Duquesne Group Duquesne Group

English version
Recherche et Analyse

Pour éclairer les décideurs dans le domaine de la Continuité d'Activité et de la Sécurité de l'Information, Duquesne Group propose ses analyses et réflexions issues de ses réalisations concrètes en clientèle. Observation critique du terrain par nos experts, contacts permanents avec les principaux acteurs du domaine et expérience vécue dans nos missions de conseil sont nos principales sources. Contactez-nous pour en savoir +
French version
Research

To support decision makers in the management and optimisation of information systems, Duquesne Group delivers in-depth analyses of information technologies, their implementations and their markets. Our research is based on critical observation of the market by our analysts and their on-going contacts with the vendor community, together with hands-on, practical experience from our consulting work. Contact us to find out more


Confidentialité en Europe : Microsoft versus le gouvernement américain


Les DSI européennes veulent avoir l'assurance que leurs données en Cloud restent en Europe et sous une juridiction européenne.

La décision récente contre Microsoft dans un tribunal fédéral de New York suscite des inquiétudes sérieuses.



La tempête médiatique autour des révélations Snowden a ravivé un vieux contentieux transatlantique sur l'autorité juridique, revendiquée par les États-Unis, sur les informations stockées dans les datacenters en Europe.

La loi US Patriot Act était à l’origine de cette controverse souvent confuse : une loi conçue à la hâte et adoptée dans la panique de l’après-11 Septembre, qui a engendré une expansion sans précédent des pouvoirs de surveillance et d’enquête du gouvernement fédéral, couverte par le secret d’Etat.

Cette loi, toutefois, n'est qu'une partie de l'arsenal législatif puissant - potentiellement extraterritorial - maintenant disponible pour les procureurs et les juges américains. La loi SCA (American Stored Communications Act), qui définit les droits et les obligations des ISP (Internet Service Providers) et de leurs clients, est également une arme puissante, comme l’illustre une récente décision contre Microsoft devant un tribunal fédéral de New York.

En Décembre 2013, le juge fédéral James Francis a émis - à la demande des procureurs fédéraux et en vertu de l'article 2703 (a) du SCA - un mandat de perquisition ordonnant à Microsoft de fournir à la Cour le contenu d’un compte de courrier électronique d’un client, stocké dans un serveur situé à Dublin.

Microsoft a contesté le mandat devant la Cour parce que, selon l’entreprise, « le gouvernement américain n'a pas le pouvoir de perquisitionner une maison dans un autre pays, il ne devrait pas avoir le pouvoir de perquisitionner le contenu du courrier électronique stocké à l’étranger. »

Le 25 Avril 2014 le juge Francis a rejeté la demande d’annulation du mandat, dans une décision qui élargit considérablement la portée de la loi fédérale dans les datacenters des ISP américains où qu'ils se trouvent. Microsoft a immédiatement annoncé son intention de faire appel.

L’enjeu est de taille parce que, si la décision est maintenue, elle pourrait éventuellement concerner non seulement les services de courrier électronique mais aussi d’autres comme Office 365 et Google Apps, et même les services Cloud fournis aux entreprises par AWS, IBM, Verizon et bien sûr Microsoft lui-même.

Le lieu de stockage des données est sans importance : le raisonnement juridique pour l'autorité fédérale

Quoi qu'on puisse penser du résultat, cette décision clairement motivée a le mérite de rendre public le raisonnement juridique déployé par le gouvernement fédéral pour justifier ses demandes d’accès aux données stockées dans les datacenters européens des Providers américains.

Une lecture attentive de ce document de 27 pages permet de comprendre à la fois la philosophie juridique sous-jacente et les principales conclusions du Juge dans son interprétation assez large du SCA et de l'autorité du gouvernement américain.

L'Internet ne tient pas compte des frontières géographiques et jette la loi dans le désarroi

La montée de l'Internet est au cœur de la philosophie juridique qui sous-tend la décision de la Cour.

Partant du principe qu'une distinction doit être établie entre « propriété physique » traditionnelle et « propriété électronique », le Juge cite plusieurs juristes universitaires pour justifier une nouvelle approche en matière de perquisition et de saisie dans un contexte numérique. Dans la philosophie de la décision, ce nouveau type de propriété est en réalité « juste un bloc de zéros et de uns, stockés quelque part sur l'ordinateur de quelqu'un d'autre » et qui est accessible sur « un médium électronique qui ignore les frontières géographiques et jette la loi dans le désarroi ».

Le juge Francis cite notamment Orin Kerr, professeur de droit à George Washington University, qui écrit dans A User's Guide to the Stored Communications Act, que « les protections qui s'appliquent dans le monde physique, et en particulier au domicile, peuvent ne pas s'appliquer à l'information communiquée par Internet ».

En fait, Kerr va encore plus loin dans son ouvrage de 2004, théorisant qu’un utilisateur de l’Internet « n'a pas ... d'espace privé du tout ». La Cour pourrait être d'accord – ou non - avec cette affirmation radicale, mais elle est certainement indicative de l'acceptation croissante, dans la pensée juridique américaine, d’un grand pouvoir gouvernemental de surveillance et d’enquête, au détriment de la protection de la vie privée.

Avec cette philosophie juridique naissante en arrière plan, le juge Francis a examiné la demande de Microsoft d’annuler son mandat de perquisition pour les courriers électroniques stockés à Dublin.

L’argument Microsoft : « d'une simplicité trompeuse »

Selon le Juge, « l'argument de Microsoft est simple, mais peut-être d'une simplicité trompeuse... le gouvernement a demandé des informations ici au moyen d'un mandat. Les tribunaux fédéraux sont sans pouvoir d'émettre des mandats de perquisition pour des biens à l'extérieur des limites territoriales des Etats-Unis. Par conséquent, Microsoft conclut, dans la mesure où le mandat ici nécessite l'acquisition d'informations de Dublin, qu’il n'est pas autorisé et doit être annulé ».

Le Juge Francis admet que l'analyse de Microsoft « n'est pas incompatible avec le langage statutaire » du SCA, mais il développe avec érudition une autre interprétation, plus en phase avec les réalités du monde numérique, au moins dans l'opinion de la Cour. Pour ce faire, il analyse d’abord le langage statutaire du SCA (qu’il trouve ambigu sur certains points), puis procède à un examen détaillé de son histoire législative et de sa logique interne, afin de cerner ce qu’il considère comme les véritables intentions du législateur.

Ainsi, il arrive à ses conclusions sur trois points juridiques majeurs : la nature d'un mandat SCA, le moment où une perquisition de propriété électronique devrait être considérée comme une perquisition et enfin la question fondamentale d’extraterritorialité.

Un mandat SCA est plus qu'un mandat de perquisition

En vertu de la loi SCA, le gouvernement américain peut demander à un ISP de fournir des courriers électroniques de ses clients par voie de « subpoena » (en droit anglo-saxon, une injonction d'apparaître devant un tribunal pour produire soit un témoignage soit un document), par une ordonnance du tribunal ou bien par un mandat de perquisition. Avec cette dernière option, le client n’est pas informé de la démarche, comme un ordre sous le Patriot Act.

Dans l’affaire en question, le Juge Francis a délivré un mandat de perquisition en vertu de l'article 2703 (a) du SCA pour les courriers électroniques à Dublin.

Comme Microsoft le souligne à juste titre, il est bien établi en droit que les tribunaux fédéraux n'ont pas le pouvoir de délivrer des mandats pour la perquisition et la saisie des biens à l'extérieur des limites territoriales des Etats-Unis.

Selon la décision, cependant, un mandat SCA « n'est pas un mandat conventionnel ; c’est plutôt un ordre hybride : en partie mandat de perquisition et en partie subpoena ... exécuté comme un subpoena en ce qu'il est présenté à l’ISP en possession de l'information ». Cette distinction ne se trouve pas explicitement dans le texte de la loi mais relève de l’interprétation faite par le Juge.

En tout cas, c'est une distinction très commode pour le gouvernement parce que « un subpoena ordonne au destinataire de produire des informations en sa possession, sa garde ou son contrôle, indépendamment de la localisation de cette information ».

Quand et où une perquisition devient une perquisition

Malgré cette première conclusion, à savoir que Microsoft doit produire des courriers électroniques, le problème reste qu'il n'y a pas d’autorité fédérale pour perquisitionner à l’étranger. Ici aussi, le juge Francis trouve une réponse ingénieuse : la perquisition proprement dite aura lieu uniquement sur le territoire des États-Unis.

Sur ce point, la décision cite encore une fois le professeur Kerr qui soutient que, dans le contexte de l'information numérique, « une perquisition se fait lorsque les informations sont exposées à l'observation humaine, comme quand elles apparaissent sur un écran, plutôt que quand elles sont copiées par le disque dur ou traitées par l'ordinateur ».

En d'autres termes, une perquisition numérique n'est pas une perquisition avant que l'information soit exposée à l'observation humaine. Le gouvernement doit tout simplement veiller à ce que cela se passe aux États-Unis.

Cette deuxième conclusion est, pour le moins, une innovation extraordinaire dans la doctrine juridique américaine de perquisition et de saisie.

Pas besoin d’extraterritorialité

S'appuyant sur le raisonnement précédent, le juge Francis arrive à sa conclusion clé : « Même lorsqu'il est appliqué à l'information qui est stockée dans des serveurs à l’étranger, un mandat SCA ne viole pas la présomption contre l'application extraterritoriale de la loi américaine ».

