Microsoft a publié hier un communiqué annonçant que des dizaines d’entreprises et organisations diverses soutenaient son action contre la justice américaine. Celle-ci lui réclame des informations stockées dans des emails dans le cadre d’une enquête sur un trafic de stupéfiants.
Mandats de recherche dans le cloud : le choc de juridictions nationales
Depuis plusieurs mois, Microsoft lutte contre la décision d’une juge de New York lui réclamant des données présentes dans des emails. Problème, ces derniers sont stockés en Irlande, posant une délicate question juridique. La justice argue en effet que le mandat de recherche suffit puisque Microsoft est une entreprise américaine et qu’elle contrôle l’intégralité des données, la localisation des serveurs n’ayant pas d’importance.
Ce qui n’est évidemment pas l’avis de la firme. Pour Redmond, les serveurs sont situés dans des zones logiques, pour être plus proches des clients. Les serveurs irlandais, en l’occurrence, contiennent les données des utilisateurs européens. Cela reviendrait donc à utiliser un mandat américain pour récupérer des informations européennes, et la firme craint de vastes imbroglios juridiques si tous les pays avaient la même idée. Elle a d’ailleurs tenté la carte de l’analogie récemment pour faire comprendre son point de vue.
Des dizaines d'intervenants pour étayer le point de vue de Microsoft
Mais tandis que l’armada d’avocats de Microsoft tente de convaincre le tribunal, un vaste projet était en préparation : obtenir l’aide du plus grande nombre possible d’intervenants. Dans un communiqué publié hier soir, l’éditeur a donc dévoilé la liste des soutiens, et ils sont particulièrement nombreux. Il faut savoir en effet que dans le système juridique américain, une personne physique ou morale peut décider volontairement de participer au procès pour le bénéfice d’une des parties. Il s’agit d’un amicus curiae, un texte permettant de donner son avis précis sur une question quand il est estimé que la cour pourrait en être « éclairée ». Bien entendu, celle-ci peut tout à fait décider de ne pas en tenir compte.
Mais l’amicus, au-delà de sa dimension de conseil, peut se révéler un moyen de pression, quand suffisamment d’acteurs se manifestent. Dans le cas de Microsoft, ils sont nombreux :
- Des entreprises et associations craignant l’effondrement de la confiance dans les technologies américaines : Apple, Amazon, Cisco, Salesforce, HP, eBay, Infor, AT&T, Rackspace, la Business Software Alliance ainsi que l’Application Developers Alliance.
- Deux organisations commerciales craignant que le procès provoque des ondes de choc pour les autres entreprises, notamment dans leur capacité à se servir du cloud : l’U.S. Chamber of Commerce et la National Association of Manufacturers.
- Cinq associations de défenses des libertés civiles pointant les atteintes à la vie privée : le Center for Democracy & Technology, l’ACLU (American Civil Liberties Union), l’EFF (Electronic Frontier Foundation), le Brennan Center for Justice (université de New York) et le Berkman Center for Internet & Society (Harvard)
- Dix-sept groupes média et dix associations inquiets des possibles répercussions sur la sécurité de leurs emails et données : CNN, ABC, Fox News, Forbes, the Guardian, Gannett, McClatchy, le Washington Post, le New York Daily News, le Seattle Times, la Newspaper Association of America, le National Press Club, l’European Publishers Council, ou encore le Reporters Committee for Freedom of the Press.
- Trente-cinq professeurs de sciences d’une vingtaine d’universités américaines (Harvard, Princeton, Columbia, Berkeley, MIT, Stanford…), souhaitant expliquer au tribunal les arcanes de la technologie utilisée afin qu’il puisse mieux appréhender la problématique
- Digital Rights Ireland, et d’autres groupes européens de défense des libertés civiles, qui souhaitent rappeler que la meilleure voie pour traiter ce genre de problème est le recours aux traités d’assistance mutuelle.
Une question de granularité des accords d'assistance
Comme l’a rappelé Microsoft à plusieurs reprises, il ne s’agit pas d’une opposition au fait même de donner ces informations. La firme s’est dite consciente qu’il s’agit d’une enquête criminelle. Mais de la même manière qu’une banque américaine ne pourrait pas exiger de sa filiale irlandaise qu’elle livre le contenu d’un coffre, l’éditeur ne peut pas remettre des données stockées sur un serveur en-dehors du pays.
