Microsoft a perdu une manche dans son combat contre une juge fédérale américaine qui lui imposait de fournir des données situées géographiquement dans un autre pays. Malgré les avertissements des conséquences en cascade que cette décision aurait, le juge n’a pas été sensible aux arguments. La firme a décidé de faire appel.

Des données stockées sur des serveurs situés à Dublin
Depuis plusieurs mois, Microsoft défiait le gouvernement américain sur une problématique qui paraissait simple initialement. Il était demandé à la firme, dans le cadre d’une enquête, de fournir des informations. Normalement, devant le mandat délivré par le juge, l’entreprise aurait dû s’exécuter, mais elle a refusé. La raison invoquée était limpide : ces données n’étaient pas situées aux États-Unis, mais en Irlande, dans des serveurs à Dublin.
Microsoft avait combattu cette décision qui ne pouvait, selon elle, que provoquer des catastrophes en cascade sur le plan juridique international. Les billets sur les blogs officiels se sont multipliés pour sensibiliser l’opinion, et plusieurs entreprises, comme Verizon et Apple, se sont jointes au procès pour apporter leur propre éclairage, largement dans le sens de Microsoft. Même l’EFF (Electronic Frontier Foundation) avait soutenu la firme de Redmond, estimant que la décision du juge ferait du tort aux internautes, « parce qu’elle permettrait aux États-Unis d’obtenir des enregistrements électroniques stockés ailleurs sans obligation de passer par les accords d’assistance mutuelle ou les lois des autres pays ».
La vision de Microsoft n'a pas fait mouche
Mais la juge fédérale Loretta Preska a finalement décidé hier que ces arguments n’étaient pas pertinents. Elle a donc accordé au gouvernement américain l’obtention des informations demandées, et Microsoft devra s’exécuter en rapatriant les données stockées en Irlande. Pour la juge, il ne s’agit en effet absolument pas d’une problématique basée sur la localisation, mais uniquement sur le contrôle des informations.
Les deux visions qui s’opposent sont relativement simples mais ne peuvent pas être conciliées. Pour Microsoft, ainsi que d’autres entreprises comme Apple, Cisco et AT&T, la portée d’un mandat délivré par un juge américain ne peut dépasser les frontières des États-Unis. De fait, si les données sont situées dans un autre pays, c’est la juridiction de ce dernier qui entre en piste. Les entreprises craignaient, peut-être à juste titre, que forcer la main ne ferait que créer des tensions avec les autres pays, leur donnant l’exemple de ce qui peut être fait, en dehors de tous les sentiers balisés et des accords de coopération en la matière.
Pour le gouvernement, ainsi que plusieurs juges fédéraux, la question des frontières n’entre pas en jeu. Microsoft est une entreprise américaine spécialisée dans le cloud. Un mandat délivré par un juge américain s’applique à toute sa structure et les données qu'elle contrôle. La localisation des serveurs n’est pas alors pas plus pertinente aux yeux de la justice qu’elle ne l’est pour l’utilisateur classique, qui ne sait pas où ses données sont stockées réellement. La juge Preska a d'ailleurs précisé qu'il est depuis longtemps demandé aux banques de fournir des informations provenant de leurs succursales dans le monde.
Importance des frontières : un contraste saisissant en fonction des cas
Microsoft a donc perdu cette manche et a annoncé immédiatement son intention de faire appel. La firme regrette que la portée d’un mandat puisse s’étendre hors des États-Unis, ce qui revient pour elle à permettre à la police américaine d’enquêter dans un domicile étranger. Elle déplore également que la juge n’ait pas pris en compte un argument capital, souligné d’ailleurs par d’autres entreprises, notamment Cisco : l’érosion de la confiance dans les entreprises américaines liées au cloud. Une érosion prédite par la commissaire européenne Viviane Reding et dont les entreprises se plaignent désormais, prises dans le sillage des révélations d’Edward Snowden.
En outre, on ne peut s'empêcher de remarquer que la décision de la juge souligne un piquant contraste. D’un côté, des frontières sans importance quand il s’agit de récupérer des informations dans le cadre d’une enquête. De l’autre, l’importance cruciale de ces mêmes frontières avec la loi FISA qui autorise la collecte automatisée des données si elles proviennent d’utilisateurs étrangers et qu’elles circulent sur des serveurs qui doivent être situés… sur le sol américain obligatoirement.
