Les Etats Unis auront-ils le droit de saisir unilatéralement les emails situés dans un data center européen sans passer par la coopération judiciaire internationale ? Saisie par le département américain de la justice, c’est à cette question que la Cour Suprême est amenée à répondre. La décision opposant le gouvernement américain à la société Microsoft est attendue pour juin 2018.
Quels sont les faits ? En décembre 2013, un juge américain a ordonné à Microsoft de livrer aux autorités américaines les courriels d’un suspect qui se trouvaient sur un serveur de Microsoft situé en Irlande. Cette demande intervenait dans le cadre d’une enquête de trafic de drogue. Le mandat de perquisition s’appuyait sur une loi américaine de 1986 sur les communications stockées dite loi SCA (Stored communications Act). Microsoft n’a pas fait suite à cette demande en refusant de livrer le contenu de ces courriels. Ce dernier soutenait que les données se trouvant dans son data center localisé en Irlande, la SCA n’avait pas vocation à s’appliquer en raison de l’absence d’extraterritorialité de cette loi.
L’affaire a été portée devant une Cour d’appel des Etats-Unis qui a estimé que le gouvernement américain ne pouvait pas obliger une entreprise à transmettre les courriers électroniques de ses clients lorsque les serveurs sont situés hors du territoire. Cette Cour affirme que la loi SCA n’a pas d’application extraterritoriale. Un mandat donné au titre de cette loi ne peut concerner que les données stockées sur le territoire américain. Le gouvernement qui conteste cette décision a saisi la Cour Suprême américaine. La décision est attendue pour juin 2018. Le 18 janvier dernier était la date butoir pour que les amicus curiae (« amis de la cour », c’est à dire les différents acteurs concernés) interviennent à la procédure pour défendre leurs intérêts ou leurs opinions.
Les points essentiels de l’affaire
Cette affaire est intéressante à plusieurs égards. Premièrement, le lieu de stockage des données est clairement identifié. Microsoft a communiqué aux autorités américaines le lieu de géolocalisation des données : l’Irlande. Le gouvernement américain sait à quelle autorité compétente adresser la demande d’entraide judiciaire. Les Etats-Unis pourraient directement s’adresser à l’Irlande et s’assurer d’obtenir les données. Or, ils ont préféré se passer des mécanismes d’entraide judiciaire en choisissant une démarche unilatérale. A l’inverse, la nationalité du suspect n’a pas été révélée, ce qui laisse à supposer à la vue des faits qu’il s’agit d’un non américain.
Un autre point important de cette affaire est qu’elle porte sur des données relatives au contenu et non sur des données relatives aux abonnées. En effet, il est demandé à Microsoft de communiquer des données relatives au contenu de l’un de ses clients c’est-à-dire le contenu de tous les messages électroniques que le suspect aurait échangé avec d’autres personnes. En l’espèce, ces données concernent des emails, mais elles auraient pu concerner des documents, photos, films stockés dans le cloud. Cette demande a donc un impact également sur les personnes qui ont échangé par courriel avec le suspect. Cette affaire diffère des précédentes demandes formulées par des Etats auprès de fournisseurs pour accéder aux données relatives aux abonnées c’est-à-dire des données permettant d’identifier uniquement l’utilisateur d’une adresse IP sans accéder aux contenus des communications. A titre d’exemple, on peut citer l’affaire Twitter, survenue en 2013, dans laquelle la justice française avait ordonné au réseau social de transmettre les données permettant d’identifier les auteurs de tweets antisémites.
