Ceci est une archive

Ce site n’est plus mis à jour depuis 2016. Il s’agit seulement d’une archive. Lire la suite

Publicités

Microsoft n’a pas à transmettre au gouvernement américain les données hébergées en Europe

La Cour d’Appel du 2e Circuit est arrivée à la conclusion que le mandat accordé par un juge ne permettait pas d’obliger Microsoft Corporation (société américaine) à produire les données d’un de ses clients hébergées en Europe (Décision du 14 juillet 2016, Microsoft Corporation v. Government of the United States of America, Docket No. 14‐2985).  Cette décision est sujette à recours devant la Cour Suprême.

Le cadre de l’affaire
Dans le cadre d’un affaire de stupéfiants, un juge américain a émis un mandat («warrant») à la demande du gouvernement ordonnant à Microsoft Corporation, dont le siège est à Redmond (Etat de Washington), de produire les courriels de l’utilisateur d’une adresse @msn.com. Microsoft a remis les métadonnées (informations qui ne concernent pas le contenu) qui étaient hébergées aux USA, mais a refusé de transmettre le contenu hébergé sur les serveurs en Irlande. On ignore la nationalité et le domicile de l’utilisateur.

Les données sont en principe hébergées dans la région où le client est situé, ce qui est déterminé automatiquement en fonction du pays. Certaines données sont néanmoins toujours hébergées aux USA: des métadonnées dans un but de test et contrôle de qualité, certaines informations au sujet du carnet d’adresse de l’utilisateur et certaines informations de base comme le nom de l’utilisateur et son pays.

Pour la Cour comme pour les parties, il ne fait pas de doute que les données visées étaient bien hébergées en Irlande et qu’il aurait fallu les collecter en Irlande pour pouvoir les fournir au gouvernement américain. Microsoft a cependant admis qu’à certaines conditions, il lui était possible de télécharger les données hébergées hors USA depuis certains bureaux aux USA.

Un mandat SCA
Le mandat a été accordé sur la base du Stored Communication Act (SCA) de 1986, soit le titre II du Electronic Communications Privacy Act (ECPA). Le SCA a été adopté par le Congrès pour accorder aux documents électroniques une protection similaire à celle du IVe Amendement (exigence d’un mandat pour procéder à une perquisition).

Le SCA ne contient aucune mention d’une application extraterritoriale. Quant à la compétence de délivrer un mandat, elle permet au juge d’un district de délivrer un mandat qui devra être exécuté dans d’autres districts (mais elle ne mentionne pas d’autres pays).

La Cour mentionne une décision de 1983 dans la cause Marc Rich où elle avait admis qu’un Grand Jury pouvait, sur la base d’une assignation («subpoena»), exiger la production par le défenseur de documents qu’il détenait à l’étranger (en l’occurrence en Suisse). Si la Cour considère qu’il est justifié d’obliger une partie à produire des documents qu’elle détient à l’étranger dans un cause qui a des effets aux USA, il en va différemment lorsque les documents sont confiés à un tiers qui est le destinataire de la demande. Au surplus, la Cour Suprême a eu l’occasion de confirmer qu’un client ne peut pas se prévaloir d’un intérêt digne de protection s’agissant des dossiers concernant ses comptes (il s’agit de documents de la banque et non de papiers privés).

Etant arrivée à la conclusion qu’un mandat basé sur le SCA ne permet pas d’obtenir de Microsoft Corporation la production de données hébergées en Irlande, la Cour devait encore vérifier si le SCA ne permettait pas d’obtenir les données sans mandat. Elle a considéré que le but même du SCA était de protéger la sphère privée des utilisateurs et qu’en accédant aux courriels en Irlande depuis les USA, Microsoft Corporation devrait agir depuis les USA et était donc soumis au droit américain (et qui donc exige un mandat). Il n’est donc pas possible de considérer que la protection du SCA ne s’applique pas à la transmission des données par une société aux USA, même si les données sont initialement à l’étranger.

