Microsoft, qui refusait depuis 2013 de fournir aux autorités américaines les données stockées en Europe d’un utilisateur de ses services, a été entendu en appel, jeudi 14 juillet. La cour d’appel des États-Unis pour le second circuit à New York a validé l’argument des avocats de la firme de Redmond. Selon eux, autoriser Washington à émettre des mandats pour accéder aux données stockées à l’étranger foulerait aux pieds les législations nationales et créerait un dangereux précédent.
Comment en est-on arrivé là ? En décembre 2013, les autorités américaines ont obtenu un mandat pour contraindre Microsoft à lui fournir le contenu de messages échangés par un utilisateur soupçonné de trafic de drogue. Or, ces données sont stockées à Dublin, en Irlande. Refusant l’application du mandat hors du territoire nord-américain, Microsoft a résisté. Mais un juge a confirmé, durant l’été 2014, la possibilité pour le gouvernement américain d’en exiger l’accès.
Microsoft a déposé un nouveau recours, arguant que le Congrès américain n’a pas autorisé le principe d’extraterritorialité sur les mandats émis depuis les États-Unis. Jeudi à New York, la juge de la cour d’appel, Sarah Carney, lui a donné raison. Le SCA (Stored Communications Act) intégré à la loi ECPA (Electronic Communications Privacy Act) de 1986, « n’autorise pas les tribunaux à émettre et faire exécuter par des fournisseurs de services basés aux États-Unis, des mandats destinés à faire saisir le contenu de courriels de consommateurs qui sont stockés exclusivement sur des serveurs à l’étranger ».
Dans cette affaire, Microsoft a reçu le soutien d’organisations de défense des libertés et d’entreprises IT, d’Apple à l’ACLU (American Civil Liberties Union). Après les premières révélations d’Edward Snowden sur les écoutes massives de la NSA, l’éditeur voulait démontrer que les données localisées hors du territoire américain sont à l’abri de la surveillance du gouvernement fédéral et de ses agences de renseignement. Malgré la décision de jeudi, le dossier peut encore rebondir.
En Europe, comme ailleurs dans le monde, la protection des données personnelles suscite des inquiétudes croissantes. Le sujet est d’autant plus sensible que le nouvel accord sur le transfert des données transatlantiques, le Privacy Shield (« bouclier de confidentialité »), a été adopté cette semaine. Négocié entre la Commission européenne et le Département américain du commerce, le Privacy Shield remplace le Safe Harbor invalidé fin 2015 par la Cour de justice de l’Union européenne (CJUE). Censé apporter un niveau de protection supérieur que son prédécesseur, le « bouclier » derrière lequel plusieurs milliers d’entreprises comptent s’abriter, est d’ores et déjà contesté.
Lire aussi :
Données dans le Cloud : Microsoft poursuit Washington
Données dans le Cloud : Microsoft et Washington s’affrontent en appel
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.