Les organismes chargés de l'application des lois aux États-Unis doivent-ils utiliser la procédure légale pour forcer Google à fournir des informations sur un utilisateur ou peuvent-ils les obtenir par téléphone ?

Pour obliger Google à divulguer des informations relatives à un utilisateur, l'administration doit passer par une procédure légale, telle qu'une citation à comparaître, une ordonnance de tribunal ou un mandat de perquisition. Nous pouvons faire exception à cette règle dans certains cas d'urgence, mais, même dans de telles situations, l'administration ne peut pas contraindre Google à fournir des informations.

Quels sont les cas d'urgence ?

Il nous arrive parfois de divulguer volontairement les informations des utilisateurs aux autorités lorsque nous estimons que cela peut prévenir des morts ou des blessures graves. La loi nous y autorise exceptionnellement, notamment dans des cas d'enlèvement ou d'attaque à la bombe. Les demandes de renseignements urgentes doivent être accompagnées d'une description de l'urgence et d'une explication indiquant en quoi les informations demandées pourraient prévenir les dommages. Lorsque nous répondons à de telles demandes, nous fournissons uniquement les informations qui, selon nous, pourraient permettre de prévenir les dommages.

Comment les organismes chargés de l'application des lois peuvent-ils soumettre des demandes légales à Google ?

Les organismes chargés de l'application des lois peuvent soumettre des demandes de renseignements à Google Inc. en personne, par télécopie, courrier ou e-mail, ou via le système en ligne Law Enforcement Request System (LERS) de Google. L'acceptation de l'acte de procédure par le biais de l'un de ces moyens ne signifie en aucun cas que nous renonçons à notre droit d'objection.

Qu'est-ce que le système en ligne Law Enforcement Request System (LERS) de Google ?

LERS est un système via lequel un représentant de la loi reconnu peut soumettre de manière sécurisée une demande légale de renseignements sur les utilisateurs, consulter l'état d'une demande envoyée et télécharger la réponse émise par Google.

Le système est-il sécurisé ?

Le système LERS fait appel au protocole HTTPS, et est donc chiffré. Chaque représentant de la loi y accède à l'aide d'un compte utilisateur unique fourni par Google et se connecte au moyen de l'authentification en deux étapes.

Les autorités administratives ne peuvent-elles pas obtenir des informations sur les utilisateurs beaucoup plus facilement de cette manière ?

Non. Le système LERS ne fournit pas aux autorités administratives d'accès direct à nos systèmes ni aux renseignements sur les utilisateurs. LERS est une interface qui permet aux autorités administratives reconnues d'envoyer des demandes légales. Google analyse chacune de ces demandes et utilise LERS pour répondre de manière appropriée conformément aux lois en vigueur. La réglementation qui s'applique aux actes de procédure soumis via le système LERS est la même que celle qui régit les actes envoyés à Google par le biais d'autres méthodes.

Quels types de demandes judiciaires les autorités américaines envoient-elles à Google ?

Les plus communes sont de loin les citations à comparaître, suivies par les mandats de perquisition. La loi fédérale sur la confidentialité des communications électroniques (Electronic Communications Privacy Act, ou ECPA) encadre le recours des autorités administratives à ces types de procédure judiciaire qui souhaitent obliger des sociétés comme Google à divulguer des informations sur leurs utilisateurs. Cette loi date de 1986, c'est-à-dire bien avant que le Web existe tel que nous le connaissons. Par conséquent, elle n'est plus adaptée aux modes d'utilisation actuels d'Internet. C'est pourquoi nous nous battons avec différentes associations, entreprises et autres entités, via la coalition Digital Due Process pour un traitement numérique juste, afin d'obtenir l'actualisation de cette loi importante de sorte qu'elle vous garantisse le niveau de confidentialité dont vous devriez pouvoir bénéficier en utilisant nos services.

Quelle est la différence entre une citation à comparaître, un mandat de perquisition et une ordonnance du tribunal, en vertu de la loi ECPA ? Quelles informations ces actes permettent-ils à une autorité administrative d'obtenir de la part de Google ?