Il faut également souligner que les parties sont d’accord sur le caractère non extraterritorial de la loi SCA. Le principe extraterritorial en droit international concerne le pouvoir qu’à un Etat d’exercer ses pouvoirs à l’égard de ses nationaux situés sur le sol d’un Etat tiers. Le gouvernement américain a reconnu en effet, à plusieurs reprises, que la loi SCA sur laquelle repose le mandat, ne peut s’appliquer hors du territoire américain. Le point de divergence entre les parties ne concerne pas l’extraterritorialité de la loi mais l’extraterritorialité de l’affaire. Pour Microsoft, ce mandat ne peut s’appliquer aux données qui sont hébergées en Irlande. Or le département juridique américain, ne prend pas comme critère le lieu de stockage des données mais leur lieu d’accessibilité. Un clic de souris suffit à rendre accessibles sur le territoire américain ces données, bien que stockées dans un pays tiers. En outre, pour le gouvernement américain, le transfert des données de l’Irlande vers les Etats-Unis ne portera en aucun cas atteinte à la vie privé du suspect. La divulgation (c’est-à-dire le moment où le département de la justice ouvrira les mails transférés depuis l’Irlande) étant prévue sur le territoire américain, la loi américaine relative à la protection de la vie privée aura vocation à s’appliquer. Cette dernière autorise une telle atteinte à la vie privée lors d’une enquête pénale.
Le critère du lieu de stockage des données donne une matérialité géographique aux données. Néanmoins, malgré sa pertinence, ce critère présente une faiblesse. Il s’agit en effet d’un critère arbitraire. Les données ne sont en réalité pas stockées uniquement à un seul endroit et peuvent voyager entre plusieurs data centers notamment lors des maintenances. A savoir Microsoft détient des data centers en Irlande mais également en Allemagne, au Royaume-Unis, en France etc …
Les deux parties au litige ne sont pas en désaccord sur tout. En effet, elles s’accordent sur l’importance de la communication des données afin de permettre l’accès aux autorités aux preuves digitales. Dans son Mémoire présenté devant la Cour Suprême, le gouvernement souligne que l’affaire présente une exceptionnelle importance pour la sécurité nationale. En d’autres termes, l’importance de la protection des citoyens et de la sécurité nationale justifient cette démarche unilatéraliste. A l’inverse pour la société Microsoft, la demande d’accès à des données de contenu stockées dans un pays étranger peut présenter un risque non négligeable pour les individus concernés ainsi que pour les personnes qui leur sont reliées. Ainsi, elle estime que peu importe le risque d’intérêt national, cette demande doit être encadrée juridiquement.
Les conséquences d’une décision en faveur du gouvernement américain
Quelles sont les conséquences d’une décision en faveur du gouvernement américain ?
Nous venons d’évoquer que le critère avancé par le gouvernement américain est le lieu d’accessibilité des données. En conséquent, dans la logique du département de la justice, les données étant aisément accessibles sur le territoire américain, l’affaire ne présente aucune extraterritorialité. Comme le précise Théodore CHRISTAKIS – professeur de droit international à l’Université de Grenoble – si la Cour Suprême donne raison à ce critère, cela reviendrait à revoir le concept d’extraterritorialité à l’ère du numérique. En effet, le cloud a pour avantage de rendre accessibles toutes les données du monde depuis le territoire américain, la conséquence directe est que la loi SCA pourra s’appliquer à toutes les données peu importe la situation géographique des données. Cette loi SCA s’appliquera aussi bien aux données des ressortissants américains qu’à celles des étrangers même si elles sont stockées hors du territoire américain.
Il est également possible de craindre que si la Cour Suprême se prononce en faveur du gouvernement américain, tous les pays pourraient être tentés de suivre cette logique et faire des demandes similaires aux fournisseurs d’internet et de cloud dès lors qu’ils disposent d’un siège dans leur pays. Cette possible décision aurait pour conséquence d’affaiblir les accords internationaux d’entraide judiciaire. En effet, si les Etats-Unis peuvent saisir directement les données de contenu, cela signifie qu’ils n’ont plus besoin de recourir aux MLATs (Mutual Legal Assistance Treaties qui sont des accords entre deux Etats visant à faciliter la coopération policière et judiciaire) conclus avec les pays tiers. Deux conséquences sont à envisager. Soit les pays tiers vont toujours être obligés de demander aux autorités américaines par l’intermédiaire des MLATs les données stockées aux Etats-Unis alors que dans le sens inverse ces derniers s’abstiendront de passer par cette démarche, soit tous les pays suivront la méthode unilatérale américaine et les MLATs deviendront inefficaces.
