Les e-mails dans le « Cloud » restent accessibles à la justice

Publié le 19/11/2012 - CIO Online - E. Papin

Les messageries SaaS et autres services Cloud peuvent faire l’objet de perquisitions valides même quand la perquisition n’est prévue que dans les locaux de l’entreprise. Et la négligence quant au parfois nécessaire « ménage » d’informations anciennes peut alors coûter cher.

De nombreux particuliers et de plus en plus d’entreprises ont recours à des services de courrier électronique comme Gmail, icloud ou hotmail. La plupart des utilisateurs de ces services ne téléchargent ni ne suppriment jamais les mails stockés sur ces services en ligne. Tant que l’espace de stockage n’est pas un problème, les mails y sont laissés par leurs utilisateurs, de manière à pouvoir être retrouvés de n’importe où et n’importe quand.

Ces emails sont une source d’information presque intarissable sur l’activité professionnelle ou personnelle du détenteur du compte de messagerie. L’accès à cette source d’information présente un enjeu dans les litiges.

Deux décisions récentes, l’une française, l’autre américaine, à l’unisson dans leurs conclusions, nous enseignent que ces e-mails stockés dans le Cloud peuvent être lus par une partie adverse ou par l’administration.

L’accès à Gmail par l’administration fiscale

L’article L16 B du livre des procédures fiscales permet à l’administration fiscale, après autorisation du juge des libertés et de la détention, de saisir, en tous lieux, des pièces et documents, quel qu’en soit le support, nécessaires à constituer la preuve d’une éventuelle fraude fiscale.

Sur le fondement de ce texte, il est admis depuis longtemps que l’administration fiscale peut procéder à la saisie des boîtes mail des contribuables, personnes physiques ou morales, qu’elle contrôle. Il a même été jugé par la Cour de cassation, dans un arrêt du 18 janvier 2011, que la présence, dans une messagerie électronique, de courriels d’avocats couverts par le secret professionnel, n’avait pas pour effet d’invalider la saisie des autres éléments de cette messagerie.

Jusqu’à présent, le contentieux de la saisie des e-mails par l’administration fiscale s’était concentré sur l’hypothèse de la réalisation de copies par les agents du fisc, directement depuis les mails stockés sur le poste informatique du contribuable, ou, pour le cas des entreprises, sur le serveur de messagerie de la société.

Pour la première fois, la Cour d’appel de Paris, dans son ordonnance du 31 août 2012, a eu à connaître de la saisie par l’administration fiscale de courriers électroniques figurant dans des comptes Gmail. Les utilisateurs de ce service de Google ne téléchargent pas sur leur poste les courriers électroniques figurant sur leur compte Gmail. L’accès s’opère à distance, le plus souvent depuis le navigateur internet de l’utilisateur.

Dans l’affaire soumise aux magistrats parisiens, le contribuable faisant l’objet de la « visite » des inspecteurs du fisc n’était autre que Google France ! Comme on peut s’y attendre, Google utilise pour ses mails Gmail. Pour procéder aux saisies de courriers électroniques qui n’étaient pas présents « physiquement » en France, mais hébergés sur les serveurs de la société Google Inc, hors de France, les agents du fisc ont tout simplement utilisé les logins/password que les salariés de Google France requis leur ont communiqués.

Comme l’y autorise le code, Google France a formé un recours, devant le premier président de la Cour d’appel de Paris, contre le déroulement des opérations de visite et de saisie dont elle a été l’objet.

Au titre des moyens formulés à l’appui de ce recours, Google France, faisait d’abord valoir que les e-mails saisis avaient été prélevés dans des lieux extérieurs aux locaux dans lesquels le juge avait autorisé les opérations de saisie, puisque ces pièces avaient été appréhendées par l’accès à des machines se trouvant à l’étranger. La Cour d’appel ne retient pas cet argument. Celle-ci constate que les courriers électroniques en question ont été saisis à partir d’ordinateurs se trouvant dans les locaux visités, et que l’autorisation délivrée aux agents impliquait nécessairement que ceux-ci puissent accéder à toute donnée située sur un serveur, même localisé à l’étranger, accessible à partir d’un ordinateur se trouvant sur les lieux visités.

