Emails en Irlande : le DoJ mène le combat contre Microsoft devant la Cour Suprême
Imbroglio contre harmonisation
Le 26 juin 2017 à 14h55
7 min
Droit
Droit
Dans la bataille qui l’oppose au ministère américain de la Justice, Microsoft a remporté deux victoires. Mais le DoJ ne s’avoue pas vaincu et souhaite maintenant que le combat remonte jusqu’à la Cour Suprême. Alors que Google perd du terrain dans une situation similaire, la question du stockage dans le cloud est toujours l’enjeu majeur de l’affrontement.
Durant l’été 2014, une nouvelle saga est apparue. Dans une affaire de trafic de drogue, il avait été demandé à Microsoft de fournir les emails stockés dans son service Outlook.com. Une profonde différence d’opinion s’était alors manifestée.
Pour la justice américaine, il apparaissait naturel de réclamer ces emails à Microsoft, puisque l’entreprise possédait le service dans lequel ils étaient stockés. Mais pour elle, une telle récupération était impossible : les emails étaient enregistrés sur un serveur situé en Irlande.
La délicate question du périmètre juridique du cloud
Les deux visions sont inconciliables et ne sont toujours pas tranchées à ce jour. Pour le département de la Justice, l’emplacement du stockage est sans objet. Les emails sont dans le cloud de Microsoft : qu’importe l’emplacement physique des serveurs, ils sont réunis sous forme d’une immense grappe alimentant le service.
Microsoft, de son côté, a une vision tout à fait contraire. Que la firme ait été poussée ou pas par l’immense danger d’une chute de confiance dans les solutions de type cloud après le passage d’Edward Snowden, elle a martelé avec force son point de vue. Ainsi, impossible d’extraire les données des serveurs irlandais en se basent sur un simple mandat de recherche. Ce dernier, délivré par un tribunal américain, n’aurait ainsi aucune valeur sur le sol irlandais.
Pourquoi ? Parce qu’un centre de données n’est pas une ambassade. Le bâtiment est bien en Irlande, et tout ce qui s’y trouve obéit aux lois irlandaises. Microsoft avait exposé ses craintes : en utilisant le mandant, l’éditeur avait peur de déclencher un véritable imbroglio juridique.
Un mandat n'opère qu'au sein des frontières de son pays
Il n’existe en effet aucune loi internationale résolvant ces problèmes. « Tout » ce que la firme demandait, c’est qu’un nouveau terrain juridique soit aménagé. Dans le cas contraire, si la justice forçait Microsoft à récupérer les emails, il était à craindre que l’Irlande puisse de son côté émettre à son tour des mandats de recherche pour des situations similaires.
La conséquence juridique était donc particulièrement limpide : un mandat de recherche délivré par le tribunal d’un pays spécifique ne pouvait valoir qu’au sein de ses propres frontières. Microsoft soulignait d’ailleurs que la question n’aurait même pas été posée si le mandat avait désigné la recherche de preuves physiques dans un domicile : jamais le FBI ne serait intervenu sur le sol irlandais d’une telle manière.
Le cloud avait donc beau être étalé sur toute la surface de la terre, il obéissait lui aussi aux frontières étatiques. Peut-être la peur d’offusquer une Irlande particulièrement accommodante pour son siège européen a-t-elle apporté un lot supplémentaire de motivation à l’entreprise.
Le département de la Justice ne veut pas lâcher l’affaire
Initialement, Microsoft perdait la bataille. Pourtant, aidée notamment des nombreux amicus curiae fournis par de nombreux autres entreprises (dont Verizon et Apple) et l’EFF, l’éditeur a fini par renverser la vapeur. Gagnant finalement en première instance, il a fini également par remporter une seconde victoire en février dernier, le DoJ ayant insisté pour obtenir ces emails.
Le département ne veut cependant toujours s’avouer vaincu. Il a demandé à la Cour Suprême, la plus haute instance des États-Unis, de prendre l’affaire en main. Brad Smith, directeur juridique de Microsoft, a ainsi publié à l’entrée du week-end un billet de blog exposant la situation. Il s’étonne notamment de la requête du DoJ alors même que le Congrès américain dans son ensemble (Chambre des représentants et Sénat) semble pencher une nécessité de revoir la loi.
Tant la Chambre que le Sénat reconnaissent le besoin de moderniser la loi. Les demandes de la justice s’appuient en effet sur le Stored Communications Act, lui-même faisant partie de l’Electronic Communications Privacy Act, qui date de 1986. Or, comme on peut le lire dans ce document du Sénat daté du 16 mai dernier, le contexte a très largement changé en 30 ans.
Dans le futur, l'ICPA et le RGPD
Smith rappelle que l’année dernière, un projet de loi a été introduit par une alliance bipartite de sénateurs et représentants, l’International Communications Privacy Act, ou ICPA. Elle n’a pas été votée en l’état mais a reçu de nombreux commentaires, qui seraient en cours d’intégration pour que le projet soit à nouveau présenté. La loi pose les bases d’un nouveau regard sur le périmètre juridique des données stockées dans le cloud.
