La Cour suprême des Etats-Unis doit trancher sur la possibilité pour le gouvernement américain d’obtenir des données stockées en Irlande sans recourir à la coopération internationale..
La Cour suprême des Etats-Unis est saisie d’une affaire qui pourrait avoir d’importantes conséquences pour la protection des données personnelles des Européens.
Le 18 janvier est la date butoir pour le dépôt des « amici curiae » (« amis de la cour »), une procédure qui permet aux différents acteurs intéressés d’intervenir pour défendre leurs intérêts ou leurs positions. Cette affaire concerne un mandat dans lequel le gouvernement américain demande à Microsoft de lui livrer les mails d’un suspect dans une affaire de stupéfiants. Microsoft s’y oppose au motif que les données en question sont en Irlande. Selon Microsoft, les Etats-Unis doivent s’adresser à l’Irlande dans le cadre de l’accord d’entraide judiciaire entre les deux pays. Dans une décision de 2016, une cour d’appel américaine a donné raison à Microsoft. C’est cette décision que l’administration Trump essaie de renverser.
Le gouvernement américain n’a pas précisé la nationalité du suspect (il s’agit probablement d’un Irlandais). L’affaire en elle-même n’a en réalité guère d’importance au regard de l’effet recherché : permettre demain aux autorités américaines d’émettre un mandat exigeant de Microsoft ou d’un autre fournisseur (Apple, Google, Facebook…) de livrer, par exemple, les mails d’un ressortissant français suspecté d’un crime aux Etats- Unis (y compris un journaliste accusé de porter atteinte à la sécurité nationale, ou les échanges d’un suspect avec son avocat), alors même que ce Français réside en France et que ses données sont stockées en France. Et ceci sans passer par une quelconque coopération judiciaire avec les autorités françaises.
Tant Microsoft que le gouvernement américain reconnaissent que la loi sur laquelle se fonde le mandat n’a pas d’effet extraterritorial. Mais le gouvernement soutient qu’il n’y a rien « d’extraterritorial » dans sa demande, car un seul clic de souris depuis les Etats- Unis suffit à Microsoft pour accéder aux données demandées. Selon le gouvernement, ce qui compte c’est « l’endroit d’où les données sont accessibles ». Cette loi permettrait donc d’accéder aux mails, photos et documents personnels de pratiquement n’importe quel individu dans le monde ayant un compte consultable depuis les Etats-Unis sans demander l’autorisation aux Etats concernés, faisant fi des garanties constitutionnelles des droits fondamentaux.
LIBERTÉ D’EXPRESSION MENACÉE
Mais le critère du « lieu du stockage des données » défendu par Microsoft est-il plus pertinent ? Certes, ce critère n’est pas le seul à devoir être pris en compte pour construire un régime juridique satisfaisant, mais le lieu du stockage reste important : les données ont une « localisation physique », car elles sont stockées dans des data centers situés dans des pays précis. Les données ont ainsi une « matérialité » plus importante que ce qui est souvent suggéré. Des entreprises comme Microsoft ont beaucoup investi dans la construction de data centers dans des endroits choisis tant pour des questions de performance (proximité entre l’usager et le lieu de stockage) que pour des questions juridiques liées à la protection des données. Ainsi, surtout après les révélations d’Edward Snowden, Microsoft a créé des data centers en Allemagne, en France, en Irlande, aux Pays- Bas et au Royaume-Uni et a décidé de stocker les données des Européens en Europe pour qu’elles soient protégées par les règles européennes.
Si la Cour suprême statue en faveur du gouvernement (l’arrêt est attendu en juin), tous les pays seront alors tentés de formuler des demandes similaires aux fournisseurs d’Internet et de cloud opérant sur leur territoire. La perspective qu’une telle procédure puisse être dirigée contre des journalistes accusés de porter atteinte à la sécurité nationale par leurs enquêtes ou contre des personnes accusées de « blasphème » pour leur position à l’égard de religions suffit à montrer l’ampleur du problème. Et le fait que les Etats contourneraient les mécanismes de coopération internationale pour se servir dans les données stockées dans d’autres pays risque de provoquer de vives tensions. Les Etats- Unis ne s’y trompent pas puisque leur législation interdit déjà aux fournisseurs Internet de laisser d’autres Etats accéder aux données de contenu stockées sur leur territoire !
L’affaire devrait inquiéter les pays européens. Les modalités de la protection de nos données personnelles pourraient être contournées par des pays étrangers. La liberté d’expression, la liberté de la presse, la protection des sources des journalistes et le secret professionnel des avocats en pâtiront. Il semble que certaines chancelleries européennes soient tiraillées entre leurs autorités policières et judiciaires – qui souhaitent un accès facilité aux données – et leurs services diplomatiques – qui pointent les risques de conflits juridiques, les dangers pour les droits de l’homme et la souveraineté numérique.
En France, l’Assemblée nationale a réagi en adoptant le 31 décembre 2017 une résolution où elle souligne « le risque que ferait porter un tel principe d’extraterritorialité du droit américain sur la souveraineté numérique de l’Union européenne » et où elle « salue la décision de la Commission européenne d’intervenir, au nom de l’Union européenne » devant la Cour suprême des Etats-Unis pour défendre la protection des données personnelles. Le gouvernement français est également allé dans ce sens.
Le droit international offre aux Etats des solutions mutuellement acceptables au problème de l’accès aux preuves numériques. Les Etats ont donc le choix entre un unilatéralisme hasardeux, prôné par le gouvernement américain devant la Cour suprême, et la voie multilatérale qui a montré son efficacité à maintes reprises dans l’histoire du droit international.
