Le Contrôleur Européen de la Protection des Données (CEPD) vient de diligenter deux enquêtes sur l’utilisation des services Cloud Amazon et Microsoft par les institutions européennes. En ligne de mire : AWS et Microsoft Office 365
Ces enquêtes font partie de la stratégie du CEPD pour que les institutions de l'UE se conforment à l'arrêt "Schrems II" afin que les transferts internationaux actuels et futurs soient effectués conformément à la législation européenne sur la protection des données.
Vérifier au bon usage des services cloud par les institutions européennes.
L'objectif de la première enquête est d'évaluer le respect par les institutions européennes de l'arrêt "Schrems II" lors de l'utilisation de services en nuage fournis par Amazon Web Services et Microsoft dans le cadre des contrats dits "Cloud II" lorsque les données sont transférées vers des pays tiers, en particulier vers les États-Unis.
L'objectif de la deuxième enquête sur l'utilisation de Microsoft Office 365 est de vérifier la conformité de la Commission européenne avec les recommandations précédemment émises par le CEPD sur l'utilisation des produits et services de Microsoft par les institutions européennes.
Avec ces enquêtes, le CEPD vise à aider ces institutions et agences européennes à améliorer leur conformité en matière de protection des données lors de la négociation des contrats avec leur prestataire de services" Cloud.
En novembre 2020, l'autorité de contrôle avait déjà demandé aux institutions européennes d'éviter les activités de traitement qui impliquaient des transferts de données personnelles outre-Atlantique.
Le rapport diligenté à l'époque avait en effet démontré que les données personnelles des individus étaient transférées en dehors de l'UE et aux États-Unis (US) en particulier, via l'utilisation d'outils et de services offerts par de grands prestataires de services Cloud.
Ce rapport confirmait également que les institutions européennes s'appuient de plus en plus sur les logiciels et les services d'infrastructure ou de plateformes Cloud des grands fournisseurs, dont certains basés aux États-Unis et donc soumis à une législation qui, selon l'arrêt "Schrems II", permet des activités de surveillance disproportionnées par les autorités américaines. "Je suis conscient que les "contrats Cloud II" ont été signés début 2020 avant l'arrêt "Schrems II" et que Amazon et Microsoft ont annoncé depuis de nouvelles mesures dans le but de s'aligner sur l'arrêt. Néanmoins, il se peut que ces mesures annoncées ne soient pas suffisantes pour garantir une conformité totale avec la législation européenne en matière de protection des données, d'où la nécessité d'enquêter correctement sur ce point" explique ainsi Wojciech Wiewiórowski, à la tête de l'institution de contrôle.
Le CEPD estime ainsi que les institutions européennes sont bien placées pour montrer l'exemple en matière de protection de la vie privée et des données. Les mesures annoncées font partie d'une coopération continue entre le CEPD et les IUE pour assurer un niveau élevé de protection de ces droits fondamentaux.
Microsoft joue le jeu EU, croissance oblige
Pour répondre à cette demande de conformité, Microsoft a annoncé en mai dernier un plan baptisé "EU Data Boundary for the Microsoft Cloud" et dans lequel il s’engage à traiter et stocker les données des services Azure, Microsoft 365 et Dynamics 365 pour tous les client commerciaux ou du secteur public dans l'UE.
Rappelons à cet effet que Microsoft détient aujourd'hui la plus grande part de marché (>17%) dans les services cloud SaaS bureautique et collaboratif (365) avec une croissance de 34%/an dans le domaine des services d'infrastructure IaaS (19% de parts de marché et une croissance annuelle de 50%.) L'éditeur US a donc tout intérêt à jouer la carte de la "conformité EU" afin de maintenir sa stratégie de croissance, d'autant que dans le même temps, l'ensemble des CSPs européens (OVH, Orange et Deutsche Telekom) a perdu 16% de parts de marché.
En plus de s'engager à une localisation des données en Europe, Microsoft indique par ailleurs qu’il intégrera ces solutions de "délimitation" des données dans l'UE dans ses principaux services de cloud computing afin d'améliorer ses offres actuelles. Il va même jusqu’à prévoir l’organisation d’un sommet des clients cloud européens cet automne et la création d’un centre d'excellence en ingénierie de la protection de la vie privée en Irlande à Dublin, (siège de la CNIL européenne) afin d'aider ses clients européens à choisir les bonnes solutions pour intégrer une solide protection des données dans leurs charges de travail cloud. Déjà engagé au sein de l'alliance Gaia-X, Microsoft contribue aussi à la construction de "Tech Fit 4 Europe".