Le 14 Juillet 2016, la Cour d´appel du 2e circuit a rejeté la demande des autorités américaines d´accéder au contenu des courriels associés à un compte hébergé par Microsoft sur un serveur situé à Dublin. Cette décision, qui fait interprétation stricte du « Stored Communications Act » de 1986, est favorables aux entreprises américaines qui, à l´instar du Microsoft, stockent leurs données à l’étranger. En effet, la décision du 14 juillet 2016 limite le pouvoir des autorités américaines d´accéder à des données stockées à l´étranger par l´intermédiaire des « warrants ».
En l´espèce, le tribunal de district de New York a émis, en décembre 2013, un mandat (« warrant ») demandant à Microsoft de produire tous les e-mails et les informations privées associés à un compte hébergé par Microsoft sur un serveur situé à Dublin. Le Gouvernement américain justifiait cette demande par le fait que l´individu titulaire du compte était en relation avec le trafic de drogue. Microsoft a rejeté la demande. Microsoft soutenait en effet que le juge américain n´a pas le pouvoir d´émettre un mandat ordonnant la production des informations stockées à l´étranger. Par la décision du 14 Juillet 2016 (Décision du 14 juillet 2016, Microsoft Corporation v. Government of the United States of America, Docket No. 14‐2985), la Cour d´appel du 2e circuit a donné raison à Microsoft, en considérant que la mise en application d´un mandat pour obtenir des informations stockées exclusivement à l´étranger serait en violation des dispositions du « Stored Communications Act » (« SCA ») de 1986.
La confirmation de la jurisprudence Morrison v. National Australian Bank Ltd.
La décision de 14 Juillet 2016 de la Cour d´appel du 2e circuit se fonde sur la jurisprudence de 2010 Morrison v. National Australian Bank Ltd. de la Cour Suprême des États-Unis. Dans cette dernière décision, la Cour Suprême a considéré que la législation américaine ne s´applique qu´à l´intérieur du territoire des Etats-Unis, à moins « qu´il soit clair que la législation en cause est destinée à une application extraterritoriale ».
Dans l´affaire Microsoft Corporation v. Government of the United States of America, la Cour d´appel du 2e circuit, n´a trouvé aucune mention explicite dans la « SCA » sur la volonté du législateur que cette loi s´applique de manière extraterritoriale. D´ailleurs, la « SCA » a été adopté en 1986, soit bien avant l´explosion du World Wide Web ou du Cloud computing.
Pour la Cour d´appel, l´utilisation, dans le « Stored Communications Act » de 1986, du terme mandat (« warrant ») suggère que cette loi est destinée à s´appliquer uniquement au niveau national, puisque historiquement les « warrants » n´autorisent la collecte des preuves que dans le périmètre des frontières nationales. Selon les termes de la décision du 14 Juillet 2016 : « quand, en 1986, le Congrès a adopté la loi « SCA », son but était de protéger la vie privée des utilisateurs dans le contexte de l´apparition des nouvelles technologies. En effet, la loi de 1986 n´envisage ni explicitement, ni implicitement l´application de ses dispositions à l´étranger ». Ainsi, le « Stored Communications Act » de 1986 ne s´applique qu´au niveau national.
L´intervention du « LEADS Act »
C´est à des affaires comme Microsoft Corporation v. Government of the United States of America que le Law Enforcement Access to Data Stored Abroad (LEADS) Act entend mettre fin. En effet, le LEADS Act, actuellement en discussion au Congrès des Etats-Unis, va encadrer les hypothèses dans lesquelles le Gouvernement américain pourrait avoir accès à des données en provenance des pays étrangers. Ce projet de loi n´autorise l´utilisation des mandats de perquisition extraterritoriale que si le Gouvernement cherche à obtenir le contenu des communications électroniques appartenant à un national des États-Unis.
L´impact de la décision sur la protection de la vie privée
La décision du 14 Juillet 2016 de la Cour d´appel du 2e circuit est importante, puisque si le Gouvernement américain était autorisé à obtenir des données stockées à l´étranger sur le fondement d´un mandat, d´autres entreprises américaines qui stockent également leurs données à l´étranger seraient placées devant un choix difficile : remettre des données aux autorités américaines en violation des lois du pays où les données respectives sont stockées ou être sanctionnées pour défaut de mise en conformité avec un mandat émis par un tribunal des États-Unis.
D´ailleurs, un jugement favorable au Gouvernement des Etats-Unis aurait pu créer un désavantage concurrentiel aux fournisseurs américains de Cloud computing. Entre un fournisseur américain de Cloud et un fournisseur irlandais, le client aurait certainement choisi le dernier, qui n´est pas soumis au « Stored Communications Act » de 1986 et qui n´a pas l´obligation de fournir des informations au Gouvernement américain dans le cadre d´un « warrant ».
En ce qui concerne l´Union européenne, la décision prise par la Cour d´appel du 2e circuit le 14 Juillet 2016 devrait apaiser certaines préoccupations au sujet de la portée des activités de surveillance du Gouvernement des Etats-Unis et réduire le risque d´annulation du nouvel accord dit « Privacy Shield » adopté par la Commission européenne le 12 Juillet 2016, qui remplacera désormais l´ancien « Safe Harbor » invalidé par la Cour de justice de l´Union européenne par une décision du 6 octobre 2016 (CJUE, 6 octobre 2015, Affaire C-362/14, Maximilian Schrems c/Data Protection Commissionner).
