Les entreprises françaises qui ont des projets impliquant une externalisation de leurs données ont intérêt à se montrer prudentes avec leurs différents prestataires de Cloud Computing américains. En effet, la protection des données hébergées en Europe semble avoir été remise en cause par la potentielle accessibilité de ces dernières par le juge américain.
Par un arrêt de la Cour fédérale de New-York en date du 25 avril 2014, un juge fédéral a notifié à Microsoft une injonction de lui fournir des données alors même que ces dernières étaient physiquement hébergées en Irlande. En l’espèce, dans le cadre d’une réquisition judiciaire relative à une enquête criminelle, un juge demande à Microsoft de lui fournir le contenu de courriels d’un suspect, informations pourtant stockées sur un serveur basé à Dublin et donc soumises en principe à la protection de la réglementation européenne.
Microsoft qui, pour pouvoir exercer ses activités en Europe est tenu de se soumettre à la réglementation européenne en ce qui concerne la gestion des données à caractère personnel, a donc décidé de demander l’annulation partielle de ce mandat de recherche et de saisie délivré à son encontre. D’autant plus que le 24 avril 2014 le G29, organisme regroupant les autorités européennes de protection des données, avait déjà évalué les contrats de service de Microsoft pour l’Europe, en insistant sur le fait que « les fournisseurs de Cloud offrant leurs services à des clients soumis au droit européen, doivent veiller à la conformité de leurs dispositions contractuelles avec les exigences de l’UE en matière de protection des données. »
Un juge fédéral des Etats-Unis veut obliger Microsoft à communiquer des courriels stockés sur ses serveurs en Irlande, au mépris de la protection des données prévue par la réglementation européenne. |
La société Microsoft, dès lors soumise à des contraintes législatives et réglementaires contradictoires entre les différents pays dans lesquels elle opère, estimait que les effets de la réquisition judiciaire ne pouvaient être applicables à des données stockées numériquement hors des Etats Unis. L’inapplicabilité de la loi américaine ne lui permettait pas de divulguer aux autorités américaines ces mêmes données. De plus, Microsoft affirmait qu’en respect du principe de présomption de territorialité, la loi américaine ne peut s’appliquer sur le territoire irlandais que si une stipulation expresse d’extra-territorialité le permet.
Néanmoins, le juge new–yorkais a considéré le contraire en ce que le principe de présomption de territorialité ne peut être retenu dans le cas d’une procédure criminelle où un prestataire IT dont le siège est situé aux USA refuse de communiquer le contenu d’informations stockées à l’étranger. De ce fait, il apparaît que le seul fait qu’une société soit établie sur le territoire des Etats-Unis d’Amérique suffirait à justifier l’injonction par les autorités américaines à ladite société de fournir des données à caractère personnel qui seraient stockées sur des serveurs physiquement établis en Europe.
La société Microsoft a fait appel de ce jugement en précisant qu’elle entendait bien s’opposer à la fourniture de telles données situées en Europe, tout en voulant rassurer ses clients lors de ses derniers TechDays Microsoft en les assurant que ses centres de données européens d’Amsterdam et Dublin étaient soumis au seul droit européen. En l’état, cette décision préjudiciable aux acteurs américains du Cloud, appelle à la prudence pour les entreprises clientes de prestataires IT et ce même si les données sont stockées à l’étranger, ceux-ci pouvant être enjoints de les communiquer aux autorités américaines.
Source : Cour fédérale de New-York, 25 avril 2014
Ludovic POIDEVIN
Étudiant en Droit de l’économie numérique passionné par le Droit de la propriété intellectuelle, la protection des données personnelles et les nouvelles technologies.