Un juge américain exige de Microsoft des données situées en Irlande

Des frontières géographiques dans un monde virtuel

Un juge américain exige de Microsoft des données situées en Irlande

Un juge américain exige de Microsoft des données situées en Irlande

Un juge fédéral américain a décidé mercredi de forcer Microsoft à révéler des données qui sont pourtant stockées en dehors des frontières des États-Unis. Une décision qui pourrait marquer un tournant dans l’approche des problématiques de respect de la vie privée.

vie privee privacy

Crédits : opensource.com, licence Creative Commons

Les frontières ont un rôle majeur et juridique dans le monde virtuel 

Depuis le début des révélations d’Edward Snowden, de nombreuses questions se sont posées autour de la gestion par les États-Unis des données personnelles. Les documents de la NSA montraient notamment comment l’agence créait une gigantesque toile d’araignée dans laquelle elle pouvait vibrer un seul fil, correspondant à une personne, pour en trouver toutes les connexions sociales. Pour autant, et en théorie, la loi américaine est très claire sur ces fameuses données.

 

La NSA brasse une énorme quantité d’informations qu’elle ingère via différents systèmes de collecte et d’écoute. Cette collecte, aveugle et massive, se concentre avant tout sur les données étrangères. Le processus est légal aux États-Unis et se réfère en priorité à la Section 702 de la loi FISA (Foreign Intelligence Suveillance Act) : les données peuvent être stockées et analysées si elles proviennent d’utilisateurs non-américains et si elles sont stockées dans des serveurs qui, eux, se trouvent bien au sein des frontières du pays. Voilà pourquoi des entreprises telles que Microsoft, Apple, Google, Yahoo ou encore Facebook se retrouvent régulièrement cités dans les documents dérobés par Snowden, quand ce n'est pas directement par la NSA.

 

Le problème pour ces sociétés est que la communication faite autour de ces révélations successives est particulièrement dommageable et érode littéralement la confiance des utilisateurs, sans parler de celle des entreprises. Une érosion prévue par la commissaire européenne Neelie Kroes qui indiquait en juillet dernier : « Si les entreprises ou les gouvernements pensent qu’ils pourraient être espionnés, ils auront moins de raisons de faire confiance au cloud, et ce seront finalement les fournisseurs de solutions cloud qui rateront des opportunités. Payeriez-vous quelqu’un d’autre pour héberger vos secrets commerciaux ou autres si vous suspectez qu’ils sont partagés sans votre consentement ? »

Microsoft doit garder le contrôle des données à l'échelle de la planète 

Mais cette limitation aux données stockées sur le sol des États-Unis est totalement remise en cause par la décision d’un juge fédéral de New York. Dans le cadre d’une enquête, il était en effet demandé à Microsoft de fournir de nombreuses informations sur un suspect : contenus de courriers électroniques, liste des contacts, numéros de téléphones renseignés, adresse postale, sessions de conversations horodatées, adresses IP et ainsi de suite. Problème : ces données sont hébergées sur un serveur situé à Dublin, donc hors des frontières des États-Unis.

 

Microsoft avait refusé de communiquer ces informations en se basant justement sur le fait que sur les données étaient dans un autre pays. Mais le juge James Francis a rappelé que toutes les entreprises fournissant des services internet étaient soumises à une autre loi de 1986, l'Electronic Communications Privacy Act (ECPA). De plus, la nature virtuelle du cloud efface les frontières physiques et la problématique n’est alors plus l’emplacement, mais le contrôle lui-même des données : Microsoft reste une firme américaine.

Pour Microsoft, pas de différence entre le monde réel et le monde virtuel 

Pour le juge, la défense de Microsoft ne tient pas car elle est basée avant tout sur les affaires qui ont agité la sphère médiatique depuis bientôt un an : les révélations issues des documents de Snowden. Or, il ne s’agit pas ici d’une collecte aveugle de données dans le cadre de la loi FISA, mais bien d’une enquête ciblée et criminelle. En outre, le mandat délivré aux autorités était spécifique et concernait la recherche de preuves en ligne. D’après le juge, un tel mandat ne tient pas compte non plus des frontières géographiques.