Mais le DoJ ne souhaite pas attendre que cette nouvelle loi voie le jour. Pour le ministère, il semble évident que l’enquête ne peut pas attendre que les débats soient terminés. Il est également probable que le DoJ cherche à hâter le processus, avant l’entrée en vigueur dans moins d’un an du Règlement général sur la protection des données, ou RGPD. Brad Smith rappelle qu’en vertu de ce texte, il deviendrait tout bonnement illégal d’effectuer un tel transfert de données sur la base d’un mandat américain unilatéral.
Un contraste qui reste piquant
Le fait est que l’affaire, si elle est portée devant la Cour Suprême, prendra un autre tournant. Dans le contexte actuel, il est probable que la plus haute juridiction du pays aille dans le sens du vent, sans qu’il y ait certitude pour autant.
Si la Cour devait trancher en faveur du DoJ, elle établirait une puissante jurisprudence. Google, qui mène un combat similaire mais est pourtant en train de perdre, suit sans doute de près le développement de l’affaire. Car si, au contraire, la Cour devait statuer en faveur de Microsoft, il est très probable que la défense de la firme de Mountain View s’en trouverait considérablement renforcée.
Reste que la problématique dans son ensemble ne risque pas de trouver de réponse claire avant un moment. Si la Cour Suprême devait confirmer les verdicts rendus jusqu’à présent, une partie seulement du brouillard serait dissipée : les entreprises n’auraient plus à récupérer des données stockées dans un autre pays.
D’un autre côté, le souci de la bonne marche d’une enquête reste entier. Le FBI, en charge de l’affaire initiale, n’a pas pu récupérer les éléments de preuve. Si le cadre juridique global se confirme, il faudra sans doute passer par une coopération internationale nettement renforcée.
Emails en Irlande : le DoJ mène le combat contre Microsoft devant la Cour Suprême
-
La délicate question du périmètre juridique du cloud
-
Un mandat n'opère qu'au sein des frontières de son pays
-
Le département de la Justice ne veut pas lâcher l’affaire
-
Dans le futur, l'ICPA et le RGPD
-
Un contraste qui reste piquant
Commentaires (11)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 26/06/2017 à 15h27
Sujet épineux anéfé… Je suis très partagé… Les e-mails stockés en Irlande appartiennent à un citoyens américain ?
Après comme précisé dans l’article, dans le cas d’une intervention physique, une telle situation n’existerai pas, alors quoi, le cloud est juridiquement sans frontière ? J’aimerais bien voir la tête des ricain si l’Irlande demandait des données stockées sur le sol US !
Le 26/06/2017 à 15h57
Le 26/06/2017 à 16h23
J’ai lu qu’un des juges de la Cour Suprême allez prendre sa retraite.
Le Monde
Le 26/06/2017 à 16h52
Et pendant ce temps l’Irlande en pense quoi? Désolé si c’est dans l’article j’ai lu un peu diagonal je l’avoue " />
Le 26/06/2017 à 17h27
Finalement ça serait très bien si la cour suprême tranchait en faveur du doj, ça mettrait à terre pas mal de chose. " />
Le 26/06/2017 à 20h17
J’ai le sentiment que l’Irlande est en mode Wait & See dans cette affaire.
Le 26/06/2017 à 22h46
Je pense que si la Cour suprême tranche en faveur du DoJ, c’en est fini du Safe Harbour en Europe …
La Commission Européenne doit suivre attentivement le verdict final.
Le 27/06/2017 à 05h55
Personnellement, je comprends la crainte de l’entreprise qui risque de se faire tacler pour atteinte a la vie privée si elle fourni des mails … mais franchement c’est abusé le nombre de géants du net qui s’opposent aux demandes des instances judiciaires.
Dès le moment où la maison mère d’une entreprise est sur le sol d’un pays, ce pays devrait être a même de consulter sur mandat toutes les données de l’entreprise ou quelles soient stockés.
Je vais mettre mes devis et factures sur un serveur en Russie, quand l’URSAAF viendra me contrôler on verra si ce genre de défense fonctionne tiens…
Le 27/06/2017 à 06h49
@Pypix: donc pas de problèmes si, par exemple, la Chine exige des données sur des opposants dont les serveurs sont en Europe ?
Le 27/06/2017 à 07h32
C’est sujet a débat, il y a de bons arguments dans les deux sens. Mais si c’était aussi simple l’Europe ne se battrai pas contre le stockage des données hors UE car inutile.
Qui plus est, ce qui fait que MS refuse de fournir les données c’est parce que le mandat n’est valable que sur le sol US. Avoue que se serai un peu facile si n’importe quel pays avec un mandat local pouvait réclamer les données de n’importe qui n’importe où…
Les données sont stockées en Irlande et si je résume la situation les US s’autorisent à les réclamer uniquement parce que les disques durs irlandais sont connectés à internet et donc accessible depuis l’amerique… c’est un peu fort de café.
Le 27/06/2017 à 10h58
Franchement, le but n’est pas réellement d’obtenir ces données, mais de faire jurisprudence pour pouvoir aller pomper comme bon leur semble.
Car il est certain que si le DoJ avait consulté son équivalent irlandais en amenant un dossier solide, une démarche commune aurait été rapidement mise en place. La coopération entre états sur le plan judiciaire ça existe, il suffisait d’exploiter cette possibilité.