Rawf8 - stock.adobe.com
Union européenne : l’EDPS enquête sur l’utilisation des clouds américains
Le Contrôleur européen de la protection des données se penche sur l’utilisation d’AWS, d’Azure et de Microsoft 365 dans les différentes institutions de l’Union européenne, suite à la fin du Privacy Shield. Les deux cloudistes se veulent rassurants.
Le European Data Protection Supervisor (EDPS) – le Contrôleur européen de la protection des données – a lancé deux procédures pour examiner la manière dont les institutions européennes utilisent les clouds étatsuniens.
Le but est de déterminer si ces usages sont toujours conformes aux exigences de protection des données personnelles, récemment remises à plat par l’arrêt Schrem II de la Cour de justice de l’Union européenne (CJUE).
En juillet 2020, la CJUE a en effet invalidé l’accord de partage de données entre l’Europe et les États-Unis (le Privacy Shield) au motif que les lois américaines sur la surveillance n’étaient pas proportionnées et qu’elles allaient au-delà de ce qui était strictement nécessaire pour la sécurité du pays. Ces conclusions impliquaient que les États-Unis n’offraient pas de protections de la vie privée équivalentes à celles de la législation européenne et rendaient caduc le Privacy Shield.
Deux audits internes sur AWS et Microsoft
La première enquête se penchera sur l’utilisation d’AWS et de Microsoft par toutes les institutions de l’Union européenne dans le cadre des contrats passés suite à l’appel d’offres restreint Cloud II. La seconde portera spécifiquement sur l’utilisation de Microsoft Office 365 par la Commission européenne.
Dans le cadre de la mise en conformité à l’arrêt Schrems II, l’EDPS a demandé en octobre 2020 aux diverses institutions européennes de faire un rapport sur les transferts de données personnelles qu’elles feraient vers des pays non membres de l’UE.
L’analyse des réponses a confirmé que les organes de l’UE seraient de plus en plus dépendants des logiciels, des infrastructures et des plates-formes des grands fournisseurs IT, dont la plupart sont originaires des États-Unis et donc soumis à ses lois extraterritoriales dénoncées par le ministre des Finances et de l’économiste français Bruno Le Maire.
Adopté en mars 2018, le CLOUD Act, par exemple, donne au gouvernement américain l’accès à toutes les données, où qu’elles soient stockées sur la planète par des acteurs IT américains, tandis que la section 702 du Foreign Intelligence Surveillance Act (FISA) permet au procureur général et au directeur des services de renseignement américain d’autoriser conjointement la surveillance ciblée de personnes en dehors des États-Unis, tant qu’il ne s’agit pas de citoyens américains.
Certains contrats nécessitent « une attention particulière »
« Suite aux informations remontées par les institutions et par les organes de l’UE, nous avons identifié certains types de contrats qui nécessitent une attention particulière. C’est pour cette raison que nous avons décidé de lancer ces deux enquêtes », explique le chef de l’EDPS, Wojciech Wiewiórowski.
« Je suis conscient que les contrats Cloud II ont été signés début 2020, donc avant l’arrêt Schrems II. Je sais aussi qu’Amazon et Microsoft ont annoncé de nouvelles mesures dans le but de se conformer à l’arrêt. Néanmoins, il se peut que les mesures promises ne soient pas suffisantes pour garantir une conformité totale avec la législation européenne en matière de protection des données. D’où la nécessité d’analyser correctement ce point ».
Wojciech WiewiórowskiEDPS
Selon un porte-parole de Microsoft, l’éditeur aidera activement les institutions de l’UE (ses clients donc) à répondre aux questions de l’EDPS. Microsoft se dit par ailleurs confiant sur le fait que toutes les interrogations soulevées seront rapidement résolues.
« Notre méthode pour assurer que nous nous conformons exigences de l’UE – et même que nous les dépassons – en matière de protection des données reste inchangée », déclare un porte-parole de Microsoft. « Dans le cadre de notre initiative “Defending Your Data”, nous nous sommes engagés à contester toute demande gouvernementale [dont celles des États-Unis] concernant les données d’un client du secteur public ou privé de l’UE, lorsque nous avons une base légale pour le faire ».
Amazon s’est lui aussi engagé à contester les demandes des forces de l’ordre et à ne divulguer que le minimum de données nécessaires, lorsqu’il est contraint de le faire.
Ces engagements avaient suscité l’incrédulité de certains experts européens. « Ils disent qu’ils combattront les demandes d’accès, sous réserve d’avoir une base juridique pour le faire. Donc, ils s’engagent à respecter la loi. C’est bien. Mais c’est loin d’être suffisant », analysait Maître Oriana Labruyère (en parlant du futur EU Data Boundary de Microsoft, lire ci-après).
ASW et Microsoft se veulent rassurants
Microsoft ajoute qu’il apportera « une compensation financière aux utilisateurs et à leurs clients, si nous devions divulguer des données, en violation des lois applicables en matière de confidentialité, qui causeraient un préjudice », dixit un porte-parole. « Nous restons déterminés à répondre aux exigences des régulateurs et nous chercherons continuellement à renforcer les protections de la vie privée de nos clients ».
Maitre Oriana Labruyère
Microsoft a par ailleurs annoncé cette année un futur programme baptisé « EU Data Boundary » dans lequel toutes les données – y compris les métadonnées et celles nécessaires à la maintenance d’Azure – seront cantonnées sur le territoire européen. Là encore, les juristes soulignent que l’effort est louable, mais qu’il ne protège en rien des lois des États-Unis ni de leurs services de renseignements. Pour eux, la protection passera par un modèle de type cloud souverain ou cloud de confiance, ou par des mesures techniques renforcées (chiffrement avec gestion des clefs par le client par exemple).
Du côté d’AWS on assure que « les institutions de l’Union européenne peuvent utiliser les services AWS tout en respectant les exigences de Schrems II ». Et, continue le cloudiste, il sera « heureux d’aider les clients à le démontrer au Contrôleur européen de la protection des données ».
L’EDPS sera-t-il convaincu par les arguments de Microsoft et d’AWS ? Selon ses conclusions, en tout cas, les différentes institutions de l’Union européenne pourraient être tenues de migrer vers d’autres clouds.
Pour approfondir sur Applications et services
-
IA : Meta prêche l’harmonisation des réglementations européennes
-
DMA : face aux géants de la Tech, l’UE régule, les États-Unis reculent
-
WebEx propose de gérer les clés de chiffrements sur une infra indépendante et souveraine
-
Data Privacy Framework : les DPO français mitigés sur un cadre « stable », mais très « fragile »