 

Du côté de Microsoft, on s’indigne : « Un procureur américain ne peut obtenir un mandat des États-Unis pour fouiller la maison d’une personne située dans un autre pays, tout comme un procureur d’un autre État ne pourrait obtenir d’autorisation dans son propre pays pour conduire une fouille aux États-Unis. Nous pensons que les mêmes règles devraient s’appliquer dans le monde en ligne, mais le gouvernement n’est pas d’accord ». David Howard, vice-président et responsable juridique, ajoute dans la foulée que Microsoft fera appel de cette décision.

La Commission rappelle qu'il existe déjà des « canaux officiels de coopération » 

Du côté de l’Europe, la position est encore plus tranchée. La Commission s’est ainsi exprimée à travers la voix de sa porte-parole Mina Andreeva sur le site de la BBC : « La position de la Commission est que ces données ne devraient pas être accessibles par ou transférées vers les autorités américaines en-dehors des canaux officiels de coopération, tels que les accords mutuels d’assistance juridique ou les accords sectoriels entre les États-Unis et l’Union qui autorisent de tels transferts ».

 

À l’heure où l’Europe met en place une protection des données personnelles, qui doit notamment bloquer tout transfert de données hors de l’Union sans accord explicite, la décision du juge ajoute donc du poids au débat actuel sur le respect de la vie privée et la considération des données personnelles. Il s'agit également d'un camouflet pour les entreprises américaines, dont Microsoft, qui noue des partenariats pour installer des serveurs locaux dans autres pays. L'argument de l'imperméabilité aux lois américaines ne tiendrait plus.

Commentaires (35)




D’après le juge, un tel mandat ne tient pas compte non plus des frontières géographiques.



Cela revient exactement à dire que la lois américaine ne s’arrête pas au sol américain, non ?

Bon, j’ai pas fait de droit, et encore moins au Etat Unis, mais là je me demande si c’est pas également le cas du juge…


C’est beau, microsoft a les fesses entre deux chaises, ils vont prendre des deux coter haha <img data-src=" />


Quand tu marches sur une fourmilière, tu as tenu compte des lois en vigueur chez elle ?

Non. Les américains n’ont pas de soucis pour les plus faibles qu’eux.








blackdream a écrit :



Cela revient exactement à dire que la lois américaine ne s’arrête pas au sol américain, non ?

Bon, j’ai pas fait de droit, et encore moins au Etat Unis, mais là je me demande si c’est pas également le cas du juge…





C’est surtout le problème d’internet depuis ses débuts. A partir du moment ou tu peux accéder de ton pays a un site web même hébergée ailleurs, ce dernier doit respecter les règles de ton pays.



Donc un site américain visible en France doit respecter les règles FR, et vice versa. C’est le même cas de figure que pour twitter vs les assocs juives de France. La nuance c’est la sanction : quand un juge condamne un site étranger, il peut au mieux faire payer des amendes a la filière locale (si elle existe) ou faire bloquer le site. Alors que si il vise un site hébergé dans son pays, il peut frapper au niveau de l’hébergement ou du responsable du site.



On voit bien que c’est vite le foutoir sans nom. D’ou la volonté de certain de faire du web, un endroit sans frontière pendant que d’autres préféreraient en faire un endroit sans nationalité.





D’après le juge, un tel mandat ne tient pas compte non plus des frontières géographiques.









blackdream a écrit :



Cela revient exactement à dire que la lois américaine ne s’arrête pas au sol américain, non ?

Bon, j’ai pas fait de droit, et encore moins au Etat Unis, mais là je me demande si c’est pas également le cas du juge…





je pense surtout que Monsieur ou Madame le juge ne voulait pas s’embarrasser de la paperasserie des accords de coop?ration internationaux sur le sujet.









yeagermach1 a écrit :



C’est surtout le problème d’internet depuis ses débuts. A partir du moment ou tu peux accéder de ton pays a un site web même hébergée ailleurs, ce dernier doit respecter les règles de ton pays.



