd’hui devant la Cour suprême des États-Unis. Saisie par l’exécutif, celle-ci a accepté de trancher cette difficulté d’interprétation d’un texte né à l’ère des disquettes, quand le cloud était à peine esquissé dans les romans d’anticipation les plus délirants.

Pour Microsoft et les autres acteurs de l’IT, le débat ne se limite pas seulement à une rugueuse question juridicotechnique portant sur l’accès aux correspondances privées. Derrière, c’est tout un business fondé sur la confiance qui se trouve menacé par l’estomac de la justice américaine. C’est aussi, et avant tout, la vie privée de millions de personnes qui se retrouvent sur la sellette, sans oublier un danger épineux de conflits de lois... 

L'emprise américaine sur des données simples accessibles

Comme le souligne Théodore Christakis dans son étude, « le principe recherché par le gouvernement américain l’autoriserait demain à obtenir les messages électroniques, stockés en France, d’un ressortissant et résident français ». Et pour cause, « la nationalité du suspect n’a pas été communiquée à la justice par les autorités américaines ».

Dit autrement, la propagation de la juridiction américaine pourrait se répandre à toute la planète dès lors qu’une entreprise « US » aurait des serveurs dans d’autres contrées, même très lointaines. Et évidemment, la solution attendue de la Cour suprême ne visera pas seulement Microsoft, mais tous les autres, qu’ils soient GAFAM, géants ou nains des nouvelles technologies.

Pourrait être cible de ces tentacules, « par exemple, un journaliste accusé de porter atteinte à la sécurité nationale américaine », quand bien même « ce Français réside en France, que ses données soient stockées par ce fournisseur en France , et ceci sans passer par une commission rogatoire internationale ou une quelconque autre forme de coopération avec les autorités françaises ».

Territorialement extra

Il suffirait que cet individu soit impliqué dans une affaire de crime, outre-Atlantique, et que les autorités américaines préfèrent oublier les mécanismes d’entraides (les traités d'assistance judiciaire mutuelle ou Mutual legal assistance treaty, MLAT).

Juridiquement, aux yeux des autorités américaines, la procédure initiée à l’encontre de Microsoft et son serveur irlandais n’est pas véritablement une question d’application extraterritoriale du droit américain. Même si la loi SCA est d’application territoriale, « à partir du moment où les données en question sont accessibles depuis les États-Unis (même si elles sont stockées en Irlande) tout se passe sur le sol américain », résume l’enseignant en droit.

En somme, Microsoft retient notamment le critère de la localisation des serveurs, quand le gouvernement américain s’appuie surtout sur le territoire où sont accessibles les données, ce qui n’est évidemment pas la même chose. Selon le professeur Christakis, des questions de droit international et de respect de la souveraineté des États entrechoquent nécessairement l’appétit américain.

Vers des paradis numériques, l'exigence de nouvelles pistes

La problématique est assez simple à comprendre puisque par définition, sur Internet, les données sont toujours « accessibles » depuis les États-Unis. Voilà pourquoi une personne n’ayant jamais mis les pieds dans ce pays pourrait se retrouver à nu dans une procédure attentatoire à sa vie privée puisque « ses » données dans le cloud y sont à portée de clics.

L’enseignant sait qu’une solution visant à ne retenir que la territorialité des serveurs aurait pour conséquence de faire naitre des « paradis digitaux », des espaces où, en raison de l’absence de procédure d’entraides, ces informations seraient loin des yeux du gouvernement américain.

Il se dit en conséquence « convaincu que le critère de la localisation des données est seulement un, parmi d’autres critères, à prendre en compte pour construire un régime juridique satisfaisant ». Parmi les autres critères, pourraient entrer en jeu la nationalité du propriétaire des données et le lieu où il réside

Et le Privacy Shield et le RGDP ?

En attendant, cette affaire vient foncer droit dans le mur des tentatives européennes de mieux protéger les données personnelles des Européens. Outre le Privacy Shield, qui vise à s’assurer que ces données traitées aux États-Unis présentent un même niveau de garanties qu’en Europe, il y a le règlement ePrivacy et le règlement général sur la protection des données (RGPD).

« Dans ce contexte, il ne faut pas s’étonner que, pour l’Union Européenne, le mandat donné à Microsoft par les autorités américaines est considéré comme « extraterritorial » et pourrait même être perçu comme une tentative de contourner la protection juridique mise en place en Europe » indique la note.

D’ailleurs, l’existence même du Privacy Shield et des autres véhicules juridiques « sont tous fondés sur l’idée selon laquelle, non seulement il y a transfert des données stockées en Europe vers les États-Unis (et donc clairement extraterritorialité), mais, de plus, que ce transfert ne peut se faire qu’en respectant la protection qui accompagne les données européennes ». N'est-ce pas un joli indice adressé à la Cour Suprème ?

