En juillet 2014, la justice américaine sommait Microsoft de lui communiquer les emails concernant un citoyen américain mais stockés en Irlande. L’éditeur refusait, affirmant qu’il n’était pas propriétaire de ces messages – concernant une affaire de trafic de stupéfiants – mais seulement leur administrateur. Il indiquait par ailleurs qu’il ne pouvait pas divulguer le contenu de documents stockés hors des Etats-Unis, qui dépendent de ce fait d’une juridiction étrangère. La justice estimait au contraire que l’opérateur des serveurs étant basé aux USA, la localisation des données n’avait aucune importance.
Fort du soutien de plusieurs majors américaines comme Apple, Cisco, Verizon ou AT&T, qui pensaient que la position des autorités US risquait de remettre en cause le leadership de l’industrie IT nationale, la firme de Redmond faisait appel.
En juillet 2016, la cour d’appel donnait raison à Microsoft, un jugement contesté par le département de la Justice qui renvoyait l’affaire devant la Cour suprême, la juridiction la plus élevée du pays.
Le vote, en catimini, la semaine dernière par les sénateurs du CLOUD Act (Clarifying Lawful Overseas Use of Data Act , en français loi clarifiant l’utilisation légale des données à l’étranger) glissé parmi les quelque 2.200 pages de la loi de finance, a remis les compteurs à zéro, permettant ainsi à la justice d’exiger la communication des fameux documents. Ce qu’elle s’est empressé de faire, indiquant que la cour d’appel ne pouvait désormais que lui donner raison nous apprend The Register. Le département de la Justice précisant dans son avis qu’il est « incontestablement autorisé » à agir ainsi.
Lors du vote du CLOUD Act, le président et directeur juridique de Microsoft Brad Smith avait déclaré « qu’il s’agissait d’une étape critique dans la résolution d’un problème qui fait l’objet de litiges depuis plus de quatre ans ». Interrogée par nos confrères, la firme de Redmond a toutefois refusé de s’exprimer sur le sujet. Pour Frank Jennings, juriste au cabinet britannique Wallace LLP, l’affaire n’est toutefois pas close. Selon lui, les fournisseurs d’accès américains peuvent éventuellement démontrer que les documents exigés ne sont ni en leur « possession, sous leur garde ou leur contrôle » ou qu’ils sont chiffrés selon une clé que seul le propriétaire possède. « C’est l’approche « Vous pouvez l’avoir mais nous ne savons pas ce qu’il signifie » », a précisé le juriste. Ce dernier s’attend par ailleurs à des litiges avec les différents organismes européens chargés de la protection des données. Selon lui reste aussi à savoir si l’European Data Protection Board (qui accompagnera le GDPR) reconnaîtra qu’il s’agit d’une mesure nécessaire et proportionnée afin de sauvegarder la sécurité nationale américaine ou estimera au contraire que la demande est une atteinte à la réglementation européenne.