Donc un site américain visible en France doit respecter les règles FR, et vice versa. C’est le même cas de figure que pour twitter vs les assocs juives de France. La nuance c’est la sanction : quand un juge condamne un site étranger, il peut au mieux faire payer des amendes a la filière locale (si elle existe) ou faire bloquer le site. Alors que si il vise un site hébergé dans son pays, il peut frapper au niveau de l’hébergement ou du responsable du site.



On voit bien que c’est vite le foutoir sans nom. D’ou la volonté de certain de faire du web, un endroit sans frontière pendant que d’autres préféreraient en faire un endroit sans nationalité.





Un site doit respecter la lois du pays depuis lequel il est visité. Je ne crois pas que twitter doivent respecter la lois Russe lorsqu’un utilisateur Français le consulte.

Apparemment, le juge se base sur le fait que ces données sont accessible par Microsoft sur le sol américain. En citant :



(“If the party suboenaed has the practical ability to obtain the documents, the actual physical location of the documents – even if overseas – is immaterial.”

J’ai pas tous lu ni tout compris, mais je trouve que c’est sûr ce point qu’il justifie le plus d’appliquer la lois américaine sur des données situées à l’extérieur.









blackdream a écrit :



Un site doit respecter la lois du pays depuis lequel il est visité. Je ne crois pas que twitter doivent respecter la lois Russe lorsqu’un utilisateur Français le consulte.

Apparemment, le juge se base sur le fait que ces données sont accessible par Microsoft sur le sol américain. En citant :

J’ai pas tous lu ni tout compris, mais je trouve que c’est sûr ce point qu’il justifie le plus d’appliquer la lois américaine sur des données situées à l’extérieur.







Non je suis d’accord mais dans notre cas, le monsieur a qui appartient le compte, il est quoi exactement ? Allemand, irlandais, américains, autres ? Si il est américain, le juge américain est compétent.









blackdream a écrit :



Cela revient exactement à dire que la lois américaine ne s’arrête pas au sol américain, non ?

Bon, j’ai pas fait de droit, et encore moins au Etat Unis, mais là je me demande si c’est pas également le cas du juge…







Ou ça revient a dire qu’une entreprise américaine (ou ayant une présence légale aux US) ne peut se soustraire a la loi en extradant ses données sur des serveurs étrangers. Bref, c’est pas simple.









yeagermach1 a écrit :



Non je suis d’accord mais dans notre cas, le monsieur a qui appartient le compte, il est quoi exactement ? Allemand, irlandais, américains, autres ? Si il est américain, le juge américain est compétent.







Il me semble qu’il est compétent même si le gars n’est pas américain, mais il a commis son crime 1) sur le sol américain ou 2) contre un citoyen américain. Après l’histoire de la legalite du “rapatriement” des données c’est plus complexe a gérer pour MS mais ils risquent de l’avoir DLC a cause de leur présence légale aux US.









Galahad a écrit :



Il me semble qu’il est compétent même si le gars n’est pas américain, mais il a commis son crime 1) sur le sol américain ou 2) contre un citoyen américain. Après l’histoire de la legalite du “rapatriement” des données c’est plus complexe a gérer pour MS mais ils risquent de l’avoir DLC a cause de leur présence légale aux US.







Pour la compétence, c’est comme cela que cela se passe en France, donc cela doit être la même chose aux USA.



Pour le reste, le truc c’est qu’on a pas les tenants et aboutissants de l’affaire. Tout ce que l’on sait c’est qu’un juge américain veut des données qui se trouvent pas aux USA.









yeagermach1 a écrit :



Non je suis d’accord mais dans notre cas, le monsieur a qui appartient le compte, il est quoi exactement ? Allemand, irlandais, américains, autres ? Si il est américain, le juge américain est compétent.





Heu, il est compétent pour faire une demande d’extradition du pays concerné de l’utilisateur ou des données vers le sol américain.

Enfin je croyais.

Je n’ai jamais vu aucun juge faire une demande de perquisition dans un pays étranger, sans passer par la justice de ce pays.









blackdream a écrit :



Heu, il est compétent pour faire une demande d’extradition du pays concerné de l’utilisateur ou des données vers le sol américain.

Enfin je croyais.

Je n’ai jamais vu aucun juge faire une demande de perquisition dans un pays étranger, sans passer par la justice de ce pays.





