Perquisitions informatiques et compétence territoriale : l’affaire Microsoft Corporation c/ USA devant la Cour suprême des Etats-Unis

modern cloud services and Cloud Computing Elements Concept. Devices connected to the cloud with Gears. Flat Vector Illustration.

Auteure: Noura Ghanem, étudiante au cours DRT-6929E-A

Dans le cadre d’une perquisition informatique, le géant informatique Microsoft est-il tenu de remettre aux autorités américaines les données d’un client stockées en Cloud sur les serveurs de sa filiale située hors du territoire américain, en Irlande ?

Il s’agit de la question soumise à la Cour suprême des Etats-Unis à l’audience du 27 février 2018.

L’audience très attendue marque la dernière manche d’une bataille judiciaire de cinq ans qui oppose le géant informatique Microsoft au United States Department of Justice (DOJ).

Tout a commencé en 2013 lorsque des agents fédéraux américains, mandat d’un juge à l’appui, ont demandé à Microsoft l’accès à tous les e-mails et les informations privées d’un citoyen et résident irlandais soupçonné de trafic de drogue dans le cadre d’une enquête judiciaire.

L’entreprise, qui avait communiqué toutes les données du client concerné, hébergées sur l’ensemble des serveurs situés aux États-Unis, a refusé d’accéder à cette nouvelle requête et déposé un recours devant la justice américaine, soutenant que le mandat de perquisition américain n’était pas valable en Irlande, où sont hébergées les données en question.

Les données litigieuses exclusivement stockées en cloud sur des serveurs de la filiale de Microsoft situés en République d’Irlande, se posait dès lors la question, en droit américain, de la compétence territoriale du juge américain à délivrer un tel mandat.

En 2014, une cour de justice américaine de première instance avait donné raison au DOJ en considérant que le critère déterminant le cadre légal applicable à la saisie était celui du contrôle des données et non celui du lieu de localisation des données : en l’espèce, il s’agit de Microsoft, société américaine et qui est donc soumise au droit américain. Microsoft interjette alors appel de cette décision et obtient une victoire en 2016.

Ainsi, par décision du 14 Juillet 2016, la Cour d´appel du 2e circuit a donné raison à Microsoft, en considérant que la mise en application d´un mandat pour obtenir des informations stockées exclusivement à l´étranger serait en violation des dispositions du « Stored Communications Act » (« SCA ») de 1986. Pour la Cour d´appel, l´utilisation, dans le SCA, du terme mandat (« warrant ») suggère que cette loi est destinée à s’appliquer uniquement au niveau national, puisque historiquement les « warrants » n´autorisent la collecte des preuves que dans le périmètre des frontières nationales.

À l’appui de ses prétentions, le ministère public avait fait valoir que la saisie des données accessibles depuis les États-Unis, mais stockées en Irlande n’entraînerait pas de saisie physique sur le territoire irlandais, et se déroulerait donc exclusivement sur le territoire américain.

La Cour d’appel fédérale ne suit pas ce raisonnement et répond que le texte suggère qu’un mandat pris en son application ne peut légalement qu’« atteindre » (à distance) un serveur relevant de la compétence territoriale du juge fédéral américain. Au-delà, il s’agit d’une perquisition réalisée à l’étranger qui relève des procédures d’entraide judiciaire internationale.

En outre, afin de rejeter définitivement l’argument de l’absence d’extraterritorialité de la saisie de données situées à l’étranger, la Cour retient qu’en l’absence de dispositif d’entraide pénale internationale, les États-Unis n’auraient aucun moyen de contraindre une société à fournir des données stockées à l’étranger.

Enfin, la Cour énonce que même si, subsidiairement, la formulation du SCA permettait la saisie extraterritoriale de données dématérialisées, l’application de ces dispositions s’avérerait très probablement en violation de la souveraineté de l’État du lieu de localisation du support de stockage, ici l’Irlande.

Estimant que cette décision risque d’entraver « des centaines si ce ne sont des milliers d’enquêtes pénales » et rallié par plus de la moitié des États américains hormis la Californie où sont installés les géants de la technologie, le DOJ a décidé de porter le contentieux auprès de la Cour Suprême.

De son côté, Microsoft considère que donner raison au DOJ créerait un dangereux précédent. Cela pourrait en effet pousser n’importe quel État, y compris les régimes autoritaires, à faire valoir son droit d’accéder aux informations hébergées à l’étranger depuis son propre territoire. Microsoft qui possède des data-centers dans différents pays, risquerait également d’être confronté à des conflits de lois avec des obligations contradictoires à respecter.

Le géant informatique est soutenu sur de nombreux fronts dans cette bataille. 289 différents groupes et individus de 37 pays ont signé 23 mémoires juridiques différents soutenant sa position. Parmi les soutiens de Microsoft, on retrouve plusieurs entreprises de la Silicon Valley dont Amazon, Apple, les opérateurs télécoms AT&T et Verizon ou encore HP.

L’Union européenne a de son côté voulu peser dans les débats et a transmis un argumentaire à la Cour suprême rappelant que les données numériques stockées en Europe relèvent de la loi européenne et les autorités américaines doivent tenir compte du cadre de protection des données dont l’Union européenne s’est dotée. Microsoft risque ainsi d’être condamnée à une forte amende en application de l’article 48 du règlement général sur la protection des données (règlement (UE) n° 2016/679).

Dans cette affaire, le problème n’est pas seulement juridique, il est également commercial. En effet, la confiance avec les consommateurs de services technologiques est aussi au cœur de cette bataille juridique. Si les utilisateurs savent que leurs données peuvent être consultées à tout moment par les autorités américaines, ils utiliseront moins de services comme ceux de Microsoft. Une décision en faveur du DOJ risque de renforcer le climat de défiance et de méfiance à l’égard des acteurs du cloud américain quant à la leur capacité à protéger les données personnelles localisées hors des Etats-Unis, réputation qui avait déjà été entachée par les révélations d’Edward Snowden.

La Cour suprême américaine a longuement entendu le mardi 27 février2018 les arguments des deux parties. Sa décision, attendue pour fin juin, pourrait donc être déterminante pour l’ensemble des grands acteurs des technologies proposant des services de stockage de données localisées à l’extérieur des États-Unis et leurs utilisateurs.

Cependant, la Cour suprême, désormais composée de juges beaucoup plus conservateurs qu’en 2013, semble vouloir s’en remettre au Congrès. Celui-ci planche sur une proposition de loi visant à créer un nouveau cadre légal adapté aux technologies actuelles, le Cloud Act. Il rendrait les mandats de perquisition applicables dans des pays partenaires, mais permettrait aussi des procédures de contestation.

Si le Congrès adopte ce texte, souhaité par Microsoft, avant fin juin, la Cour suprême n’aura pas besoin de trancher et estimera que le problème est résolu.

Affaire à suivre…

This content has been updated on March 12, 2018 at 23 h 38 min.