Cloud et souveraineté des Etats font-ils bon ménage ? Aux Etats-Unis, Microsoft a formé une coalition inédite pour s'opposer à la justice américaine qui demande la communication d'e-mails d'un Européen stockés en Irlande. S'il échoue, c'est la confidentialité des données stockées chez les prestataires américains qui sera gravement menacée.

Sous prétexte que les géants de l'informatique et en particulier du cloud sont Américains, la justice américaine peut-elle revendiquer une compétence universelle pour obtenir sur requête toute donnée stockée sur leurs serveurs à travers le monde, quelle que soit la nationalité des personnes concernées, ou la localisation géographique des serveurs ? La question anime les juristes depuis de nombreuses années, mais les révélations d'Edward Snowden sur le programme PRISM a redistribué les cartes du point de vue commercial.

C'est désormais devenu un enjeu industriel majeur pour les géants américains que de combattre la tentation du cloud souverain par les Etats, les individus et les entreprises étrangers, qui craignent qu'en choisissant d'héberger leurs données chez un prestataire américain, celles-ci ne bénéficient pas d'une protection adéquate de leur confidentialité. L'impression que peuvent avoir les clients que leurs données seront mieux protégées s'ils choisissent un prestataire de leur propre pays risque de faire naître une concurrence contre laquelle il sera difficile de se battre à armes égales. Selon un récent sondage que nous avions commenté, 75 % des Français voudraient héberger leurs données en France plutôt qu'à l'étranger.

Les intérêts commerciaux étant passés d'un plateau de la balance à l'autre, le laxisme total qui a pu exister autrefois à l'égard de la NSA et de la justice américaine n'a donc plus lieu, ou beaucoup moins. Pour en faire la preuve, Microsoft a décidé de médiatiser le combat qu'il mène depuis un an pour s'opposer à la transmission aux USA de données personnelles d'un client européen, hébergées sur un data center de Dublin. 

APPLE AUX CÔTÉS DE MICROSOFT, ENTRE AUTRES

Lundi, la firme de Redmond a rendu publique une coalition d'une ampleur encore jamais vue pour une affaire qui n'est même pas encore remontée devant la Cour Suprême. Pour faire prendre conscience dès aujourd'hui à la cour de New York de l'importance des enjeux, Microsoft a obtenu le dépôt de dix "amicus brief" (des mémoires de tiers destinés à éclairer le tribunal) signés par 28 entreprises de l'informatique ou des médias, 35 experts informatiques, et 23 lobbys industriels ou de la société civile.

Parmi toutes les signatures figurent celles de Accenture, Amazon, Apple, AT&T, Cisco, CNN, eBay, Fox News, HP, SalesForce, Verizon, le Washingpton Post, la BSA (Business Software Alliance), la CCIA, l'EFF, Open Rights Group, l'ACLU, la Chambre de Commerce des Etats-Unis, ou encore Digital Rights Ireland, directement concernée par l'affaire.

Parmi les grands acteurs américains du cloud dans le monde, seuls Google et IBM manquent à l'appel commun.

UN CADRE JURIDIQUE INTERNATIONAL

"Nous pensons que lorsqu'un gouvernement souhaite obtenir des e-mails stockées dans un autre pays, il doit le faire d'une manière qui respecte les lois nationales et internationales existantes", a rappelé lundi Brad Smith, le directeur des affaires juridiques de Microsoft. "L'utilisation unilatérale par le Gouvernement US d'un mandat de perquisition pour obtenir les e-mails dans un autre pays met en danger à la fois les droits fondamentaux à la vie privée et les relations cordiales internationales".

En principe en effet, le droit international public impose de respecter la souveraineté des Etats, et notamment celle de la justice de chaque pays, qui doit rester seule compétente pour procéder à des mandats de perquisition sur son sol. Des traités peuvent ensuite aménager ce principe dans l'intérêt du bon fonctionnement de la justice. C'est dans ce cadre qu'a été signé en 2003 le Traité d'assistance judiciaire mutuelle (MLAT) entre les Etats-Unis et l'Union Européenne, qui fixe un cadre formel pour obtenir des informations auxquelles seul l'état étranger peut en principe avoir accès. 

Cela ne veut pas dire que les Etats-Unis ne peuvent pas obtenir les données, mais que sa justice doit passer par les formalités imposées par ce traité, et notamment que la légalité au regard du droit européen de protection des données soit vérifiée. A moins, et c'est bien tout l'enjeu, qu'elle n'estime que le le simple fait que Microsoft soit une entreprise américaine qui a le contrôle sur les données stockées en Irlande suffise à lui accorder la compétence.

Dans sa récente Déclaration du 25 novembre 2014 sur la protection des données, le groupe du G29 qui fédère toutes les CNIL européennes a rappelé dans l'article 9 que "l'autorité publique d’un Etat non membre de l’Union ne peut par principe accéder directement à des données personnelles couvertes par les règles européennes, quelles que soient les conditions de cet accès ou la localisation de ces données". Il ajoutait dans son article 14 que "les règles de protection des données de l’Union sont nécessaires à la sauvegarde de la situation politique, sociale et économique de l’Union et de ceux qui sont soumis à la législation de l’Union", et donc qu'elles "doivent être considérées comme des principes internationaux impératifs en droit international public et privé". 

Partager sur les réseaux sociaux

Articles liés