Le lieu du serveur
Cette décision permet donc à un client, y compris américain, de choisir que ses données seront hébergées à l’étranger et soustraites au gouvernement américain. Ce sont les termes du contrat entre client et fournisseur qui indirectement posent les limites à l’accès de l’Etat. Le lieu du serveur est d’une certaine manière plus importante que le lieu du siège de la société. Dans ce cas précis, la Cour a posé des limites strictes à l’application extraterritoriale du droit américain. Ces limites ne découlent pas du principe que le droit américain ne doit pas s’appliquer hors des USA, mais simplement que ce n’était pas le but visé par cette loi en particulier.

Cela ne signifie pas pour autant que le gouvernement américain ne peut pas obtenir ces données, mais simplement qu’il doit construire sa demande sur une autre loi, par exemple un traité d’entraide judiciaire. Il est aussi imaginable que le Congrès modifie le SCA pour permettre à un mandat de viser des données hébergées à l’étranger.

Finalement un simple choix commercial du fournisseur de modifier l’emplacement de ses serveurs ou de réorganiser les allocations au sein de ses différents serveurs pourrait aussi exposer le client.

Responsabilité civile des fournisseurs de services Internet

Dans son rapport intitulé «Cadre juridique pour les médias sociaux»  publié à l’automne 2013, le Conseil fédéral confirmait que le droit suisse ne présente pas de lacunes importantes et rappelle que même s’il n’y a pas une loi particulière pour les réseaux sociaux ou Internet, il ne s’agit pas d’une zone de non-droit. Parmi les questions ouvertes, il y avait celle de la responsabilité civile des intermédiaires, en particulier des fournisseurs de services qui permettent l’accès à un réseau et à des contenus. Encore une fois, le Conseil fédéral est arrivé à la conclusion qu’il n’est pas nécessaire, dans les conditions actuelles, d’édicter des dispositions de portée générale sur la responsabilité des fournisseurs.

Distinguer cessation d’une atteinte et responsabilité pour le dommage
Le Rapport du Conseil fédéral du 11 décembre 2015 sur la responsabilité civile des fournisseurs de services Internet dresse un panorama assez complet des dispositions légales applicables en distinguant les actions défensives (prévention et cessation d’une atteinte) des actions en réparation (paiement d’un dommage intérêt y compris tort-moral et remise de gain) dans les domaines de la protection de la personnalité, de la protection des données, de la concurrence déloyale et de la propriété intellectuelle. Une partie importante est consacrée au droit étranger, en particulier avec un avis de droit de l’Institut suisse de droit comparé consacré à la situation en Allemagne, France, Danemark, Royaume-Uni et États-Unis d’Amérique.

Le rapport présente un état de la situation et n’apporte malheureusement guère de réponses lorsque la doctrine est partagée. Ce sera bien aux tribunaux de trancher, même si l’on constate qu’il y a encore peu de jurisprudence. Les affaires les plus importantes ont d’ailleurs déjà été abordées sur ce blog comme l’arrêt «Tribune de Genève» du Tribunal fédéral, l’arrêt jurassien «Google Suggest» ou l’arrêt «Delfi» de la Cour européenne des droits de l’Homme.

Le Conseil fédéral considère que le droit en vigueur fournit d’ores et déjà aux tribunaux les instruments nécessaires pour écarter une légitimation passive dans le cas où la participation à l’atteinte n’est pas dans un lien de causalité adéquate, ce qui serait selon lui le cas pour les fournisseurs d’accès. Ce dernier point est à mon avis discutable.

Des mesures spécifiques seront examinées dans le cadre de la révision du droit d’auteur et une mesure de blocage est aussi prévue dans le projet de loi fédérale sur les jeux d’argent pour les offres de jeux d’argent enregistrées à l’étranger.

S’agissant de la responsabilité à l’égard des contenus mis en ligne, le critère déterminant est celui de la proximité du fournisseur avec le contenu. Un manque de diligence ne devrait être reproché au fournisseur d’hébergement que s’il est resté inactif après avoir reçu des indications précises d’une violation flagrante du droit et s’il n’a pas pris les mesures que l’on pouvait attendre de lui. Si le fournisseur n’a reçu aucune indication, une obligation spontanée ne devrait être retenue que pour les fournisseurs proches du contenu, comme les portails d’actualités ou les hébergeurs de forums et de blogs, et si des atteintes paraissent probables compte tenu des circonstances particulières.

Droit à connaître l’identité de l’auteur
Contrairement à la procédure pénale où une procédure peut être ouverte contre inconnu, cette possibilité n’existe pas en droit civil, d’où l’intérêt de pouvoir faire cesser toute atteinte par un participant même s’il n’en est pas l’auteur ou le responsable. Lorsque la commission par Internet d’un acte punissable est suspectée, les autorités de poursuites pénales ont la possibilité d’obtenir des fournisseurs de services de télécommunication et des fournisseurs de services de communication dérivés toute indication permettant d’identifier son auteur.

L’utilisation de la procédure pénale dans le seul but de bénéficier de la levée du secret des télécommunications pour connaître l’auteur de l’infraction en vue d’une procédure civile a été considéré comme un abus de droit dans les affaires Logistep. Le Conseil fédéral ne propose cependant pas de solution générale pour résoudre ce problème considérant qu’il n’est pas propre aux infractions commises sur Internet. S’agissant du droit d’auteur, des mesures seront étudiées séparément.

Le Préposé s’écarte du Safe Harbor suisse

Par une modification non datée sur son site Web, vraisemblablement le 22 octobre 2015, le PFPDT indique que «tant que la Suisse n’a pas renégocié un nouvel accord avec le gouvernement américain, l’accord «U.S.-Swiss Safe Harbor Framework» ne constitue plus une base légale suffisante pour une transmission de données personnelles aux États-Unis compatible avec la loi suisse sur la protection des données (LPD)».

Cette analyse n’est pas incohérente avec la décision de la CJUE, mais elle est surprenante pour plusieurs raisons :

  • elle a lieu au travers d’une modification du site web ;
  • le PFPDT n’a apparemment pas dénoncé l’accord qui demeure juridiquement valable ;
  • aucune décision judiciaire n’a été rendue ;
  • ce changement de position entre immédiatement en vigueur, alors que l’état de la législation américaine et les conditions de l’accord sont connues depuis longtemps.

Le PFPDT demande aux entreprises concernées de convenir de garanties contractuelles au sens de l’art. 6 al. 2 lit. a LPD d’ici fin janvier 2016, bien qu’il admette que ces clauses standards ne règlent pas le problème d’accès disproportionnés des autorités (soit la raison principale pour laquelle le transfert est illégal).

Il recommande finalement d’informer les personnes concernées lorsque les autorités US accèdent (concrètement) aux données.

Commentaire
Pour les individus concernés, on peut se réjouir que le PFPDT suive le mouvement européen et veuille exiger des USA plus de garanties.

En revanche, les entreprises suisses sont mises dans une situation difficile alors que rien n’obligeait le PFPDT à prendre cette décision aujourd’hui, sans avoir de solution de rechange à proposer.

Il admettait jusqu’à présent que le transfert sur la base du Safe Harbor était légale. C’est sur ses recommandations que de nombreuses entreprises ont pris la décision d’y recourir. Alors que la situation américaine n’a pas changé ces derniers mois, il déclare soudainement que le transfert est illégal. Les moyens de rechange proposés pourraient d’ailleurs bien être déclarés insuffisants par un tribunal, ce qui signifie que les maîtres de fichiers suisses doivent trouver une solution alors que le PFPDT (et ses homologues européens) n’en n’ont pas.

Affaire à suivre…

La CJUE annule le Safe Harbor, et en Suisse?

Dans une nouvelle décision majeure pour la protection des données, la Cour de justice de l’Union Européenne (CJUE) a invalidé la décision par laquelle la Commission européenne avait admis que les entreprises américaines ayant adhéré au Safe Harbor assurent un niveau de protection suffisant des données à caractère personnel européennes qui leur étaient transférées. Cette décision du 6 octobre 2015 fait suite à la demande de Max Schrems adressée à l’autorité irlandaise de protection des données de vérifier la légalité du transfert des données personnelles par Facebook de l’Irlande vers les USA.

Des données personnelles peuvent être transmises (et traités) dans un pays tiers s’il offre un niveau de protection adéquat. C’est le cas pour les pays de UE et la Suisse. Dans les autres cas, des garanties supplémentaires sont nécessaires. Elles peuvent prendre la forme de clauses contractuelles (entre l’exportateur et l’importateur), parfois le consentement des personnes concernées, où encore l’adhésion au Safe Harbor.

