Les Cloud Microsoft ‘adoubés’ par les CNIL européennes : pourquoi c’est exagéré (tribune)

Dans cette tribune, les avocates Anne-Sophie Poggi et Audrey Lefevre expliquent pourquoi la lettre envoyée par le groupe de CNIL européennes à Microsoft, dans laquelle les autorités assurent que les contrats Cloud de l’éditeur sont conformes à la législation européenne, ne saurait suffire à une direction juridique de grande entreprise. Et affirment que le premier éditeur exploite ce courrier à des fins marketing, pour rassurer des clients choqués par les révélations Snowden.

Par conséquent, afin que le client français d’un fournisseur Cloud établi à l’étranger soit certain d’être en conformité avec de telles dispositions nationales et également avec le régime mis en place par la directive 95/46/CE, le fournisseur ne doit pas seulement se conformer au droit européen mais également à la loi informatique et libertés.

La conformité aux exigences européennes de Microsoft reconnue par le G29 n’est pas significative de leur conformité à la loi française, qui est la seule opposable aux clients français sur le territoire français.

2) Est-ce que le fournisseur Cloud américain est en mesure de garantir la confidentialité des données provenant de l’UE face à l’étendue de la surveillance des données européennes par les agences de surveillance américaines ?

La validation du « MS Agreement » Microsoft par le G29 n’écarte pas la question délicate de l’accès aux données étrangères permis par les lois américaines (Patriot Act, FISA et FAA) sans que les prestataires Cloud américains, dont Microsoft, puissent s’y soustraire, ni même en informer leurs clients. Ces lois américaines autorisent les autorités américaines à surveiller les appels et courriers électroniques de citoyens étrangers sans mandat délivré par un tribunal (FISA), élargissent considérablement les pouvoirs des autorités répressives américaines s’agissant de la collecte de renseignements à l’intérieur des États-Unis (Patriot Act) et créent un pouvoir de surveillance de masse spécialement conçu pour la captation des données des citoyens des pays étrangers et vivant en dehors du territoire des États-Unis (FAA) qui s’applique notamment aux fournisseurs Cloud. Il est fait interdiction aux sociétés américaines, dont les données sont collectées, de notifier à leurs clients les requêtes couvertes par le FISA.

Déjà en 2012, le G29, dans son opinion 05/2012 sur le Cloud Computing (WP196), avait recommandé aux entreprises européennes voulant bénéficier de services Cloud qu’il soit interdit aux responsables de traitement au sein de l’UE de divulguer des données à caractère personnel à un pays tiers lorsque cela est requis par les autorités judiciaires ou administratives de ce pays, à moins qu’ils n’y soient expressément autorisés par un accord international ou des traités d’entraide judiciaire qui sont selon lui indispensables. Dans cette même opinion 05/2012, le G29 recommandait une évolution législative qui obligerait le prestataire Cloud à notifier à son client toute requête légale l’obligeant à transmettre des données à caractère personnel, à l’exception des demandes relevant du secret de l’instruction en matière pénale. La CNIL, dans son communiqué du 24 avril 2014 relatif à l’évaluation partielle du contrat de Microsoft par le G29, rappelle, en conclusion de son communiqué, à tous les fournisseurs de Cloud qu’ils doivent prendre en compte cet avis afin de veiller à la conformité de leurs dispositions contractuelles avec les exigences de l’UE en matière de protection des données.

Si le G29 a effectivement validé (partiellement) le dispositif contractuel de l’entreprise Microsoft en indiquant que le MS Agreement était conforme aux clauses contractuelles types 2010/87/EU, il ne faut pas oublier que le même G29 a, concomitamment, fait savoir, dans une opinion adoptée le 10 avril 2014, que ni le Safe Harbor, ni les clauses contractuelles types 2010/87/UE, ni les BCR (Binding Corporate Rules) ne sauraient servir de base légale pour justifier le transfert de données à caractère personnel vers une autorité d’un pays tiers dans un but de surveillance massive et systématique. Le G29 a ajouté que les opérateurs Cloud pourraient agir en contravention avec la loi européenne si les services d’intelligence de pays tiers devaient avoir accès aux données de citoyens européens stockées sur leurs serveurs ou devaient se conformer à une requête en communication de données à caractère personnel à grande échelle.