Le sujet est complexe, mais voici un résumé des différentes formes de procédures judiciaires couvertes par la loi ECPA (Electronic Communications Privacy Act) :

Citation à comparaître

Des trois types de procédures judiciaires, la citation à comparaître est associée au niveau juridique le plus bas. Dans de nombreuses juridictions, y compris le système fédéral, une autorité administrative peut délivrer une citation à comparaître sans passer par un juge ou un magistrat. La citation à comparaître ne peut nous contraindre à produire que des types d'informations bien spécifiques, prévus par la loi. Par exemple, une citation à comparaître valide portant sur votre adresse Gmail peut nous forcer à divulguer le nom que vous avez indiqué lors de la création du compte et les adresses IP à partir desquelles vous avez créé le compte et vous vous êtes connecté à ce dernier et déconnecté (avec les dates et les heures). Les citations à comparaître sont utilisées par l'administration aussi bien dans le cadre pénal que civil.

En apparence, la loi ECPA semble donner la possibilité à une autorité administrative d'obtenir auprès d'un opérateur le contenu de certains types d'e-mails et autres si elle dispose d'une citation à comparaître ou d'une ordonnance du tribunal (voir plus bas). Google procède cependant différemment. Lorsqu'une autorité souhaite connaître le contenu d'un compte Gmail ou de tout autre service, nous nous en tenons aux termes du quatrième amendement de la Constitution des États-Unis, qui protège les citoyens contre les saisies et perquisitions non motivées, et exigeons de l'autorité un mandat de perquisition.

Ordonnance de tribunal ECPA

Contrairement à une citation à comparaître, l'obtention d'une ordonnance du tribunal dans le cadre de la loi ECPA exige le recours à un juge. Pour se voir délivrer ce document, une autorité administrative doit présenter des faits spécifiques au juge ou au magistrat afin de démontrer que les informations demandées sont liées de façon substantielle à une enquête criminelle en cours.

Avec une ordonnance du tribunal, l'autorité peut obtenir les mêmes informations qu'avec une citation à comparaître, ainsi que des informations plus détaillées sur l'utilisation du compte : l'adresse IP à partir de laquelle un e-mail donné a été envoyé depuis ce compte ou l'adresse IP utilisée pour modifier le mot de passe du compte (accompagnée des dates et des heures), ainsi que les parties des en-têtes d'e-mail (tels que les champs "De", "À" et "Date") autres que le contenu. Une ordonnance du tribunal n'est délivrée que dans le cadre pénal.

Mandat de perquisition

Le niveau juridique du mandat de perquisition est encore plus élevé. Pour en obtenir un, une autorité administrative doit obligatoirement en faire la demande auprès d'un juge ou d'un magistrat en apportant la preuve du bien-fondé de ce mandat (par exemple, en attestant qu'il pourrait permettre de trouver la preuve d'une activité criminelle ou de contrebande). Un mandat de perquisition doit mentionner les informations recherchées et l'emplacement où les rechercher. Il peut contraindre à divulguer les mêmes informations qu'avec une citation à comparaître ou une ordonnance du tribunal, mais aussi les requêtes de recherche d'un utilisateur et les contenus privés stockés dans un compte Google, tels que les messages Gmail, les documents, les photos et les vidéos YouTube. Un mandat de perquisition n'est délivrable que dans le cadre pénal. La vidéo ci-dessous montre comment nous examinons les mandats de perquisition et comment nous y répondons.

Que sont les ordonnances de mise sur écoute et les ordonnances d'enregistrement des numéros entrants et sortants ? En quoi diffèrent-elles des autres procédures légales ECPA ?

Certaines autorités administratives locales et fédérales américaines peuvent, par voie judiciaire, exiger des entreprises qu'elles divulguent en temps réel des informations sur leurs utilisateurs. À la différence des citations à comparaître ou des mandats de perquisition, qui permettent d'obtenir des informations existantes, ces types d'ordonnances de tribunal visent la collecte d'informations qui n'existent pas encore. Ces ordonnances sont de deux types : mise sur écoute et enregistrement des numéros entrants et sortants.

