Données hors US : Microsoft l'emporte en appel, le Cloud respire

Selon une cour d’appel, Microsoft ne saurait être contraint, via un mandat, de fournir aux autorités américaines un accès aux données stockées dans son datacenter de Dublin en Irlande.

Microsoft, qui refusait depuis 2013 de fournir aux autorités américaines les données stockées en Europe d’un utilisateur de ses services, a été entendu en appel, jeudi 14 juillet. La cour d’appel des États-Unis pour le second circuit à New York a validé l’argument des avocats de la firme de Redmond. Selon eux, autoriser Washington à émettre des mandats pour accéder aux données stockées à l’étranger foulerait aux pieds les législations nationales et créerait un dangereux précédent.

De la souveraineté

Comment en est-on arrivé là ? En décembre 2013, les autorités américaines ont obtenu un mandat pour contraindre Microsoft à lui fournir le contenu de messages échangés par un utilisateur soupçonné de trafic de drogue. Or, ces données sont stockées à Dublin, en Irlande. Refusant l’application du mandat hors du territoire nord-américain, Microsoft a résisté. Mais un juge a confirmé, durant l’été 2014, la possibilité pour le gouvernement américain d’en exiger l’accès.

Microsoft a déposé un nouveau recours, arguant que le Congrès américain n’a pas autorisé le principe d’extraterritorialité sur les mandats émis depuis les États-Unis. Jeudi à New York, la juge de la cour d’appel, Sarah Carney, lui a donné raison. Le SCA (Stored Communications Act) intégré à la loi ECPA (Electronic Communications Privacy Act) de 1986, « n’autorise pas les tribunaux à émettre et faire exécuter par des fournisseurs de services basés aux États-Unis, des mandats destinés à faire saisir le contenu de courriels de consommateurs qui sont stockés exclusivement sur des serveurs à l’étranger ».

Transfert transatlantique des données

Dans cette affaire, Microsoft a reçu le soutien d’organisations de défense des libertés et d’entreprises IT, d’Apple à l’ACLU (American Civil Liberties Union). Après les premières révélations d’Edward Snowden sur les écoutes massives de la NSA, l’éditeur voulait démontrer que les données localisées hors du territoire américain sont à l’abri de la surveillance du gouvernement fédéral et de ses agences de renseignement. Malgré la décision de jeudi, le dossier peut encore rebondir.

En Europe, comme ailleurs dans le monde, la protection des données personnelles suscite des inquiétudes croissantes. Le sujet est d’autant plus sensible que le nouvel accord sur le transfert des données transatlantiques, le Privacy Shield (« bouclier de confidentialité »), a été adopté cette semaine. Négocié entre la Commission européenne et le Département américain du commerce, le Privacy Shield remplace le Safe Harbor invalidé fin 2015 par la Cour de justice de l’Union européenne (CJUE). Censé apporter un niveau de protection supérieur que son prédécesseur, le « bouclier » derrière lequel plusieurs milliers d’entreprises comptent s’abriter, est d’ores et déjà contesté.