Microsoft, sommé par un juge US de restituer des données placées dans son datacenter de Dublin
Un juge américain a ordonné à Microsoft de donner accès à la cour fédérale de district (un tribunal fédéral de droit commun) aux informations contenues dans les emails de l’un de ses clients, hébergés sur un serveur placé à Dublin. Microsoft a contesté la décision mais le juge, en désaccord, l’a finalement débouté.
Un juge américain a ordonné à Microsoft de donner accès à la cour fédérale de district (un tribunal fédéral de droit commun) aux informations contenues dans les emails de l’un de ses clients, hébergés sur un serveur placé à Dublin. Microsoft a contesté la décision mais le juge, en désaccord, l'a finalement débouté.
Basé à New York, le juge américain James Francis soutient que les fournisseurs de services Internet, comme Microsoft, doivent transmettre les informations et les emails stockés dans les datacenters en dehors des Etats-Unis, si la demande est accompagnée d’un mandat de perquisition valide émanant d’une agence américaine responsable de l’application des lois.
Le mandat de perquisition a été émis en décembre 2013, mais Microsoft l’a contesté. « Le gouvernement n’a pas la capacité de perquisitionner un domicile dans un autre pays, ni la capacité à perquisitionner le contenu d’emails stockés à l’étranger », affirme le groupe de Redmond.
Mais cette décision de l’éditeur de casser cette perquisition a été rejetée par le juge.
La semaine dernière, David Howard, vice président et avocat principal adjoint (Deputy General Counsel) de Microsoft a indiqué sur le blog TechNet : « Nous avons émis un rejet legal et officiel de la demande de perquisition américaine portant sur le contenu d’emails d’un client qui est basé en dehors, et uniquement, des Etats-Unis. Aujourd’hui, nous avons reçu une première décision qui maintient le status quo. »
Il est généralement admis qu’un mandat de perquisition américain dans le monde physique puisse seulement être appliqué pour obtenir des informations localisées à l’intérieur du territoire américain, explique encore Howard. « Nous estimons que les mêmes règles doivent s’appliquer au monde connecté, ce que le gouvernement rejète. »
Le mandat de perquisition portait sur la perquisition et la saisie du contenu de tous les emails stockés par un unique compte utilisateur, comprenant les copies des emails envoyées depuis de ce compte ainsi que d’autres informations, comme les carnets d’adresses, la liste des contacts, les images et les fichiers.
Le datacenter de Microsoft localisé à Dublin et dans lequel l’éditeur a injecté 480 millions d’euros sert les clients Azure du groupe. Il a ouvert en 2009.
S’appuyant sur l’American Stored Communications Act (SCA), le juge Francis a expliqué que la loi autorise le gouvernement à obtenir de l’information - y compris le contenu d’un email - par assignation à comparaître, ordre de la cour ou mandat de perquisition. « L’argument de Microsoft est facile et peut-être faux », explique le juge Farncis dans un document. « La lecture du gouvernement est que le SCA ne met pas en cause des principes d’extraterritorialité. La loi spécifie depuis longtemps qu’une citation à comparaître exige que le bénéficiaire produise l’information en sa possession, en garde ou sous contrôle, quelle que soit la situation géographique de cette information », assure-t-il.
« Même lorsqu’appliqué à de l’information stockée sur des serveurs à l’étrangers, un mandat SCA ne viole pas la présomption contre l’application extraterritoriale de la loi américaine. Ainsi, La demande de rejet partiel de la perquisition de Microsoft est rejetée », a conclu le juge.
Cette conclusion peut être considérée comme un coup du dur pour les utilisateurs de services Cloud, comme ceux de Microsoft Azure, AWS ou encore Google. Pour apaiser les craintes des utilisateurs quant à la protection des données et la sécurité des services dans le Cloud, décuplées avec le scandale Prism, Microsoft a confirmé qu’il prenait des mesures pour s’assurer que les gouvernement avait recours « à des procédures légales plutôt qu’à des accès en force brute par voie technologique aux données des clients ».
Microsoft a également pris des mesures en matière de sécurité des données dans le Cloud comme par exemple étendre le chiffrement à l’ensemble de ses services, renforcer les protections légales pour les données des clients et améliorer la transparence du code de ses logiciels, rendant ainsi plus facile la comprehension de ses règles auprès de ses clients.
« Nous respectons le rôle crucial que joue l’application de la loi dans la protection de nous tous. Nous n’essayons pas de contrecarrer chaque demande du gouvernement », tient à préciser Howard. « Mais nous continuerons sur cette ligne car nous croyons être en règle avec la loi et parce que nos clients nous ont dit croire en nos engagements en matière de protection. »
Ce trouble autour de la protection des données dans les services Cloud apparait deux semaines après l’approbation par les autorités européennes, garantes de la loi pour la protection des données, de la validité des services Cloud de Microsoft, Azure, Office 365, Dynamics CRM et Intune.
Cette approbation indique donc que les entreprises, clients de Windows Azure ou d’Office 365 peuvent déplacer librement leurs données d’un cloud européen de Microsoft vers le reste du monde sans avoir à s’inquiéter des questions de conformité. « Les clients confieront leur informations au cloud seulement s’ils ont confiance qu’elle y sera protégée. L’approbation par les autorités européennes constitue une autre étape importante visant à garantir la confiance des clients dans les services cloud de Microsoft », avait expliqué à l’époque Brad Smith, avocat général et vice président exécutif des affaires légales et corporate chez Microsoft.
Traduit et adapté par la rédaction