Pour conforter son raisonnement, le Juge évoque aussi l'histoire législative de l'article 108 du Patriot Act, qui concerne les mandats de perquisition pour les preuves électroniques. Il cite notamment un rapport du comité législatif chargé d'examiner cette loi, dont le langage assimile explicitement le lieu de stockage d’une information électronique au siège de l’ISP.

En fait, la Cour a pris grand soin dans cette affaire de ne pas réclamer une compétence extraterritoriale. Selon la Cour, une telle autorité n'est pas nécessaire dans la mesure où l’ISP est de droit américain et la véritable perquisition aux États-Unis.

Plus globalement, cette décision représente non seulement un jugement dans un cas particulier, mais aussi la naissance d’une doctrine juridique potentiellement très importante, à savoir que le lieu de stockage des données est sans importance en droit fédéral.


Questions ouvertes

La question la plus importante, bien sûr, est de savoir si cette décision extraordinaire sera maintenue ou non en appel. Clairement, Microsoft se prépare à une bataille juridique longue et coûteuse.

En supposant que la décision soit maintenue, deux questions majeures se posent.

Est-ce que la décision sera étendue à toute forme de propriété électronique ?

De manière générale, les procureurs américains ont une approche très large et expansive quand il s’agit de défendre l’existence de l’autorité fédérale.

Si l'idée que « le lieu de stockage des données est sans importance » s'établit comme doctrine juridique américaine, il est quasiment certain que les procureurs essaieront de l'appliquer à toute forme d'information électronique gérée par les acteurs américains d’Internet, avec au moins une chance raisonnable de succès.

À l'heure actuelle, donc, il n'est pas permis de savoir si l'impact de la décision restera limité au courrier électronique ou sera étendu plus largement, par exemple aux données des entreprises gérées en Cloud public. Cependant, une chose est tout à fait claire : dans un marché européen très sensible aux questions de confidentialité et de juridiction, les enjeux sont très élevés pour les grands acteurs américains.

Est-ce que la décision s’applique aux acteurs d’Internet non américains ?

Comme indiqué précédemment, la Cour a pris grand soin dans cette affaire de ne pas réclamer une compétence extraterritoriale, pour la bonne raison qu'elle n’en avait pas.

Selon la Cour Suprême des États-Unis, dans Morrison vs National Australia Bank Ltd, 561 US 247 (2010), il existe une présomption contre l'application extraterritoriale des lois américaines qui ne peut être surmontée que par une déclaration explicite dans le texte d’une loi. Le SCA ne fait pas une telle déclaration et, d'ailleurs, le Patriot Act non plus.

Dans le raisonnement juridique de la décision de Juge Francis, un ISP américain peut néanmoins être obligé de fournir des informations électroniques stockées à l’étranger, car les données sont considérées comme situées à son siège aux États-Unis. Cette logique ne s'applique évidemment pas aux acteurs non américains.

Il est certes possible qu’un juge fédéral émette un mandat pour les données gérées en Europe par un acteur européen, peut-être sur la base du fait qu’il dispose d'une présence commerciale significative aux Etats-Unis et en invoquant la doctrine dite de « minimum contact ». Toutefois, cette doctrine n’est appliquée que dans les affaires civiles qui concernent explicitement des actifs ou des activités aux États-Unis. En tout cas, un tel mandat ne pourrait être exécuté à l'étranger qu’en vertu d'un traité juridique d'assistance mutuelle et donc avec la coopération des autorités judiciaires nationales.

En l'état, la réponse à cette deuxième question est relativement claire : la décision ne s'applique pas aux acteurs européens d’Internet et leurs datacenters à l'extérieur des États-Unis.

Conclusion

En effet, les enjeux dans cette affaire sont de taille pour tous les acteurs américains d’Internet, notamment dans le marché européen. Néanmoins, la décision du tribunal fédéral de New York contre Microsoft n'est que la première étape de ce qui pourrait être une bataille judiciaire longue et coûteuse.

Ce n'est pas sans ironie que Microsoft, une société souvent traitée avec condescendance par « l'intelligentsia Tech » d'aujourd'hui, se trouve maintenant dans la position d'un leader de l'industrie avec des principes éthiques clairs, un leader qui défende non seulement les intérêts de tous les acteurs américains d’Internet, mais aussi les droits des utilisateurs à la vie privée dans le monde numérique.
Donald Callahan
Mercredi 28 Mai 2014

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Dans la même rubrique :
< >

Vendredi 21 Mars 2014 - 14:31 Retour sur l'affaire SocGen-Kerviel


Duquesne Research Newsletter