Bruxelles lance une enquête sur la conformité au RGPD des services d’Azure et AWS

Bruxelles lance une enquête sur la conformité au RGPD des services d'Azure et AWS

AWS et Azure peuvent trembler. Le Contrôleur européen de la protection des données (CEPD) vient en effet de commencer à examiner si les institutions et agences de l’UE protègent efficacement les données personnelles des citoyens lorsqu’ils utilisent les services de cloud computing AWS d’Amazon et Azure de Microsoft.

Dans une enquête séparée, le CEPD examinera également si l’utilisation de Microsoft Office 365 par la Commission européenne est conforme aux lois sur la protection des données. Le CEPD a annoncé le lancement des deux enquêtes en relation avec l’arrêt Schrems II, qui a eu lieu l’été dernier et qui a introduit de nouveaux obstacles au transfert de données personnelles entre les Etats-Unis – où Amazon et Microsoft sont basés – et l’UE.

Dans son arrêt, la Cour de justice de l’UE a conclu que les lois nationales des Etats-Unis ne correspondaient pas aux exigences strictes en matière de protection des données établies par le Règlement général sur la protection des données (RGPD). Pour la juridiction communautaire, cela signifie que, sans garanties supplémentaires, les données personnelles des citoyens de l’UE ne peuvent pas être traitées en toute sécurité outre-Atlantique.

publicité

Un risque pour les organisations européennes

Par exemple, en vertu du Cloud Act, les autorités américaines sont autorisées à exiger des fournisseurs de stockage nationaux qu’ils leur donnent accès aux informations détenues sur leurs serveurs, même si ces données sont situées à l’étranger.

Une entreprise basée dans l’Union européenne qui utilise un fournisseur de services cloud basé aux Etats-Unis, comme AWS ou Azure, pourrait donc découvrir que certaines de ses données, notamment les données personnelles de ses clients ou de ses employés, par exemple, pourraient être mises à la disposition des autorités américaines.

C’est la raison pour laquelle la Cour de justice de l’Union européenne a invalidé le système mis en place pour permettre aux données personnelles de circuler librement entre l’Union européenne et les Etats-Unis, appelé “Privacy Shield”, et a décidé qu’à la place, les organisations devront mettre en œuvre de nouveaux contrats de protection de la vie privée, appelés “clauses contractuelles types”, pour chaque transfert de données.

Les contrats Cloud II sous surveillance

Dans certains cas, lorsque même les clauses contractuelles types sont insuffisantes, l’échange de données peut être suspendu. Le CEPD, une organisation indépendante qui surveille le traitement des données personnelles par les institutions de l’UE, a suivi de près l’impact de Schrems II sur certains des contrats qui lient les bureaux et agences européens aux entreprises technologiques aux Etats-Unis.

« Nous avons identifié certains types de contrats qui nécessitent une attention particulière et c’est pourquoi nous avons décidé de lancer ces deux enquêtes », explique Wojciech Wiewiórowski, le contrôleur européen de la protection des données.

« Nous reconnaissons que les institutions de l’Union européenne – comme d’autres entités dans l’UE/EEE – sont dépendantes d’un nombre limité de grands fournisseurs. Avec ces enquêtes, le CEPD vise à aider ces institutions à améliorer leur conformité en matière de protection des données lors de la négociation des contrats avec leur prestataire de services. »

En particulier, le contrôleur de la vie privée examinera les contrats dits “Cloud II” conclus entre l’UE et Microsoft ou Amazon pour l’utilisation de leurs services de cloud computing.

Lorsque les institutions de l’Union européenne utilisent Azure et AWS, les informations personnelles des individus peuvent être envoyées en dehors de l’UE et aux Etats-Unis, et à moins que des mesures appropriées conformes au RGPD soient prises pour protéger le transfert de données, il y a un risque de surveillance de la part des autorités. En d’autres termes, le CEPD va maintenant vérifier si ces mesures conformes au RGPD sont prises par les institutions dans le bloc.

Microsoft et Amazon se défendent

« Nous soutiendrons activement les institutions de l’UE pour répondre aux questions soulevées par le Contrôleur européen de la protection des données et nous sommes certains de répondre rapidement à toute préoccupation », indique un porte-parole de Microsoft, interrogé par ZDNet. « Nous restons déterminés à répondre aux conseils des régulateurs et nous chercherons continuellement à renforcer les protections de la vie privée des clients. » AWS n’a pas répondu à notre demande de commentaire.

Les menaces pour la vie privée que représente le recours aux services de cloud de fournisseurs de TIC étrangers sont signalées depuis longtemps par le CEPD : dès 2018, le chien de garde européen de la vie privée a publié des lignes directrices à l’intention des institutions de l’UE qui soulignaient la responsabilité de ces dernières pour assurer la protection des données personnelles dans les infrastructures de cloud.

Le message n’est pas passé inaperçu. Récemment, le Conseil européen de la protection des données a validé l’utilisation d’un nouveau “code de conduite de l’UE pour le cloud”, qui fait office de norme certifiant qu’un fournisseur de services cloud donné est conforme au RGPD. Microsoft Azure et Google Cloud, entre autres, ont déjà déclaré adhérer à ce code de conduite.

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *