- Affaire de la Cour suprême américaine : litige concernant un warrant pour la restitution d’e-mails de Microsoft stockés en Irlande.
- La Commission européenne souligne la pertinence du RGPD ; le respect du droit étranger peut être un “intérêt légitime” selon l’art.6(1)(f).
- L’article 48 du RGPD n’empêche pas fondamentalement les transferts ; il constitue un motif d’autorisation spécial à côté des articles 45 et suivants.
- L’art.49(1) autorise des exceptions en cas d’intérêt légitime prépondérant et de mesures de protection prises pour la transmission des données.
Contexte
Le cas bien connu de Microsoft est actuellement devant la Cour suprême des États-Unis (voir l’aperçu sur la Site web de Microsoft). Le contexte est un ordre de remise (“Warrant”) d’un tribunal américain qui a ordonné à Microsoft de divulguer des e‑mails détenus par une filiale de Microsoft dans un centre de données en Irlande. Microsoft s’est opposée au warrant, arguant principalement du fait qu’il n’existait pas de base légale pour un warrant à effet extraterritorial. La première instance a protégé le warrant, la deuxième instance, la US Court of Appeals for the Second Circuit, a donné raison à Microsoft. En revanche, le gouvernement américain s’est adressé au Cour suprême (voir ci-dessous pour la chronologie).
Dans le cadre de la procédure de la Cour suprême, de nombreuses lettres d’amicus curiae ont été reçues, c’est-à-dire des requêtes de tiers qui ne sont pas parties à la procédure, mais qui ont un intérêt dans l’issue de celle-ci. L’une de ces lettres émane de la Commission européenne.
Lettre de la Commission européenne sur l’amicus curiae
Intéressant dans la perspective du RGPD, le Lettre de la Commission européenne sur l’amicus curiaedans laquelle la Commission s’appuie sur le RGPD. La Commission ne prend pas position sur l’interprétation du droit américain, mais demande à la Cour suprême de ne pas négliger le droit européen dans sa décision. Sur le fond, la Commission retient notamment les points suivants concernant le RGPD :
- Le respect du droit étranger peut correspondre à un “intérêt légitime” au sens de l’article 6(2)(f) du RGPD.dans la mesure où l’intérêt d’éviter des mesures d’exécution est prépondérant. Cela est également pertinent pour les entreprises suisses dont les traitements sont soumis au RGPD, mais qui doivent également respecter les exigences du droit suisse :
[…] Dans le cas présent, en l’absence d’une loi de l’Union européenne ou d’un État membre exigeant le “traitement” de Microsoft, soit comme une obligation légale, soit comme une tâche accomplie dans l’intérêt public de l’Union européenne ou d’un État membre, id. art. 6(1)(c), (e), le transfert pourrait potentiellement être qualifié de “nécessaire aux fins des intérêts légitimes poursuivis par le contrôleur” – à savoir, l’intérêt à ne pas être soumis à une action en justice dans un État non membre de l’UE.
- Après Art. 48 RGPD les jugements et les décisions d’un pays tiers en matière de transfert ou de divulgation de données personnelles ne peuvent pas être reconnus ou exécutés si le transfert ou la divulgation sont fondés sur un accord international, par exemple un accord d’entraide judiciaire. Cela s’applique toutefois “without prejudice to other grounds for transfer pursuant to this Chapter” (art. 48 ; la version allemande de la disposition est moins claire à cet égard). La divulgation par le destinataire d’un jugement ou d’une décision reste donc autorisée si une des conditions d’exception de l’article 49 RGPD est remplie. En fin de compte, l’article 48 n’est donc pas une norme d’interdiction (pas de “blocking statute”), mais au contraire un cas particulier d’autorisation pour le transfert de données personnelles vers des pays tiersL’art. 45, al. 1, de la loi sur la protection des données, qui s’ajoute aux autres conditions d’autorisation des art. 45 ss.
- L’art. 49(1) RGPD autorise le transfert dans des cas exceptionnels, lorsqu’il est nécessaire pour “Préservation des intérêts légitimes impérieux du responsable du traitement”. L’intérêt peut ici aussi consister à éviter des sanctions en vertu du droit étranger, à condition que l’intérêt principalement est et des mesures de protection sont prises. Les mesures de protection possibles sont les ordonnances de la juridiction requérante ou les règles de protection des données de l’État destinataire :
Les circonstances pertinentes peuvent inclure les garanties procédurales en vertu desquelles l’ordonnance du tribunal étranger a été adoptée, ainsi que les règles applicables en matière de protection des données en vigueur dans le pays tiers.
