Microsoft, le gouvernement américain et les données stockées en Europe : une victoire en trompe-l'oeil

Le Cloud s’est invité depuis maintenant de nombreuses années dans les entreprises. Outre les importantes économies d’échelle, on prête au Cloud des vertus parfois magiques : Green IT, un Time to Market presque instantané, un Business Model plus agile... Mais surtout une croissance à deux chiffres d’ici 2018 et un chiffre d’affaires de 5,9 milliards d’euros en 2016 pour le marché français.

Un écosystème dominé par des acteurs américains

Mais les principaux acteurs du Cloud restent américains et, faute d’un Cloud souverain, les entreprises européennes recourent à leurs services, et ce, bien que l’externalisation de données sensibles (données à caractère personnel, données secrètes...) ne répondent pas forcément aux exigences de confidentialité et de sécurité requises par la législation européenne ou nationale. Si le discours commercial des acteurs américains du Cloud se veut rassurant en termes de protection de données à caractère personnel pour des citoyens européens soucieux de leur vie privée suite à des affaires comme Prism, les juges américains n’en tiennent pas forcément compte.

Une affaire emblématique : Microsoft vs Etat américain

Le 25 avril 2014, la Cour fédérale du district de New York s’était prononcée sur la demande de Microsoft tendant à faire annuler partiellement un mandat de recherche et de saisie, délivré sur le fondement du "stored communication act" (SCA), qui exigeait qu’elle produise le contenu des emails de clients stockés sur un serveur à Dublin (Irlande). Le juge avait rejeté la demande de Microsoft au motif qu’elle avait son siège aux Etats-Unis et en sa possession les informations recherchées. Conscient des pertes potentielles de chiffre d’affaires et soutenu par les autres acteurs du domaine, Microsoft faisait appel.

Le 14 juillet 2016, la "United States Court of Appeal for the Second Circuit" infirmait la décision en première instance en considérant que cette pratique constituait une application extraterritoriale illégale du SCA... Mais aussi que Microsoft avait déjà collaboré dans cette affaire avec la justice dans le cadre domestique.

Alors rassurés ?

Tout pourrait être bien dans le meilleur des mondes et les entreprises européennes pourraient confier sans soucis leurs précieuses données à des prestataires américains sous la réserve de distinguer clients domestiques (américains) et clients étrangers et de prévoir des serveurs situés en dehors du sol américain si ce n’est que...D’autres procédures existent au profit des autorités américaines permettant d’accéder à des données hébergées par un Prestataire de Cloud.

quelles procédures judiciaires ?

Même si le SCA semble hors-jeu, les autorités américaines pourront toujours recourir au fameux US Patriot Act pour des affaires de terrorisme ou d’espionnage international. Les mesures d’accès sont encadrées par des procédures spécifiques que sont les FISA Court Orders, qui font l’objet d’un contrôle judiciaire préalable, et les National Security Letters (NSLs), qui font l’objet d’un recours judiciaire a posteriori.

Elles peuvent aussi s’appuyer sur l'ECPA pour demander des perquisitions et des saisies de droit commun ou encore sur l’accord d’entraide judiciaire conclu en 2003 entre l’Union européenne et les État Unis qui précise que les États membres ne peuvent refuser leur assistance pour des motifs tenant au respect du secret bancaire ou aux règles applicables en matière de protection des données personnelles (art. 9. 2 b).

Et le Privacy Shield dans tout ça ?

Vous me direz que l’Union européenne s’est dotée d’armes sérieuses au sein du Règlement Général de Protection des Données pour protéger les données à caractère personnel de ses ressortissants... Certes. De plus, l’affaire Prism a quelque peu échaudé les consciences vertueuses des parlementaires européens. Très bien...

Oui, mais... le Safe Harbor vient d’être remplacé par un Privacy Shield douteux destiné à ré-autoriser le transfert de données des citoyens européens aux prestataires US et les garanties annoncées restent à prouver.

Alors que conclure ?

La victoire judiciaire de Microsoft ne doit pas être un trompe-l’œil anesthésiant toute critique de la part des entreprises tentées par l’aventure Outre Atlantique. L’externalisation dans le Cloud américain n’est toujours pas un acte anodin. Loin de là. Elle nécessite une réflexion en amont pour savoir quelles données externaliser et sous quelles conditions ?

Pascal Agosti, Avocat associé, Docteur en droit

Les avis d'experts et points de vue sont publiés sous la responsabilité de leurs auteurs et n’engagent en rien la rédaction.