Cloud : les sociétés américaines devront fournir des données même hébergées en Europe

Aux Etats-Unis, la justice fédérale estime qu'une société du pays doit être en mesure de fournir des données aux autorités. La règle s'applique également si ces informations sont hébergées hors du territoire, y compris en Europe.

Le juge fédéral de New-York vient de rendre une décision importante en matière d'accès aux informations hébergées par des sociétés américaines, même en dehors du territoire. Selon le document (.pdf), les services de messagerie ou d'hébergement doivent être en mesure de fournir les données qu'ils hébergent si un mandat du gouvernement les y oblige.

La justice n'a pas retenu les arguments de Microsoft selon lesquels elle n'avait pas à transmettre des informations contenues notamment dans un e-mail au motif que celles-ci étaient hébergées en Irlande. Le juge a donc invoqué le fait qu'une enquête criminelle justifiait un telle compétence extra-territoriale.

De son côté, la Cnil n'a pas commenté la situation mais s'est déjà penchée, via le G29, sur les contrats édités par Microsoft en matière de cloud. L'autorité a étudié les documents fournis par la firme et a considéré qu'ils étaient conformes aux exigences de l'Union européenne en la matière.

L'organisme ne délivre toutefois pas un blanc-seing à Microsoft puisse qu'elle précise dans une note qu'elle n'a pas analysé « les annexes aux documents contractuels de Microsoft qui décrivent les transferts visés par le contrat (catégories de données, mesures de sécurité et de confidentialité mise en œuvre par l'importateur des données) ».

Elle conclut simplement que la firme américaine a « pris suffisamment de précautions contractuelles pour encadrer ses flux internationaux de données ». Elle invite d'ailleurs l'ensemble des sociétés opérant sur le marché du cloud computing à agir de la sorte. En attendant, Microsoft a fait appel de la décision de la justice américaine.