C’est un véritable camouflet pour le gouvernement américain. À l’issue d’une longue et complexe procédure judiciaire qui s’est étalée sur plusieurs années, la cour d’appel de Manhattan a finalement tranché : Microsoft n’a pas l’obligation de transmettre aux autorités américaines le contenu d’un courrier électronique lorsque celui-ci figure sur un serveur qui se trouve hors des États-Unis.
Dans son arrêt, qui est une victoire clé pour Microsoft dans son bras de fer judiciaire avec Washington, la cour annonce que la législation « n’autorise par les tribunaux à émettre et faire exécuter par des fournisseurs de services basés aux États-Unis des mandats destinés à faire saisir le contenu de courriels de consommateurs qui sont stockés exclusivement sur des serveurs à l’étranger ».
Cela étant, la décision prononcée par les magistrats ne met pas encore un point final à cette affaire. Le département de la justice dispose encore d’au moins un levier à sa disposition : la Cour suprême. Il pourrait tout à fait porter l’affaire devant la plus haute juridiction du pays dans l’espoir d’une remise en question des conclusions rendues par les juges de la cour d’appel.
De son côté, Microsoft a applaudi la tournure des évènements. Cette décision constitue une victoire majeure pour la sauvegarde des droits relatifs à la vie privée. « Cette décision signe une grande victoire pour protéger la vie privée des gens d’après leurs propres lois plutôt que par extension des [pouvoirs] de gouvernements étrangers », commente Brad Smith, le directeur des affaires juridiques de Microsoft.
Ce verdict ouvre la voie vers de meilleures solutions pour satisfaire à la fois la protection de la vie privée et les besoins des autorités
Le verdict de la cour d’appel, rendu le jeudi 14 juillet, conclut une phase judiciaire qui s’était ouverte avec le jugement du tribunal de New York en juillet 2014. À l’époque, Microsoft avait été condamné par la justice à livrer à Washington des données stockées à l’étranger, au motif que que la localisation géographique du centre de données où figurent ces éléments importe moins que la nationalité de celui qui le contrôle.
À la suite de ce jugement, Microsoft avait fait appel et formé une grande coalition. La firme de Redmond avait reçu le soutien de grosses entreprises (dont Amazon, Apple, Cisco, AT&T, , eBay, Verizon, HP…) de sites de presse (Fox News, CNN, le Washington Post), d’organismes professionnels (CCIA, BIA, la Chambre de Commerce américaine) et d’associations de défense (EFF, ACLU, Open Rights Group, Digital Rights Ireland).
Dans cette affaire, la police new-yorkaise avait obtenu un mandat fin 2013 l’autorisant à accéder à la messagerie électronique d’un individu soupçonné d’être impliqué dans un trafic de drogue. À ce moment-là, Microsoft a satisfait partiellement le mandat, en communiquant des données de base sur l’utilisateur et son compte, mais pas le contenu du courrier électronique, estimant que ces informations ne relèvent pas de la législation américaine, mais irlandaise, puisque le data center en question se trouve là-bas.
Cela étant, la victoire remportée par Microsoft ne signifie pas que le contenu de ces mails ne sera jamais transmis aux autorités américaines. Elle signifie qu’il faut que la procédure suive un certain formalisme et le bon cheminement judiciaire pour que le transfert de ces données puisse avoir lieu. Au lieu d’un mandat d’un juge, c’est vers un accord d’assistance mutuelle, négocié au niveau bilatéral, qu’il faut se tourner.
Cadre juridique international
Comme nous l’expliquions alors, le droit international public impose en principe de respecter la souveraineté des États, et notamment celle de la justice de chaque pays, qui doit rester seule compétente pour procéder à des mandats de perquisition sur son sol. Des traités peuvent ensuite aménager ce principe dans l’intérêt du bon fonctionnement de la justice. C’est dans ce cadre qu’a été signé en 2003 le Traité d’assistance judiciaire mutuelle entre les États-Unis et l’Union Européenne, qui fixe un cadre formel pour obtenir des informations auxquelles seul l’État étranger peut en principe avoir accès.
Cela ne veut pas dire que les États-Unis ne peuvent pas obtenir les données, mais que sa justice doit passer par les formalités imposées par ce traité, et notamment que la légalité au regard du droit européen de protection des données soit vérifiée. Àmoins, et c’est bien tout l’enjeu, qu’elle n’estime que le simple fait que Microsoft soit une entreprise américaine qui a le contrôle sur les données stockées en Irlande suffise à lui accorder la compétence.
Dans sa déclaration du 25 novembre 2014 sur la protection des données, le groupe du G29 qui fédère toutes les CNIL européennes a rappelé dans l’article 9 que «l’autorité publique d’un État non membre de l’Union ne peut par principe accéder directement à des données personnelles couvertes par les règles européennes, quelles que soient les conditions de cet accès ou la localisation de ces données ».
Il ajoutait dans son article 14 que «les règles de protection des données de l’Union sont nécessaires à la sauvegarde de la situation politique, sociale et économique de l’Union et de ceux qui sont soumis à la législation de l’Union », et donc qu’elles «doivent être considérées comme des principes internationaux impératifs en droit international public et privé ».
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !