Cloud Act : Microsoft donne 6 principes aux Etats pour demander des données

En réaction au Cloud Act signé en mars dernier par Donald Trump, Microsoft propose six principes de base à appliquer dans un cadre international aux demandes d’accès aux données faites par les Etats.

 

En partenariat avec  

Microsoft fait de la résistance au Cloud Act (Clarifying Lawful Overseas Use of Data Act) signé en mars 2018 par Donald Trump pour pouvoir saisir des emails et des données stockées à l’étranger. Si l’éditeur a, dans un premier temps (en mars dernier), qualifié de bon compromis cette loi fédérale américaine censée « clarifier » la façon dont le gouvernement des Etats-Unis accède aux données privées en dehors de son territoire, la firme de Redmond n’avait pas dit son dernier mot. Brad Smith, son président et directeur juridique, a récemment repris la plume pour proposer, en la matière, six principes de base qui pourraient être adopter à l’échelle internationale dans le cadre d’accords entre pays.
Dans un billet, l’Electronic Frontier Foundation réagit favorablement à ce sursaut de Microsoft. L’organisation américaine de défense des libertés numériques des citoyens (créée en 1990) apprécie la contribution de l’éditeur de Redmond dans la lutte contre les abus potentiels du Cloud Act. Il est vrai que la société dirigée par Satya Nadella a une certaine expérience en la matière après le bras de fer remporté en avril 2018 sur les autorités américaines. Pendant plus de deux ans, elle avait refusé l’accès à la boîte e-mail d’un de ses utilisateurs en Irlande.

Des demandes contrôlées par des autorités indépendantes

– Le premier des principes exposés par Brad Smith est le droit universel pour les utilisateurs à être prévenus quand un gouvernement accède à leurs données, les opérateurs de cloud devant avoir de leur côté le droit de les en avertir.
– Deuxième principe, les demandes d’accès des forces judiciaires aux données devraient être contrôlées et approuvées par des autorités judiciaires indépendantes.
– Troisième principe, les opérateurs de services cloud doivent être informés de façon complète sur le processus d’accès aux données et disposer de moyens de s’opposer à des demandes inappropriées.
– Quatrième principe, des mécanismes doivent permettre de régler les conflits avec les autorités judiciaires d’autres pays.
– Cinquième principe, les entreprises ont le droit de contrôler leurs données et devraient recevoir directement les requêtes des autorités judiciaires.
– Enfin, le sixième principe exposé par Microsoft est la transparence. « Le public a le droit de savoir comment et quand les Etats cherchent à accéder à des preuves numériques et sur les protections qui s’appliquent à leurs données. » Ces six principes sont détaillés par Microsoft dans un document récapitulatif.
« Nous croyons fermement que nos clients ont le droit d’être protégés par leurs propres lois », pointe Brad Smith dans son billet. « Nous croyons aussi que les principes que nous exprimons constituent des droits universels et des exigences minimales de base qui devraient régir l’accès légal aux données dans notre ère moderne. L’application de ces principes peut différer d’un pays à l’autre, mais les principes sous-jacents de vérifications et contrepoids, de responsabilité et de transparente devraient rester vrais ».

Outre-Atlantique, le site juridique professionnel Law360 juge ces propositions constructives, mais estime qu’elles soulèvent des questions sur la façon dont les fournisseurs de service pourront prendre en compte ces demandes d’accès aux données.

 

Par Maryse Gros