Alors que les allégations d’espionnage de certains responsables par la NSA entament encore un peu plus la confiance entre les Etats-Unis et le Vieux Continent, une nouvelle démarche européenne prend tout son sens.
Le Contrôleur européen de la protection des données (CEPD) vient en effet de lancer deux enquêtes, l’une concernant l’utilisation des services cloud fournis par Amazon Web Services et Microsoft dans le cadre de contrats Cloud II par les institutions, organes et agences (IUE) de l’Union européenne, et l’autre à propos de l’utilisation de Microsoft Office 365 par la Commission de Bruxelles.
Ces enquêtes visent à déterminer si les transferts des données personnelles de l’espace européen vers des pays tiers sont effectués conformément à la législation de l’UE sur la protection des données et donc en conformité avec l’arrêt Schrems II rendu par la Cour de justice de l’Union européenne en juillet 2020. Cet arrêt a, rappelons-le, invalidé le système du « Privacy Shield » lequel, estimant que les Etats-Unis offraient toutes les garanties nécessaires, permettait le transfert de données personnelles outre-Atlantique.
Afin de vérifier que les organes et agences de l’Union européenne se conforment à Schrems II, le CEPD a demandé en octobre 2020 à ces dernières de rendre compte de leurs transferts de données à caractère personnel vers des pays tiers. Le contrôleur européen a alors constaté qu’en raison de l’utilisation par ces organismes d’outils et de services proposés par AWS et Microsoft, la plupart de ces données sont transférées en dehors de l’Union, et tout particulièrement aux Etats-Unis. Elle sont donc soumises à une législation qui, selon l’arrêt « permet des activités de surveillance disproportionnées par les autorités américaines ».
« À la suite du rapport des institutions et organes de l’UE, nous avons identifié certains types de contrats qui nécessitent une attention particulière et c’est pourquoi nous avons décidé de lancer ces deux enquêtes », explique dans un communiqué le contrôleur européen de la protection des données, Wojciech Wiewiórowski. « Je suis conscient que les « contrats Cloud II » ont été signés début 2020 avant l’arrêt « Schrems II » et qu’Amazon et Microsoft ont annoncé de nouvelles mesures dans le but de s’aligner sur l’arrêt. Néanmoins, ces mesures annoncées peuvent ne pas être suffisantes pour garantir le plein respect de la législation de l’UE sur la protection des données. Il est donc nécessaire d’enquêter correctement. »
Selon lui, ces enquêtes permettront aux organes et agences de l’Union européenne d’améliorer leur conformité en matière de protection des données lors de la négociation de contrats avec leur prestataire de services.