Microsoft, qui refusait depuis 2013 de fournir aux autorités américaines les données stockées en Europe d’un utilisateur de ses services, a été entendu en appel, jeudi 14 juillet. La cour d’appel des États-Unis pour le second circuit à New York a validé l’argument des avocats de la firme de Redmond. Selon eux, autoriser Washington à émettre des mandats pour accéder aux données stockées à l’étranger foulerait aux pieds les législations nationales et créerait un dangereux précédent.
Comment en est-on arrivé là ? En décembre 2013, les autorités américaines ont obtenu un mandat pour contraindre Microsoft à lui fournir le contenu de messages échangés par un utilisateur soupçonné de trafic de drogue. Or, ces données sont stockées à Dublin, en Irlande. Refusant l’application du mandat hors du territoire nord-américain, Microsoft a résisté. Mais un juge a confirmé, durant l’été 2014, la possibilité pour le gouvernement américain d’en exiger l’accès.
Microsoft a déposé un nouveau recours, arguant que le Congrès américain n’a pas autorisé le principe d’extraterritorialité sur les mandats émis depuis les États-Unis. Jeudi à New York, la juge de la cour d’appel, Sarah Carney, lui a donné raison. Le SCA (Stored Communications Act) intégré à la loi ECPA (Electronic Communications Privacy Act) de 1986, « n’autorise pas les tribunaux à émettre et faire exécuter par des fournisseurs de services basés aux États-Unis, des mandats destinés à faire saisir le contenu de courriels de consommateurs qui sont stockés exclusivement sur des serveurs à l’étranger ».
Dans cette affaire, Microsoft a reçu le soutien d’organisations de défense des libertés et d’entreprises IT, d’Apple à l’ACLU (American Civil Liberties Union). Après les premières révélations d’Edward Snowden sur les écoutes massives de la NSA, l’éditeur voulait démontrer que les données localisées hors du territoire américain sont à l’abri de la surveillance du gouvernement fédéral et de ses agences de renseignement. Malgré la décision de jeudi, le dossier peut encore rebondir.
En Europe, comme ailleurs dans le monde, la protection des données personnelles suscite des inquiétudes croissantes. Le sujet est d’autant plus sensible que le nouvel accord sur le transfert des données transatlantiques, le Privacy Shield (« bouclier de confidentialité »), a été adopté cette semaine. Négocié entre la Commission européenne et le Département américain du commerce, le Privacy Shield remplace le Safe Harbor invalidé fin 2015 par la Cour de justice de l’Union européenne (CJUE). Censé apporter un niveau de protection supérieur que son prédécesseur, le « bouclier » derrière lequel plusieurs milliers d’entreprises comptent s’abriter, est d’ores et déjà contesté.
Lire aussi :
Données dans le Cloud : Microsoft poursuit Washington
Données dans le Cloud : Microsoft et Washington s’affrontent en appel
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement de BNP Paribas utilise l'IA pour proposer des stratégies d’investissement individualisées, en…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…
Avec Phi-3-mini, Microsoft lance un SLM conçu pour attirer une clientèle disposant de ressources financières…
La Commission européenne serait sur le point d'approuver la proposition d'Apple visant à fournir à…