Chronologie
- 4 décembre 2013: Preet Bharara adopte un SCA (Stored Communications Act) pour le tribunal de district américain du district sud de New York, SCA)-Search Warrant contre Microsoft. Le warrant vise les e‑mails d’un compte MSN stockés dans un centre de données d’une filiale 100% de Microsoft en Irlande.
“Cette garantie s’applique aux informations associées à —@msn.com, qui sont stockées dans des locaux possédés, gérés, contrôlés ou exploités par Microsoft Corporation, une société dont le siège social est situé à One Microsoft Way, Redmond, WA 98052”.
- 25 avril 2014: Le Juge magistrat au District Court rejette la plainte de Microsoft contre le warrant.
- 6 juin 2014: Microsoft s’oppose devant le District Court à la décision du Magistrate JudgeIl n’y a pas de base juridique pour un warrant en dehors du territoire des Etats-Unis ; le warrant est de toute façon trop vague ; et il faut recourir à la voie de l’entraide judiciaire (MLAT ; Mutual Legal Assistance Treaty).
- Juin 2014Plusieurs entreprises (dont Verizon, AT&T, Apple et Cisco) se sont associées dans le cadre d’un accord de coopération. Amicus Curiae-Les données de l’utilisateur sont conformes à l’opinion de Microsoft.
- 8 décembre 2014: Microsoft saisit la Cour d’appel des États-Unis pour le deuxième circuit, avec une introduction du mémoire qui vaut la peine d’être lue :
Imaginez ce scénario. Des officiers de la police municipale locale enquêtent sur une fuite présumée à la presse au siège de la Deutsche Bank à Francfort, en Allemagne. Ils utilisent un mandat pour s’emparer d’un paquet de lettres privées qu’un journaliste du New York Times stocke dans une boîte de dépôt sécurisée dans une succursale de la Deutsche Bank USA à Manhattan. La banque répond en demandant au directeur de la succursale de New York d’ouvrir la boîte du reporter avec une clé maîtresse, de la fouiller et de faxer les lettres privées à la police municipale.
Le secrétaire d’État américain fume : “Nous sommes outrés par la décision de contourner les procédures formelles existantes sur lesquelles l’Union européenne et les États-Unis se sont mis d’accord pour la coopération bilatérale, et de se lancer à la place dans des activités extraterritoriales d’application de la loi sur le sol américain en violation du droit international et de nos propres lois sur la vie privée”. La réponse du ministre allemand des Affaires étrangères : “Nous n’avons pas mené de recherche extraterritoriale – en fait, nous n’avons rien recherché du tout. Aucun officier allemand n’a jamais mis les pieds aux États-Unis. La police municipale a simplement ordonné à une entreprise allemande de produire ses propres dossiers commerciaux, qui étaient en sa possession, sous sa garde et sous son contrôle. Les intérêts de la vie privée du reporter américain ont été entièrement protégés, car la police municipale a obtenu une garantie d’un magistrat neutre”.
En aucun cas cette réponse ne pourrait satisfaire le gouvernement américain. Les lettres que le journaliste a déposées dans une boîte de dépôt sécurisée à Manhattan sont sa correspondance privée, et non les dossiers commerciaux de la banque. La saisie de cette correspondance privée en vertu d’un mandat est une mesure d’application de la loi prise par un gouvernement étranger et exécutée aux États-Unis, même si elle est effectuée par une partie privée à laquelle le gouvernement a confié la mission d’agir en son nom.
Ce cas présente une version numérique du même scénario, mais la chaussure est sur l’autre pied.
- Décembre 2014: à nouveau, plusieurs entreprises soutiennent des soumissions en amicus curiae, y compris Jan Philipp Albrecht.
- 9 mars 2015: Preet Bharara dépose pour le gouvernement américain une Réponse au recours à laquelle Microsoft a répondu le 8 avril 2015 réplique.
- 14 juillet 2016: La Court of Appeals se prononce en faveur de Microsoft (Article de blog; Jugement. Un warrant en vertu des SCA serait plus proche d’un warrant traditionnel, limité au territoire des États-Unis, que d’un supoena, qui peut également avoir un effet international ; et l’effet du warrant serait extraterritorial.
- 23 juin 2017 : Le gouvernement américain demande à la Cour suprême des États-Unis de réexaminer l’affaire (“writ of certiorari”).
- 28 août 2017: Microsoft s’oppose à un réexamen par la Cour suprême.
- 13 septembre 2017: Le gouvernement américain réplique contre la saisie de Microsoft.
- 11 janvier 2018: Microsoft duplique.
- Déc. 2017/Jan. 2018: Des dizaines de lettres d’amicus curiae sont déposées.