Les Cloud Microsoft ‘adoubés’ par les CNIL européennes : pourquoi c’est exagéré (tribune)
Dans cette tribune, les avocates Anne-Sophie Poggi et Audrey Lefevre expliquent pourquoi la lettre envoyée par le groupe de CNIL européennes à Microsoft, dans laquelle les autorités assurent que les contrats Cloud de l’éditeur sont conformes à la législation européenne, ne saurait suffire à une direction juridique de grande entreprise. Et affirment que le premier éditeur exploite ce courrier à des fins marketing, pour rassurer des clients choqués par les révélations Snowden.
La presse Internet s’est faite l’écho d’un billet posté par Brad Smith, le directeur juridique et vice-président exécutif de Microsoft, sur le blog officiel de Microsoft, aux termes duquel il déclare que les services Cloud de Microsoft (Azure, Office 365, Dynamics CRM et Intune) seraient conformes aux « high standards of EU privacy law ».
Au soutien de cette déclaration, Microsoft fait circuler sur le Net une lettre du 2 avril 2014 d’Isabelle Falque-Pierrotin – Présidente de la CNIL française – en sa qualité de Présidente du G29, groupe de travail rassemblant les représentants de chaque autorité indépendante de protection des données nationales de l’Union européenne (le « G29 » ou « WP29 » pour Article 29 Working Party).
La question à laquelle les directions juridique et informatique d’une entreprise française doivent répondre est de savoir si elles peuvent prendre cette communication marketing pour argent comptant ?
On comprend, à travers ce billet et la diffusion de la lettre du G29, que la volonté de Microsoft est de rassurer la clientèle européenne alertée par les révélations d’Edward Snowden qui n’en finissent pas de mettre à jour l’étendue colossale, au nom de la lutte antiterroriste, de la surveillance opérée les agences de sécurité américaines des données provenant d’entreprises et d’institutions européennes. Ces révélations ont d’ailleurs conduit le Parlement européen à se saisir de la question de la violation de la vie privée, dans une résolution non législative adoptée le 12 mars dernier, aux termes de laquelle le Parlement a clairement exprimé sa défiance à l’égard du Safe Harbor auquel Microsoft a adhéré.
Pour autant, il apparaît que le contenu de la lettre du G29 dont se prévaut Microsoft ne permet pas, contrairement à ce qu’affirme la société américaine, de conclure que les clients Microsoft peuvent utiliser ses services et transférer leurs données librement depuis l’UE vers le reste du monde (sans distinction de pays) en toute sécurité.
Aux termes du courrier du 2 avril 2014 publié sur le blog Microsoft, le G29 indique seulement que le « MS Agreement » (i.e le contrat Microsoft remis pour signature aux clients des services Office 365, Microsoft Azure, Microsoft Dynamics CRM et Windows pour les aspects données à caractère personnel) modifié par Microsoft, « sera conforme aux clauses contractuelles types 2010/87/EU et ne devrait dès lors pas être considéré comme des causes ‘adhoc‘ ».
L’absence de publication du « MS Agreement » par Microsoft interdit de savoir de quel document il s’agit et d’en connaître le contenu.
La CNIL dans son communiqué du 24 avril 2014, rappelant que le G29 n’ayant fait qu’une « évaluation partielle » du contrat de Microsoft, estime que les annexes devant décrire le transfert de données et les mesures de sécurité techniques et organisationnelles devant être mises en œuvres par l’importateur de données devront faire l’objet d’une vérification au cas par cas par Microsoft et ses clients afin de veiller « à ce qu’[elles] répondent à leurs besoins spécifiques et aux exigences légales en matière de protection des données ».
La CNIL rappelle par ailleurs que « l’issue positive de cette évaluation partielle ne signifie pas que le G29 considère que les dispositions contractuelles de Microsoft dans leur ensemble sont conformes avec l’intégralité des règles de protection des données de l’UE, ni que Microsoft respecte ces règles dans la pratique ».
Ainsi, tout client français doit aller au-delà des déclarations de communication de Microsoft et vérifier que toute offre Cloud de fournisseurs, notamment américains, répond aux contraintes légales qui pèsent sur lui.
1) Est-ce que le fournisseur Cloud déclare se conformer à la loi informatique et liberté de 1978 ?
La loi informatique et libertés dispose ainsi, dans ses articles 34 et 35, que le responsable du traitement et son sous-traitant (c’est-à-dire en l’occurrence le fournisseur de Cloud) doivent prendre « toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »
Bien que cette obligation pèse également sur les épaules du sous-traitant, le responsable du traitement doit veiller au respect de telles mesures par son sous-traitant, par tous moyens, qui peuvent notamment consister en des audits dudit sous-traitant.
Certaines dispositions de la loi informatique et liberté s’avèrent être plus contraignantes que celles de la directive européenne 95/46/CE.
D’une part, en cas de transfert de données à caractère personnel vers un sous-traitant établi en dehors de l’UE ne bénéficiant pas d’une protection suffisante, au moyen de la signature des clauses contractuelles types de la Commission Européenne, la loi informatique et libertés impose au responsable du traitement de déposer une demande d’autorisation préalable auprès de la CNIL. Cette autorisation de la CNIL, qui valide au cas par cas les clauses contractuelles types signées par le responsable du traitement et son sous-traitant, conditionne le transfert des données vers ledit sous-traitant hors UE.
D’autre part, la loi informatique et liberté sanctionne civilement et pénalement le responsable de traitement en cas de non-respect de ses obligations même si leur origine se trouve dans une défaillance du fournisseur Cloud, selon le principe que le donneur d’ordre reste responsable de son sous-traitant.