Mise sur écoute

Les ordonnances de mise sur écoute contraignent une entreprise à remettre des informations portant sur le contenu de communications en temps réel. De toutes les demandes gouvernementales accordées dans le cadre de la loi ECPA, ces ordonnances sont les plus difficiles à obtenir. Pour satisfaire aux exigences légales, une autorité administrative doit apporter la preuve que : a) quelqu'un est à l'origine d'une activité criminelle telle que référencée dans la loi Wiretap Act ; b) la mise sur écoute permettra de collecter des informations relatives à cette activité ; c) l'activité criminelle est liée au numéro de téléphone ou au compte mis sur écoute. L'ordonnance doit également établir que les moyens normaux d'investigation ont échoué (ou seraient susceptibles d'échouer) ou qu'ils seraient trop dangereux à mettre en œuvre dans un premier temps. Des limites existent quant à la durée d'une mise sur écoute et aux conditions de notification des utilisateurs mis sur écoute.

Les statistiques relatives aux demandes de mise sur écoute fédérales et étatiques sont disponibles ici.

Enregistrement des numéros entrants et sortants

Les ordonnances d'enregistrement de numéros entrants et sortants contraignent les entreprises à fournir des informations sur les communications d'un utilisateur en temps réel (mais pas sur le contenu de ces communications). Ce type d'ordonnance permet à une autorité administrative d'obtenir des données sur "les numéros composés, le routage, l'adressage et la signalisation". Il peut s'agir aussi bien des numéros qu'un utilisateur compose sur son téléphone que d'une adresse IP délivrée par un FAI à un abonné.

Les ordonnances d'enregistrement des numéros entrants ou sortants sont plus faciles à obtenir que les ordonnances de mise sur écoute ou les mandats de perquisition. Pour en obtenir une, une autorité administrative doit certifier que les informations susceptibles d'être recueillies seront "pertinentes dans le cadre d'une enquête en cours". Google juge ces conditions insuffisantes et collabore avec la coalition Digital Due Process afin de s'assurer que le tribunal joue un vrai rôle dans la délivrance de ces ordonnances.

Notifiez-vous les utilisateurs lorsque vous recevez une demande judiciaire concernant leur compte ?

Si Google reçoit une demande juridique ECPA (Electronic Communications Privacy Act) en relation avec le compte d'un internaute, il nous incombe d'avertir l'utilisateur concerné par e-mail avant que des informations ne soient divulguées. S'il s'agit d'un compte utilisateur final hébergé Enterprise Apps, la notification peut être envoyée soit à l'administrateur de domaine, soit à l'utilisateur final, ou aux deux. Cela permet à l'utilisateur de déposer une opposition auprès d'un tribunal ou de la partie requérante. S'il apparaît que la demande est valide, nous essayons de faire une copie des informations demandées avant d'informer l'utilisateur.

Il existe quelques exceptions à cette règle :

• Une loi, une ordonnance de tribunal ou toute autre limitation juridique peut interdire à Google de notifier à l'utilisateur ladite demande.
• Il est possible que nous n'informions pas l'internaute dans des circonstances exceptionnelles qui posent un danger de mort ou un risque sérieux pour l'intégrité corporelle d'une personne.
• Il est possible que nous n'informions pas l'internaute si nous avons des raisons de croire que la notification ne serait pas reçue par le véritable détenteur du compte, par exemple, en cas de piratage d'un compte.

Nous examinons chaque demande que nous recevons avant d'y répondre pour nous assurer qu'elle satisfait aux exigences légales applicables et aux règles de Google. Dans certains cas, nous rejetons la demande, que l'internaute décide ou non de la contester légalement.

J'ai reçu un e-mail de Google indiquant que quelqu'un avait demandé des informations associées à mon compte. Qu'est-ce que cela signifie ?

Cela signifie que nous avons reçu une demande judiciaire visant à obtenir des informations qui sont enregistrées dans votre compte Google ou qui y sont associées. Le fait que nous ayons reçu une demande ne signifie pas que nous avons divulgué les informations demandées ou que nous allons le faire. Ce type de demande est soumis à un examen rigoureux de notre part pour satisfaire aux exigences légales et aux règles de Google.

