Les institutions européennes peuvent-elles continuer d’utiliser les Clouds d’Amazon et de Microsoft à la suite de l’arrêt Schrems II émis par la Cour européenne de justice en juillet 2020 ? C’est la question à laquelle le contrôleur européen de la protection des données (CEPD) va tâcher de répondre.
Les institutions européennes utilisent les Clouds d’Amazon et de Microsoft
Le CEPD lance une enquête sur la légalité de l’usage par les institutions, organes et agences de l’Union européenne des services Cloud d’Amazon et de Microsoft, ainsi que sur l’usage de la bureautique Office 365 de Microsoft par la Commission européenne. Ces enquêtes vont vérifier que les institutions européennes respectent l’arrêt juridique Schrems II, c’est-à-dire que les transferts de données personnelles dans des pays extérieurs à l’Europe sont effectués conformément à la législation de l’Union européenne sur la protection des données.
En octobre 2020, le CEPD a ordonné aux institutions européennes de rendre compte de leurs transferts de données à caractère personnel vers des pays tiers. Le CEPD constate que les données à caractère personnel des individus sont transférées en dehors de l’Union européenne, en particulier aux États-Unis, en raison de la diversité des traitements, en particulier lors de l’utilisation d’outils et de services proposés par de grands prestataires de services.
Un usage croissant des services de Cloud américains
Le CEPD confirme que les institutions européennes s’appuient de plus en plus sur des logiciels basés sur le Cloud et sur une infrastructure ou des services de plateforme Cloud de grands fournisseurs, dont certains sont basés aux Etats-Unis. Le CEPD rappelle que l’arrêt Schrems II a décrété que les prestataires américains sont soumis à une législation qui autorise des activités de surveillance disproportionnée de la part des autorités des Etats-Unis.
Les institutions européennes ont signé ces contrats Cloud – sous le nom « Cloud II » – au début de l’année 2020, avant l’arrêt Schrems II reconnaît Wojciech Wiewiórowski, patron du CEPD. Amazon et Microsoft ont promis de s’aligner sur l’arrêt mais cela ne peut pas arrêter l’enquête nécessaire. « Amazon et Microsoft ont annoncé de nouvelles mesures dans le but de s’aligner sur l’arrêt. Néanmoins, ces mesures annoncées peuvent ne pas être suffisantes pour garantir le plein respect de la législation de l’Union européenne sur la protection des données » ajoute le dirigeant du CEPD, soulignant la nécessité d’enquêter correctement.
Deux enquêtes en parallèle
Une première enquête va évaluer la conformité des institutions européennes avec l’arrêt Schrems II lors de l’utilisation de services Cloud fournis par Amazon Web Services et Microsoft dans le cadre des «contrats Cloud II» lorsque les données sont transférées vers des pays tiers, en particulier aux États-Unis.
Une deuxième enquête vise l’utilisation de la bureautique Microsoft Office 365 afin de vérifier le respect par la Commission européenne des recommandations précédemment émises par le CEPD sur l’utilisation des produits et services de Microsoft par les institutions européennes.