Le meilleur avocat de Microsoft devient un défenseur des droits civiques

Le cadre n ° 2 de Microsoft combat le gouvernement américain dans une série d'affaires qui façonneront la confidentialité en ligne et l'activité cloud. 8 septembre 2016





Lorsque le PDG d'Apple, Tim Cook, a refusé d'aider le FBI à entrer dans l'iPhone d'un meurtrier de masse l'hiver dernier, il a été salué pour son audace dans la lutte contre le gouvernement sur une question de principe. En fait, Cook empruntait au livre de jeu d'un cadre supérieur de Microsoft, le rival le plus terne d'Apple, un homme génial aux cheveux blonds du nom de Brad Smith.

Smith a poursuivi le gouvernement en justice à quatre reprises au cours des trois dernières années, l'accusant à chaque fois d'avoir enfreint la Constitution dans ses efforts pour mettre la main sur les données des clients de Microsoft. Il pense que les ordinateurs et Internet ont affaibli les contrôles vitaux de la surveillance gouvernementale qui ont généralement contribué à assurer la confidentialité des personnes. Maintenant Smith, Président et directeur juridique de Microsoft , dit qu'il mène une guerre juridique contre le gouvernement pour tenter de rétablir ces contrôles. Nous ne devrions pas nous écarter de l'équilibre historique, dit Smith, s'exprimant dans son bureau d'angle fade sur le campus tranquille de Microsoft à Redmond, Washington.

Les cas de Smith concernent tous ceux qui stockent des données dans le cloud, des grandes entreprises aux millions de personnes utilisant Skype et la messagerie Web. Les smartphones, les navigateurs et les applications de rencontres que nous avons adoptés avec tant d'enthousiasme génèrent des piles de données qui peuvent être examinées par les enquêteurs. Mais les restrictions au pouvoir des enquêteurs ont été principalement conçues dans un monde où les données étaient stockées sur papier. Le quatrième amendement et les lois et décisions de justice qui l'entourent obligent les flics à obtenir un mandat d'un juge s'ils veulent mettre votre téléphone sur écoute, lire votre courrier postal ou inspecter des papiers chez vous, par exemple. Mais alors que la police a besoin d'un mandat pour fouiller votre smartphone, elle n'en a pas besoin pour voir de nombreuses traces numériques de votre vie, telles que les journaux de vos mouvements passés à partir d'un réseau cellulaire. À moins que la Cour suprême ou le Congrès n'en décide autrement, nos données cloud ne bénéficient pas des mêmes protections que les documents physiques.



Smith dit que, alors que Microsoft et d'autres entreprises technologiques s'opposent au gouvernement devant les tribunaux, elles peuvent aider à rétablir les limites des pouvoirs de surveillance que leurs propres produits ont (involontairement) affaiblis. Cet été, une cour d'appel fédérale a statué en faveur de Microsoft, rejetant la demande du ministère de la Justice que les mandats américains signifiés à l'entreprise pourraient désormais être utilisés pour extraire des données détenues dans d'autres pays. Nous sommes dans une nouvelle ère technologique qui nécessite une nouvelle compréhension de nos droits fondamentaux, déclare Smith.

Les cas de Smith concernent tous ceux qui stockent des données dans le cloud, des grandes entreprises aux millions de personnes utilisant Skype et la messagerie Web.

Interpeller le gouvernement sur la portée des mandats de perquisition peut sembler être des arcanes administratifs à côté des causes qui font descendre des foules de manifestants dans les rues. Mais il existe un lien entre les affaires judiciaires de Microsoft et d'autres batailles pour les droits civils, dit Neil Richard , professeur de droit à l'Université de Washington. Les mouvements de protestation ne peuvent pas se former, dit-il, à moins que les personnes aux idées non conventionnelles puissent communiquer et s'organiser sans que le gouvernement ne regarde par-dessus leur épaule. C'est uniquement à cause de la liberté d'expression et de la protection contre la surveillance que nous avons la déségrégation, ou l'égalité du mariage, ou la lutte contre les toilettes trans dans le Haut Sud, dit-il. Nous avons besoin d'un répit pour [protester] à l'ère de la surveillance numérique.