Dans ces e-mails, Google ne vous demandera jamais de fournir des informations confidentielles telles que votre mot de passe ou votre numéro de sécurité sociale. Ne fournissez pas ce type d'informations, même si un e-mail semblant provenir de Google vous les demande. Il s'agit probablement d'une escroquerie. Si vous êtes dans ce cas, merci de nous le signaler.

Quels sont mes recours face à une telle demande ?

Vous pouvez consulter un avocat pour discuter des options qui s'offrent à vous. Dans notre notification, nous vous fournissons les informations nécessaires pour que vous puissiez contacter la partie requérante et lui faire part de vos questions sur la procédure judiciaire. Nous pouvons également vous faire parvenir une copie de ladite procédure, sur demande, bien qu'il soit possible que nous devions supprimer certaines informations avant de vous l'envoyer. Nous ne pouvons pas vous donner de conseils d'ordre juridique ni examiner le fond de la requête.

À moins que vous ne décidiez d'entreprendre une action, notamment en déposant une plainte auprès d'un tribunal, il est possible que nous devions produire les informations demandées. En général, vous disposez d'une période de sept jours civils pour déposer une plainte, mais cela peut varier d'un cas à l'autre. Veillez à nous envoyer une copie de la plainte que vous avez déposée auprès du tribunal afin que nous en soyons informés, et assurez-vous que cette copie porte le cachet du tribunal attestant du dépôt de la plainte. Il ne suffit pas de nous demander de ne pas divulguer vos informations, dans la mesure où nous pourrions être tenus de les communiquer, sauf décision contraire d'un tribunal.

Quels types de données divulguez-vous selon le produit concerné ?

Pour répondre à cette question, examinons quatre services qui font souvent l'objet de demandes d'informations de la part des autorités administratives américaines : Gmail, YouTube, Google Voice et Blogger. Vous trouverez ci-dessous des exemples d'informations que nous pouvons être tenus de divulguer, en fonction de la procédure légale ECPA invoquée, de la portée de la demande et des informations requises et disponibles. Lorsque nous estimons que la demande est vraiment trop large, nous demandons à ce qu'elle soit restreinte.

Gmail

Citation à comparaître

• Données d'inscription (à savoir, nom, informations fournies à la création du compte, adresses e-mail associées et numéro de téléphone)
• Adresses IP, date et heure des connexions

Ordonnance du tribunal

• Métadonnées (telles que les en-têtes des e-mails, qui ne s'apparentent pas à du contenu)
• Informations pouvant être obtenues via une citation à comparaître

Mandat de perquisition

• Contenu d'e-mails
• Informations pouvant être obtenues via une citation à comparaître ou une ordonnance du tribunal

YouTube

Citation à comparaître

• Données d'inscription
• Adresses IP, date et heure des connexions

Ordonnance du tribunal

• Adresse IP, date et heure associées à l'importation de vidéos
• Informations pouvant être obtenues via une citation à comparaître

Mandat de perquisition

• Copie d'une vidéo privée et des informations associées
• Contenu de messages privés
• Informations pouvant être obtenues via une citation à comparaître ou une ordonnance du tribunal

Google Voice

Citation à comparaître

• Données d'inscription
• Adresse IP, date et heure d'inscription
• Liste des communications téléphoniques
• Informations de facturation

Ordonnance du tribunal

• Numéro de transfert
• Informations pouvant être obtenues via une citation à comparaître

Mandat de perquisition

• Contenu des SMS enregistrés
• Contenu des messages vocaux enregistrés
• Informations pouvant être obtenues via une citation à comparaître ou une ordonnance du tribunal

Blogger

Citation à comparaître

• Page d'enregistrement du blog
• Informations relatives à l'utilisateur propriétaire du blog

Ordonnance du tribunal

• Adresse IP, date et heure associées à un message de blog donné
• Adresse IP, date et heure associées à un commentaire de message de blog donné
• Informations pouvant être obtenues via une citation à comparaître

Mandat de perquisition

• Contenu de messages et de commentaires d'un blog privé
• Informations pouvant être obtenues via une citation à comparaître ou une ordonnance du tribunal

Les informations enregistrées par Google sont-elles recevables devant un tribunal en l'absence de témoignage ?

