Cloud
Mandat sur le cloud : vers une double peine pour Microsoft ?
Par Jacques Cheminat, publié le 01 mars 2018
Dans l’affaire l’opposant au gouvernement américain concernant un mandat sur des données mail stockées en Irlande, Microsoft a eu du mal à convaincre les juges de la Cour Suprême. La firme pourrait aussi s’exposer à une amende en Europe dans le cadre du RGPD.
Un sacré imbroglio que l’affaire Microsoft contre le gouvernement américain. Tout a commencé en 2013 avec la demande des autorités américaines d’accéder par mandat à des mails d’un traficant de drogue sur son compte MSN. Problème, ces données sont stockées dans le datacenter irlandais de Microsoft. Ce dernier refuse au motif que la loi américaine ne s’applique pas de manière extraterritoriale. Après plusieurs procédures judiciaires, le contentieux a été porté par le Département de la Justice (DoJ) auprès de la Cour Suprême.
Les arguments de Microsoft à la peine
La plus haute juridiction a tenu séance hier pour écouter les arguments des parties. Pour Microsoft, la problématique vient principalement de l’obsolescence de la loi, Stored Communications Act, datant de 1986 et ne pouvant pas prendre en considération le cloud et son application à l’internationale. Le représentant du gouvernement a estimé que cet aspect était « un mirage créé spécifiquement par Microsoft ». Pour lui, la firme de Redmond a la possibilité technique de migrer les données de l’Irlande aux Etats-Unis et tomber alors sous le coup du mandat. L’éditeur conteste cette analyse en expliquant que la loi a été prise pour éviter les intrusions gouvernementales.
Dans ce cadre, le gouvernement peut « aller chercher, faire une copie et importer des données de clients stockées physiquement dans un coffre numérique sur un ordinateur à l’étranger protégé par la loi du pays ». C’est une atteinte à la souveraineté du pays. Les juges de la Cour Suprême ont demandé si « quelqu’un devait être physiquement là ? ». Le conseil juridique de Microsoft a expliqué que la présence d’un humain n’était pas nécessaire en Irlande et que la tâche serait pilotée par un robot depuis Redmond. L’intervention du robot entraîne alors une ingérence dans la souveraineté du pays. Les juges sont restés perplexes sur cette explication.
Le Cloud Act en deus ex machina
Globalement les arguments de Microsoft ne semblent pas avoir convaincus les juges de la Cour Suprême. Est-ce que pour autant la plus haute juridiction va aller dans le sens du gouvernement ? Pas sûr, les juges aimeraient que le Congrès résout le problème à travers une loi. Un groupe de sénateurs républicains et démocrates ont déposé une proposition de loi, Cloud Act. Elle a l’avantage d’être acceptée par Microsoft et le gouvernement en stipulant que des mandats de perquisition US pourraient s’appliquer dans des pays partenaires, mais prévoit aussi des procédures pour les contester.
Risque d’une amende au nom du RGPD
Si la Cour Suprême s’oriente vers un statu quo pour laisser le Congrès « réguler ce nouveau monde », Microsoft échappera probablement à une autre peine. En effet, le RGPD (règlement général sur la protection des données personnelles) précise dans son article 48, « toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international, tel qu’un traité d’entraide judiciaire, en vigueur entre le pays tiers demandeur et l’Union ou un État membre ». En l’absence d’un traité bilatéral, Microsoft peut être condamné à une amende pouvant atteindre 3,6 milliards de dollars. Et pour le député européen, Jan Philipp Albrecht, rapporteur sur le RGPD, il est presque certain qu’une amende de ce montant puisse être infligée.
La Cour Suprême s’est laissée jusqu’au mois de juin pour statuer sur cette affaire. Si la décision autorise le mandat et la livraison des données stockées en Irlande, Microsoft subira une double peine : fin de la confiance dans le cloud américain et sanction financière liée au RGPD. A moins que le Cloud Act soit voté pour mettre fin à cette procédure.