L’UE intervient dans l'affaire entre Microsoft et le gouvernement US
L’UE intervient dans l'affaire entre Microsoft et le gouvernement US
concernant l’accès aux données personnelles stockées en Irlande
La Commission européenne a décidé hier de soumettre, au nom de l'Union européenne, un amicus brief devant la Cour suprême des États-Unis dans l'affaire opposant Microsoft au gouvernement américain sur l'accès à des données privées stockées en Irlande. Rappelons qu'un amicus brief est un document déposé par des parties tierces dans le but de fournir au tribunal des informations supplémentaires pertinentes dans une affaire.
La Commission européenne intervient dans cette bataille en cours pour s'assurer que les lois européennes sont « correctement comprises et prises en compte par la Cour suprême des États-Unis », qui va se prononcer sur la question l'année prochaine.
Dans cette affaire, qui a débuté en 2014, le département américain de la Justice (DoJ) a porté plainte contre Microsoft pour avoir refusé de fournir des informations sur des emails stockés sur des serveurs en Irlande. Le gouvernement fédéral a fait valoir que Microsoft devrait se conformer au mandat, en vertu du Stored Communications Act, mais Microsoft conteste la demande estimant que les mandats de perquisition US ne pouvaient pas s'appliquer au-delà des frontières américaines.
Après les premières décisions de tribunal rendues en faveur de Microsoft, le Département américain de la Justice a décidé de saisir la Cour suprême ; une requête qui lui a été accordée en octobre dernier. Dans un dépôt fait à la Cour suprême le 6 décembre, le DoJ a réitéré son argument selon lequel Microsoft pourrait se conformer au mandat « en entreprenant des actes entièrement à l'intérieur des États-Unis » et donc sans avoir besoin d'impliquer ses bureaux en Irlande ou en Europe. Mais de quelle manière ? « Comme l'a reconnu la Cour d'appel, le DoJ estime qu'en utilisant un programme de gestion de base de données accessible dans certains de ses bureaux aux États-Unis, [Microsoft] peut collecter des données de compte stockées sur l'un de ses serveurs et apporter ces données aux États-Unis », explique le gouvernement fédéral.
D'après le Département américain de la justice, le risque que Microsoft viole la législation irlandaise en matière de protection de données en se soumettant à sa demande est également spéculatif. « Au cours de ce litige, Microsoft n'a jamais déclaré qu'elle serait soumise à une responsabilité en vertu des lois de l'Irlande ou de l'Union européenne pour avoir divulgué aux États-Unis des communications stockées dans son centre de données de Dublin », explique le DoJ dans son dépôt à la Cour suprême. « L'Irlande n'a pas non plus évoqué expressément un tel conflit dans son amicus brief, bien qu'il ait laissé entendre que les lois irlandaises sur la protection des données pourraient s'appliquer. »
C'est donc lendemain du dépôt du DoJ que la Commission européenne a décidé de soumettre son amicus brief à la Cour suprême. Sur son site, la Commission a en effet expliqué que le transfert de données personnelles de l'UE vers les USA pourrait tomber sous le coup des lois européennes. Dans ce cas, la Cour suprême des États-Unis devrait en tenir compte. « Cette affaire soulève la question de savoir si, en vertu de la Stored Communications Act des États-Unis, les tribunaux américains peuvent exiger qu'un fournisseur de services basé aux États-Unis produise le contenu du compte de messagerie d'un client stocké sur un serveur situé en dehors des États-Unis ».
« Étant donné que le transfert de données personnelles par Microsoft de l'UE vers les États-Unis tomberait sous le coup des règles européennes, la Commission a estimé qu'il était dans l'intérêt de l'UE de s'assurer que les règles européennes en matière de protection des données dans le cadre des transferts internationaux sont correctement comprises et pris en compte par la Cour suprême des États-Unis. » La Commission assure toutefois qu'elle ne prend aucune position dans ce procès. L'amicus brief ne sera donc pas en faveur de l'une ou l'autre des parties.