Il sera intéressant de voir si Microsoft soulève la question de la conformité avec la convention de 2004 (STE n° 185) qui impose en effet d'obtenir le consentement du responsable du traitement lorsque les données sont établies à l'étranger, comme c’est le cas avec Microsoft Irlande. Actuellement, on ne sait cependant pas exactement si l’affaire traitée par la justice américaine, centrée sur le trafic de drogue, entre dans ce cadre.
Commentaires (119)
Ou comment plomber ses propres entreprises
" />
Ca doit être un juge pro-opensource ou anti-microsoft pour forcer une entreprise américaine à se décrédibiliser à l’international (ou influencé par des…), ou complètement stupide faisant passer l’intérêt personnel avant l’intérêt national?
Une juge américaine réclame à Microsoft des données situées en Irlande
Et elle les aura
NsA fait du Lobbying ?
" />
" />
.. apres la CIA qui pirate et collecte des données de deux membres d’une commission chargee d’auditer cette meme CIA …
on est dredi … le juge doit etre un trolleur
En même temps dans ce cas précis je suis plutôt de l’avis de la juge. Si on va dans ce sens les boites vont toutes dires que les données sont sur un serveur à l’étranger dans le cas du cloud et les controles seront impossible. Une boites américaine doit fournir toutes les données demandées dans le cadre de la justice américaine, quelque soit l’endroit où ils les stockent. Ça c’est le problème de la boite. Si c’est une filiale, ça fait partie de la boite, sinon il faut qu’elles soient indépendante ces boites.
Après niveau accès vie privée, franchement, ça changera rien…
Le perdant n’est pas seulement Microsoft, mais aussi google, Amazon, dropbox … tous.
Ca va faire plaisir aux services de cloud français et européens en général.
Quel dommage que les débits montant en ADSL soient si mauvais. Sinon, je n’utiliserais plus que mon syno et cloudstation
Et les Irlandais, ils en pensent quoi? (après tout, c’est un peu une violation de leurs frontières)
Et Microsoft a-t-il le droit de livrer ces données vis-a-vis du droit irlandais/européen ?
Au moins c’est clair : pour les US, US = le monde entier. Osef des autres.
A retenir lors des prochaines négociations Europe / US…
“Pas de bol, données détruites, accident, tout ça …”
faut pas décorner les bouquetins, les excuses à la con existent, surtout à l’étranger xD
L’arrogance américaine n’a pas de frontière.
Ils vont s’en mordre les doigts quand les Chinois vont réclamer toutes les données stockées sur le sol américain aux boîtes qui veulent vendre en Chine
" />
L’Irlande en tant que pays de la CE est officiellement un vassal de l’Empire. Par conséquent il est normal que le vassal se soumette à la justice de son “protecteur”.
Il se passe quoi si MS Ireland bloque l’accès aux données ?
La justice US en 3 points:
Si l’Irlande est une démocratie, la police doit être envoyée dans les locaux où sont stocké ces serveur et empêcher leur extradition!
Après la violation du droit international dans l’affaire de la dette de l’Argentine voilà que la justice américaine remet ça. Cela fait des années qu’ils nous testent (attaque sur la Grèce, crise en Ukraine, attaque de l’Argentine,…) et on échoue à chaque fois, on va toujours de leur sens.
A ceux qui disent que MS Irlande est une filiale et que ça ne change rien, que c’est comme s’ils étaient américains …. mais vous êtes des grands malades !
Et surtout vous ne connaissez rien au droit, notamment au droit des sociétés, que dalle !
MS Irlande est une entreprise Irlandaise, soumise au droit irlandais avec un numéro d’immatriculation irlandais.
La nationalité du propriétaire du capital n’a aucune importance.
De la même façon quand une banque américaine ouvre une filiale en France, que ça lui plaise ou non elle est obligée d’appliquer les accords de branche et les 35h. Car c’est une entreprise française tout simplement.
Mais si j’ai bien compris la news, la gueguerre c’est de dire d’un côté :
Et là c’est très très sioux. ça pourrait bien finir devant des instances internationales.
Une hypothèse :
un juge américain a t-il le droit de demander le relevé de compte de Mr Smith à JP MORGAN USA ou bien doit-il le demandé à JP MORGAN France via les accord d’entraide international ?
