Pour gérer vos consentements :

Données privées : pas de jurisprudence Microsoft pour Google

Pas de précédent Microsoft pour Google.

Refusant, au nom du droit au respect de la vie privée, de fournir au FBI des données stockées hors du territoire américain, le groupe Internet a tenté de faire valoir une décision de justice rendue l’été dernier en faveur de l’éditeur de Windows, dans une affaire similaire. Il n’y est pas parvenu, en première instance devant un tribunal de Philadelphie (Pennsylvanie).

L’affaire en question n’est pas close. La balle est dans le camp du gouvernement U.S., qui a la possibilité de se pourvoir auprès de la Cour suprême. En l’état, la Cour d’appel a considéré que le fait, pour les services de renseignement, de demander à Microsoft de livrer des données localisées en Irlande, viole le principe de non-extraterritorialité de la loi.

Le juge Thomas Rueter n’a pas la même opinion. Dans sa décision (document PDF, 29 pages) rendue ce vendredi 3 février 2017, il explique, entre autres, qu’en cas d’infraction à la vie privée des individus que le FBI cible par l’intermédiaire de Google, ladite infraction ne se déroulerait pas là où les données sont récupérées, mais là où elles sont dévoilées. En l’occurrence, aux États-Unis.

C’est l’un des points importants dans le débat sur le caractère extraterritorial des mandats émis contre Google dans ce dossier.

Le premier date du 2 août 2016. Il porte sur trois comptes rattachés à un résident américain suspecté de fraude commise exclusivement sur le territoire national. Le deuxième, daté du 19 août, concerne également un résident américain, soupçonné d’avoir volé des secrets industriels à une société basée aux États-Unis.

Trente ans…

Les autorités ont effectué leurs demandes sur la base du Stored Communications Act (SCA).

Adopté en 1986, le texte a servi de fondement au verdict de la cour d’appel de New York dans le cas Microsoft. Les magistrats – pour le moins divisés – ont estimé qu’à l’époque, le Congrès n’avait pas imaginé qu’une demande concernerait un jour des données localisées hors du territoire U.S. Et que par là même, les demandes gouvernementales ne peuvent dépasser les frontières des États-Unis.

De son côté, Google a ajouté ne jamais pouvoir savoir précisément où des données se trouvent sur son réseau, dont l’architecture « dynamique » est conçue pour améliorer les temps d’accès. Un argument qui figure dans les réponses écrites faites entre novembre et décembre 2016 au gouvernement, après que celui-ci eut déposé une motion.

L’audience s’est déroulée le 12 janvier 2017, les deux affaires étant fusionnées pour l’occasion.

De nombreux précédents ont été invoqués, mais pas celui qu’espérait Google. Thomas Rueter a notamment mis en avant une récente décision de la Cour suprême, tout en s’appuyant sur le verdict qui avait été rendu en première instance contre Microsoft : le mandat étant adressé à un fournisseur de services de communications électroniques, il n’implique pas de perquisition.

Autre principe considéré comme « établi » : une juridiction peut, sous certaines réserves, demander à toute personne – physique ou morale – de dévoiler l’ensemble des informations sur lesquelles il a le contrôle, indépendamment de leur localisation.

C’est quoi, une saisie ?

Il existe un garde-fou : le 4e amendement de la constitution américaine, qui protège les individus contre les « recherches et saisies non motivées ».

Dès lors, c’est une question de vocabulaire. Selon l’interprétation de Thomas Rueter, la « recherche » est définie comme toute atteinte à ce que l’on pourrait communément définir comme ressortissant de la vie privée. La « saisie », elle, intervient lorsqu’il y a « une interférence significative avec les intérêts possessifs dont jouit un propriétaire ».

Sur ce point, la Cour suprême avait donné l’exemple d’une valise fermée qu’on peut saisir sans compromettre son contenu. Et, à l’inverse, d’un véhicule en stationnement qu’on peut fouiller sans en déposséder le propriétaire.

Dans le cas présent, le fait de transmettre des données d’un serveur situé hors des États-Unis vers un datacenter en Californie ne représente pas une « saisie » : Google transfère régulièrement des données entre ses installations sans que les utilisateurs en soient mis au courant et cela ne les empêche pas d’accéder à leur données, ni ne remet en question leur droit de propriété. Et si interférence il y a, elle est « minime et temporaire » (parallèle avec les perquisitions : le relevé de numéros de série ou le photocopillage de documents).

La complexité de l’infrastructure de Google écarte par ailleurs, selon la justice, tout conflit avec les législations d’autres pays, étant donné que les informations visées sont susceptibles de changer d’emplacement à tout moment.

Assurant avoir répondu aux demandes qui lui ont été faites en fournissant des données qu’il savait localisées aux États-Unis, Google prévoit de faire appel.

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago