Le 27 mai 2021, le Contrôleur européen de la protection des données (CEPD) a lancé deux enquêtes sur l’usage des services cloud d’Amazon et Microsoft, AWS et Microsoft Azure. Le CEPD scrute également l’utilisation par différents organes et institutions de l’UE de la suite bureautique Microsoft 365. Les deux investigations doivent déterminer si les transferts de données personnelles hors UE sont conformes à la législation européenne.

« Nous avons identifié certains types de contrats qui nécessitent une attention particulière et c’est pourquoi nous avons décidé de lancer ces deux enquêtes », explique Wojciech Wiewiórowski, le contrôleur européen de la protection des données dans un communiqué de presse.

La première enquête du CEPD vise à vérifier la conformité des institutions européennes à l’arrêt Schrems II. La seconde inspecte l’utilisation de Microsoft Office 365 et son suivi des recommandations émises par le CEDP. Toutes deux interviennent à la suite de l’arrêt Schrems II du 16 juillet 2020. Le mois d’octobre suivant, le CEPD a ordonné aux institutions européennes de notifier les transferts de données vers des pays tiers. Sans grande surprise, beaucoup de données européennes sont traitées à l’étranger, particulièrement aux États-Unis.

Des enquêtes faisant suite à l’arrêt Schrems II

Wojciech Wiewiórowski reconnaît certaines mesures prises par les GAFAM pour garantir une meilleure protection des données, mais il les estime insuffisantes. « Ces mesures annoncées peuvent ne pas être suffisantes pour garantir le plein respect de la législation de l’UE sur la protection des données », déclare le contrôleur européen de la protection des données.

Un porte-parole de Microsoft affirme prendre en considération l’action du CEPD. « Nous soutiendrons activement les institutions de l’UE pour répondre aux questions soulevées par le Contrôleur européen de la protection des données et nous sommes certains de répondre rapidement à toute préoccupation », soutient un porte-parole de Microsoft à ZDNet. De son côté, Amazon n’a pas répondu aux demandes de commentaires du média.

L’arrêt Schrems II a été pris suite à la poursuite de Facebook devant la justice européenne par l’avocat et militant pour la vie privée Max Schrems. L’arrêt considère que le niveau de protection des données personnelles des États-Unis n’équivaut pas à celui de l’UE. C’est-à-dire qu’il n’offre pas des garanties équivalentes au Règlement Général sur la Protection des données (RGPD). En effet, le Clarifying Lawful Overseas Use of Data Act (CLOUD Act) permet aux forces de l’ordre américaines et à leurs agences de renseignement d’accéder aux données de leurs opérateurs télécoms et fournisseurs de services cloud. Et ce peu importe le lieu de stockage des données. Le Privacy Shield, qui autorisait le transfert de données européennes vers les États-Unis, a ainsi été invalidé. Par conséquent, les données européennes traitées aux États-Unis n’ont plus de socle juridique.

Début 2020, avant l’arrêt Schrems II, des contrats de services cloud, intitulés « Cloud II », ont été conclus entre AWS, Microsoft Azure et l’Union européenne. Par ailleurs, la Commission européenne utilise la suite Microsoft 365. Avec l’arrêt Schrems II, de nombreuses données se retrouvent dans un flou – voire vide – juridique quant à leur protection. Avec le développement des services cloud ou l’arrivée prochaine de l’Internet des Objets (IoT) ces problématiques s’amplifient.