Le Cloud Act enterre la bataille entre Microsoft et les autorités US
Récemment voté par le congrès américain, le Cloud Act légitime l’accès à des données extraterritoriales par les autorités US. Une réglementation qui rend caduque une bataille judiciaire qui opposait depuis 2013 Microsoft et la justice US.
La longue bataille judiciaire opposant Microsoft à la justice US depuis 2013 est devenue caduque. Pour rappel, les autorités américaines souhaitaient avoir accès aux données d’un suspect stockées sur les serveurs de Microsoft en Irlande. Soutenue par la plupart des géants high-tech, la firme de Redmond s’y était opposé, estimant que les principes d'extraterritorialité ne s’appliquaient pas aux données. L’affaire a été portée jusque devant la Cour suprême de Washington, qui devait se prononcer fin juin. Or, selon Reuters, Microsoft vient d’accepter le rejet de l'affaire demandé par la Cour suprême. Un tournant dû à la récente adoption par l’administration Trump d’une nouvelle réglementation, le Cloud Act.
Dissimulé parmi les 2232 pages de réglementations sur les dépenses 2018 américaines, le Cloud Act stipule notamment que les entreprises doivent transmettre des données «indépendamment du fait que cette communication, enregistrement, ou d'autres informations sont situées à l'intérieur ou à l'extérieur des Etats-Unis». Adoptée par le congrès dans le cadre d’une procédure accélérée, la réglementation a été bien accueillie par les firmes high-tech, Microsoft y compris, qui a déclaré que le Cloud Act était un bon compromis, répondant aux besoins des gouvernements tout en donnant aux entreprises technologiques la capacité de défendre les droits de la vie privée de leurs clients dans le monde.
Accès aux données n'importe où et sans mandat
De leur côté, les associations qui militent pour la protection de la vie privée s’insurgent, à l’image de l’Electronic Frontier Foundation (EFF), qui explique que le Cloud Act donne le pouvoir aux autorités US d’avoir accès à des données d’entreprises américaines, peu importe le pays où elles sont hébergées. Et ce, sans même nécessiter l’octroi d’un mandat. Dans ce contexte, la question se pose: Microsoft, AWS et Google construisent-ils des datacenters en Europe pour rien? François Charlet, juriste suisse spécialisé en droit des technologies, répond à la question sur son blog: «Microsoft a récemment annoncé qu'il allait ouvrir un centre de stockage en Suisse. D'aucuns ont pris cette nouvelle avec ravissement. De mon côté, je n'y vois qu'un leurre puisqu'avec le CLOUD Act, la localisation des données n'a plus aucune importance tant qu'elles sont détenues par une société américaine.»