Une cour américaine peut-elle émettre un mandat de perquisition pour l’étranger?
Aux États-Unis, les cours de justice ne sont pas habilitées à délivrer des mandats de perquisition dans d’autres pays.
Vendredi dernier, le juge James C. Francis de la Cour de district des États-Unis pour le district sud de New York a décidé (In re Matter of Warrant) que cette restriction ne s’appliquait pas aux mandats de perquisition de données.
Il statuait dans le cas de Microsoft, qui avait refusé de fournir des données d’un client, hébergées dans son centre de données de Dublin en Irlande, à une agence gouvernementale américaine. Pour Microsoft, les mêmes règles devraient être appliquées dans le monde réel et dans le monde en ligne.
C’est le même juge qui avait approuvé le mandat de perquisition en décembre, qui visait à trouver des informations sur le détenteur d’un compte de courriel, y compris son nom, l’accès intégral à sa boîte de courriels, des métadonnées de durées et de dates de connexions, ainsi que le numéro de carte de crédit ou de compte bancaire utilisé pour payer le service.
Microsoft s’engage à protéger ses clients
Microsoft avait respecté ce mandat pour tous les renseignements hébergés aux États-Unis, mais une fois découvert que le compte de courriel était hébergé sur un serveur à Dublin, Irlande, n’avait pas donné d’informations supplémentaires et avait demandé au juge d’annuler le mandat, d’après la loi américaine sur les mandats de perquisition qui ne peuvent avoir lieu à l’étranger.
Le 4 décembre 2013, le directeur juridique de Microsoft, Brad Smith, avait affirmé dans un article de blogue, Protéger les données des clients de l’espionnage gouvernemental (NdE: traductions du Diligent)
Nous prendrons également de nouvelles mesures pour renforcer la protection juridique des données de nos clients. Par exemple, nous nous engageons à informer les clients d’entreprises et les clients gouvernementaux si nous recevons des ordres juridiques concernant leurs données. Si une ordonnance de non-publication essaie de nous interdire de le faire, nous la contesterions devant le tribunal. Nous l’avons fait avec succès par le passé, et nous continuerons de le faire dans l’avenir pour préserver notre capacité à alerter les clients lorsque des gouvernements cherchent à obtenir leurs données. Et nous ferons valoir nos objections juridiques quand les gouvernements cherchent les données d’un client qui sont hébergées dans un pays tiers.
Les motivations de la décision
D’après Francis, le mandat dépend de la loi Stored Communications Act (SCA) dont le langage d’une section est ambigu, ce que Microsoft décide d’interpréter d’une façon (que la Règle 41 qui limite notamment les mandats aux États-Unis, s’applique) et le juge de la façon inverse.
Il affirme aussi que d’après la SCA, la protection du quatrième amendement qui s’applique pour le monde réel, ne s’applique pas pour les communications Internet.
D’après lui il s’agirait plus d’une citation à comparaître (qui ne peut être refusée) que d’un mandat de perquisition classique.
Enfin, il juge que l’alternative, que les agences gouvernementales coordonnent leurs efforts avec des agences étrangères, gênerait sérieusement les efforts des forces de l’ordre.
On ne sait pas encore si Microsoft va faire appel de ce jugement, qui ne fait pas les affaires des fournisseurs américains de services Cloud.
Quel avenir pour les fournisseurs américains de cloud?
Déjà malmenés par les révélations des abus de la NSA par le dénonciateur Edward Snowden, ce jugement risque d’inciter de nombreuses entreprises en Europe et en Asie à ne pas utiliser des services américains comme Microsoft Azure, Amazon Web Services ou Google Cloud Platform. Et de se tourner vers des clouds souverains.
Dans cette optique, Microsoft reste toutefois le mieux placé des fournisseurs américains de cloud. D’une part parce qu’il offre la solution de cloud hybride la plus aboutie, qui permet au client étranger d’héberger les données en interne dans sa juridiction tout en hébergeant la partie applicative dans le cloud.
D’autre part parce que Microsoft a des accords avec des fournisseurs de services cloud tiers, qui peuvent offrir une plate-forme Azure tout en dépendant d’une juridiction non américaine.