Pour échapper aux sanctions financières européennes, Microsoft a préféré retoquer une demande du gouvernement américain sur des courriels stockés en Irlande. (Crédit D.R.)
Pour protéger les données de ses utilisateurs en Europe, Microsoft s'appuie sur les nouvelles lois européennes pour refuser de transmettre des courriels à la justice américaine.
Microsoft a refusé de donner suite au mandat du gouvernement américain l'obligeant à livrer des courriels stockés en Irlande pour les besoins d'une enquête. Pour motiver son refus, la firme de Redmond a fait valoir les nouvelles lois européennes sur la protection des données, invitant les autorités américaines à passer par les accords intergouvernementaux et les traités d'entraide judiciaire.
Le projet de règlement européen - General Data Protection Regulation (GDPR) - modifiant le cadre juridique relatif à la protection des données personnelles au sein de l'Union européenne, a été adopté la semaine dernière par le Parlement européen. Il définit un cadre de protection unifié des données dans les États membres. Il a été précédemment adopté par le Conseil de l'UE, et doit entrer en vigueur dans un peu plus de deux ans après sa publication au Journal officiel de l'UE. Cette législation remplacera la directive sur la protection des données de l'UE - EU Data Protection Directive - adoptée en 1995.
Outrepasser les accords intergouvernementaux pour aller plus vite
Dans le document déposé auprès de la Cour d'appel du deuxième circuit des États-Unis, l'avocat de Microsoft, E. Joshua Rosenkranz, fait référence à l'article 48 de la loi, qui stipule que tout « jugement d'une cour ou d'un tribunal et toute décision de l'autorité administrative d'un pays tiers nécessitant l'intervention d'un contrôleur ou d'un responsable du traitement pour transférer ou divulguer des données personnelles ne peuvent en aucune manière être pris en compte ou exécutoires uniquement s'ils sont basés sur un accord international, un traité d'entraide judiciaire par exemple... » Cette loi va tout à fait dans le sens de la position prise par Microsoft dans le différend. Elle invite le gouvernement américain à passer par une résolution intergouvernementale pour avoir accès à des courriels stockés en Irlande, et lui suggère d'utiliser les « traités d'entraide judiciaire » que les États-Unis ont conclus avec d'autres pays, dont l'Irlande. Mais le gouvernement américain a répondu que cette procédure prenait du temps.
Même si les autorités américaines ont un mandat pour accéder aux emails d'une personne impliquée dans une enquête criminelle, Microsoft fait valoir que le Congrès américain n'a jamais dit que la Loi sur la protection électronique des communications « concernait des courriels privés stockés dans un pays étranger sur les ordinateurs des fournisseurs de service ». Microsoft s'est pliée au mandat de perquisition des autorités judiciaires en livrant les informations détenues sur ses serveurs localisés sur le territoire américain. Mais l'entreprise a refusé de livrer les contenus du compte et des courriels hébergés à Dublin. Le juge magistrat américain, James C. Francis IV, de la Cour du district sud de New York avait déjà stipulé que le mandat se prévalant du Stored Communications Act, lui-même inclut dans l'Electronic Communications Privacy Act (ECPA), était « un hybride, à la fois mandat de perquisition et subpoena », c'est-à-dire une injonction à comparaître devant un tribunal. « Le mandat est une citation à comparaître au fournisseur de services Internet, à qui il est demandé de fournir les informations présentes sur ses serveurs où qu'ils se trouvent. Mais il ne permet pas aux représentants du gouvernement de perquisitionner ses locaux », avait statué le juge James C. Francis. Microsoft estime que le Congrès devrait se prononcer pour dire si les mandats délivrés au nom de l'Electronic Communications Privacy Act avaient force de loi à l'étranger.
Une amende égale à 4% du chiffre d'affaires mondial
La nouvelle réglementation européenne prévoit des amendes en cas de violation de certaines dispositions définies par l'article 48 notamment. Celles-ci peuvent atteindre 4 % du chiffre d'affaires annuel total mondial calculé sur l'exercice antérieur de l'entreprise. « L'adoption de l'article 48 confirme que, en l'absence d'une déclaration claire du Congrès, la loi dite Stored Communications Act ne peut pas être étendue aux données stockées à l'étranger », a écrit l'avocat de Microsoft dans une lettre adressée au greffier du tribunal. « La présomption contre l'extraterritorialité sert précisément à se prémunir de ce genre de tension et d'intrusion internationale sur la souveraineté étrangère que l'interprétation de cette loi par le gouvernement pourrait engendrer ». En raison de ses nombreuses implications, la décision du tribunal est très attendue. Mais la procédure, passée par plusieurs cours d'appel ces derniers mois, avance lentement.
Suivez-nous