Sources : European Commission to intervene before the US Supreme Court in the Microsoft case, Dépôt du DoJ à la Cour suprême
Et vous ?
:fleche: Pensez-vous que Microsoft peut techniquement fournir les données sans violer les lois de l’UE ?
:fleche: Que pensez-vous des propositions du DoJ pour obtenir les données stockées en Irlande ?
Plus de 289 groupes issus de 37 pays ont signé 27 amicus briefs en faveur de Microsoft
Plus de 289 groupes issus de 37 pays ont signé 27 amicus briefs en faveur de Microsoft,
dans son affaire l'opposant au gouvernement US sur les courriels
Dans cette affaire, qui a débuté en 2014, le département américain de la Justice (DoJ) a porté plainte contre Microsoft pour avoir refusé de fournir des informations sur des emails stockés sur des serveurs en Irlande. Le gouvernement fédéral a fait valoir que Microsoft devrait se conformer au mandat, en vertu du Stored Communications Act, mais Microsoft conteste la demande estimant que les mandats de perquisition émanant de la juridiction américaine ne pouvaient pas s'appliquer au-delà des frontières américaines.
Après les premières décisions de tribunal rendues en faveur de Microsoft, le Département américain de la Justice a décidé de saisir la Cour suprême ; une requête qui lui a été accordée en octobre dernier. Dans un dépôt fait à la Cour suprême le 6 décembre, le DoJ a réitéré son argument selon lequel Microsoft pourrait se conformer au mandat « en entreprenant des actes entièrement à l'intérieur des États-Unis » et donc sans avoir besoin d'impliquer ses bureaux en Irlande ou en Europe. Mais de quelle manière ? « Comme l'a reconnu la Cour d'appel, le DoJ estime qu'en utilisant un programme de gestion de base de données accessible dans certains de ses bureaux aux États-Unis [Microsoft] peut collecter des données de compte stockées sur l'un de ses serveurs et apporter ces données aux États-Unis », explique le gouvernement fédéral.
D'après le Département américain de la justice, le risque que Microsoft viole la législation irlandaise en matière de protection de données en se soumettant à sa demande est également spéculatif. « Au cours de ce litige, Microsoft n'a jamais déclaré qu'elle serait soumise à une responsabilité en vertu des lois de l'Irlande ou de l'Union européenne pour avoir divulgué aux États-Unis des communications stockées dans son centre de données de Dublin », explique le DoJ dans son dépôt à la Cour suprême. « L'Irlande n'a pas non plus évoqué expressément un tel conflit dans son amicus brief, bien qu'elle ait laissé entendre que les lois irlandaises sur la protection des données pourraient s'appliquer. »
Autant d’éléments qui ont encouragé la Commission européenne à intervenir ; début décembre, cette dernière a décidé de soumettre un amicus brief devant la Cour suprême des États-Unis pour s’assurer que les lois européennes sont « correctement comprises et prises en compte par la Cour suprême des États-Unis », qui va se prononcer sur la question cette année.
« Étant donné que le transfert de données personnelles par Microsoft de l'UE vers les États-Unis tomberait sous le coup des règles européennes, la Commission a estimé qu'il était dans l'intérêt de l'UE de s'assurer que les règles européennes en matière de protection des données dans le cadre des transferts internationaux sont correctement comprises et prises en compte par la Cour suprême des États-Unis. » La Commission assure toutefois qu'elle ne prend aucune position dans ce procès. L'amicus brief ne sera donc pas en faveur de l'une ou l'autre des parties.
