Microsoft appelle à la réforme des lois américaines et des accords qui régissent le transfert transfrontalier des données. Selon la firme de Redmond, ces lois sont obsolètes et doivent être révisées. De plus en plus d’entreprises de haute technologie sont confrontées à des conflits juridiques, les juridictions locales cherchant à exercer un droit unilatéral et extraterritorial sur les données stockées dans le cloud.

Dans une déclaration écrite qui doit être présentée jeudi devant une commission de la Chambre des représentants américaine, le président et directeur des affaires juridiques de Microsoft, Brad Smith, explique que de plus en plus de pays « revendiquent une nouvelle autorité juridique extraterritoriale (et font valoir des compétences juridiques locales) pour accéder et intercepter les données ». En retour, « pour contrer l’action de ces autorités extraterritoriales, d’autres pays adoptent des lois contraignantes en matière de localisation et de conservation des données », a-t-il ajouté. Le texte de la déclaration de Brad Smith a été publié sur le site de la commission judiciaire de la Chambre des représentants. D'autres témoignages pointent également les conflits engendrés par les lois de différents pays et la nécessité de rationaliser les traités bilatéraux sur l'entraide judiciaire pour encadrer les échanges d’informations dans les enquêtes criminelles et les affaires juridiques afférentes. « Aujourd'hui, pour des raisons aussi bien techniques que politiques, il y a de plus en plus de conflits juridiques entre les lois américaines et étrangères qui encadrent la production de données au regard des directives de surveillance définies par les gouvernements », a écrit David S. Kris, conseiller juridique d’Intellectual Ventures et ancien fonctionnaire du Département de la Justice.

De la collaboration internationale sans excès de zèle

La question des transferts de données transfrontaliers est particulièrement sensible pour Microsoft. L’entreprise a contesté en appel devant une cour de New York le bien-fondé d’une requête du gouvernement américain demandant à la firme de Redmond de rapatrier certains emails stockés dans un datacenter irlandais dans le cadre d'une enquête. Microsoft était prête à fournir les informations conservées sur ses serveurs américains pour se conformer au mandat de perquisition de la justice américaine. Mais, quand l’entreprise a constaté que le compte était hébergé à Dublin et que les contenus du compte étaient également stockés en Irlande, celle-ci a essayé d’invalider le mandat. Microsoft fait valoir que le Congrès américain ne stipulait pas que la loi sur la protection des communications électroniques - l’Electronics Communications Privacy Act (ECPA) - « concernait également les e-mails privés stockés à l'étranger sur les ordinateurs des fournisseurs ». Pour répondre à la demande d’accès aux e-mails stockés à Dublin, Microsoft préconise une résolution intergouvernementale entre les États-Unis et l’Irlande, en application des conventions bilatérales sur l'entraide judiciaire existant entre les États-Unis et les autres pays, dont l'Irlande. Conformément à ces accords, l'Irlande a d’ailleurs accepté d’examiner la requête américaine.

La coopération juridique internationale a bien fonctionné, par exemple, quand, après les attentats terroristes survenus en janvier 2015 dans les locaux de Charlie Hebdo, les autorités françaises ont contacté le FBI pour avoir accès à des e-mails de deux comptes détenus par Microsoft, et leur contenu a été livré au FBI « en exactement 45 minutes », a déclaré Brad Smith. Mais tous les pays ne sont pas prêts à agir avec autant de diligence, en particulier à cause des délais de mise en œuvre de l'entraide judiciaire par les États-Unis. Un rapport de 2013 pointait déjà « la lenteur et la lourdeur » du processus d'entraide judiciaire avec l’administration américaine, notant que ces délais pouvaient atteindre 10 mois en moyenne. Ainsi, les tribunaux et la législation brésilienne ont estimé qu’ils avaient le pouvoir d'obliger les entreprises technologiques américaines, dont Microsoft, à divulguer le contenu des communications des utilisateurs en application de la loi locale, même si ces données se trouvaient dans d'autres pays. La firme de Redmond stocke ses données aux États-Unis et en vertu de l’EPCA, elle n’a pas le droit de remettre les données de ses utilisateurs même s’il opère sur le territoire brésilien.

Vers une montée en puissance des conflits juridiques

« Le Brésil n’a pas voulu passer par les conventions bilatérales sur l'entraide judiciaire pour avoir accès à l'information souhaitée en raison des délais », a expliqué le directeur des affaires juridiques de Microsoft. Parce que Microsoft a refusé d’enfreindre la loi américaine pour se conformer à la demande du Brésil, le gouvernement brésilien a infligé des amendes à la filiale locale du fournisseur. Pire encore, les autorités judiciaires du pays ont arrêté et inculpé pénalement un employé local de Microsoft.

La nécessité de réformer les traités bilatéraux sur l'entraide judiciaire a également été soulevée par Jennifer Daskal, professeur adjoint à l’université de droit de Washington, l’American University Washington College of Law. Celle-ci a reconnu qu’aux États-Unis la mise en route des conventions bilatérales sur l'entraide judiciaire pouvait être laborieuse. Pour contourner le problème, certains pays étrangers ont renforcé leurs exigences règlementaires en termes de localisation des données, se sont dotés de compétences unilatérales et extraterritoriales, ont ajouté des contraintes obligatoires anticryptages et se sont même arrogé le droit de poursuivre les employés locaux de l’entreprise américaine. Le projet de règlement européen sur le transfert de données - dit Privacy Shield - qui devrait entrer en vigueur au printemps 2018 ne va pas arranger les choses. « Dès que le cadre général de protection des données défini par l’Union européenne entrera en vigueur, les conflits juridiques entre la législation européenne et américaine seront encore plus durs », a déclaré Brad Smith.