Google, Twitter et d'autres entreprises technologiques ont également contesté le gouvernement au sujet de la surveillance ces dernières années, mais Smith se démarque. Les responsables technologiques de son niveau ne sont généralement pas aussi visibles et actifs sur les questions de confidentialité et de sécurité, explique Ashkan Soltani, chercheur en confidentialité qui était jusqu'à cette année technologue en chef à la Federal Trade Commission. Lorsque Tim Cook a combattu le FBI, Smith a prononcé des discours enflammés pour le soutenir tandis que les dirigeants de Google et Facebook ont ​​prudemment soutenu Apple dans des déclarations tronquées et anodines.

Pourtant, alors qu'il croit que Microsoft s'emploie à apporter un changement historique dans l'histoire des droits civiques américains, Smith, qui détient des centaines de milliers d'actions Microsoft, a également des motivations financières et fiduciaires. Microsoft parie l'entreprise sur ses services de cloud computing. Pour gagner et conserver des clients, en particulier parmi les entreprises à l'étranger, il doit être considéré comme un dépositaire sûr et digne de confiance de leurs données.

Alors que la vie privée, civique et professionnelle dépend de plus en plus d'Internet, la façon dont Microsoft et d'autres entreprises technologiques traduisent leurs motivations mixtes en procès, campagnes de relations publiques et efforts de lobbying façonneront l'avenir de l'expression de soi, de la dissidence politique, et le progrès social.



Appel de réveil

Smith, 57 ans, a combattu le gouvernement pendant une grande partie de sa carrière en tant qu'avocat chez Microsoft, qu'il a rejoint en 1993. Lorsqu'il est devenu avocat général en 2002, l'une de ses premières tâches a été de régler les accusations antitrust avec le ministère de la Justice. et les procureurs généraux des États qui avaient cherché à démanteler l'entreprise. La même année, il doit négocier avec les autorités européennes et américaines qui accusent Microsoft d'enfreindre les règles de confidentialité . Plus tard, Smith a passé plusieurs années à lutter contre les accusations antitrust de l'UE qui ont conduit l'entreprise à se voir infliger une amende de plus de 2 milliards de dollars.

En juin 2013, Smith a commencé à ressentir le besoin de défier le gouvernement américain sur un autre front. Quand Edward Snowden a pris quatre ordinateurs portables et est monté dans un avion, le monde a commencé à changer, dit-il. Nous avons commencé à apprendre des choses que nous ne savions pas et à poser des questions que nous ne posions pas.



Smith a mémorisé la date exacte—le 30 octobre 2013—à laquelle le Poste de Washington publié ce qu'il considère comme le pire des secrets révélés par l'ancien sous-traitant informatique de la National Security Agency. Il décrivait un projet américano-britannique appelé Muscular, qui récoltait des données à partir des réseaux privés de Google et Yahoo à l'insu des entreprises. C'est peut-être plus que toute autre chose qui a poussé toute une industrie à prendre du recul et à demander: 'Hé, qu'est-ce qui se passe ici?', Dit Smith. Cela nous a amenés à nous impliquer davantage dans le débat public et à prendre des mesures pour construire une base plus solide pour l'avenir afin que le monde puisse faire confiance à ces appareils et services informatiques.

La confiance était un problème pour Microsoft et d'autres grandes sociétés Internet après les fuites de Snowden. Smith dit que les clients existants et potentiels en dehors des États-Unis ont exprimé leur inquiétude quant au fait que l'utilisation des services Microsoft ouvrirait leurs données à un accès indiscriminé par les agences de renseignement américaines. Microsoft et d'autres sociétés citées dans les fuites ont protesté qu'elles n'avaient pas laissé le gouvernement accéder directement à ses systèmes ; qu'ils ne transmettaient des données qu'en réponse à des demandes légitimes. Dans un lettre en colère Au procureur général Eric Holder, Smith a averti que la Constitution souffrait parce que les avocats du gouvernement ne laisseraient pas Microsoft expliquer publiquement les protocoles suivis pour les demandes de données au nom de la sécurité nationale. La société a également rejoint Google dans une action en justice (rejointe plus tard par Facebook et Yahoo également) qui leur a valu le droit de signaler approximativement le nombre de demandes qu'ils ont reçues de la Cour secrète de surveillance du renseignement étranger, qui approuve l'activité de la NSA à l'intérieur des États-Unis.

