La Cour suprême américaine a pris sous la main le dossier opposant Microsoft au ministère de la Justice. Question fondamentale : le FBI peut-il, comme il le prétend, accéder à des emails stockés en Irlande par l'éditeur de Redmond ? Pour évoquer cette affaire, nous avons interviewé Me Jean-Sébastien Mariez.
L’avocat Jean-Sébastien Mariez est spécialisé dans les domaines des nouvelles technologies. Il a participé dans le passé à plusieurs dossiers en défense de grandes entreprises, notamment Microsoft. Il a bien voulu répondre à titre personnel aux problématiques soulevées par ce bras de fer américain, sous l’angle de la jurisprudence de la Cour de justice de l’Union européenne et des principes de souveraineté.
Quel est le contexte de cette procédure devant la Cour suprême ?
Nous sommes dans une procédure pénale en matière de stupéfiants débutée en 2014. Le FBI a fait une réquisition de données de contenus, en l’occurrence des emails, à l’encontre de Microsoft. Les termes du débat sont les suivants : Microsoft soutient que pour obtenir des données situées en dehors du territoire américain, le FBI n’a pas d’autres choix de passer que par des instruments légaux comme les traités d'assistance judiciaire mutuelle (ou Mutual legal assistance treaty, MLAT, ndlr).
Si Microsoft évoque la coopération internationale, le gouvernement américain estime que ce n’est pas nécessaire. En pratique, il considère avoir le pouvoir de solliciter de manière unilatérale l’exercice de prérogative extraterritoriale sur des données situées en Europe, en l’occurrence en Irlande.
Au stade de la cour d’appel, au circuit de New York, l’éditeur l’a emporté face au gouvernement américain. Le dossier est maintenant dans les mains de la Cour suprême.
Y a-t-il eu des précédents ?
Les analogies sont toujours délicates, mais on peut dresser un parallèle avec deux affaires déjà jugées par la Cour de cassation en France s’agissant de Google Inc. et son homologue belge pour Yahoo. À chaque fois, le raisonnement a été le même : les actes d’enquêtes sont des actes domestiques, sans effet hors du territoire. Dans l’affaire française de novembre 2013, la Cour de cassation a par exemple considéré que les OPJ ont toujours la possibilité de demander directement à une partie privée étrangère des données, pour autant qu’il n’y ait pas de recours à des moyens coercitifs.
Aux États-Unis, la question est désormais de savoir si le texte sur lequel se fondent les autorités a une vocation extraterritoriale…ou pas. Le FBI estime que ces opérations sont des actes d’enquêtes domestiques qui n’exigent pas de coopérations internationales. Il n’y aurait donc pas d’ingérence dans la vie privée hors du territoire américain puisque lorsque les agents ouvriront les paquets de données, ils seront sur le territoire américain.
La question n’est finalement pas propre au droit américain mais soulève la problématique d’une coopération judiciaire efficace en raccord avec le cadre des droits fondamentaux.
C’est aussi une problématique du respect de la juridiction de chaque État…
Il y a trois difficultés au regard des intérêts croisés des citoyens européens, des fournisseurs de services et des États. Ce qui saute aux yeux, c’est le conflit de loi. Un fournisseur de service aura un choix assez cornélien s’il est établi dans un État qui lui interdit de répondre à la réquisition d’un État tiers mais que celui-ci l’enjoint de lui transmettre des données sous peine de sanctions.
Un tel acteur serait en porte à faux avec les autorités de contrôles comme la CNIL, au regard de la protection des données personnelles et demain du Règlement général de protection des données (RGPD), mais aussi vis-à-vis de ses clients qui ont très à cœur que leur vie privée soit protégée. S’il y a transfert vers les États-Unis suite à un acte unilatéral des autorités américaines, il n’y a aucune garantie que les conditions de fond et de procédure requises par le droit de l’UE soient respectées.
Du coup, est-ce que cette affaire peut rejaillir sur le Privacy Shield ?
D’une façon ou d’une autre, oui. Le Privacy Shield est un instrument juridique du droit de l’Union. Si la Cour suprême donne finalement raison au gouvernement américain, cette décision ne va pas réserver le cas de cet accord passé avec la Commission européenne. Il y aura accès, point, et le droit de l’Union européenne n’est pas pris en considération à ce stade.
Voilà pourquoi il y aurait intérêt à ce que des États membres se lancent dans un amicus curiae (une intervention volontaire dans ce procès pour défendre un point de vue, ndlr). Celui de l’Irlande est d’ailleurs très clair lorsqu’il soulève la problématique de souveraineté de ce dossier américain.
Un État, ici l’Irlande, détermine en pleine souveraineté les conditions procédurales à remplir pour qu’un prestataire de service internet puisse être autorisé à communiquer des données. Voilà maintenant une décision de la Cour suprême qui risque d’opter pour une décision sans considération de ces règles-là.
