La protection des données ou la confiance comme argument commercial
Depuis les révélations faites par Edward Snowden en 2013 quant aux méthodes d’espionnage massif employées par la NSA (National Security Agency), la protection des données fait l’objet d’un intense lobbying. Nombreux sont les internautes qui ont alors pris conscience de la quantité de données détenues par les GAFAM (Google, Apple, Facebook, Amazon, Microsoft) pouvant être exploitées dans le cadre de demandes administratives ou judiciaires. Si de nombreuses entreprises et startups œuvrant dans le domaine des technologies font la promotion de la protection des données de leurs clients, toutes ne se sont pas toujours montrées aussi vertueuses. En 2014, la plateforme Japonaise d’échange de monnaies virtuelles MtGox, alors en faillite suite à une manipulation de cours, livrait des informations sur les utilisateurs de son système de blockchain à la justice Tokyoïte. L’enjeu est alors de trouver le difficile équilibre entre la préservation de la vie privée des utilisateurs et la poursuite des auteurs d’infractions. A cet égard, on se rappelle qu’en 2013 Twitter faisait droit aux réquisitions de la justice française afin de remonter la trace de tweets racistes.
Susciter la confiance, tel est aujourd’hui le maître mot. Ainsi, en 2014, Google publiait une vidéo humoristique expliquant s’opposer aux injonctions de l’administration américaine sur la base du 4ème amendement du Bill of Rights . D’autres entreprises, telles que le moteur de recherche Qwant ou la startup Snips ont fait le choix osé du privacy by design. C’est également dans cette dynamique de restauration de la confiance que la France adoptera le Règlement général sur la protection des données (RGPD) le 25 mai 2018.
Néanmoins, nul n’est dupe des stratégies commerciales qui sous-tendent ces politiques vertueuses. Il serait effectivement difficile pour une société de vendre des services accessibles par le cloud à l’étranger si elle a l’obligation de livrer les données de ses clients sur simple demande d’un juge américain.
Les règles de compétence juridictionnelle à l’épreuve d’Internet
Les enjeux de territorialité aujourd’hui en débat dans le procès Microsoft posent le problème plus global de la compétence juridictionnelle dans les litiges concernant Internet.
La cybercriminalité a ouvert une brèche dans le principe de territorialité du droit pénal. Notons que le juge des référés français a condamné Yahoo pour vente d’objets nazis à des internautes français à partir du territoire américain. S’il ne pouvait pas imposer à l’entreprise américaine le retrait de l’accès à ces sites, par un arrêt en date du 22 mai 2000 le TGI de Paris a malgré tout ordonné à Yahoo France de retirer tout accès à de tels sites. Le Tribunal a également enjoint au géant du net d’avertir les internautes que la consultation de tels sites était constitutive d’une infraction.
Ces affaires mettent l’accent sur les divergences de conceptions rappelant qu’une régulation efficace d’internet n’est possible que si les ordres juridiques s’accordent sur les interprétations à adopter. A cet égard, l’affaire Microsoft démontre que les enjeux en matière de réquisition de données défient de nouveau le principe de territorialité.
Les mandats de perquisition américains confrontés aux limites territoriales
Le mardi 27 février 2018, la Cour Suprême a entendu les arguments de Microsoft et du département de la Justice américain, dans le cadre d’une bataille judiciaire qui les oppose depuis 5 ans.
En 2013, les agents fédéraux américains ont sommé Microsoft de leur donner accès à la boîte mail d’un individu soupçonné de trafic de stupéfiants sur le fondement du « Stored communication act » (SCA). La firme, qui avait déjà accepté de livrer quelques renseignements, a opposé une fin de non-recevoir à la nouvelle requête des autorités. A l’appui de ce refus, Microsoft soutenait que les données en question étaient hébergées en Irlande et qu’à ce titre le mandat de perquisition américain n’était pas valable sur le sol Irlandais.
Le 25 avril 2014, la Cour fédérale de New-York s’est prononcée sur la demande de Microsoft tendant à faire annuler partiellement le mandat de recherche et de saisie. Le juge a rejeté la demande de Microsoft au motif que la société avait son siège aux Etats-Unis et que les informations recherchées étaient en sa possession. Soutenu par les autres acteurs du domaine tel que Verizon, Microsoft a fait appel de cette décision.
Le 14 juillet 2016, la cour d’appel (« United States Court of Appeal for the Second Circuit) a infirmé la décision rendue en première instance et invalidé la demande des autorités américaines au motif que cette pratique constituait une application extraterritoriale illégale du SCA.
Plus de la moitié des Etats américains se sont déjà rangés à la position de la Maison Blanche, considérant que toutes les données accessibles par les sociétés implantées aux Etats-Unis sont soumises au droit américain. Mais tel n’est pas le cas de la Californie, bastion anti-Trump, où se concentrent les géants mondiaux de la technologie. Ces mêmes entreprises redoutent la décision à venir de la Cour Suprême qui, si favorable au département de la justice, pourrait créer un dangereux précédent. Microsoft disposant de centaines de data-centers à travers le monde pourrait voir son modèle commercial menacé par l’application de règles contradictoires.
Il convient néanmoins de relativiser l’impact qu’une décision américaine pourrait avoir sur la protection des données personnelles. En effet, si des conflits juridictionnels peuvent s’ensuivre, les Etats européens pourront toujours s’opposer aux requêtes en communication de données hébergées sur leur territoire.
Enfin, la Cour Suprême, bien que désormais majoritairement composée de juges conservateurs, semble vouloir consulter le Congrès, lequel planche actuellement sur un « Cloud Act ». Cette mesure encouragée par Microsoft est destinée à prévenir de nouveaux conflits de territorialité. Elle aurait notamment pour objectif de rendre les mandats de perquisitions américains applicables dans des pays partenaires et de créer des procédures de contestation.
Pour plus d’informations, cliquez ici.
- Maître Gérard HAAS vous donne rendez-vous lors du salon e-marketing du 14 au 16 avril 2015
- L’action de groupe engagée en Autriche contre Facebook rejetée
- FACEBOOK dans la tourmente des « class actions »
- Formation « Les enjeux du droit à la protection des données à caractère personnel » Prochaines sessions : 20-21 avril 2015 et 11-12 juin 2015
- L’intelligence artificielle peut-elle remplacer l’être humain ?