Confronté à l’invalidation par la Cour de justice européenne du Pricay Shield qui régissait le transfert de données personnelles européennes outre-Atlantique, ainsi qu’aux recommandations du Comité Européen de la Protection des Données (EDPB), l’organisme qui veille à l’application du RGPD, Microsoft annonce une série de mesures de protection contre le Cloud Act américain et la mainmise possible des autorités US sur ces données. L’éditeur promet notamment d’assurer un niveau de protection équivalent à celui garanti dans l’Espace économique européen. « Nous pensons que les nouvelles mesures que nous annonçons aujourd’hui vont au-delà de la loi et des projets de recommandations de l’EDPB, et nous espérons que ces étapes supplémentaires donneront à nos clients une confiance accrue dans leurs données », affirme Julie Brill, Chief Privacy Officer sur le blog de Microsoft.
La firme de Redmond s’engage à contester chaque demande gouvernementale concernant des données sur ses clients lorsqu’il existe une base légale pour le faire. « Cet engagement fort va au-delà des recommandations proposées par l’EDPB », assure la juriste. On notera tout de même que le Cloud Act permet à la justice américaine d’accéder aux données personnelles des personnes étrangères même en dehors des Etats-Unis en cas de « serious crime », un terme plutôt vague qui englobe aussi bien un crime où nous l’entendons qu’une fausse déclaration de revenus. On notera aussi que dans le cadre du FISA (Foreign Intelligence Surveillance Act) les données des entreprises européennes sont à la merci d’un pillage de leurs données par la NSA (National Security Agency).
La firme de Redmond s’engage également à verser une compensation financière aux utilisateurs de ses clients si leurs données sont divulguées « en réponse à une demande gouvernementale en violation du règlement général sur la protection des données (RGPD) de l’UE ». Le montant de cette compensation n’est toutefois pas précisé. Ces deux engagements seront ajoutés aux contrats liants la société à ses clients.
Evoquant le chiffrement des données, un point critique des recommandations de l’EDPB, Microsoft s’engage à ne fournir à « aucun gouvernement » ses clés de cryptage ou tout autre moyen de briser ce cryptage.
Reste à vois si ces promesses suffiront à apaiser les craintes des entreprises européennes.