Union européenne : l’EDPS enquête sur l’utilisation des clouds américains

Deux audits internes sur AWS et Microsoft

La première enquête se penchera sur l’utilisation d’AWS et de Microsoft par toutes les institutions de l’Union européenne dans le cadre des contrats passés suite à l’appel d’offres restreint Cloud II. La seconde portera spécifiquement sur l’utilisation de Microsoft Office 365 par la Commission européenne.

Dans le cadre de la mise en conformité à l’arrêt Schrems II, l’EDPS a demandé en octobre 2020 aux diverses institutions européennes de faire un rapport sur les transferts de données personnelles qu’elles feraient vers des pays non membres de l’UE.

L’analyse des réponses a confirmé que les organes de l’UE seraient de plus en plus dépendants des logiciels, des infrastructures et des plates-formes des grands fournisseurs IT, dont la plupart sont originaires des États-Unis et donc soumis à ses lois extraterritoriales dénoncées par le ministre des Finances et de l’économiste français Bruno Le Maire.

Adopté en mars 2018, le CLOUD Act, par exemple, donne au gouvernement américain l’accès à toutes les données, où qu’elles soient stockées sur la planète par des acteurs IT américains, tandis que la section 702 du Foreign Intelligence Surveillance Act (FISA) permet au procureur général et au directeur des services de renseignement américain d’autoriser conjointement la surveillance ciblée de personnes en dehors des États-Unis, tant qu’il ne s’agit pas de citoyens américains.

Certains contrats nécessitent « une attention particulière »

« Suite aux informations remontées par les institutions et par les organes de l’UE, nous avons identifié certains types de contrats qui nécessitent une attention particulière. C’est pour cette raison que nous avons décidé de lancer ces deux enquêtes », explique le chef de l’EDPS, Wojciech Wiewiórowski.

« Je suis conscient que les contrats Cloud II ont été signés début 2020, donc avant l’arrêt Schrems II. Je sais aussi qu’Amazon et Microsoft ont annoncé de nouvelles mesures dans le but de se conformer à l’arrêt. Néanmoins, il se peut que les mesures promises ne soient pas suffisantes pour garantir une conformité totale avec la législation européenne en matière de protection des données. D’où la nécessité d’analyser correctement ce point ».

« Amazon et Microsoft ont annoncé de nouvelles mesures [Mais] il se peut qu’elles ne soient pas suffisantes se conformer totalement à la législation européenne. »

Selon un porte-parole de Microsoft, l’éditeur aidera activement les institutions de l’UE (ses clients donc) à répondre aux questions de l’EDPS. Microsoft se dit par ailleurs confiant sur le fait que toutes les interrogations soulevées seront rapidement résolues.

« Notre méthode pour assurer que nous nous conformons exigences de l’UE – et même que nous les dépassons – en matière de protection des données reste inchangée », déclare un porte-parole de Microsoft. « Dans le cadre de notre initiative “Defending Your Data”, nous nous sommes engagés à contester toute demande gouvernementale [dont celles des États-Unis] concernant les données d’un client du secteur public ou privé de l’UE, lorsque nous avons une base légale pour le faire ».

Amazon s’est lui aussi engagé à contester les demandes des forces de l’ordre et à ne divulguer que le minimum de données nécessaires, lorsqu’il est contraint de le faire.

Ces engagements avaient suscité l’incrédulité de certains experts européens. « Ils disent qu’ils combattront les demandes d’accès, sous réserve d’avoir une base juridique pour le faire. Donc, ils s’engagent à respecter la loi. C’est bien. Mais c’est loin d’être suffisant », analysait Maître Oriana Labruyère (en parlant du futur EU Data Boundary de Microsoft, lire ci-après).

ASW et Microsoft se veulent rassurants

Microsoft ajoute qu’il apportera « une compensation financière aux utilisateurs et à leurs clients, si nous devions divulguer des données, en violation des lois applicables en matière de confidentialité, qui causeraient un préjudice », dixit un porte-parole. « Nous restons déterminés à répondre aux exigences des régulateurs et nous chercherons continuellement à renforcer les protections de la vie privée de nos clients ».

« Ils disent qu’ils combattront les demandes d’accès, sous réserve d’avoir une base juridique pour le faire. Donc, ils s’engagent à respecter [...] Ce n'est pas suffisant. »

Microsoft a par ailleurs annoncé cette année un futur programme baptisé « EU Data Boundary » dans lequel toutes les données – y compris les métadonnées et celles nécessaires à la maintenance d’Azure – seront cantonnées sur le territoire européen. Là encore, les juristes soulignent que l’effort est louable, mais qu’il ne protège en rien des lois des États-Unis ni de leurs services de renseignements. Pour eux, la protection passera par un modèle de type cloud souverain ou cloud de confiance, ou par des mesures techniques renforcées (chiffrement avec gestion des clefs par le client par exemple).

Du côté d’AWS on assure que « les institutions de l’Union européenne peuvent utiliser les services AWS tout en respectant les exigences de Schrems II ». Et, continue le cloudiste, il sera « heureux d’aider les clients à le démontrer au Contrôleur européen de la protection des données ».

L’EDPS sera-t-il convaincu par les arguments de Microsoft et d’AWS ? Selon ses conclusions, en tout cas, les différentes institutions de l’Union européenne pourraient être tenues de migrer vers d’autres clouds.