Le Safe Harbor est un accord conclu entre l’UE et les USA qui prévoit un certain nombre de principes que les sociétés américaines qui choisissent de s’y soumettre s’engagent à respecter. Un contrôle est exercé par la FTC américaine. Le transfert de données vers ces sociétés était automatiquement considéré comme adéquat, alors qu’il ne l’est en principe pas vers les USA (en l’absence de garanties contractuelles spécifiques, consentement de la personne concernée, etc.).

La CJU a considéré premièrement que la Commission européenne ne pouvait pas retirer le pouvoir des autorités nationales de protection des données d’examiner la légalité d’un transfert international de données personnelles. Deuxièmement, elle retient que le cadre juridique actuel aux USA permet à l’Etat d’accéder de manière massive et indiscriminée aux données personnelles. Le Safe Harbor ne soustrait évidemment pas les entreprises américaines à leur devoir de respecter le cadre légal de leur pays.

Quelles conséquences ?
Le transfert de données sur la base de l’US-EU Safe Harbor n’est plus légal. Le Groupe de l’article 29 qui réunit les autorités européennes de protection des données a laissé un délai de grâce de trois mois aux législateurs et entreprises pour trouver une solution. Des garanties contractuelles (contrats-types notamment) peuvent toujours être utilisées.

La CJUE ne devait se prononcer que sur les questions qui lui étaient posées et qui concernaient la validité du Safe Harbor. Elle a cependant confirmé que c’est bien le cadre légal américain qui est problématique. Il n’est pourtant pas possible d’y déroger par contrat et à l’issue du délai de trois mois on peut s’attendre à ce que les autorités de protection des données interdisent tout transfert aux USA, indépendamment du cadre juridique choisi. Une telle solution n’est pratiquement pas envisageable et tant l’Europe que les USA ont intérêts à trouver un accord rapidement.

Et en Suisse ?
La Suisse a un accord séparé avec les USA et n’est pas membre de l’Union européenne. Elle n’est pas concernée par la décision de la CJUE et le US-Swiss Safe Harbor est toujours parfaitement valable. Le PFPDT a néanmoins déjà indiqué qu’un nouvel accord ne pourrait que être coordonné avec l’UE. Ainsi au regard du droit suisse le transfert demeure légal. Il pourrait cependant être interdit par un juge qui serait saisi d’une demande dans un cas d’espèce. Il n’y a guère de raisons pour qu’un tribunal suisse aboutisse à un raisonnement différent.

Le PFPDT pourrait aussi déclarer que le US-Swiss Safe Harbor n’offre pas un niveau de protection adéquat. Etant donné qu’il l’a lui-même signé (contrairement à l’UE où c’était la Commission et non les autorités nationales), cela semble plus délicat. De plus, autant que les raisons qui ont justifié la décision de la CJUE sont connues depuis plusieurs années et le PFPDT aurait aussi pu agir plus tôt.

Que faut-il faire ?
La situation est très incertaine. Les transferts depuis l’Europe ne peuvent plus être justifiés par le Safe Harbor et il convient de le remplacer par un accord contractuel. En Suisse cela n’est pas nécessaire.

Dans le cas de nouveaux transferts, on évitera de recourir au Safe Harbor. Finalement, les entreprises devraient vérifier sur quelles bases elles communiquent des données à l’étranger afin d’être en mesure de réagir rapidement en cas de modifications du cadre légal. C’est aussi l’occasion de s’assurer que les conditions de délégation du traitement sont bien réglées.

Même si le maître du fichier reste responsable du traitement, il serait particulièrement sévère de lui reprocher de s’être fié aux recommandations de l’autorité compétente. Dans tous les cas, une solution politique et pragmatique devra être apportée rapidement et il faut rester attentif aux évolutions à venir.

Voir également: Le Préposé s’écarte du Safe Harbor suisse

Le séquestre de courriers électroniques chez le fournisseurs de télécommunications

Pour le tribunal fédéral (ATF 140 IV 181), les courriels qu’un prévenu a relevés sur le serveur du fournisseur de service de télécommunication peuvent être séquestrés chez le fournisseur, alors que ceux qui n’ont pas encore été relevés peuvent faire l’objet d’une surveillance en temps réel. Le secret de la correspondance disparaît dès que les courriels sont relevés, même s’ils restent accessibles sur le serveur et qu’ils n’ont pas été lus.