Google France a également fait valoir que le processus mis en oeuvre par les agents du fisc était déloyal en ce qu’il « faisait croire » aux systèmes informatiques de sociétés tierces (Google Inc. notamment) qu’une personne de Google France, habilitée à se connecter à leurs machines, effectuait les opérations de consultation et de copie alors qu’il s’agissait en fait des agents de l’administration. La Cour d’appel ne retient pas plus cet argument. Elle constate tout simplement que l’usage par les agents des logins/password des salariés dont les comptes de messagerie Gmail sont consultés n’est pas différent de l’usage que ces mêmes agents font lorsqu’ils saisissent des fichiers ou des mails présents sur un ordinateur.

L’éloignement dans le « Cloud » de la donnée n’est donc pas un obstacle juridique ou technique aux opérations de saisie des agents du fisc. La solution est d’ailleurs à étendre à toutes les administrations qui disposent d’un pouvoir de contrôle et saisie, telles que l’Autorité de la concurrence ou l’Autorité des Marchés Financiers.

L’accès à Yahoo! Mail dans une procédure de divorce

L’affaire jugée par la Cour Suprême de Caroline du Sud repose sur des circonstances vaudevillesques. Mme Jennings soupçonne son mari d’entretenir une relation extraconjugale. A l’aide de sa belle-fille, Mme Jennings réussit à accéder à la boîte Yahoo! mail de son mari, tout simplement en devinant les réponses aux questions de sécurité qui sont demandées par le service lorsque l’on entre trois fois un faux code d’accès. C’est assez simple lorsque l’on partage la vie du titulaire du compte mail.

Ayant obtenu dans ces e-mails, la confirmation de ses soupçons, Mme Jennings produit ces correspondances dans la procédure de divorce qu’elle ne manque pas d’intenter. M. Jennings demande alors l’application, dans cette situation, d’une loi fédérale appelée « Stored Communications Act » (SCA) adoptée en 1986.

Selon le SCA, quiconque (i) accède intentionnellement sans autorisation à un système au moyen duquel des services de communication électronique sont fournis, ou (ii) outrepasse intentionnellement une autorisation d’accéder à ce système, et ainsi obtient, altère ou empêche l’accès autorisé à une communication électronique conservée dans un tel système encourt une amende et jusqu’à cinq années de prison.

La question posée à la Cour suprême de Caroline du Sud était de savoir si les e-mails présents sur le compte Yahoo! Mail du mari y étaient bien « conservés », selon la définition du SCA. Sur cette question, les juges américains s’opposèrent. En première instance, les juges conclurent à l’application du SCA, décision qui fut réformée par la Cour d’appel. Déférée à la Cour suprême de Caroline du Sud, celle-ci, dans sa décision du 18 octobre 2012, annule la décision d’appel et revient à la position adoptée par les juges de première instance.

La Cour suprême exclut l’application du SCA, dans le cas d’espèce, en se fondant sur la définition que cette loi donne de la notion de « conservation électronique » (electronic storage). Cette dernière est définie comme (A) toute conservation temporaire et intermédiaire d’une communication électronique nécessaire à sa transmission ; et (B) toute conservation de cette communication par un service de communication électronique pour des besoins de sauvegarde (backup) de cette communication.

Pour les juges, le mot backup doit être entendu dans son sens usuel de copie de sauvegarde et il est constant que les mails présents dans un compte Yahoo! Mail n’y sont pas pour de telles raisons. Ils ne sont donc pas soumis à la protection instituée par le SCA. La Cour suprême prend néanmoins le soin de souligner qu’une telle décision, fondée sur l’application stricte du texte en vigueur, ne peut en aucun cas constituer une excuse au comportement de Mme Jennings.

A la suite de cette décision, plusieurs commentateurs américains soulignent la nécessité d’une intervention législative pour adapter cette loi fédérale de 1986, manifestement adoptée à une époque où de tels services de messagerie n’avaient pas été envisagés par le législateur.

*

Que nous enseignent ces affaires éloignées, en fait et en droit, mais aux conséquences similaires :

– que l’oubli est une bénédiction. Doit-on réellement conserver la trace de tous nos faits et gestes dans ces comptes de messagerie ?

– que le mot de passe est une malédiction. L’être humain, même paranoïaque, ne peut survivre dans un monde où il doit inventer et mémoriser des dizaines et des dizaines de mots de passe. Pourquoi dépenser des trésors d’intelligence et de technologie dans la sécurisation des échanges en ligne lorsque tout repose sur quelques caractères écrits sur un post-it au-dessous du clavier ?

Autres publications