Dans une lettre adressée le même jour à la Commission européenne, le G29 a réitéré auprès de la Commission la caractère « hautement nécessaire » de l’amélioration du Safe Harbor, en rappelant qu’en tout état de cause (et notamment en cas de suspension du Safe Harbor) les autorités de protection des données européennes pouvaient suspendre les flux de données conformément à leurs compétences nationales et européennes.

Les réserves émises par le G29 tant à l’égard des clauses contractuelles types 2010/87/UE que du Safe Harbor ainsi que, s’agissant de ce dernier, par le Parlement européen, du fait de la menace représentée par la surveillance massive des données à caractère personnel de citoyens européennes par les agences d’intelligence américaines, nuancent donc considérablement l’impact de la validation du MS Agreement Microsoft.

L’affaire publiée par la BBC sur son site Internet en date du 29 avril 2014 en est une nouvelle illustration puisqu’elle fait état de l’injonction d’un juge américain à Microsoft de remettre aux autorités américaines les données de ses clients (notamment leurs e-mails), bien que ces dernières soient stockées dans son datacenter irlandais. Les juges américains arguent que ce mandat de perquisition étant relatif aux données en ligne qui relèvent du Stored Communications Act, diffère des mandats classiques et n’est pas tenu par des limites territoriales. Microsoft a déclaré qu’elle continuerait à s’opposer à cette divulgation des données stockées à Dublin en espérant que la décision soit cassée par un juge fédéral.

3) Est-ce le fournisseur Cloud est en mesure de garantir la sécurité, le transfert, la localisation et la restitution des données ?

Dans son opinion 05/12 sur le Cloud computing du 1er juillet 2012 (WP196), le G29 a formulé des recommandations qu’une entreprise européenne souhaitant opter pour un fournisseur Cloud basé en dehors de l’Union européenne devrait prendre en compte dans son choix, que ce fournisseur ait ou non ratifié le Safe Harbor et/ou se conforme aux clauses contractuelles types 2010/87/UE :

– le recours par le fournisseur Cloud à des sous-traitants ne doit être rendu possible qu’après un consentement du client au début de l’exécution du contrat et à la condition que le fournisseur informe le client en cas de changement de ses sous-traitants, ajoutant qu’il devrait être prévu une obligation d’information de toutes intentions de changer de sous-traitants et la possibilité pour le client de les refuser ou de résilier librement le contrat ;

– les contrats entre le client et le fournisseur Cloud doivent fournir la liste des lieux où peuvent être traitées les données ;

l’obligation d’audit des opérations de traitement du prestataire Cloud ainsi que de ses propres sous-traitants doit être prévue dans le contrat.

En effet, bien que les fournisseurs Cloud mettent en place de plus en plus d’actions pour rassurer la clientèle européenne, il est nécessaire de vérifier que les dispositifs contractuels mis en place  prévoient des engagements précis et transparents en termes de sécurité, de transfert, de localisation et de restitution des données :

– le client a-t-il un pouvoir de contrôle sur le transfert des données et leur traitement ?

– le client peut-il localiser les données et le fournisseur Cloud se réserve-t-il le droit, notamment pour des raisons d’organisation, de changer la localisation de ses datacenters sans notification et acceptation préalable du client ?

– le client est-il en mesure de savoir où ses données sont réellement traitées ?

– le client a-t-il un droit de refuser des sous-traitants de son fournisseur ?

– le client dispose-t-il d’un véritable droit d’audit ou ce droit est-il limité par des modalités imposées par le fournisseur ? ce droit d’audit est-il étendu aux sous-traitants du fournisseur Cloud ?

Sans compter la question de la réversibilité des données à la cessation des services Cloud. Cette réversibilité est-elle aménagée sans créer de dépendance technique du client vis-à-vis du fournisseur ? Le client a-t-il l’assurance que ses données seront détruites ?

Ce n’est qu’à l’issue de ces vérifications que le client pourra déterminer que l’offre Cloud qui lui est proposée présente les garanties rappelées ci-avant et qu’il disposera d’une réelle visibilité sur le traitement de ses données.

A l’heure où de nouvelles révélations concernant les programmes de surveillance mis au point par la NSA sont publiées, il convient de ramener l’impact de la lettre adressée par le G29 le 2 avril dernier à Microsoft, relative à la validation partielle de ses documents contractuels types, à sa juste valeur.

Crédit photo : produktionsbuero TINUS / Shutterstock

En complément :

Lire notre dossier  » Tout sur l’arsenal secret des espions de la NSA »