Néanmoins, comme l’a indiqué Brad Smith, le responsable des affaires juridiques de Microsoft, vendredi dernier, les tierces parties qui ont signé l’amicus brief émanent de divers horizons : « Les membres du Congrès ont adopté la même position que les membres du Parlement européen. La Chambre de commerce des États-Unis a cité de manière approbatrice une déclaration de la Commission européenne. Les groupes d'affaires et les grandes entreprises étaient d'accord avec les défenseurs des consommateurs et de la protection de la vie privée. La faculté de Harvard se joint à des professeurs de Princeton. Des professeurs de Duke ont rejoint des rivaux de l'Université de Caroline du Nord, tandis que ceux de Berkeley se sont rangés du côté de Stanford. Et Fox News a convenu avec l'American Civil Liberties Union. »
Au total, « Jeudi, 289 différents groupes et individus de 37 pays ont signé 23 mémoires juridiques différents soutenant la position de Microsoft selon laquelle le Congrès n'a jamais donné aux forces de l'ordre le pouvoir d'ignorer les traités et de violer ainsi la souveraineté de l'Irlande. »
Smith reconnaît qu’il arrive que les forces de l’ordre aient besoin d’avoir accès à des courriels stockés dans d’autres pays : « Depuis que nous avons intenté cette poursuite en 2013, nous avons répété qu'il y a des moments où cela est nécessaire pour protéger la sécurité publique. »
Cependant, « Comme l'ont expliqué hier 51 éminents informaticiens dans leur mémoire, les courriels sont stockés dans des emplacements physiques connus, sur des disques durs, dans des centres de données. Lorsque le gouvernement des États-Unis demande à une société de technologie d'exécuter un mandat pour les courriels stockés à l'étranger, le fournisseur doit chercher dans un centre de données étranger et en faire une copie à l'étranger, puis importer cette copie aux États-Unis. Cela crée un problème complexe avec d'énormes conséquences internationales. Il ne devrait pas être résolu en plaçant la loi dans un endroit où elle n'a jamais été destinée. »
Citant la France, l'Irlande, l’Union européenne, il a indiqué que « Comme ces fonctionnaires l'ont expliqué, la tentative du Département américain de la Justice de saisir les courriels des clients étrangers des autres pays ignore les frontières, les traités et le droit international, ainsi que les lois en place pour protéger la vie privée de leurs citoyens. Comme le gouvernement français l'a déclaré lundi, c'est une voie qui crée “un risque important de conflit de lois”. Et, selon l’appréciation du secteur de la technologie, c'est un conflit qui va laisser les entreprises technologiques et les consommateurs pris entre deux feux. »
« Tout le monde des deux côtés de cette affaire est d'accord que ce sont de vrais problèmes qui ont besoin de vraies solutions. Mais elles doivent être conçues avec un scalpel, et non un couperet à viande », a conclu Smith.
Citation:
Mise à jour du 28/02/2018 : La bataille entre Microsoft et le gouvernement continue à la Cour suprême
Les magistrats de la Cour suprême ont lancé les hostilités mardi avec le ministère américain de la Justice pour savoir si les procureurs pouvaient obliger les entreprises technologiques à remettre des données stockées à l'étranger. Certains d’entre eux, comme le juge en chef John Roberts et le juge Samuel Alito, se sont montrés en faveur du gouvernement. Tandis que d’autres, comme les juges Ruth Bader Ginsburg et Sonia Sotomayor, se sont demandé si le tribunal devait se prononcer dans cette affaire étroitement surveillée, à la lumière du fait que le Congrès envisageait maintenant une législation bipartisane qui permettrait de résoudre le problème juridique.
« Ne serait-il pas plus sage de dire “laissons les choses telles qu'elles sont” ? Si le Congrès veut réguler dans ce “Meilleur des Mondes”, il devrait le faire », a déclaré Ginsburg.
Alito a convenu que le Congrès devrait agir, mais a ajouté que « dans l'intérim, quelque chose doit être fait ».
Le juge Roberts s’est montré préoccupé par le fait que des sociétés comme Microsoft pourraient permettre aux clients d'être loin de la portée des procureurs des États-Unis en stockant délibérément des données à l'étranger. Microsoft « pourrait gagner des clients si vous pouvez leur assurer que, quoi qu'il arrive, le gouvernement ne sera pas en mesure d'avoir accès à leurs courriels », a-t-il déclaré.