Séquestre ou surveillance de la correspondance ?
Un homme est accusé de meurtre et sa correspondance électronique contient des éléments nécessaires à l’enquête. La question qui se pose est de savoir quelle mesure (et donc quelles conditions) s’applique dans ce cas. De manière générale, lorsqu’une autorité pénale souhaite accéder à la correspondance électronique d’un prévenu, trois possibilités s’offrent à elle :

  • Le séquestre (263 CPP), qui permet de saisir les objets et valeurs patrimoniales appartenant au prévenu ou à des tiers lorsqu’il est probable qu’ils seront utilisés comme moyens de preuves. S’ils sont détenus par un tiers, ce dernier est soumis à une obligation de dépôt. Le prévenu est informé du séquestre par une ordonnance du ministère public.
  • La surveillance en temps réel (269 CPP) des télécommunications qui peut être ordonnée par le ministère public lorsque de graves soupçons laissent présumer qu’une infraction contenue dans la liste de l’art. 269. al. 2 CPP a été commise et que cette mesure est proportionnée. Elle doit être autorisée par le tribunal des mesures de contraintes. Cette mesure est secrète mais le prévenu peut ensuite la contester dans les 10 jours suivant son information. La surveillance porte sur le contenu et les données accessoires.
  • La surveillance rétroactive (273 CPP) qui se limite aux données relatives au trafic et à la facturation et identification des usagers (données accessoires). Elle peut être ordonnée par le ministère public lorsque de graves soupçons laissent présumer qu’un crime, un délit ou une contravention au sens de l’art. 179septies CP a été commis et que cette mesure est proportionnée. Elle doit être autorisée par le tribunal des mesures de contraintes. Cette mesure est secrète mais le prévenu peut ensuite la contester dans les 10 jours suivant son information. Il n’y a pas de surveillance rétroactive du contenu des courriels et les données accessoires peuvent être demandées avec effet rétroactif sur une période de six mois au plus.

Les limites du secret des télécommunications
La sphère privée de l’utilisateur est protégée par le secret des télécommunications qui s’applique durant le processus de communication. Ainsi un courrier postal est protégé pendant l’envoi, mais plus une fois qu’il est remis à son destinataire. On considère qu’il y a remise également lors du dépôt dans la boîte aux lettres du destinataire puisque l’on est dans sa sphère de maîtrise et que le fournisseur n’y a plus accès. Dans le cas d’une case postale, la maîtrise est partagée et le secret se prolonge jusqu’à ce que le destinataire accède à la case. Pour que l’autorité puisse obtenir le courrier qui est dans la boîte aux lettres (ou dans la case postale si le destinataire l’a ouverte et a choisi de l’y laisser), on appliquera les règles du séquestre, alors que pour le courrier dans la case non ouverte, ce sera celles de la surveillance de la correspondance (en temps réel).

Critique
L’analogie avec la case postale a ses limites en raison de l’ubiquité des données électroniques. Premièrement, relever un courriel ne signifie pas, selon le protocole utilisé, qu’il n’est plus sur le serveur. Le protocole POP3 généralement se connecte au serveur de messagerie, récupère le message et l’efface du serveur. En revanche, le protocole IMAP laisse les courriels sur le serveur dans le but de pouvoir les consulter de différents clients de messagerie. Pour le TF, celui qui utilise le protocole IMAP, pourtant très répandu car il permet d’accéder à sa messagerie depuis un téléphone et un ordinateur par exemple, renonce de fait à la protection du secret de la correspondance pour tous les messages qu’il a reçu.

Deuxièmement, lorsqu’un message est partiellement téléchargé, par exemple lorsqu’il est automatiquement poussé («push») sur un téléphone portable mais que seuls l’expéditeur et l’objet sont affichés (le corps du message étant encore exclusivement sur le serveur), le TF considérera-t-il qu’il est déjà entièrement dans la sphère du destinataire ?