Ah si ca on le voit souvent. Juste en France avec l’affaire twitter. Le juge fr a snobé les systèmes classiques pour ordonner directement a twitter us.









yeagermach1 a écrit :



Pour la compétence, c’est comme cela que cela se passe en France, donc cela doit être la même chose aux USA.



Pour le reste, le truc c’est qu’on a pas les tenants et aboutissants de l’affaire. Tout ce que l’on sait c’est qu’un juge américain veut des données qui se trouvent pas aux USA.







Il y a aussi le fait que certaines donnees sont considérées comme propriété des sociétés de telecom, pas des individus (je ne sais pas pour le contenu des emails, mais pour les connexions téléphoniques c’est le cas). Donc dans le cas present, ce serait demander a MS de fournir quelque chose qui leur appartient et la le juge se fout de savoir si les donnees sont au pole nord vu que MS est une societe US et/ou fait du buisness aux US.



C’est juste un comportement scandaleux du juge américain! Quand on mène une enquête pénale, et qu’on doit récupérer des données sur un serveur étranger, on utilise toujours l’entraide judiciaire internationale!



Oui, c’est chiant et assez long, donc la plupart des magistrats disent “bon, c’est possible, mais franchement, on préfère vous envoyez vous faire foutre” (en plus joli), mais c’est le seul moyen de ne pas porter atteinte à la souveraineté des Etats.



Cela va dans le sens des lois américaines extraterritoriales qui sont souvent stupides, scandaleuses, voire même illégales au sens du droit international.








SuperMot a écrit :



C’est beau, microsoft a les fesses entre deux chaises, ils vont prendre des deux coter haha <img data-src=" />





Tu peux être sûr que si c’est comme ça pour MS, c’est la même chose pour toutes les autres entreprises US hein!









yeagermach1 a écrit :



Ah si ca on le voit souvent. Juste en France avec l’affaire twitter. Le juge fr a snobé les systèmes classiques pour ordonner directement a twitter us.





Heu moi la dernière news que j’ai lu sur twitter, c’est un juge Français qui déclare ne pas avoir les moyens techniques de demander l’identité d’un twitter… (j’arrive pas à la retrouvé, mais c’étais sur PCI NTI









blackdream a écrit :



Heu moi la dernière news que j’ai lu sur twitter, c’est un juge Français qui déclare ne pas avoir les moyens techniques de demander l’identité d’un twitter… (j’arrive pas à la retrouvé, mais c’étais sur PCI NTI





Non la juge française a estimé qu’elle pouvait se passer des procédures internationalles classiques alors que c’est ce que twitter demandait.









yeagermach1 a écrit :



Non la juge française a estimé qu’elle pouvait se passer des procédures internationalles classiques alors que c’est ce que twitter demandait.





Ah, donc twitter avait finalement donné l’identité ? Ce n’est pas ce que j’en avais retenu. Mais pour le coup, j’arrive pas à retrouver la news.



Trouvé :http://www.nextinpact.com/news/86033-relaxe-dune-elue-poursuivie-pour-retweet-di…



Finalement, les autorités n’ont pas réussi à remonter jusqu’à l’auteur du tweet. Ce dernier utilisait un pseudonyme et Twitter a refusé de livrer ses données d’identification à la justice.



Mais bon comme Microsoft est américain et que Tweeter n’est pas français, mon exemple était pas terrible.


La réponse de la Commission Européenne me semble adaptée.

Enfin, si elle s’accompagne d’actes du moins…


Le juge s’embarrasse pour rien, il faut envoyer l’escouade d’assaut de la même manière qu’en Australie.


Question bête : pourquoi Microsoft ne quitterait pas les États-Unis pour s’installer dans un autre pays ?

Je suis sûr qu’il y en a plein sur le globe avec une fiscalité bien plus avantageuse pour les grosses firmes et qui ne s’encombrent pas de loi à la con comme aux USA, ce serait tout bénef pour eux. Le seul inconvénient que j’y vois serait le recrutement de talents, sûrement plus nombreux au pays de l’oncle Sam, mais bon…




Une décision qui pourrait marquer un tournant dans l’approche des problématiques de respect de la vie privée.





