Cloud : les contrats de l’UE avec AWS et Microsoft sous enquête

Les institutions de l’UE sont-elles en conformité avec l’arrêt Schrems II ? Le Contrôleur européen de la protection des données (CEPD) en doute. Il a en tout cas lancé deux enquêtes sur le sujet. La première englobe l’usage des services cloud d’AWS et de Microsoft. La seconde cible l’utilisation d’Office 365 par la Commission européenne.

Dans les deux cas, il s’agit de déterminer si les transferts de données personnelles hors de l’Espace économique européen se font bien en respect dudit arrêt, que la CJUE a rendu le 16 juillet 2020. Elle a, par cette voie, annulé le Privacy Shield. C’est-à-dire la décision par laquelle l’UE avait autorisé les transferts en question vers les États-Unis au motif que le pays assurait un niveau suffisant de protection des données.

Le mécanisme ne tenant plus sous l’ère Schrems II, les institutions, organes et organismes de l’UE doivent en activer d’autres, inscrits dans un règlement qui leur est spécifique. En tête de liste, les fameuses « clauses types » de protection des données, adoptables avec ou sans intervention du CEPD.

Ces clauses sont censées figurer dans les contrats entre les responsables des traitements de données et les sous-traitants. Ceux objet de l’enquête ont été signés début 2020. C’est-à-dire avant l’arrêt de la CJUE. Amazon et Microsoft ont tous deux annoncé des mesures d’alignement, mais le CEPD craint qu’elles ne suffisent pas. Il affirme en tout cas avoir identifié « certains types de contrats qui nécessitent une attention particulière ».

Photo d’illustration © artjazz – Shutterstock