Ces questions concernent également la réciprocité. À la lecture de cet article du Monde, on a l’impression que certains au gouvernement français pensent que cet accès pourra se faire sous réserve de réciprocité. Mais ce critère n’est pas plus intégré à la position soutenue dans les écritures du ministère de la Justice américain. D’ailleurs la loi empêche la réciprocité s’agissant des données de contenus. On essaie de ménager la chèvre et le chou alors que cette réciprocité ne peut avoir lieu qu’encadrée dans le marbre d’une convention internationale.
Quels liens voyez-vous avec les chantiers européens notamment celui de la preuve numérique ? (e-evidence)
On a encore l’impression, toujours du côté du gouvernement français, que cette procédure américaine ne donnera lieu à aucun conflit avec le droit de l’Union européenne.
Depuis ces dernières années, le législateur européen a subi d’importants revers devant la Cour de justice de l’Union européenne. Il y a eu l’annulation de la directive sur la conservation des données, l’annulation du Safe Harbor et l’arrêt Télé2.
Au fil de ces décisions, la Cour a fixé une sorte de boite à outils, une grille de lecture des exigences relatives à la garantie des droits « by design », censées êtes prises en compte par le législateur européen dans tous les instruments en cours d’élaboration. En 2017, le Contrôleur européen à la protection des données a d’ailleurs diffusé un guide pour rappeler ces impératifs à l’attention des autorités.
Sur le projet « e-evidence », lorsqu’on regarde la consultation ouverte par la Commission jusqu’au 27 octobre, les questions posées donnent le sentiment que la Commission se demande si on doit se conformer à ces lignes directrices, notamment s’agissant du cadre procédural relatif à l’accès des données d’un État A vers un État B.
Particulièrement, la Commission veut savoir si cet accès doit être limité à une liste d’infractions bien déterminées… ce qui est frappant est qu’il s’agit là d’impératifs issus du droit de l’Union et de la jurisprudence de la Cour de justice !
On se retrouve ici avec un cas identique, celui d’une autorité d’un État qui demande à un fournisseur de service en ligne de transférer des données, sans passer par son homologue étranger. Selon moi, les exigences de la Cour européenne devraient pousser les États membres sur la voie d’un amicus curiae afin de faire valoir que sans ces garanties, un accès, qu’il soit demandé outre-Atlantique ou intra-européen, ne peut pas fonctionner.
Nous sommes aujourd’hui dans une ère post-Snowden avec des instruments juridiques annulés par la Cour de justice, ce n’est pas rien ! Malgré ces rappels à l’ordre, des États membres et la Commission européenne visiblement n’en tirent pas les leçons, y compris au regard de l’opinion publique.
Merci Jean-Sébastien Mariez.
Commentaires (40)
Me demande si les USA accepterons la réciprocité.
" /> J’y crois peu personnellement.
Merci pour cet article passionnant!
On a vraiment l’impression que l’UE marche sur des oeufs: Elle devrait s’insurger et dénoncer le risque d’ingérence grossière dans le système judiciaire d’un de ses Etats membres, mais en même temps elle attend que les USA établissent un précédent lui permettant de justifier l’instauration d’un système pareil.
J’ose espérer que si la cour suprême des Etats-Unis se range du côté du FBI, il s’agira du dernier clou dans le cercueil du “privacy shield”, mais quand on voit le peu de cas qu’ils ont fait de la décision précédente de la CJUE, j’en doute.
Les autorités peuvent toujours passer par la voie traditionnelle, et contacter un courtier de données partenaires de MS
" />
" />
Le soucis est que l’Europe est devenu très dépendante militairement des USA. On parle de l’Europe de la Défense mais surtout pour le renseignement.
Les document de Mr SNOWDEN ont bien montré cette dépendance.
Et les ministères européen de l’intérieur a cause de cette dépendance ont un avis biaisé sur le numérique.
Et on se retrouve avec des gouvernements/législateurs européen qui ont des avis en total opposition avec la CJUE qui a pourtant bien développé son raisonnement.
parce que le privacy shield est la reconnaissance, par la Commission, que le système juridique US offre une protection suffisante aux standards européens, permettant ainsi aux responsables du traitement de transférer des données aux Etats-Unis sans autre procédure ou autorisation.
L’accès de l’Etat aux données stockées fait partie des critères que la Commission doit examiner. C’était par ailleurs un des points de friction lors des négociations, les USA ne voulant rien savoir par rapport à leur programme de surveillance (violant pourtant les principes de protection des données des citoyens européens).
Ici, on parle d’une extension considérable de la capacité de l’Etat à accéder à des données personnelles de citoyens européens potentiels. Il est donc normal que cette mesure soit prise en compte lors de l’établissement d’une décision d’adéquation. Le lien est indirect avec le privacy shield
Par ailleurs, le privacy shield est déjà contesté parce qu’il ne semble pas réparer les défauts de son prédécesseur. On peut donc légitimement se demander quel sera le futur de cet accord.