Puis, en décembre 2013, Smith est allé encore plus loin que les autres entreprises technologiques n'étaient prêtes à s'aventurer. Microsoft a refusé de se conformer à un mandat d'un juge d'instance de New York exigeant des e-mails et d'autres données liées à une enquête sur les stupéfiants.

Les e-mails de la personne en question se sont avérés être stockés dans un centre de données Microsoft en Irlande ; Les avocats de Microsoft ont fait valoir que l'Electronic Communications Privacy Act de 1986 limite les mandats au territoire américain. Un juge a statué contre Microsoft en mai 2014, affirmant que le mandat était valide car il avait été signifié à Microsoft aux États-Unis. La société a fait appel et a perdu, mais lors d'un deuxième appel, le deuxième circuit fédéral a statué en faveur de Microsoft en juillet. Le gouvernement n'a pas précisé s'il porterait l'affaire devant la Cour suprême.

Jennifer Dascal , professeur agrégé de droit au Washington College of Law de l'American University et auteur d'un Examen de la loi de Yale papier sur l'affaire, dit que cela montre comment la nature de l'information numérique confond les traditions juridiques de longue date sur lesquelles nous nous appuyons pour protéger nos droits. Dans le contexte de la perquisition et de la saisie des communications numériques, je ne pense pas que le quatrième amendement offre une protection suffisante de la manière dont il était prévu, dit-elle. C'est un gros problème.

Dans une affaire distincte que Smith lancé en avril , il allègue que le gouvernement viole les quatrième et premier amendements en obtenant régulièrement des ordonnances de bâillon qui interdisent aux entreprises d'informer les clients des demandes de données. Au cours des 18 mois précédant le dépôt de cette plainte, Microsoft a reçu 2 576 demandes de données accompagnées de bâillons, dont 70 % n'avaient pas de date d'expiration. Les ordres de bâillon sont généralement autorisés par la loi de 1986 sur la confidentialité des communications électroniques lorsque cela est nécessaire pour des raisons de sécurité ou pour protéger une enquête. Mais Smith dit qu'ils sont clairement utilisés dans d'autres circonstances - pour empêcher Microsoft de parler, soutient-il, et pour empêcher ses clients de savoir qu'ils font l'objet d'une enquête. On parle de droits qui sont déjà inscrits dans la Constitution, dit-il. Amazon, Google, Apple et Fox News se sont depuis joints à l'affaire.

Une théorie juridique encore plus ancienne, connue sous le nom de doctrine des tiers, signifie que certaines informations numériques sur nos vies peuvent être collectées auprès d'entreprises sans aucun mandat. En 1979, la Cour suprême a déterminé que les flics n'avaient pas besoin de l'approbation d'un juge pour enregistrer les numéros composés à partir d'une ligne téléphonique particulière. Étant donné que chaque facture de téléphone que vous avez reçue a déjà révélé que les compagnies de téléphone connaissaient cette information, la Cour a estimé qu'elle ne devrait pas être considérée comme privée. Aujourd'hui, les tribunaux inférieurs ont extrapolé ce raisonnement à des dizaines d'entreprises qui détiennent désormais des données sur notre vie privée, permettant aux autorités d'accéder sans mandat à des informations telles que les journaux de localisation des téléphones portables.

Mais l'Internet d'aujourd'hui et le réseau téléphonique de 1979 sont si différents que la doctrine est essentiellement inapplicable, déclare Steven Bellovin, professeur à l'Université de Columbia. Les forces de l'ordre collectent des données bien au-delà même des limites généreuses de la règle des tiers, dit-il, s'exprimant indépendamment de sa position au sein du Conseil de surveillance de la vie privée et des libertés civiles qui sert de contrôle sur les activités fédérales de lutte contre le terrorisme. Je pense que le pendule a basculé à bien des égards pour donner aux forces de l'ordre un pouvoir énorme, dit-il. Richards, de l'Université de Washington, note que la Cour suprême a laissé entendre qu'elle voulait examiner de près cette question.