Ce à quoi l'avocat de l'entreprise, Joshua Rosenkranz, a répondu que les clients savaient déjà qu'il existait d'autres services offrant des garanties plus strictes en matière de confidentialité : « Si les clients ne veulent pas que leurs e-mails soient saisis par le gouvernement, ils n'utilisent pas les services de Microsoft. »
Microsoft, qui compte 100 centres de données dans 40 pays, a été la première entreprise américaine à contester un mandat de perquisition interne visant à obtenir des données à l'extérieur des États-Unis.
Source:
Reuters
Source : Microsoft
Et vous ?
:fleche: Quel est votre avis sur cette affaire ?
USA : Le DoJ obtient un nouveau mandat qui ordonne à Microsoft à fournir des données stockées en Irlande
USA : le DoJ obtient un nouveau mandat pour contraindre Microsoft à fournir des données stockées en Irlande
en vertu du CLOUD Act signé par Trump
Le gouvernement américain a récemment obtenu un nouveau mandat qui ordonne à Microsoft de fournir les emails d'un individu stockés sur des serveurs en Irlande. Dans cette affaire, qui a débuté en 2014, le département américain de la Justice (DoJ) a porté plainte contre Microsoft pour avoir refusé de fournir des informations sur des emails stockés sur des serveurs en Irlande. Le gouvernement fédéral a fait valoir que Microsoft devrait se conformer au mandat, en vertu du Stored Communications Act, mais Microsoft refuse de satisfaire à sa demande estimant que les mandats de perquisition US ne peuvent pas s'appliquer au-delà des frontières américaines. Après plusieurs verdicts rendus en faveur de Microsoft, le DoJ a fait appel à la Cour suprême des États-Unis pour se pencher sur la question de savoir si les mandats de perquisition américains peuvent s’étendre aux données stockées sur des serveurs étrangers.
Le verdict de la Cour suprême était prévu pour le mois de juin de cette année, mais il ne sera plus nécessaire, puisque le gouvernement fédéral américain a mis fin à cette vieille bataille. Le DoJ ouvre toutefois un nouveau front contre Microsoft, en vertu du CLOUD Act signé fin mars par Donald Trump.
Dévoilé début février par le Congrès américain, en tant que projet de loi bipartisan, le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) vise en effet à faciliter l’accès, par les forces de l’ordre, aux données stockées sur des serveurs à l’étranger. Il semble donc avoir été motivé par la volonté de trancher dans des cas comme celui qui oppose Microsoft au gouvernement fédéral américain ; et a même été soutenu par les entreprises de la tech, y compris Microsoft, Apple, Facebook et Google.
Ces derniers ont en effet bien accueilli cette loi qu’ils considèrent comme « une solution logique pour gérer l'accès transfrontalier aux données ». Brad Smith, le directeur juridique de Microsoft, estime par exemple que le CLOUD Act « crée un cadre juridique moderne pour la manière dont les forces de l'ordre peuvent accéder aux données stockées au-delà des frontières » et « répond directement aux besoins des gouvernements étrangers frustrés par leur incapacité à enquêter sur les crimes dans leur propre pays. »
Une chose est sûre, c'est que le CLOUD Act répond aux besoins du département américain de la justice, puisqu'il crée un cadre juridique qui lui permet de demander à Microsoft de lui fournir des données stockées sur des serveurs à l'étranger. Alors, le DoJ n'avait plus besoin de demander à la Cour suprême de statuer sur cette question. Cela explique pourquoi il a abandonné l'ancienne affaire, ou du moins l'a relancée avec un argument plus solide : le CLOUD Act – qui, contrairement aux lois existantes, précise que les autorités peuvent exiger que les entreprises leur transmettent des données, même si elles sont stockées à l'extérieur des États-Unis.
