13 / 10 / 2016
#Décryptage

Données personnelles et privacy : ce que le « NY Warrant Case » peut changer

  • Linkedin
14 juillet 2016. La bataille entre Microsoft et le gouvernement américain pour la protection de la vie privée a franchi une étape majeure. Explications.

Lors de sa visite en France ce 4 octobre 2016, Brad Smith, Président et Chief Legal Officer de Microsoft, a rappelé l’importance de cette bataille. L’enjeu était simple : les autorités américaines pouvaient-elles forcer cet acteur, fournisseur de services dans le cloud, à lui donner accès au compte e-mail d’un de ses clients stocké sur un serveur situé… en Europe ? Ce Bastille Day, la Cour d’Appel fédérale de New York a conclu que non. Cette décision pourrait porter en elle les prémisses d’une législation plus protectrice de la vie privée des consommateurs.

L’histoire débute en 2013. Dans le cadre d’une enquête criminelle, le Département de la Justice américain demande à Microsoft de lui donner accès aux e-mails de l’un de ses utilisateurs. Un utilisateur qui ne réside pourtant pas aux États-Unis et dont les données sont stockées en Irlande.

Aussi, l’entreprise refuse d’accéder à cette requête arguant d’une violation de la vie privée de l’utilisateur et de la souveraineté de l’Irlande. Une prise de position qui est alors soutenue par plus de 50 organisations : des associations de protection de la vie privée, des institutions de recherche, des médias, tel The Guardian, et même le gouvernement Irlandais. Mais aussi un consortium réunissant les principales entreprises du numérique (dont Apple, Amazon, Cisco, eBay ou encore Verizon). Au point de déposer une dizaine de mémoires (Amicus Curiae) auprès de la cour.

Après trois ans de batailles juridiques, la Cour d’Appel féderale des Etats de New York s’est rangée du côté de Microsoft. Dans une tribune, Brad Smith, Président et Chief Legal Officer de l’entreprise, avance trois raisons expliquant l’importance de cette décision :

  • Elle assure que le droit à la vie privée des individus soit protégé par les lois des pays où ils vivent favorisant ainsi le respect de la souveraineté des Etats ;
  • Elle permet d’aligner la protection juridique des droits fondamentaux dans le monde numérique comme dans le monde « physique » ;
  • Elle ouvre le chemin à de meilleure solutions juridiques pour répondre à la fois aux besoins de protection de la vie privée et aux besoins des forces de l’ordre et de la justice.

 


Une meilleure protection de la vie privée des internautes face aux demandes abusives des États

Première implication de ce jugement : la protection de la vie privée des internautes utilisant les services de compagnies américaines en ressort renforcée. Le Département de la Justice américain (DoJ) considérait en effet qu’un e-mail d’un client n’est qu’un simple document interne pour une entreprise se trouvant sur son sol. Surtout, le Department of Justice (DoJ) soutenait que dans le cyberespace – où tout peut être accédé de n’importe où – la localisation physique n’avait plus de sens.

Dans ce raisonnement, l’ensemble des e-mails liés à des comptes Hotmail pourraient être considérés comme « stockés » … au siège de Microsoft aux États-Unis. Ce qui permettrait au DoJ d’ordonner l’accès aux comptes sans passer par des procédures plus contraignantes de coopération juridique internationale.

Le DoJ affirmait ainsi rien de moins que son droit à avoir accès aux e-mails de n’importe quel individu sur la planète, pourvu que l’entreprise offrant des services e-mail ait son siège aux États-Unis.

«Les arguments juridiques comme politiques du Department of Justice sont profondément viciés. Ils auraient pu conduire à un dangereux précédent éventuellement extensible bien au-delà des e-mails à n’importe quel type de donnés d’un client dans le cloud», estime Donald Callahan, associé fondateur du cabinet de conseil Duquesne Group, spécialisé dans la sécurité informatique et juridique. «Les clients et utilisateurs attendent que l’accès à leurs données sensibles soient régies par leur propre juridiction. C’est un principe sur lequel les entreprises de l’Union ne transigent pas. » ajoute Donald Callahan.

Une position difficile à tenir alors que l’accord Safe Harbor avait été invalidé par la Cour de Justice Européenne (CJCE), et que les citoyens et entreprises européennes attendent que l’accès à leurs données sensibles soient régies par leur propres juridictions nationales.