Une saine lecture :http://solutions-politiques.over-blog.com/article-le-faux-debat-sur-l-evasion-fi…
Deux extraits rapides, concernant la France, mais aussi la plupart des pays occidentaux :
Si vous prenez la peine de lire ces articles de loi qui s’imposent à tous (notamment l’article 57), vous remarquerez :
À moins de mettre directement en prison, tous ceux qui payent des factures ou transfèrent de l’argent dans des paradis fiscaux opaques, on peut difficilement faire plus répressif ; sans oublier que ça coûte très cher, jusqu’à 100 % pour les revenus et distributions occultes (articles 117 et 1759 du CGI), avec solidarité des associés sur le paiement de la taxation.
et
Alors où est le problème ?
Hé bien c’est assez simple, depuis plus de 30 ans qu’elles existent, ces lois n’ont quasiment jamais été appliquées ! Ou alors dans de rares cas concernant quasi exclusivement des particuliers (en application de l’article 155 A), probablement pour mettre au pas une vedette, ou un VIP, qui pour des raisons obscures aura déplu au pouvoir ; ou encore et toujours, pour des petites entreprises, mais jamais pour celles à dimension internationale…
En fait, si cet arsenal juridique était appliqué, il enverrait devant les tribunaux la totalité des entreprises du CAC 40, plus toutes celles qui font de l’import/export, plus la plupart de nos vedettes, sportifs et autres VIP… même, si leur domicile fiscal n’est pas en France ! Étonnant, non ?
On peut remplacer « entreprises du CAC 40 » par MS, Google, Apple, etc…
PS : un peu hors sujet mais cherchant un nom de banque américaine je suis retombe sur cette article de février 2014:
http://www.lepoint.fr/economie/axa-banque-ferme-les-comptes-de-ses-clients-americains-en-france-06-02-2014-1788961_28.php
MS n’a pas le droit de consulter ses données basées en Irlande ?
" />
" />
À chaque fois elle doit demander à la justice irlandaise le droit de les consulter ?
Si elle le fait le juge ensuite les consulte à son tour., aux USA.
En fait on peut résumer tout ça de manière simple :
Si un site/service international héberge ses données dans un pays A et qu’un utilisateur du pays B fait l’objet d’une enquête, sachant qu’il existe une entité administrative du service dans le pays B, auprès de qui doit-on demander un accès non physique aux données ?
C’est une vraie question hein.
Pour un accès physique, on fait une perquisition auprès de l’hébergeur dans le pays A, mais pour accès software, j’aurais tendance à répondre qu’on demande l’accès à l’entité du pays B (Microsoft US en l’occurrence), mais je peux me tromper, je ne connais pas le droit en la matière.
C’est un poil plus compliqués, lisez les conclusions du jugement.
" />
En gros c’est une demande d’info de compte et de connexion/logs (non content information), car ces infos sont stockées aux US. MS a d’abord accepté le mandat avant de le rejeter car le contenu (content information) est lui en Irlande.
Le juge considère que MS a accès a cette information quelque soit sa localisation, et qu’ils sont donc en tant qu’entreprise US obligé de se soumettre a ce mandat.
En plus on ne parle pas de cloud ici, mais d’un simple compte mail. Il est fort a parier qu’on aurait exactement la même chose en france, sauf que les FAI francais ne délocalisent pas leur service a l’étranger pour améliorer la qualité de service
L’Irlande n’a pas son mot à dire ?
grillé par Simon
Je ne suis pas d’accord avec ceux qui disent que MS Irlande et MS USA c’est la même chose.
Pour moi, Juridiquement ce sont bien deux personnes morales distinctes.
Quand il y a des condamnations remontant à ‘une maison mère d’une filiale c’est par le coté Capitalistique de la chose.
MS doit en avoir des trucs à cacher !
" />
" />
" />
Pourtant, le patriotisme américain, c’est du pur et dur, paraît-il !
Alors, et les impôts, ce n’est pas patriotique, ça ?
Je me trompe ou c’est Microsoft qui avait pris une prune pour avoir vendu de la licence Windows en France mais a facturé en Irlande pour échapper au taxes qui vont avec la vente ? Si cela se trouve c’est le même cas d’espèce.