Troisièmement, le TF retient que la consultation des messages déposés (mais pas encore relevés) dans la boîte électronique est une surveillance en temps réel et non rétroactive (ce qui permet l’accès au contenu). Sachant que les messages peuvent avoir été déposés plusieurs semaines auparavant, on peut se demander si l’on n’aurait pas déjà dû considérer que ce qui est arrivé dans la boîte est soumis à une surveillance rétroactive.

A mon avis, il aurait certainement été plus simple de considérer que toute acquisition directement chez le fournisseur est une surveillance des télécommunications, par opposition à l’acquisition chez le prévenu qui serait un séquestre. Cela éviterait aussi au ministère public de devoir savoir à l’avance si le prévenu a déjà relevé ou non un message qu’il souhaite obtenir et au fournisseur de séparer les messages sur le serveur qui ont déjà été relevés de ceux qui ne l’ont pas été (ce qui est une question indépendante de savoir s’ils sont marqués comme lus ou non lus!). Aux Etats-Unis, le Stored Communications Act prévoit un régime différent selon que les messages ont plus ou moins 180 jours, ce qui offre au moins un critère objectif.

La neutralité du Net

La question de la neutralité des réseaux n’a pas suscité de grands débats en Suisse jusqu’à présent, contrairement aux USA ou en Europe. L’Office fédéral de la communication (OFCOM) vient pourtant de rendre un premier rapport.

De quoi s’agit-il ?
Le principe de neutralité du Net est un principe de non-discrimination qui régit le fonctionnement d’Internet depuis son origine: chacun doit avoir accès au même Internet. Cette règle empêche le fournisseur d’accès à Internet (FAI) de sélectionner les contenus auxquels son client peut accéder ou en favoriser certains. Selon ce principe, le FAI ne peut pas limiter la vitesse à laquelle sont transmis les paquets de données sur le réseau ou limiter l’accès à certain sites ou services. Le fournisseur d’accès doit rester neutre et se contenter de mettre à disposition le conduit qui permet d’accéder aux services. Il ne doit pas élargir ce conduit (et augmenter le débit) pour favoriser des sites qu’il soutient (les siens par exemple) ou réduire, voire fermer ce conduit pour les sites qu’il n’aime pas (ses concurrents par exemple). En revanche, le fournisseur peut évidemment limiter de manière neutre le débit maximal ou le volume de données compris dans un abonnement. Mais ce volume de données ne doit pas être réservé à certains sites ou services.

Pas de réponse, mais le début d’une discussion
A ce jour, il n’y a en Suisse guère de règle qui interdit à un FAI de limiter ou dégrader la qualité de certains services. La loi sur les télécommunications ne contient pas d’obligations autres que celle pour le titulaire de la concession de service universel (actuellement Swisscom), d’assurer un service téléphonique public qui inclut la transmission de données faisant appel à des débits compatibles avec les voies de transmission de la parole. Le Conseil fédéral pourrait cependant, par voie d’ordonnance, obliger les fournisseurs à publier des informations précises sur la qualité du service fourni.

Le rapport de l’OFCOM a pour objectif de poser des bases de discussion sur la neutralité des réseaux en Suisse. Il présente le fonctionnement d’Internet, la situation en Suisse et à l’étranger. Il retient que la question de savoir à quel point il est nécessaire et opportun de traiter toutes les données de la même manière est controversée. Certains considèrent qu’il faut laisser les fournisseurs gérer le réseau et définir leurs produits, alors que d’autres demandent un traitement équitable de toutes les données. Le rapport présente les différents arguments et les prises de position adoptées par différents groupes d’intérêts. Le Conseil fédéral donnera son point de vue dans un rapport à venir sur le marché des télécommunications.

Malheureusement, le rapport ne contient pas d’état de la situation actuelle en Suisse. Des indications chiffrées sont toutefois données globalement pour 32 pays européens (dont la Suisse). Il en ressort que la majorité des FAI ne prennent pas de mesures d’exclusion ou de limitation de certains services (notamment P2P ou VoIP). Ces limitations ou restrictions touchent toutefois plus de 20% des abonnés lors de l’utilisation de connections paires-à-paires (P2P) dépassent le 20% sur les réseaux fixes et 27% sur les réseaux mobiles. Près d’un utilisateur sur deux subit également des restrictions à l’utilisation de la téléphonie sur IP (VoIP) au moyen de son abonnement mobile.