Cet accord a été remplacé par le Privacy Shield, récemment adopté, et dont Microsoft a été l’une des premières entreprises signataires. Ce dernier a été le fruit d’une intense négociation dans laquelle les Etats membres et le Groupe de l’Article 29 ont pesés. Critiqué par certains, il demeure cependant une étape importante pour ne pas laisser l’insécurité juridique perdurer au détriment finalement des droits de chacun et des acteurs de l’innovation également européen.

La localisation des données ou le retour de la souveraineté

Après sa défaite du 14 juillet, le DoJ a demandé à ce que le cas soit réexaminé par la « grande chambre » de cette même Cour d’Appel. La jurisprudence montre que cette demande a peu de chance d’aboutir. Sans doute le gouvernement américain achète-t-il ici un peu de temps. Toutefois, cette requête réduit d’autant, paradoxalement, l’argument de l’urgence qui peut être l’un des fondements d’un éventuel recours devant la Cour Suprême des États-Unis. Si la saisine de la Cour Suprême reste toujours possible, on ne peut exclure que le gouvernement américain essaye de faire modifier la loi dans l’intervalle.

En tout état de cause, ce jugement de la Cour d’Appel réaffirme le principe de la souveraineté des États dans le monde numérique, comme c’est le cas dans le monde physique : les e-mails stockés au sein d’un serveur localisé dans un autre pays que les États-Unis ne peuvent pas être accessibles à la justice américaine sur simple demande faite au fournisseur du service. Les juges estiment en effet que la justice doit alors passer par les accords d’entraide judiciaire existant entre les États pour coopérer dans ces affaires criminelles.

Une évolution que soutient Alban Schmutz, senior Vice-President, Business Developpement & Public Affairs d’OVH :

«Des logiques de contrôles de flux émergent, qui génèrent des déséquilibres économiques et géopolitiques au niveau international au risque de provoquer un jeu dangereux à moyen et long terme. Il serait donc nécessaire qu’un processus multilatéral de régulation internationale se mette en place pour garantir la sécurité juridique et le développement d’un univers numérique de confiance.»

De son côté, Donald Callahan confirme également le danger d’une telle approche :«Une décision contraire à celle qui a été rendue par la Cour d’Appel aurait fait énormément de dégâts pour la coopération juridique dans le domaine du numérique. D’autres pays, y compris autoritaires en commençant par la Russie et la Chine, auraient pu suivre la même démarche en citant le précédent des États-Unis.» Et selon lui, il serait dommageable que la Cour Suprême invalide le dernier jugement, «que ce soit par souci de cohérence juridique ou pour ne pas freiner la croissance d’un secteur stratégique».

Vers un cadre juridique plus adapté au monde numérique ?

Aujourd’hui, les droits peuvent varier à chaque fois que des données passent d’un lieu à un autre. Une situation impossible et contraire aux droits fondamentaux pour Brad Smith:

«Les individus ne devraient pas perdre leurs droits fondamentaux simplement parce que leurs informations personnelles traversent une frontière, surtout quand ces données sont déplacées par des entreprises et des gouvernements. »

Ces problèmes de territorialité de la loi applicable dans l’espace numérique et de la propriété des données ne sont toujours pas encadrés par des lois adaptées à la situation actuelle. A l’instar de Brad Smith, la majorité des acteurs du numérique, entreprises comme chercheurs, appellent donc à une modernisation du cadre juridique pour une coopération judiciaire internationale plus efficace. Un effort impératif selon Alban Schmutz :

«Tant que l’on n’aura pas réconcilié les visions politique sur le sujet, on continuera d’avoir des différences entre les Etats-Unis et l’Union Européenne. Cette décision va donc dans le bon sens.»

Sans doute l’Union Européenne, qui fait des questions de sécurité et de défense un sujet de plus en plus important devrait-elle, comme suggéré dans les conclusions de la Présidence Néerlandaise, faire de cette question un thème de discussion transatlantique. Les citoyens européens attendent de l’Europe des actions concrètes conformes à ses valeurs. Et si des divergences quant à la mise en œuvre existent parfois, renforcer la coopération avec les Etats-Unis pour mieux protéger et concilier les libertés individuelles et la sûreté publique serait sans doute un chantier utile à cet égard, les deux continents partageant les mêmes valeurs s’agissant des droits et des libertés fondamentaux. Affaire à suivre…