Plus politiquement, en cas de décision de la cour suprême favorable au FBI, on assisterait à une modification considérable du rapport de force entre l’UE et les USA en ce qui concerne les données personnelles, ce qui pourrait mener l’UE à prendre des mesures plus strictes vis à vis des collecteurs, ou les USA à considérer le privacy shield comme vide de sens (comme tu le dis toi même). Indirectement, cette décision challenge l’existence même de cet accord (pour le mieux ou le pire)
@ Liara t’soni
" />
Et passer par un courtier de l’ombre, c’est illégal
On est donc d’accord, le rapport n’est qu’indirect (comme tu le dis 2 fois) parce qu’une décision en faveur du FBI serait assez représentative de “l’état d’esprit” des USA.
Non, parce que au moins, on saurait que l’on n’est pas protégé. Tandis qu’avec des données en Irlande, on pense être protégé par la législation Européenne alors qu’on ne le serait plus.
J’avais pas vu le sous-titre!
" />
Un amicus curiae de la France ?
Je n’ai rien compris.
Je ne suis toujours pas sûr de bien comprendre, mais j’ai l’impression que tu n’as pas tout saisi si tu parles du cas qui oppose MIcrosoft au FBI :
Le FBI demande directement à Microsoft US de fournir les données (qui peut y accéder depuis les USA par le réseau interne de Microsoft) sans intervention de la justice Irlandaise. Ils ne comptent donc pas sur l’Irlande comme tu le dis.
Microsoft au contraire dit : demandez à la justice Irlandaise d’autoriser l’accès aux données et on vous le donnera.
Ensuite, je ne saisis pas ce qui est pour toi “la justice américaine” ce qui rend difficile à comprendre le reste de ton message. La justice américaine a déjà tranché sur ce cas en faveur de Microsoft. Par contre, maintenant, c’est la cour suprême qui doit se prononcer. C’est la plus haute autorité judiciaire qui pour comparer à chez nous est un mélange de cour de cassation (ou conseil d’état) et du conseil constitutionnel chez nous.
Ok, j’envisageai une suite différente, mais je comprends, ils cherchent à rendre responsable Windows.
Microsoft se retrouve un peu au milieu de la mêlée sans trop le vouloir.
Ils ont juste peur de se retrouver dans la situation où ils sont à la fois obligés de transmettre les données au FBI, et à la fois empêchés de les donner parce que l’Irlande n’a pas donné son accord. C’est pour ça qu’ils se battent en justice.
Par contre, si le FBI gagne, il sera plus facile aux américains d’accéder à des données que les Européens considèrent (en principe) comme étant sous leur juridiction, ce qui pose de nombreuses questions politiques et de sécurité. ça remettrait en question le fonctionnement même de la protection des données personnelles européenne.
Ce n’est pas parce que la justice américaine accepte un jugement que CJUE en fera autant, toutes les lois ne sont pas identiques des deux côtés de l’Atlantique
C’est là tout le problème pour Microsoft:
Est-ce que tu refuse d’obéir à la justice américaine (et tu prend des amendes, de la prison jusqu’à ce que tu accepte ou que tu tombe en faillite) pour respecter la décision de la CJUE?
Ou est-ce que tu refuse d’obéir à la CJUE pour respecter la décision des américains?
Dans tous les cas t’es perdant parce que t’as tout à perdre de chaque côté et c’est précisément ce que Microsoft veut éviter. Ils voient que l’UE a plutôt tendance à considérer que l’Irlande doit être consultée et savent donc qu’accepter la demande du FBI les rendrait punissable en europe: ils se battent donc pour que les USA considère que l’irlande doit être consultée aussi.
Je retire un point pour l’emploi de « adeptes », qui aurait pu être avantageusement remplacé par « sectateurs » ou même « séides ».
On n’a plus le droit de poster en regardant par la fenêtre ?
" />
Interdire la conservation des données dans tel pays (peu importe la raison) m’a toujours fait rire. En réalité, rien ne prouvera jamais cette non conservation puisque les données peuvent être copiées, fut-ce en invoquant les sauvegardes. L’idée est bonne en théorie mais basée de fait sur la bonne foi donc inapplicable en réalité.
il faut qu’elles soient obtenues légalement pour s’en servir en justice.
Avec les nombreux régimes d’exception, il y a moyen de se retrouver à Guantánamo suite à l’accès du FBI à des informations non recevables devant un juge.
@ Quiproquo
" />
C’est un peu comme “Le tatoué” et ses oubliettes, personne n’à rien vu
je ne vois pas en quoi c’est irréalisable: on peut utiliser des moyens techniques qui permettent de décider de l’endroit où sont stockées les données, et même de gérer leur transit. Il existe des moyens juridiques qui permettent d’obliger les entreprises qui collectent des données à le faire d’une manière respectant les principes posés par la loi.
On peut punir les entreprise qui ne respectent pas les règles, et les amendes prévues par le nouveau règlement peuvent mettre en faillite des boites. Les entreprises doivent étudier l’impact sur les données personnelles du traitement qu’elle prévoient et elles doivent garder une trace du traitement.
Techniquement, les moyens sont ou seront là. et il ne faut pas oublier le cadre juridique qui le complémente bien en prévoyant comment la société attend des entreprises qu’elles se comportent. La situation n’est pas différente de d’autres domaines.