Microsoft, qui refusait depuis 2013 de fournir aux autorités américaines les données stockées en Europe d’un utilisateur de ses services, a été entendu en appel, jeudi 14 juillet. La cour d’appel des États-Unis pour le second circuit à New York a validé l’argument des avocats de la firme de Redmond. Selon eux, autoriser Washington à émettre des mandats pour accéder aux données stockées à l’étranger foulerait aux pieds les législations nationales et créerait un dangereux précédent.
Comment en est-on arrivé là ? En décembre 2013, les autorités américaines ont obtenu un mandat pour contraindre Microsoft à lui fournir le contenu de messages échangés par un utilisateur soupçonné de trafic de drogue. Or, ces données sont stockées à Dublin, en Irlande. Refusant l’application du mandat hors du territoire nord-américain, Microsoft a résisté. Mais un juge a confirmé, durant l’été 2014, la possibilité pour le gouvernement américain d’en exiger l’accès.
Microsoft a déposé un nouveau recours, arguant que le Congrès américain n’a pas autorisé le principe d’extraterritorialité sur les mandats émis depuis les États-Unis. Jeudi à New York, la juge de la cour d’appel, Sarah Carney, lui a donné raison. Le SCA (Stored Communications Act) intégré à la loi ECPA (Electronic Communications Privacy Act) de 1986, « n’autorise pas les tribunaux à émettre et faire exécuter par des fournisseurs de services basés aux États-Unis, des mandats destinés à faire saisir le contenu de courriels de consommateurs qui sont stockés exclusivement sur des serveurs à l’étranger ».
Dans cette affaire, Microsoft a reçu le soutien d’organisations de défense des libertés et d’entreprises IT, d’Apple à l’ACLU (American Civil Liberties Union). Après les premières révélations d’Edward Snowden sur les écoutes massives de la NSA, l’éditeur voulait démontrer que les données localisées hors du territoire américain sont à l’abri de la surveillance du gouvernement fédéral et de ses agences de renseignement. Malgré la décision de jeudi, le dossier peut encore rebondir.
En Europe, comme ailleurs dans le monde, la protection des données personnelles suscite des inquiétudes croissantes. Le sujet est d’autant plus sensible que le nouvel accord sur le transfert des données transatlantiques, le Privacy Shield (« bouclier de confidentialité »), a été adopté cette semaine. Négocié entre la Commission européenne et le Département américain du commerce, le Privacy Shield remplace le Safe Harbor invalidé fin 2015 par la Cour de justice de l’Union européenne (CJUE). Censé apporter un niveau de protection supérieur que son prédécesseur, le « bouclier » derrière lequel plusieurs milliers d’entreprises comptent s’abriter, est d’ores et déjà contesté.
Lire aussi :
Données dans le Cloud : Microsoft poursuit Washington
Données dans le Cloud : Microsoft et Washington s’affrontent en appel
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…