Le 14 juillet 2016, la Cour d’appel du deuxième circuit de New York (Second Circuit Court of Appeals) a rendu sa décision dans l’affaire Microsoft v. United States. Les autorités américaines ne peuvent demander à Microsoft le transfert de données stockées exclusivement à l’étranger.

Bref rappel de l’historique

Cette affaire avait commencé en décembre 2013, lorsqu’un juge new-yorkais a ordonné à Microsoft de transmettre des courriels d’un compte hébergé sur un serveur en Irlande dans le cadre d’une enquête sur un trafic de stupéfiants. Microsoft avait contesté cette ordonnance et fait appel. D’après la société, le Gouvernement américain devait adresser cette demande aux autorités irlandaises conformément au Traité d’Assistance Judiciaire Mutuelle (ou « MLAT ») signé en 2001 par les deux pays. Le Département de la justice expliquait que Microsoft étant une entreprise américaine, il n’était pas nécessaire d’appliquer la procédure prévue par le MLAT.

La décision de la Cour d’appel

La Cour d’appel de New York a infirmé le jugement, estimant que le « Stored Communications Act » (loi sur laquelle se fondait le premier juge) n’autorisait pas les juridictions américaines à rendre des ordonnances contraignant les entreprises américaines à divulguer le contenu des messages de leurs clients, stockés exclusivement sur des serveurs étrangers.

Or, dans la plupart des contrats conclus avec des prestataires de cloud, il est prévu que les données peuvent être stockées dans de nombreux endroits à travers le monde, dont aux Etats-Unis. Nous nous interrogeons donc sur la formule « stockés exclusivement« . Par ailleurs, il convient de ne pas exagérer l’impact de la décision d’une Cour d’appel.

En outre, le droit américain prévoit une compétence large en ce qui concerne les personnes susceptibles de faire l’objet d’une demande de communication de données. Cela peut être constaté à travers l’interprétation large par les tribunaux américains du critère du « minimum contact » (lien suffisant) entre la personne visée et le territoire des Etats-Unis. Le critère du « minimum contact » sera notamment invoqué lorsqu’une personne exerce un contrôle sur les données recherchées. Ainsi, à titre d’illustration, si une entité européenne est une filiale d’une société américaine, le lien est généralement retenu.

Microsoft, une position changeante

Le directeur des affaires juridiques de Microsoft, Brad Smith, s’était exprimé le 25 février 2016 devant la Chambre des représentants américaine à propos des conflits de lois dans le cadre des transferts de données personnelles. Il y expliquait sa crainte de voir les conflits de lois se répéter, de plus en plus souvent. Par la voix de son directeur juridique, Microsoft demandait ainsi une modernisation des procédures prévus dans les MLAT, afin qu’elles soient adaptées à l’ère numérique. Deux changements majeurs étaient proposés:

  • Abandonner les procédures papier dans la mise en oeuvre des MLAT et passer au tout numérique, notamment lorsque les demandes de transmission de données émises par les autorités d’un Etat à un autre doivent traverser des océans ;
  • Harmoniser les différents MLAT, tant dans la forme que dans le fond, afin de permettre aux entreprises de réaliser des analyses juridiques plus rapidement, sans « sacrifier » les enjeux liés à la protection des données personnelles et/ou de la vie privée.

Ceci diffère pourtant des propos tenus en 2011 par le directeur de Microsoft UK. Ce dernier avait en effet fait savoir qu’aucune donnée n’était tenue à l’écart du PATRIOT Act et que celles-ci pouvaient être transmises aux services de renseignements américains.