La société Google fournit un certificat écrit pour prouver l'authenticité des informations communiquées en réponse à un acte de procédure. Ce certificat est généralement suffisant pour que ces informations soient recevables devant un tribunal. Nous ne fournissons pas de témoignage d'expert.

Comment Google répond-elle aux demandes d'autorités administratives extérieures aux États-Unis ?

Grâce aux traités d'entraide judiciaire (TEJ), accords diplomatiques et autres mécanismes de coopération, des autorités extérieures aux États-Unis peuvent demander au Ministère de la justice américain de rassembler des preuves dans le cadre d'enquêtes judiciaires. Dans certains cas, la Federal Trade Commission (commission fédérale du commerce aux États-Unis) peut être en mesure d'apporter son assistance.

Lorsque l'enquête vise des faits illicites aux États-Unis, les autorités américaines peuvent ouvrir leur propre enquête et fournir les preuves ainsi rassemblées aux enquêteurs étrangers. Google peut également être amenée à fournir des données en réponse à des demandes de divulgation d'urgence, lorsque nous estimons que cela est nécessaire pour éviter des morts ou des blessures graves.

Sur une base volontaire, nous pouvons fournir des données relatives aux utilisateurs en réponse aux demandes émanant d'autorités administratives extérieures aux États-Unis, lorsque celles-ci sont valides et conformes aux normes internationales, à la réglementation américaine, au règlement de Google et à la législation du pays demandeur.

Quelles informations une autorité administrative extérieure aux États-Unis peut-elle obtenir de Google par le biais des différentes procédures légales à sa disposition ?

Lorsqu'une administration extérieure aux États-Unis utilise une voie diplomatique telle que le TEJ pour obtenir une citation à comparaître, une ordonnance de tribunal ou un mandat de perquisition aux États-Unis en vertu de l'ECPA, Google fournit les informations comme si la demande émanait d'une autorité américaine. Si Google répond favorablement à la demande d'une autorité extérieure aux États-Unis, les informations divulguées peuvent inclure, par exemple, les données d'inscription à Google ou YouTube (nom, données fournies à la création du compte et adresses e-mail associées), ainsi que les adresses IP et la date et l'heure des connexions récentes.

Qu'est-ce qu'un traité d'entraide judiciaire (TEJ) ?

Un TEJ est un traité conclu entre les États-Unis et un autre pays qui définit les modalités de l'entraide entre les deux pays dans le cadre d'affaires judiciaires, comme des enquêtes criminelles. Le TEJ permet à un pays étranger de demander l'aide de l'administration américaine pour obtenir des preuves de la part d'entités basées aux États-Unis, y compris des sociétés telles que Google. Si l'administration américaine approuve la demande, Google y répond.

Comment le traité d'entraide judiciaire (TEJ) fonctionne-t-il ?

Les modalités d'application du TEJ sont très simples. En voici un exemple théorique : un officier de police londonien enquête sur une affaire d'usurpation d'identité et possède la preuve que le coupable utilise un compte Gmail particulier. Pour continuer ses investigations, l'officier a besoin de savoir qui utilise ce compte. Le Royaume-Uni et les États-Unis ayant signé un traité d'entraide judiciaire, l'officier peut demander au Ministère de l'intérieur britannique d'envoyer une requête d'informations au bureau des affaires internationales rattaché au Ministère de la justice des États-Unis. Ce dernier transmet la requête au cabinet d'avocats concerné, qui établit la procédure légale et remet la demande de renseignements sur l'utilisateur à Google. Lorsque la demande est conforme à la législation et au règlement de Google, nous transmettons les informations au cabinet d'avocats américain. Celles-ci font alors le trajet inverse jusqu'à l'officier britannique.

Le TEJ est-il le seul moyen dont disposent les administrations d'autres pays pour obtenir des informations de sociétés basées aux États-Unis ?

Non. Les autres pays disposent de nombreux moyens pour obtenir des informations de sociétés telles que Google, y compris les enquêtes communes et les demandes de divulgation d'urgence, entre autres.