La justice américaine peut-elle saisir des données personnelles conservées à l’étranger dans le cadre d’une enquête criminelle ? C’est sur cette question que la Cour suprême des États-Unis devra bientôt se prononcer dans l’affaire ‘Microsoft Ireland Warrant Case’ opposant l’entreprise Microsoft au gouvernement américain – une question qui n’est pas sans conséquence pour l’Union européenne.
Jeudi 7 décembre, la Commission européenne a d’ailleurs annoncé son intention d’intervenir, au nom de l’UE, devant la Cour Suprême dans cette affaire, en lui soumettant un amicus brief.
« Étant donné que le transfert de données personnelles détenues par Microsoft de l'UE vers les États-Unis tomberait dans le champ des règles européennes, la Commission a estimé qu'il était dans l'intérêt de l'UE de s'assurer que les règles européennes en matière de protection des données sur les transferts internationaux sont correctement comprises et prises en compte par la Cour suprême des États-Unis », a-t-elle indiqué dans un communiqué, précisant néanmoins qu’elle ne prendrait position en faveur d’aucune des deux parties.
À l’origine de cette affaire se trouve l’émission, en 2013, d’un mandat de perquisition de fichiers et courriels d’un compte Microsoft par un juge américain dans le cadre d’une enquête criminelle. Après avoir conclu que les éléments recherchés étaient situés sur un de ses serveurs en Irlande, Microsoft a refusé de transmettre ces informations, arguant qu’un juge américain n’avait pas le pouvoir de délivrer des mandats de perquisition de données à l’étranger. Après une première décision en 2014 en faveur du gouvernement américain, c’est finalement Microsoft qui a eu gain de cause en 2016 auprès d’une cour d’appel américaine. Contestant cette décision, le gouvernement américain soutient qu'elle constitue un obstacle majeur pour les enquêtes criminelles.
Dans une déclaration du 29 novembre, le groupe de travail ‘article 29’, qui réunit les autorités de protection des données personnelles des États membres de l'UE, avait tenu à rappeler que tout contournement des règles prévues par le règlement général de l'UE sur la protection des données par les autorités répressives d’un pays tiers constituerait « une ingérence dans la souveraineté territoriale d’un État membre de l’UE ».
La Commission a jusqu’au 13 décembre pour soumettre son amicus brief. La Cour Suprême américaine devrait entendre les arguments des parties début 2018, avant de se prononcer d’ici le mois de juin. (Marion Fontana)