Le monde vu par les USA: “t’es pas américain, t’as pas de droits”.


Il y aurait donc d’autres colonies américaines que la France en Europe ?


C’est complexe en effet ,si on considère que c’est le pays qui héberge les données qui prime, il suffirait d’installer ses serveurs dans les fond marins pour être tranquille sur toutes lois.















<img data-src=" /><img data-src=" />



Mais en toute logique, le juge doit s’adresser à la justice irlandaise.


En Irlande il font de très bon cocktails Molotov pour lui foutre sur la gueule au dessert…<img data-src=" />



<img data-src=" />


Donc si l’on en doutait encore, l’open bar signé par l’armée fonctionnera dans les deux sens.








Galahad a écrit :



Il y a aussi le fait que certaines donnees sont considérées comme propriété des sociétés de telecom, pas des individus (je ne sais pas pour le contenu des emails, mais pour les connexions téléphoniques c’est le cas). Donc dans le cas present, ce serait demander a MS de fournir quelque chose qui leur appartient et la le juge se fout de savoir si les donnees sont au pole nord vu que MS est une societe US et/ou fait du buisness aux US.





Aux US comme en France, il y a un truc qui s’appelle le “secret des correspondances” ce que certaines lois US tentent d’oublier.

C’est pour cette raison que FISA & Co ne peuvent pas écouter des américains.





Winderly a écrit :



Le juge s’embarrasse pour rien, il faut envoyer l’escouade d’assaut de la même manière qu’en Australie.





La Nouvelle Zeland c’est pas l’Australie, enfin, du point de vue droit international… Jusqu’a preuve du contraire elle a sa souveraineté.





Berri-UQAM a écrit :



Question bête : pourquoi Microsoft ne quitterait pas les États-Unis pour s’installer dans un autre pays ?

Je suis sûr qu’il y en a plein sur le globe avec une fiscalité bien plus avantageuse pour les grosses firmes et qui ne s’encombrent pas de loi à la con comme aux USA, ce serait tout bénef pour eux. Le seul inconvénient que j’y vois serait le recrutement de talents, sûrement plus nombreux au pays de l’oncle Sam, mais bon…





Pour certains contrats, qui a dit juteux, avec la gouvernement, ça passe obligatoirement par des firmes US. Regarde les ventes successives de BigBlue pour les PC et serveurs ;)





after_burner a écrit :



C’est complexe en effet ,si on considère que c’est le pays qui héberge les données qui prime, il suffirait d’installer ses serveurs dans les fond marins pour être tranquille sur toutes lois.





<img data-src=" /><img data-src=" />



Mais en toute logique, le juge doit s’adresser à la justice irlandaise.





Y’en a qu’on essayé, au large de la grande bretagne, sur des vieilles plateformes construites lors de la seconde guerre mondiale, hors des eaux territoriales britaniques. TPB avait envisager de s’y installer, mais ça ne s’est pas fait pour raison évidente… au fond de l’océan, personne ne les entendra crier <img data-src=" />









the_Grim_Reaper a écrit :



La Nouvelle Zeland c’est pas l’Australie, enfin, du point de vue droit international… Jusqu’a preuve du contraire elle a sa souveraineté.





Voila j’ai encore démontré mon incompétence en géographie. <img data-src=" />









yeagermach1 a écrit :



Pour la compétence, c’est comme cela que cela se passe en France, donc cela doit être la même chose aux USA.





Je ne dis pas que tu n’as pas raison sur le principe, mais vu que le peuple américain est souverain, et donc sa justice, tu ne peux pas demander que les américains fasse comme en France, ni l’inverse. ça n’aurait aucun sens.







the_Grim_Reaper a écrit :



Y’en a qu’on essayé, au large de la grande bretagne, sur des vieilles plateformes construites lors de la seconde guerre mondiale, hors des eaux territoriales britaniques. TPB avait envisager de s’y installer, mais ça ne s’est pas fait pour raison évidente… au fond de l’océan, personne ne les entendra crier <img data-src=" />