Pour le DoJ, Microsoft n'a plus aucune raison faire résistance
« Parce que Microsoft a jusqu'à présent refusé de se conformer au mandat initial, le gouvernement a estimé que le moyen le plus efficace d'obtenir les informations recherchées est un nouveau mandat en vertu du CLOUD Act », peut-on lire dans la motion déposée par le DoJ à la Cour suprême, pour annuler la demande d'intervention de la haute juridiction. « La question juridique spécifique qui a incité le gouvernement à solliciter [l'intervention de la Cour suprême] a maintenant été résolue par le CLOUD Act. Le gouvernement est désormais incontestablement autorisé à exiger de Microsoft qu'il divulgue des données stockées à l'étranger », a écrit le DoJ.
Le gouvernement fédéral explique donc avoir demandé un nouveau mandat le 30 mars 2018 pour obtenir les informations pertinentes recherchées ; un mandat qui a été émis le même jour par un magistrat. « En vertu du nouveau mandat, qui remplacera le mandat initial et que le CLOUD Act régit de manière indiscutable, Microsoft doit produire toute information demandée qui est en sa possession ou sous son contrôle », insiste le DoJ. « Microsoft n'a plus de raison de suggérer qu'un tel mandat est extraterritorial parce qu'il concerne des données stockées à l'étranger, ce qui était le seul argument dans sa requête en annulation ... Il n'y a donc plus de différend entre les parties, et l'affaire est maintenant sans objet », a-t-il ajouté.
Mais pour Microsoft, le CLOUD Act n'est que la première étape
Si le DoJ estime qu'il n'y a plus de différend avec Microsoft, le géant du logiciel recadre les choses en affirmant que le CLOUD Act ne règle pas l'affaire, mais est juste un pas dans la bonne direction. Il y a donc des étapes supplémentaires à suivre, affirme Brad Smith, directeur juridique de Microsoft.
Dans un billet de blog, Brad Smith est revenu sur la position qu'a défendue l'entreprise ces quatre dernières années : « Nous avions dit que même si les litiges étaient importants, nous avions besoin d'une nouvelle législation et de nouveaux accords internationaux pour réformer le processus par lequel les forces de l'ordre dans le monde recueillent des preuves numériques et enquêtent sur les crimes. Et nous avons dit que les accords internationaux doivent avoir de fortes protections pour la vie privée et les autres droits de l'Homme. » Autrement dit, le Cloud Act permet d'avoir une nouvelle législation, mais il faut encore de nouveaux accords internationaux avec de fortes garanties pour la vie privée.
Brad Smith considère la nouvelle loi signée par Trump comme une fondation. Et « comme toute fondation, le CLOUD Act n'aura une importance durable que si nous construisons des structures fortes au-dessus. C'est pourquoi cette loi est une étape importante et non la fin du voyage », dit-il.
Plus que tout, Microsoft estime qu'il faut maintenant que les gouvernements avancent rapidement pour mettre en place de nouveaux accords internationaux, en citant en exemple un accord signé il y a deux ans entre les USA et le Royaume-Uni. Brad Smith pense donc que les États-Unis devraient discuter avec la Commission européenne pour parvenir à un ou plusieurs accords internationaux « qui établissent des règles juridiques internationales claires qui satisfont les forces de l'ordre et les défenseurs de la vie privée ». Ce qui devrait prendre encore quelques années, si c'est vraiment possible.
Sources : Motion du DoJ (pdf), Microsoft
Et vous ?
:fleche: Qu'en pensez-vous ?
:fleche: Croyez-vous en des accords qui puissent satisfaire les forces de l'ordre et les défenseurs de la vie privée ?
Voir aussi :
:fleche: CLOUD Act : Donald Trump autorise l'accès aux données stockées à l'étranger, pour les forces de l'ordre américaines
:fleche: Accès aux données stockées à l'étranger : un sénateur américain introduit un projet de loi favorablement accueilli par les géants de l'IT