Contredisant une jurisprudence Microsoft, un juge a ordonné à Google de livrer les mails stockés sur des serveurs en dehors des Etats-Unis. La firme a fait appel.
Décidément la jurisprudence américaine sur l’extraterritorialité des mandats de perquisitions sur les données conservées hors des Etats-Unis joue à la girouette. A la fin janvier, Microsoft gagnait une seconde victoire sur ce sujet. Les juges de la Cour d’Appel de New York ont jugé, dans la douleur, que le Secure Communications Act (SCA) sur lequel se base les mandats n’avait pas en 1986 était conçu pour des données localisées hors du territoire américain.
Une jurisprudence mise à mal par une autre affaire concernant Google. Ce dernier a été sollicité par le FBI dans une affaire de fraude datant du 2 août 2016 et une autre du 19 août portant sur un vol de données industrielles sur le territoire américain. Mais certaines données des comptes des suspects étaient disséminées sur des datacenters de Google à l’étranger. La firme américaine a expliqué que pour des raisons de performances, les courriers électroniques pouvaient être découpés en petits morceaux et stockés sur différents serveurs à l’étranger. La firme de Mountain View s’appuyait donc sur les décisions favorables à Microsoft en matière de non extra-territorialité des mandats de perquisition pour refuser le mandat du FBI.
Une violation de la vie privée aux États-Unis
Mais le juge, Thomas Rueter, du tribunal de Philadelphie, en a décidé autrement. Il considère en effet que « le fait de transférer électroniquement des données d’un serveur dans un pays étranger vers le datacenter de Google en Californie ne constitue pas une saisie ». Cette notion de saisie est définie par le 4ème amendement de la Constitution américaine qui stipule, « le droit des citoyens d’être garanti dans leurs personne, domicile, papiers et effets, contre les perquisitions et saisies non motivées ne sera pas violé, et aucun mandat ne sera délivré, si ce n’est sur présomption sérieuse, corroborée par serment ou affirmation, ni sans qu’il décrive particulièrement le lieu à fouiller et les personnes ou les choses à saisir ».
La qualification de saisie n’est pas retenue par le juge, car « il n’y a aucune interférence significative avec l’intérêt possessif du titulaire du compte dans les données utilisateur ». Il poursuit en expliquant que Google transfère régulièrement des données entre ses installations sans que les utilisateurs en soient mis au courant et cela ne les empêche pas d’accéder à leur données, ni ne remet en question leur droit de propriété. Et si interférence il y a, elle est « minime et temporaire ».
Pour motiver sa décision, le juge Rueter, précise que « même si la récupération des données électroniques par Google depuis ses multiples centres de données à l’étranger a le potentiel d’une invasion de la vie privée, la violation réelle de la vie privée se produit au moment de la divulgation aux États-Unis ». Pour lui, la perquisition et la saisie ont eu lieu aux Etats-Unis et non à l’étranger, le mandat de perquisition est alors contraignant pour Google. Ce dernier a déjà annoncé sa décision de faire appel de ce jugement.
Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous accompagner dans vos démarches de mise en conformité avec la réglement Européen relatif à la protection des données à caractère personnel (RGPD).
Denis JACOPINI est Expert Judiciaire en Informatique, Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), Diplômé en Droit de l’Expertise Judiciaire et Risk Manager ISO 27005, spécialisé en Cybercriminalité et en protection des Données à Caractère Personnel.
Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)
Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles
Réagissez à cet article
|
Aucun commentaire jusqu'à présent.