Jouer la carte du techniquement pas possible pour Microsoft n’est absolument pas à son avantage. Il se décrédibiliserai purement et simplement pour ne pas savoir faire un simple transfert de données. Et bien évidement de paraitre malhonnête. Bon c’est déjà le cas, d’accord, mais quand même.
En tout cas tu as raison Commentaire_supprime, acharnons nous sur MS, supprimons les frontières et acceptons que la législation US soit la législation de la Terre entière…
De toute façon,
LOL pas mal ça, on cite qq1, on attend qu’il réponde, puis on modifie le poste de départ pour lui faire dire qqch d’autres…. Ca c’est de l’honnêteté….
Bon, intéressant.
" />
En raisonnant de cette manière, n’importe quelle boite pourra se voir perquisitionner ses données partout si le siège -ou une annexe- se trouve sur le sol US -> données accessibles, même si ça concerne une autre nationalité.
Après tout, ils sont concernés, non?
ça peut quand même aller loin si la question de territoire dégage….
Bon à ce rythme, les sessions à distance & cie seront contrôlables par les US hors NSA. Vivement le 100% en ligne.
donc celon certains si la Chine demande les données de compte d’oppsants qui sont stockés chez MS, Yahoo ou Apple il n’y a pas de problèmes? le fait que ses entreprises soeient des multinationales et que cela touche un ressortissant du pays ne rend pas l’injonction supérieur aux droits locaux. l’accéssibilité technique est une chose, l’accéssibilité légale en est une autre.
Oui donc il suffit de chercher sur le Net, et il n’est pas aussi simple de transférer les données de quelqu’un d’un pays à un autre.
http://www.cnil.fr/vos-obligations/transfert-de-donnees-hors-ue/quelles-formalit…
De base c’est interdit d’ailleurs:
http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/#article68
http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/#article69
si ça passe, 2e étape: refus de microsoft irelande de donner les données.
On sait les suspects du dossier sont citoyens américains ??
Et le pire c’est que ce genre de requête marche aussi en cas de filiale Américaine 50⁄50 … Effrayant et édifiant !..
A quoi ça sert de créer des accords d’assistance mutuelle si c’est pour pisser dessus à la moindre première excuse bidon ?
" />
Que les USA utilise cet accord via une demande motivée, et si elle l’est, alors ce juge aura ce qu’il demande. C’est tout
En outre, on ne peut s’empêcher de remarquer que la décision de la juge souligne un piquant contraste. D’un côté, des frontières sans importance quand il s’agit de récupérer des informations dans le cadre d’une enquête. De l’autre, l’importance cruciale de ces mêmes frontières avec la loi FISA qui autorise la collecte automatisée des données si elles proviennent d’utilisateurs étrangers et qu’elles circulent sur des serveurs qui doivent être situés… sur le sol américain obligatoirement.
Il sera intéressant de voir si Microsoft soulève la question de la conformité avec la convention de 2004 (STE n° 185) qui impose en effet d’obtenir le consentement du responsable du traitement lorsque les données sont établies à l’étranger, comme c’est le cas avec Microsoft Irlande. Actuellement, on ne sait cependant pas exactement si l’affaire traitée par la justice américaine, centrée sur le trafic de drogue, entre dans ce cadre.
Comme d’hab avec ce pays: 2 poids 2 mesures
Pour ceux qui n’ont pas suivi le début de l’histoire, je cite un précédent article de NXi qui précise la demande initiale :
" />
" />
Dans le cadre d’une enquête, il était en effet demandé à Microsoft de fournir de nombreuses informations sur un suspect : contenus de courriers électroniques, liste des contacts, numéros de téléphones renseignés, adresse postale, sessions de conversations horodatées, adresses IP et ainsi de suite. Problème : ces données sont hébergées sur un serveur situé à Dublin, donc hors des frontières des États-Unis.
c’est quand même une demande importante au niveau données personnelles !!
Alors, il vaut mieux que la justice US aille au bout de la réflexion pour que les entreprises et les utilisateurs (y compris nous) sachent réellement quelle protection il y a avec le cloud et les services en ligne américains.
Sinon, le juge peut passer un coup de fil à un pote qui bosse à la NSA et c’est réglé en deux minutes.
Mais, cette affaire donne des arguments à la NSA justement : regardez le bazar et le temps qu”il faut pour réclamer queoi que ce soit en bonne et due forme. Autant tout sniffer soi même en temps réel, c’est efficace, rapide et exhaustif !!!