Duquesne Group Duquesne Group

English version
Blog des experts

Les avis et les commentaires exprimés dans les blogs sont ceux des experts individuels. Ils ne représentent pas nécessairement l'opinion du cabinet. Contactez-nous pour en savoir +
French version
Blogs

In these blogs, individual experts freely express their own opinions and comments. They do not necessarily reflect the opinion of the firm. Contact us to find out more


Les DSI européennes veulent avoir l'assurance que leurs données sur le Cloud restent en Europe et exclusivement sous juridiction européenne




Dans l’affaire des emails stockés à Dublin visés par un mandat de perquisition émis par les autorités américaines, les revers successifs de Microsoft en 2014 devant des tribunaux fédéraux suscitent les plus vives inquiétudes.

Le mandat a été émis par un tribunal fédéral à la demande du FBI et signifié à Microsoft en décembre 2013 sur la base du Electronic Communications Privacy Act (ECPA) de 1986. Ce type de mandat permet aux autorités de saisir des communications électroniques hébergées par un fournisseur de service, sans que le client en soit informé. Contrairement au Patriot Act, limité en principe aux affaires de terrorisme, cette loi ECPA peut s’appliquer à toute sorte d’enquête pénale.

Microsoft a fondé sa demande d’annulation sur le principe constitutionnel selon lequel le gouvernement fédéral n'a pas le pouvoir d’émettre un mandat de perquisition extraterritorial, c'est-à-dire, en dehors du territoire américain.

Dans un raisonnement surprenant et contre-intuitif, les tribunaux fédéraux ont jugé que le mandat n’était pas « vraiment » extraterritorial parce que, dans le monde interconnecté de l'Internet, le lieu de stockage d'une « propriété électronique » n’a pas d’importance, seul le contrôle effectif est pertinent. En tant qu’entreprise américaine, Microsoft devrait donc fournir les emails au gouvernement fédéral.

De son côté, Microsoft s’est engagé à se battre jusqu’au bout. En décembre 2014, la société a déposé un nouveau recours devant le « U.S. Second Circuit Court of Appeals ». L’affaire sera entendue vraisemblablement au printemps de cette année.

Si le mandat de perquisition pour les emails à Dublin est maintenu en appel, le principe de juridiction américaine - sur les données gérées par des « providers » américains - risquerait fort d’être élargi par les autorités américaines à d’autres services comme Office 365 et Google Apps, et même les services Cloud fournis par Amazon, IBM, Verizon et Microsoft lui-même.

Cela signifierait que les autorités américaines, moyennant l’obtention d’un mandat de perquisition auprès d’un tribunal aux Etas Unis, pourraient accéder directement à des données sur le Cloud situées en Europe. Il suffirait que la maison mère de l’hébergeur soit américaine. Pire encore, l’entreprise concernée ne serait même pas informée.

C’est une question de principe majeur. Est-ce que les DSI européennes, voire leurs directions générales, accepteraient que le choix d’un grand prestataire américain implique une juridiction américaine sur leurs données sensibles pourtant en Europe ?
Donald Callahan
Vendredi 6 Mars 2015

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share