- Les États-Unis demandent l’accès aux données de Microsoft stockées à l’étranger et affirment que les exceptions de localisation compromettent l’application de la loi.
- L’argumentaire américain invoque des exceptions au RGPD (art.48, art.49) et d’éventuelles décisions d’adéquation ou des accords bilatéraux.
- Critique : la référence au Privacy Shield est trompeuse ; l’article 49(1) du RGPD exige un intérêt public également dans la perspective de l’UE/des États membres.
Dans l’avant US Cour suprême affaire pendante États-Unis c. Microsoft CorporationDans le cadre d’une affaire concernant la divulgation de données stockées par une filiale de Microsoft en Irlande, les autorités irlandaises ont décidé d’intervenir. ÉTATS-UNIS comme Réponse à l’entrée de Microsoft leur lettre de réponse a été déposée. Le site ÉTATS-UNIS argumentent notamment comme suit :
- S’il n’y avait pas d’obligation de restitution, les données pourraient être arbitrairement soustraites aux poursuites pénales par leur stockage à l’étranger. (“En vertu de sa position, Microsoft pourrait déplacer toutes les données des citoyens américains au-delà de la frontière. SCA’s reach if it choice to migrate that data to foreign servers”) ;
- si le lieu de stockage des données était important, les données seraient toujours inaccessibles lorsque les paquets de données associés à un seul compte d’utilisateur sont stockés à différents endroits, ce qui pourrait être le cas avec l’informatique en nuage ;
- un accès à des données situées à l’étranger serait déjà possible en vertu du droit d’autres États, par exemple le droit anglais ou irlandais ;
- le RGPD interdit la communication de données à des ÉTATS-UNIS pas fondamentalement dans les constellations pertinentes :
“Article 48 de la GDPR requiert l’utilisation du processus conventionnel pour les transferts de données vers des pays non membres de l’UE, “sans préjudice d’autres motifs de transfert en vertu du présent chapitre”. […] Ce même chapitre autorise les transferts sur la base d’une “décision appropriée” ou d’un constat selon lequel le pays non membre de l’UE protège suffisamment les données à caractère personnel. […] Le Les États-Unis sont actuellement sous le coup d’une décision d’adéquation concernant certains transferts de certains fournisseurs, notamment Microsoftet peuvent le faire dans le cadre du GDPR. […]. Or the United States could enter a different agreement with the UE pour couvrir les transferts futurs. […] Même en l’absence de telles solutions en blanc, l’article 49(1)(d) autorise des transferts “.nécessaire pour des raisons importantes d’intérêt public,” GDPR art. 49(1)(d), y compris la nécessité de lutter contre les crimes transfrontaliers graves “tels que le trafic illicite de drogue,” European Comm’n Amicus Br. 15 – le crime en question ici, voir J.A. 25. Alternativement, l’article 49(1) endosse un test d’équilibre spécifique à chaque cas qui tient compte des obligations légales du fournisseur dans le pays non membre de l’UE”.
Actuellement, ce qui est le plus intéressant, ce sont les références à la RGPD. L’argumentation de la ÉTATS-UNIS n’est pas convaincante, du moins ici :
- Faire allusion au Privacy Shield dans ce contexte (le Privacy Shield n’est toutefois pas mentionné par son nom – ce n’est guère un hasard) est remarquable. Le Privacy Shield protège en premier lieu le sujet dont les données sont confiées à une entreprise américaine, et en second lieu l’entité qui les transmet, mais certainement pas les autorités américaines. L’accès aux données sous le contrôle d’une entreprise certifiée par les autorités américaines à des fins de poursuites judiciaires n’est certes pas exclu par le Privacy Shield (bien sûr que non ; tout État de droit autorise de tels accès) ; mais le Privacy Shield en tant que Base d’un tel accès est une déformation totale.
- La référence à l’Art. 49(1) RGPD court sur le qui vient d’être Lignes directrices du groupe de travail “article 29” sur l’article 49, publiées sous forme de projet RGPD ou est pour le moins incomplète. Il n’y a pas d’intérêt public impérieux au sens de cette disposition dès lors que l’État requérant mène une enquête dans l’intérêt public ; au contraire, il serait nécessaire que également la transmission à cet État dans l’intérêt public de la UE ou d’un État membre.