Un simple mandat américain ne suffit pas pour transférer aux USA des données stockées en Europe. C’est en somme la décision rendue par une cour d’appel dans une affaire concernant les mails d’une personne soupçonnée d’un trafic de drogue.

C’est un véritable camouflet pour le gouvernement américain. À l’issue d’une longue et complexe procédure judiciaire qui s’est étalée sur plusieurs années, la cour d’appel de Manhattan a finalement tranché : Microsoft n’a pas l’obligation de transmettre aux autorités américaines le contenu d’un courrier électronique lorsque celui-ci figure sur un serveur qui se trouve hors des États-Unis.

Dans son arrêt, qui est une victoire clé pour Microsoft dans son bras de fer judiciaire avec Washington, la cour annonce que la législation « n’autorise par les tribunaux à émettre et faire exécuter par des fournisseurs de services basés aux États-Unis des mandats destinés à faire saisir le contenu de courriels de consommateurs qui sont stockés exclusivement sur des serveurs à l’étranger ».

Microsoft-1920

Un bras de fer qui dure depuis trois ans.

Cela étant, la décision prononcée par les magistrats ne met pas encore un point final à cette affaire. Le département de la justice dispose encore d’au moins un levier à sa disposition : la Cour suprême. Il pourrait tout à fait porter l’affaire devant la plus haute juridiction du pays dans l’espoir d’une remise en question des conclusions rendues par les juges de la cour d’appel.

De son côté, Microsoft a applaudi la tournure des évènements. Cette décision constitue une victoire majeure pour la sauvegarde des droits relatifs à la vie privée. « Cette décision signe une grande victoire pour protéger la vie privée des gens d’après leurs propres lois plutôt que par extension des [pouvoirs] de gouvernements étrangers », commente Brad Smith, le directeur des affaires juridiques de Microsoft.

Ce verdict ouvre la voie vers de meilleures solutions pour satisfaire à la fois la protection de la vie privée et les besoins des autorités

Le verdict de la cour d’appel, rendu le jeudi 14 juillet, conclut une phase judiciaire qui s’était ouverte avec le jugement du tribunal de New York en juillet 2014. À l’époque, Microsoft avait été condamné par la justice à livrer à Washington des données stockées à l’étranger, au motif que que la localisation géographique du centre de données où figurent ces éléments importe moins que la nationalité de celui qui le contrôle.

À la suite de ce jugement, Microsoft avait fait appel et formé une grande coalition. La firme de Redmond avait reçu le soutien de grosses entreprises (dont Amazon, Apple, Cisco, AT&T, , eBay, Verizon, HP…) de sites de presse (Fox News, CNN, le Washington Post), d’organismes professionnels (CCIA, BIA, la Chambre de Commerce américaine) et d’associations de défense (EFF, ACLU, Open Rights Group, Digital Rights Ireland).

emails

Washington ne peut pas accéder n’importe comment aux mails.

Dans cette affaire, la police new-yorkaise avait obtenu un mandat fin 2013 l’autorisant à accéder à la messagerie électronique d’un individu soupçonné d’être impliqué dans un trafic de drogue. À ce moment-là, Microsoft a satisfait partiellement le mandat, en communiquant des données de base sur l’utilisateur et son compte, mais pas le contenu du courrier électronique, estimant que ces informations ne relèvent pas de la législation américaine, mais irlandaise, puisque le data center en question se trouve là-bas.

Cela étant, la victoire remportée par Microsoft ne signifie pas que le contenu de ces mails ne sera jamais transmis aux autorités américaines. Elle signifie qu’il faut que la procédure suive un certain formalisme et le bon cheminement judiciaire pour que le transfert de ces données puisse avoir lieu. Au lieu d’un mandat d’un juge, c’est vers un accord d’assistance mutuelle, négocié au niveau bilatéral, qu’il faut se tourner.

Cadre juridique international

Comme nous l’expliquions alors, le droit international public impose en principe de respecter la souveraineté des États, et notamment celle de la justice de chaque pays, qui doit rester seule compétente pour procéder à des mandats de perquisition sur son sol. Des traités peuvent ensuite aménager ce principe dans l’intérêt du bon fonctionnement de la justice. C’est dans ce cadre qu’a été signé en 2003 le Traité d’assistance judiciaire mutuelle entre les États-Unis et l’Union Européenne, qui fixe un cadre formel pour obtenir des informations auxquelles seul l’État étranger peut en principe avoir accès.

Cela ne veut pas dire que les États-Unis ne peuvent pas obtenir les données, mais que sa justice doit passer par les formalités imposées par ce traité, et notamment que la légalité au regard du droit européen de protection des données soit vérifiée. Àmoins, et c’est bien tout l’enjeu, qu’elle n’estime que le simple fait que Microsoft soit une entreprise américaine qui a le contrôle sur les données stockées en Irlande suffise à lui accorder la compétence.

representation_europeenne_paris.jpg

La législation européenne compte.

Dans sa déclaration du 25 novembre 2014 sur la protection des données, le groupe du G29 qui fédère toutes les CNIL européennes a rappelé dans l’article 9 que «l’autorité publique d’un État non membre de l’Union ne peut par principe accéder directement à des données personnelles couvertes par les règles européennes, quelles que soient les conditions de cet accès ou la localisation de ces données ».

Il ajoutait dans son article 14 que «les règles de protection des données de l’Union sont nécessaires à la sauvegarde de la situation politique, sociale et économique de l’Union et de ceux qui sont soumis à la législation de l’Union », et donc qu’elles «doivent être considérées comme des principes internationaux impératifs en droit international public et privé ».

une comparateur meilleur vpn numerama

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.