L’enjeu est de taille pour l’entreprise Microsoft qui risque de perdre la confiance de ses clients. Les entreprises américaines ont difficilement gagné cette confiance suite aux révélations d’Edward Snowden sur la surveillance de masse pratiquée par la National Security Agency. Une des réactions de Microsoft a été d’investir dans la création des data centers en Europe afin de stocker les données de ses clients européens.
Les pays européens suivent de près cette affaire et manifestent leurs inquiétudes. La commission européenne est intervenue en tant qu’amicus curiae. L’Assemblée nationale française a réagi récemment en adoptant une résolution le 31 décembre 2017 dans laquelle elle exergue « le risque que ferait porter un tel principe d’extraterritorialité du droit américain sur la souveraineté numérique de l’Union européenne ».
Cette affaire est à analyser au regard du droit européen et notamment du Règlement général à la protection des données à caractère personnel (RGPD), dont l’entrée en vigueur est prévue le 25 mai 2018. En application de l’article 48 de ce texte, un jugement judiciaire ou une décision d’une autorité administrative émanant d’un pays non membre de l’Union et imposant un transfert de données à caractère personnel ne peut être reconnu ou exécuté de quelque manière que ce soit, sauf s’il se fonde sur une convention internationale. A défaut de convention internationale en vigueur, aucun jugement ou décision étrangère à l’Union Européenne ne peut imposer un transfert de données à caractère personnel. Dans son Mémoire devant la Cour Suprême, le gouvernement américain a soutenu que le transfert opéré par Microsoft aux Etats-Unis dans le cadre ce mandat ne violerait pas l’article 48. Selon le gouvernement américain, l’article 48 prévoit des exceptions dont celle de l’article 49(§1d) du RGPD qui autorise le transfert s’il est nécessaire pour des motifs importants d’intérêt général. Or comme le souligne Théodore CHRISTAKIS, le gouvernement américain fait une lecture fausse de ces articles. L’article 49§4 précise que l’intérêt général doit être reconnu par le droit de l’Union ou par la législation nationale de l’État membre dont relève le responsable du traitement. La demande de transfert de données ne peut intervenir dans le cadre de cette exception.
Une décision en faveur du gouvernement américain mettrait la société Microsoft en contradiction avec le droit européen et l’exposerait à des sanctions aussi bien civiles et pénales qu’à une amende administrative qui pourrait s’élever à 20 000 000 euros ou à 4% du chiffre d’affaires (article 83 du RGPD). Un possible conflit de lois est-il en train de se dessiner ? Réponse en juin 2018 …
SOURCES :
*CASSINI Sandrine, « Microsoft devant la Cour suprême pour défendre la protection des données », Le Monde.fr édition abonnés, 17 novembre 2017, consultable
*CHRISTAKIS Théodore « La protection de nos données personnelles pourrait être contournée par des pays étrangers » Le Monde.fr édition abonnés, 16 janvier 2018,
*CHRISTAKIS Théodore « Données, Extraterritorialité et Solutions Internationales aux Problèmes Transatlantiques d’Accès Aux Preuves Numériques – Avis Juridique sur L’Affaire Microsoft Ireland (Cour Suprême des Etats-Unis) (Data, Extraterritoriality and the Need for International Law Solutions to Transatlantic Law Enforcement Issues Legal Opinion on the Microsoft Ireland Case (US Supreme Court) (November 29, 2017) », The White Book: USA v. Microsoft: Quel Impact?, CEIS & The Chertoff Group White Paper, 9 décembre 2017, 32 pages, consultable https://ssrn.com/abstract=3081958