Les risques d'une solution favorable au gouvernement américain

Quelles seraient d’ailleurs les conséquences concrètes d’un arrêt qui accepteraient que les données irlandaises puissent tomber dans le périmètre de la juridiction américaine ?

Déjà, l’ensemble des pays pourrait imiter, par réciprocité, ces pratiques afin d’exiger eux aussi d’avoir accès au transfert des données sous prétexte d’une simple accessibilité des données. « La simple perspective qu’une telle procédure puisse être utilisée contre des journalistes accusés de porter atteinte à la « sécurité nationale » par leurs enquêtes ou leurs écrits, ou contre de personnes accusées de « blasphème » pour leur position à l’égard de religions, suffit à montrer l’ampleur du problème »

De plus, un tel système viendrait réduire l’efficacité des accords internationaux d’entraides judiciaires. Quant à la vie privée, la liberté d’expression, la liberté d’information, les secrets d’affaires, les secrets entre avocats, etc. tous ces îlots essentiels pour la démocratie s’en trouveraient submergés, sans que le droit au recours ne soit garanti pour ces victimes.

L'article 48 du RGPD

Pire. Sur le terrain du RGPD, le professeur de droit pointe l’article 48 du document en vigueur en mai 2018 :

« Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement (…) qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international, tel qu’un traité d’entraide judiciaire, en vigueur entre le pays tiers demandeur et l’Union ou un État membre, sans préjudice d’autres motifs de transfert en vertu du présent chapitre ».

En clair : en se soumettant à la loi du for – l’ordre venu des autorités américaines – Microsoft enfreindrait dans le même temps le règlement en risquant une sanction monstre (jusqu’à 4% du chiffre d’affaires mondial).

Le rapport rappelle certes que le gouvernement américain a prêté attention à la dernière phrase citée. L’article 49 du même chapitre autorise en effet les transferts « nécessaires pour des motifs importants d’intérêt public ». Seulement, il ne partage pas l’analyse de l’exécutif américain qui s’est évidemment engouffré dans ce trou de serrure, affirmant que « leur » dossier est un motif d’intérêt public.

Pour le professeur de droit, c’est une lecture biaisée : ce motif ne doit être examiné qu’à l’aune du droit européen, pas de celui du pays tiers, angle que semble d’ailleurs confirmer le point 24 du règlement lorsque celui-ci parle d’un « motif important d’intérêt public reconnu par le droit de l’Union ».

D’ailleurs sur le sujet, le Groupe de l’Article 29, où s’unit l’ensemble des CNIL européennes, a souligné cette difficulté issue du GDPR. Contourner notamment les accords de partenariats existant entre les pays, considère-t-il, équivaudrait « à une ingérence dans la souveraineté nationale d’un État membre ».

Quand la Grande Muraille s’échine

Le document relève un autre risque en cas de décision favorable au gouvernement : celui d’une balkanisation afin de faire en sorte que les données de Microsoft (et des autres) ne soient finalement plus « accessibles » par ce fournisseur en dehors du pays où elles sont stockées par des montages adaptés faisant écran.

Pour pousser plus loin le scénario, « on pourrait alors se demander à quoi servirait une décision de la Cour Suprême favorable au gouvernement. À la limite, elle pourrait se révéler contre-productive en incitant, entre autres, à un chiffrement généralisé des données dans le Cloud, ce qui serait évidemment préjudiciable à l’activité des autorités judiciaires des pays. Une telle décision pourrait aussi nourrir un mouvement extrême de cyberprotectionnisme et de « data localisation » ».

En guise de pistes d’évolution, le chercheur en droit imagine la possibilité d’agir sur le terrain des conventions internationales, même s’il sait l’idée très ambitieuse, si ce n’est irréaliste, puisque exigeant un accord de nombreux pays. « En revanche, il est beaucoup plus réaliste d’avancer rapidement dans certains cadres multilatéraux où des progrès très importants ont déjà été accomplis par les États. Nous pensons, plus précisément, aux pays parties à la Convention de Budapest de 2001 sur la cybercriminalité ».

L’idée serait de prévoir un chapitre sur la preuve numérique, dans le cloud pour résoudre une partie des problématiques.

Le dossier est toujours examiné par la Cour suprême. Plusieurs pays ou organismes sont déjà intervenus par des amicus curiaes. La Commission européenne l’a décidé aujourd’hui en prenant appui sur la question de la protection des données personnelles européennes. Syntec Numérique a signé de celui BITKOM, porté par Digital Europe. Renaissance numérique, la Quadrature du Net, RSF devraient se joindre à celui de Privacy International. Le MEDEF devrait faire de même avec son homologue allemand.


chargement
Chargement des commentaires...