Il y a eu des exemples dans les années 70-80 avec des radios pirates, notamment Radio Caroline, ça s’est fini par une descente des fusilliers de marines britanniques dans les eaux internationales (ce qui est considéré par le droit comme un acte de piraterie…), comme quoi le droit (y compris internationale), ça dépend des fois du sens du vent…









Winderly a écrit :



Voila j’ai encore démontré mon incompétence en géographie. <img data-src=" />





<img data-src=" /> tu sais ce qu’il te reste à faire alors…





tschaggatta a écrit :



Je ne dis pas que tu n’as pas raison sur le principe, mais vu que le peuple américain est souverain, et donc sa justice, tu ne peux pas demander que les américains fasse comme en France, ni l’inverse. ça n’aurait aucun sens.





Il y a eu des exemples dans les années 70-80 avec des radios pirates, notamment Radio Caroline, ça s’est fini par une descente des fusilliers de marines britanniques dans les eaux internationales (ce qui est considéré par le droit comme un acte de piraterie…), comme quoi le droit (y compris internationale), ça dépend des fois du sens du vent…





Rah ces british ! On ne les refait pas… <img data-src=" />



Ce qu’il manque c’est une loi internationale.

Le problème ici est que la limite de chaque état n’est pas défini.



Malheureusement, avec la virtualisation des lieux des Datacenter, il est impossible de se donner la limite physique pour savoir quelle loi s’applique.

Demain on hébergera peut-être dans des endroits n’appartenant à aucun pays ou un stockage explosé sur plusieurs Datacenter.



Je pense que seules des lois internationales peuvent régler le problème








yeagermach1 a écrit :



C’est surtout le problème d’internet depuis ses débuts. A partir du moment ou tu peux accéder de ton pays a un site web même hébergée ailleurs, ce dernier doit respecter les règles de ton pays.



Donc un site américain visible en France doit respecter les règles FR, et vice versa. C’est le même cas de figure que pour twitter vs les assocs juives de France. La nuance c’est la sanction : quand un juge condamne un site étranger, il peut au mieux faire payer des amendes a la filière locale (si elle existe) ou faire bloquer le site. Alors que si il vise un site hébergé dans son pays, il peut frapper au niveau de l’hébergement ou du responsable du site.



On voit bien que c’est vite le foutoir sans nom. D’ou la volonté de certain de faire du web, un endroit sans frontière pendant que d’autres préféreraient en faire un endroit sans nationalité.







Faux, tu peux trouver des pages ebay avec des articles nazis en vente libre (et autorisée), en allant sur ebay.us/.com (et pas fr), alors que c’est illegal chez nous.

Cela avait fait grand bruits il y a qques années, un filtrage bidon par reconnaissance d’ip du pays a été mis en place, mais j’ai pas besoin de t’apprendre que pour ce que ca interessent, c’est de la branlette en poudre !









Niktareum a écrit :



Faux, tu peux trouver des pages ebay avec des articles nazis en vente libre (et autorisée), en allant sur ebay.us/.com (et pas fr), alors que c’est illegal chez nous.

Cela avait fait grand bruits il y a qques années, un filtrage bidon par reconnaissance d’ip du pays a été mis en place, mais j’ai pas besoin de t’apprendre que pour ce que ca interessent, c’est de la branlette en poudre !





En gros tu me dis que j’ai faux, puis que j’ai vrai mais que dans la vrai vie on peut pas l’empêcher …



Alors je vais me répéter. Toute page web accessible en France doit répondre aux exigences de la loi Française.



Ça c’est la théorie. Dans la pratique, c’est juste impossible a mettre en place pour plein de raisons techniques.



Comme le dit Sepas, il faudrait une loi internationale mais qui arrivera jamais parce que c’est quand même très compliqué de mettre d’accord tous les pays du monde vu qu’il en suffit d’un pour la nullifier.









yeagermach1 a écrit :



.





Mon propos (pas hyper clair, je l’avoue), etait plutot de dire que meme sil y a des lois, ils ne s’y plient que comme ca les arrangent et que de toute facon, ils se seront pas taper dessus.



En gros, tlm s’en bat les reins, on mets juste un petit ecran de fumée juste pour dire que.



Fermer