Au-delà de cette affaire en particulier, Microsoft souhaite que le débat soit élargi pour que le cas du stockage international des données soit évoqué. Mais si la firme estime que les autorités irlandaises devraient participer à l’enquête, la question va sans doute plus loin. Si un utilisateur français se retrouve ainsi dans la boucle d’une enquête criminelle aux États-Unis, le sort de ses données doit-il dépendre exclusivement d’un accord entre le pays de l’Oncle Sam et l’Irlande ?
Notez dans tous les cas que le tribunal peut tout à fait choisir d’ignorer l’ensemble de ces interventions. Mais l’accumulation des noms sur la liste est un signal fort et la justice devrait prendre note de la vague de protestations.
Commentaires (46)
Il manque Google comme gros soutien alors.
Sinon belle brochette. J’espère que ça ne passera pas.
Franchement, Microsoft a raison sur cette affaire.
J’espère que la justice américaine va comprendre le problème de fond…
M$ se fait de la pub gratos tout comme Apple, Oracle, Google et les autres.
Microsoft collabore depuis des années avec les autorités de son pays, entre les failles de Windows signalées à la NSA et corrigées 6 mois plus tard pour tous les autres, les accès au cloud pour d’autres, etc…
C’est du flan et rien d’autre, à part le fait qu’ils se rachètent une conscience je ne crois pas un seul instant qu’ils refusent de travailler avec une quelconque autorité concernant des affaires de drogues, de terrorismes ou de blanchiment.
Tu crois encore au pére noel ?
HS :
… ou encore le Reporters Committee for Freedom of the Press.
heu… un lien pointant sur free.fr dans le mot “freedom” ? Sérieusement ?
Va falloir revoir l’heuristique.
Ils n’ont plus le choix que de contester, il y a de plus en plus de personnes refusant de mettre leurs données sur des serveurs US à cause des affaires d’espionnage.
" />
La confiance est à zero envers ces grands groupes, donc forcement dans ce qui est médiatisé ici ils s’en servent.
Après c’est peut être un coup monté pour montrer que maintenant nos données sont en sécurité
+1 Je me suis fait la même réflexion
C’est du bluf: pour donner l’impression que les données peuvent encore être sécurisé.
Mais comment tu peux avoir confiance dans le Cloud ? Microsoft ou pas, NSA ou pas, c’est juste du bon sens.
Ce que cherche à faire Microsoft comme les autres, c’est se racheter une image, faudrait être naïf pour croire autre chose.
Le contre poids économique, il est simple, si je suis un société exploitant le cloud, je regarderais dans tes données. Pourquoi ? Parce que je peux le faire, point.
1- Je n’ai jamais dit que j’avais confiance dans le cloud
2- Ce que cherche à faire Microsoft, c’est séparer le politique du commercial. Les conditions d’utilisation du cloud et plus précisément du mail dans cette affaire, ne changeront pas suite à cette affaire… C’est juste que par dessus celles-ci, les acteurs du cloud ne veulent pas qu’il y ait un aspect politique…
Ptain le mot Cloud est quand même un peu galvaudé !
" />
Avant que ce mot existe , les messageries email existaient et les serveurs de messagerie ont toujours été centralisés qu’ils soient hébergés aus US en Sibérie orientale ou à Petaouchnok
Vous voulez faire comment ? Héberger les serveurs chez vous ?
L’informatique centralisée ça existe depuis que l’informatique existe.
J’ai des doutes quant à la compréhension de certains de ce qu’est vraiment un Cloud
+1
Le cloud, c’est laisser le soin à autrui de rendre ses données accessibles partout. la couche “webmail” d’un système de messagerie le transforme de fait en cloud.
Un bon cloud, c’est celui qu’on héberge soi même, encore que, ça ne le rend pas inviolable pour autant. Utiliser un hébergeur cloud, c’est admetre le risque que ça parte en fumée du jour au lendemain, voir pire : que ça soit établé sur la place publique.
Pour reprendre la devise EVE, ne stocke pas publiquement ce que ne peut te permettre de voir dévoilé.
Une question simple, complètement au hasard, t’as un compte en banque ?
Leynas.
Je devine où tu veux en venir
" />
Oui, j’ai un compte, oui les systèmes bancaire sont un cloud, et oui, depuis que j’en ai changé, j’ai confiance dans ma banque (et j’irais pas jusqu’a dire que je l’aime). Elle fait pourtant comme toutes les autres, utiliser mon argent de manière obscure, mais au moins elle est réactive.