Influence démesurée

Smith dit qu'il peut faire reculer le pendule en utilisant des poursuites judiciaires pour créer de nouveaux précédents, parallèlement à des efforts moins visibles pour pousser la Maison Blanche et le Congrès à mettre à jour les règles et la législation régissant l'accès aux données. (La société a dépensé 8,5 millions de dollars en lobbying à D.C. l'année dernière.)

Les critiques disent que Microsoft est plus soucieux de protéger son image publique que de protéger le public. L'American Civil Liberties Union a déposé des mémoires à l'appui des dossiers de Microsoft sur les données détenues en Irlande et sur les ordonnances de bâillon. Mais Christopher Soghoian, un technologue principal de l'organisation, affirme que l'entreprise fait moins que d'autres pour offrir des fonctionnalités de sécurité qui pourraient offrir le type de protections que la loi ne prévoit pas.

Soghoian dit que Skype ne protège pas tous les messages entre les utilisateurs avec un cryptage de bout en bout qui empêche Microsoft de pouvoir les décoder, une fonctionnalité qu'Apple et WhatsApp ont ajoutée à leurs services équivalents. Et il note que le cryptage des données intégré à Windows donne par défaut à Microsoft une copie de la clé nécessaire pour déverrouiller les données, alors que le cryptage du disque de l'iPhone rend pratiquement impossible pour Apple de connaître la clé. (Vous pouvez supprimer la sauvegarde détenue par Microsoft.) Smith rétorque que Microsoft doit équilibrer le cryptage avec la facilité d'utilisation. La sauvegarde d'une clé de cryptage réduit le risque qu'une personne verrouille des données personnelles ou d'entreprise en oubliant le mot de passe, dit-il.

'Nous sommes dans une nouvelle ère technologique qui nécessite une nouvelle compréhension de nos droits fondamentaux.'

Smith soutient également qu'avoir des raisons commerciales de parler des droits civils et d'engager des poursuites judiciaires est moins problématique que certains ne le pensent. Mais le cas du courrier électronique irlandais de Microsoft montre que les résultats peuvent être compliqués.

La victoire de l'entreprise fournira certainement un sujet de discussion précieux la prochaine fois qu'un client étranger de Microsoft s'inquiétera de l'application de la loi aux États-Unis ; Smith dit que les entreprises clientes en Europe ont suivi l'affaire de près depuis qu'elle a commencé en 2014. Mais Jennifer Granick, directrice des libertés civiles au Stanford Center for Internet and Society, prévient que le précédent peut ne pas être bon pour la vie privée ou Internet. Elle dit que ça peut encourager d'autres pays d'adopter des lois obligeant les entreprises technologiques à conserver les données à l'intérieur de leurs frontières afin de verrouiller les autorités américaines. Les lois sur la localisation des données - la Russie et le Brésil en ont déjà - sont considérées comme permettant aux agences d'espionnage locales et perturbant la concurrence internationale qui fait d'Internet ce qu'il est.

Smith n'aime pas non plus beaucoup la localisation des données, et il dit que le cas de l'Irlande n'est qu'une étape sur un plus long voyage. Il dit que cela aide à faire valoir que les États-Unis devraient signer une vague de nouveaux traités internationaux qui donneraient aux données des citoyens américains à l'étranger certaines des protections de la loi américaine, même lorsque les autorités de ces pays cherchent à y accéder. En retour, d'autres pays obtiendraient des droits réciproques pour les données de leurs citoyens aux États-Unis. Quel serait le premier accord de ce type est déjà en cours de discussion par les États-Unis et le Royaume-Uni.

Négocier des accords avec de nombreux pays différents prendrait des années. Dans l'intervalle, la victoire de Microsoft devant les tribunaux constitue à la fois un précédent juridique et un exemple de la manière dont l'idéalisme intéressé d'un dirigeant technologique pourrait affecter les droits fondamentaux des personnes dans le monde entier. Daskal, de l'American University, dit que nous devons nous habituer à l'idée que nos vies et notre liberté d'expression sont tellement liées aux produits des géants de la technologie. En tant que détenteurs d'une grande partie des communications privées dans le monde, ils ont un pouvoir énorme sur ce pour quoi ils font pression, la conception de leurs systèmes et le moment où ils choisissent de transmettre des données, dit-elle. Tous les choix que font ces entreprises ont d'énormes implications pour nos droits.

cacher