Un juge américain ordonne à Microsoft de lui fournir des données d’e-mail hébergées à Dublin

D'après un article d'Archana Venkatraman dans ComputerWeekly.com, daté du 28 avril 2014, un juge américain a ordonné à Microsoft de donner à la Cour du District accès au contenu des e-mails de l'un de ses clients, données hébergées à Dublin. En voici l'essentiel.


Microsoft s'est opposé à cette décision, mais le juge a rejeté cette requête : le juge James Francis de New York argue du fait que les fournisseurs de services Internet tels que Microsoft sont tenus de fournir l'information et les e-mails hébergés dans les datacenters hors des États-Unis si un mandat de perquisition valide a été délivré par une agence de maintien de l'ordre américaine.

Le mandat en question a été délivré en décembre 2013 mais Microsoft l'a contesté ; cette contestation a été rejetée par le juge. Il y a une dizaine de jours, David Howard, vice-président et adjoint au conseiller juridique principal de Microsoft, indiquait sur le blog TechNet : "aujourd'hui, nous avons reçu une décision initiale maintenant le statu-quo". Il est généralement admis que dans le monde physique un mandat de perquisition américain ne peut être utilisé que pour obtenir des éléments se trouvant sur le territoire américain : "nous estimons que les mêmes règles devraient s'appliquer dans le monde on-line, mais le gouvernement n'est pas de cet avis", commentait David Howard.

Le mandat de perquisition portait sur la recherche et la saisie du contenu de tous les e-mails stockés dans un compte utilisateur spécifique, y compris les copies d'e-mails envoyés depuis ce compte, ainsi que d'autres informations, telles carnet d'adresses, listes de contacts, images et fichiers.

Le juge Francis s'est appuyé sur le "American Stored Communications Act" (SCA) pour expliquer que la loi autorisait le gouvernement à rechercher de l'information, y compris le contenu d'un e-mail, par le biais d'une assignation à comparaître, d'une décision de la cour ou d'un mandat de perquisition. "L'argument de Microsoft est simple mais peut-être trompeur", estimait le juge Francis dans un document officiel. "Le point de vue du gouvernement est que le SCA n'implique pas les principes d'extraterritorialité. Il y a longtemps que la loi oblige le destinataire d'une assignation à comparaître à produire l'information qu'il détient, dont il a la garde ou qu'il contrôle, quelle que soit la localisation de cette information. Même lorsqu'il s'applique à de l'information stockée à l'étranger, un mandat SCA ne va pas à l'encontre de la présomption contre l'application extraterritoriale de la loi américaine. C'est pourquoi la tentative d'annulation du mandat par Microsoft est rejetée".

Cette conclusion peut être analysée comme un coup sérieux porté aux utilisateurs de services cloud tels que Microsoft Azure, AWS ou Google. Pour tenter de minimiser les craintes de utilisateurs quant à la sécurité et au caractère privé des services cloud, Microsoft a affirmé vouloir prendre des mesures pour que les gouvernements utilisent "des processus légaux et non pas une force technologique brutale pour accéder aux données clients". L'entreprise a également étendu ses mesures de sécurité dans le cloud en élargissant l'usage du cryptage à tous ses services, en renforçant les protections légales des données clients et en allant vers plus de transparence du code de ses logiciels, ce qui facilite la compréhension des règles de gestion par l'utilisateur.

"Nous respectons le rôle majeur que joue l'application de la loi pour tout un chacun. Nous ne sommes pas en train de contrecarrer quelque enquête gouvernementale que ce soit", affirme David Howard. "Mais nous allons continuer à suivre ce problème parce que nous pensons que nous sommes dans notre bon droit et parce que nos clients nous ont indiqué toute la valeur qu'ils accordaient à notre engagement pour les données à caractère privé".

Cette décision tombe bien mal, quinze jours à peine après que la Communauté Européenne ait confirmé que les services cloud de Microsoft étaient conformes à ses standards. Cette approbation signifie que les entreprises clientes de Windows Azure ou d'Office 365 peuvent déplacer leurs données comme elles l'entendent dans le cloud de Microsoft entre l'Europe et le reste du monde sans se soucier de compatibilité. "Les clients ne confieront leurs données au cloud seulement s'ils ont l'assurance qu'elles y seront en sécurité. L'approbation des autorités européennes est une étape importante vers la confiance des clients dans les services cloud de Microsoft", disait à ce moment là Brad Smith, vice-président exécutif aux affaires juridiques et conseiller juridique principal chez Microsoft.

Traduction et adaptation : Benoît Herr

Top