Si je devais avoir une confiance absolue dans chacun des services / bien que j’utilise, ben j’aurais pas de logement et je serais un ermite.
Monsieur Microsoft ne fait pas cela pour préserver la liberté chérie de ses clients…. mais apres l’affaire snowden les entreprises européennes qui avaient commencé a mettre leurs données dans les cloud US ont retiré massivement leurs billes et se tournent vers des acteurs qui garantissent la localisation des données en Europe…. donc les amazon, M\(, HP, IBM se sont mis a construire des datacenter en Europe pour faire revenir les clients qui représentent des centaines de millions de dollars.
Sauf que au final on voit que a travers du "patriot act" une entreprise US est tenue de fournir les données quand bien même le datacenter soit sur le sol européen... pas bon du tout pour le business...
Donc le fait que M\) perde ce proces est tout benef pour les entreprises Européennes (comme OVH par exemple) qui vont pouvoir se développer sans la concurrence déloyale de ces géants…
Juste pour éviter de raconter n’importe quoi Microsoft (et d’autres) n’a pas commencé à déployer des datacenters en Irelande suite à l’affaire Snowden: cela fait plus de 5 ans qu’ils y sont source
Je le sais parcequ’à cette époque j’avais été demarché par des commerciaux Microsoft…
Sans vouloir être vexant, que vous le vouliez ou non, vos données sont déjà “dans la nature”.
Que ce soit dans un cloud ou dans un entrepôt.
Qu’il soit français ou non, en france ou non.
Pour les papiers (archivage physique), les banques, assurances, comptables, administration publique, etc. peuvent faire appel à des “tiers archiveurs”.
Grosso modo, ils stockent dans les entrepôts (contrats avec signatures, etc.) ou sous forme numérique (assimilable cloud, archivage numérique).
En france, il n’y a pas que des entreprises françaises qui se partagent le marché.
On parle de courrier dans cet article …
" />
Exact et le pire étant les données relatives à la carte vitale, c’est certainement dans la nature, certainement que la sécu est aussi une vraie passoire.
De plus avec la LPM, il y a de fortes chances que les banques soient espionnées par nos chers services de renseignement.
huh ? courrier ?
On parle de mails, serveurs mails et compétence territoriale il me semble.
Des entreprises et associations craignant l’effondrement de la confiance dans les technologies américaines : Apple, Amazon,
Cisco, Salesforce, HP, eBay, Infor, AT&T, Rackspace, la Business
Software Alliance ainsi que l’Application Developers Alliance.
Craignant qu’on vienne leur demander la même chose
A lire les commentaires, je suis désolé mais il ne s’agit pas que d’un problème d’image…
Je veux bien admettre que cela peut être la motivation principale de Microsoft, mais derrière ça, avec le soutien même d’Européens, il s’agit bien de rappeler les limites de la portée de la justice US en dehors de son territoire.
Je l’ai déjà dit, et je le répète encore une fois: il existe des accords internationaux de coopération judiciaire. Si la justice US motive suffisamment sa demande, il n’y a aucune raison que la justice Irlandaise n’y réponde pas favorablement, et ce juge aurait eu depuis longtemps les données souhaitées, plutôt que de court-circuiter les accords en vigueur avec des arguments dangereux.
A l’issu de cette bataille de Microsoft contre la justice US, le statut de ces données sera clairement fixé aux yeux de la loi Américaine. En fonction, on verra comment réagiront les autres puissances suite à cela, qui n’admettront pas une nouvelle ingérence de ce pays, particulièrement vis à vis de leur système judiciaire.
Si tu pense réellement que mettre un fichier sur le cloud offre un droit “limitatif”…
Un changement de CGU et paf, le droit n’est plus limitatif.
Et comme tu dois accepter les CGU pour utiliser le cloud…
Après, si ta banque demande à son prestataire de lui fournir ta demande de prêt dans le carton X, ça veut dire que t’auras un archiviste qui va aller ouvrir le carton, chercher le papier en question et le retirer du carton. S’il est un tant soit peut malveillant, il pourra faire plus que “juste” le reconnaître.
Là aussi, c’est un problème de confiance, mais sur lequel nous ne pouvons strictement pas agir.
Imagine maintenant que le prestataire qui stocke tes fiches de paye et informations pour virement bancaire numérisées soit aussi bien sécurisé que le réseau Sony. Es-tu réellement certain qu’il est sécurisé ? Qu’il pourrait se rendre compte s’il y a un vol de données ? En aurais-tu conscience ?
