Accès aux données cloud hors US : Microsoft perd encore une manche

Serveurs ARM : bientôt la révolution !

Un juge fédéral a confirmé la demande des autorités américaines d’accéder à des données stockées dans un datacenter Irlandais de Microsoft. L’éditeur a décidé de faire appel.

La juge fédérale Loretta Preska du district de New York a donc rendu une décision très attendue par les acteurs de l’IT et notamment les fournisseurs de services Cloud américain. En effet, il y a quelques mois, Microsoft avait été sollicité par les autorités judiciaires américaines de mettre à disposition des emails d’un client stockés dans le datacenter irlandais de l’éditeur. Ce dernier a refusé et un premier jugement en mai dernier lui a ordonné de se plier aux exigences des autorités judiciaires. Le motif invoqué était qu’une entreprise ne peut s’opposer à ce type de réquisition, en raison d’un texte appelé le Stored Communications Act s’appliquant aux fournisseurs de service Internet.

Microsoft avait contesté cette décision en prenant comme argument la violation du 4e amendement de la Constitution américaine. Celui-ci indique que «le droit des citoyens d’être garantis dans leurs personne, domicile, papiers et effets, contre les perquisitions et saisies non motivées ne sera pas violé, et aucun mandat ne sera délivré, si ce n’est sur présomption sérieuse, corroborée par serment ou affirmation, ni sans qu’il décrive particulièrement le lieu à fouiller et les personnes ou les choses à saisir ». L’administration Obama avait alors répondu à la firme de Redmond que « les contenus stockés sur Internet (Cloud) ne bénéficient pas du même type de protection contre les perquisitions et saisies non motivées ». Elle s’appuyait encore une fois sur le Store Communications Act qui souligne que les archives électroniques stockées hors des frontières américaines doivent être divulguées par un fournisseur basé aux États-Unis lorsqu’un mandat l’exige.

Qui contrôle les données ?

La juge Loretta Preska, au bout de deux heures de débat a ordonné à Microsoft de mettre à la disposition du gouvernement les données stockées à l’extérieur des États-Unis. Pour expliquer sa décision, elle a indiqué qu’ « il s’agit d’une question de contrôle et non d’emplacement des informations ». Cependant, ce jugement est suspensif, car Microsoft dispose d’un droit de recours. Le conseiller juridique Brad Smith a d’ailleurs précisé que, « la seule chose qui était claire dans la décision rendue, c’est qu’elle ne représente pas la dernière étape du processus ».

Cette décision va certainement avoir plusieurs impacts. Le premier est une perte de confiance encore plus prononcée pour les offres Cloud des entreprises IT américaines. Elle avait déjà été suffisamment écornée avec les révélations d’Edward Snowden. Microsoft a été soutenu dans son combat depuis le début par plusieurs autres acteurs comme Apple, Verizon, Cisco ou AT&T.

Le second impact est plus économique et découle du précédent, qui dit rupture de confiance implique des pertes de marché auprès des clients internationaux. Les chiffres varient selon les analystes sur les pertes liées au scandale de la NSA entre 35 et 180 milliards de dollars. Selon, l’ITIF (Information Technology and Innovation Forum), la part de marché « Cloud » réalisée par ces entreprises hors des États-Unis passerait de 80% en 2014 à 65% en 2016, voire à 55% dans le pire des scénarios.

Pire, la décision mettrait à mal la stratégie de certains acteurs comme Microsoft ou IBM qui viennent d’investir massivement dans la création de datacenters dans différents pays pour rassurer les clients internationaux en leur garantissant une localisation des données.

Des tensions UE-USA prévisibles

Enfin, il ne faut pas oublier l’aspect diplomatique de l’affaire. L’Union européenne vit assez mal le fait qu’un juge décide d’outrepasser le droit européen ou le droit national d’un Etat membre au profit de la loi américaine. Pour l’UE, aujourd’hui seul un tribunal local (en l’occurrence Irlandais) a la compétence sur ce genre de décision. Demain, la réforme du règlement sur la protection des données indiquera clairement qu’une filiale basée en Europe d’une société américaine sera soumise au droit européen et empêcher ce genre d’affaires. Microsoft se trouve donc dans une position inconfortable, son combat va à l’encontre du droit américain et son obligation est contraire au droit européen. L’affaire n’est donc pas prête d’être finie.

A lire aussi :

Les Cloud Microsoft ‘adoubés’ par les CNIL européennes : pourquoi c’est exagéré (tribune)

Les données des citoyens russes devront rester en Russie