Ce n’est pas parce que tu ne sais pas que ça ne se produit pas.
Pour les restrictions, ça veut dire qu’il y a une réglementation particulière à respecter. Ça veut pas dire qu’elle soit pertinente.
Joli effort ! :)
Pour les CGU, ça dépend des lois (dont réglementation) auxquelles sont soumises les entreprises.
Une CGU “correcte” aux US ne le sera pas en Suisse, par exemple (qui a des lois pour protéger les données personnelles).
Donc, la définition de l’usage abusif est très relatif.
Et pour moi, c’est une question de confiance.
De la même manière que Mamie va envoyé de l’argent liquide à son petit-fils par la Poste, que ton FAI ne va pas lire tes mails, que ton prestataire de cloud ne va pas farfouiller dans tes fichiers, etc.
Les technologies ont changées, mais on revient toujours au même problème : doit-on faire confiance au prestataire de service ?
La relativité n’a pas grand chose à voir avec l’usage abusif : quand des millions de touristes vont visiter des pays étrangers, ils doivent respecter les lois locales. Dans les CGU des multinationales, c’est une des expressions employées : “loi locale” ; ça reste ouvert (loi, décret, ordonnance, règlement, etc.), mais c’est plutôt vague pour l’utilisateur, sauf s’il est bien informé sur tous les détails juridiques en rapport avec les kilomètres de texte des CGU. Dans les pays dits “occidentaux”, la protection des données personnelles ne relève pas des CGU en premier lieu, ce qui permet aux représentant(e)s élus des citoyens de contraindre ces sociétés. Plus les jurisprudences : souvent le fait de mal utiliser un bien qui t’es confié est abusif, même si on ne te l’a pas interdit de manière explicite (par exemple, un ami te prête son ordinateur, pour son bien tu le lui rends sans les fenêtres, à ton avis c’est à qui de payer le vitrier : lui ou toi ?). Pourquoi voudrais-tu que le fait de “mal utiliser” une donnée personnelle ne soit pas toujours abusif quelle que soient les CGU ?
Mamie, on suppose qu’à l’époque elle n’a eu que le certificat d’études, puisqu’à l’époque cela arrivait souvent, et donc elle ignore ne pas avoir du tout le droit d’envoyer d’argent liquide par la Poste. N’empêche qu’elle n’a pas le droit, et que les chèques et mandats et virements et paypal et bitcoins existent et qu’elle sait cliquer sur un mulot (grave), mais ne veut pas que son petit-fils le sache : ce n’est donc pas une question de confiance, elle fait ça pour d’autre motifs qui sont hors-sujet ici.
Pour ce qui est du FAI qui lirait tes courriels, il me semble bien qu’il n’a pas non plus le droit, que son webmail est chiffré en SSL (adresse HTTPS), et qu’il n’a pas envie de se faire prendre à ça puisqu’il y perdrait des clients (grave). On peut même aller jusqu’à supposer que les recrutements pour les postes où il serait techniquement possible de lire les courriels des clients se font avec un maximum de prudence. Ce n’est bien sur qu’une supposition basée sur les obligations professionnelles qui “pèsent” sur les chefs d’entreprises et sur ceux à qui ils délèguent certaines responsabilités. La responsabilité, ce n’est pas la confiance : que tu fasse ou non confiance à ces parfaits inconnus, cela n’influe pas leur travail puisque ces boites sont organisées pour que tu ne les connaisse pas (quand tu téléphones, tu as le service truc ou chose au bout du fil, mais pas les gens qui pourraient éventuellement avoir accès à tes courriels).
Idem pour ton prestataire de nuage : un dealer qui vend de la farine au prix de la blanche perd vite son marché, et parfois un ou deux membres (grave). Ah tiens, ça c’est basé sur de la confiance, tu marques un point.
Mais cette confiance n’est pas la question : chacun fait confiance à autrui pour des motifs qui lui sont propres, parfois intimes, parce que on est tous différents. Pour la société civile, c’est une question de responsabilité : des autorités (publiques) et des associations (privées) vérifient que ces entreprises respectent des engagements qu’ils prennent et le droit qui leur est imposé : à l’inverse de la confiance (qui est une chose abstraite et inquantifiable), on peut évaluer si une entreprise respecte les responsabilités qui sont les siennes, et cela permet d’envisager l’avenir.