[AVIS D’EXPERT] Les autorités allemandes accusent Microsoft de ne pas respecter le RGPD. Décryptage avec notre expert François-Pierre Lani, avocat associé chez Derriennic Associés.
Les autorités de contrôle allemandes (équivalentes à notre Commission Informatique et Libertés ou CNIL) ont entamé des discussions avec Microsoft afin d’obtenir des améliorations dans la conformité des services Microsoft 365 aux exigences du RGPD. En cause, le cadre contractuel de Microsoft et les transferts de données vers les États-Unis.
La décision Schrems II : un frein aux transferts de données hors UE
Pour rappel, le RGPD impose une interdiction de principe du transfert de données hors de l’UE, qui peut toutefois être contournée en recourant à des “garanties appropriées”, constituées par des instruments juridiques, notamment contractuels, tels que les clauses contractuelles types du Commission européenne. .
Les possibilités de transfert de données vers les États-Unis ont été d’autant plus restreintes par un arrêt “Schrems II”, rendu en 2020 par la Cour de justice de l’Union européenne, qui a notamment invalidé le Privacy Shield. Cette décision a été motivée par une collecte de données personnelles, par les autorités américaines, jugée particulièrement large et intrusive.
Elle a eu pour conséquence pratique de rendre la plupart des transferts de données personnelles vers ce pays non conformes au RGPD, notamment les transferts de données non cryptées et non pseudonymisées, vers les fournisseurs de cloud, même lorsque ces transferts sont accompagnés de « garanties appropriées ».
Selon cette décision, outre le cas particulier des États-Unis, il est également nécessaire de procéder à une étude des lois et pratiques des pays de destination des données hors UE, afin de déterminer si celles-ci ne constituent pas un obstacle aux “garanties appropriées” utilisées pour assurer la conformité du transfert.
Les autorités européennes de protection des données ont longuement commenté cette décision. La CNIL (Commission Nationale de l’Informatique et des Libertés) a par exemple émis des recommandations, par lesquelles elle conseillait aux établissements d’enseignement supérieur de ne plus utiliser les « outils américains pour l’enseignement supérieur et la recherche ».
Examen par les autorités de contrôle allemandes de Microsoft 365
Récemment, ce sont les autorités de contrôle allemandes qui se sont intéressées à Microsoft 365, notamment à travers le prisme des transferts de données personnelles vers les États-Unis.
En effet, le comité fédéral des autorités de contrôle allemandes a mis en place un groupe de travail chargé d’engager des discussions avec Microsoft, afin que Microsoft améliore la conformité de ses services Microsoft 365 aux exigences du RGPD et de la décision Schrems II.
Suite à plusieurs entretiens avec Microsoft, les conclusions, répertoriées dans un document publié le 24 novembre 2022, portaient sur le cadre contractuel ainsi que sur les transferts de données vers les États-Unis.
Un cadre contractuel perfectible
Il est ressorti des discussions entre Microsoft et le groupe de travail allemand que les finalités de traitement et les catégories de données personnelles traitées ne sont pas suffisamment décrites dans le cadre contractuel de Microsoft. Le groupe de travail suggère, sur ce point, d’utiliser l’annexe aux clauses contractuelles types « article 28 » de la Commission européenne, ou d’intégrer le registre des traitements du responsable du traitement dans le contrat.
Le cadre contractuel de Microsoft ne distingue pas non plus suffisamment les traitements effectués par Microsoft pour le compte de ses clients, d’une part, et pour son propre compte (notamment “à des fins commerciales légitimes” ou à des fins de diagnostic), d’autre part , ou sur quelles bases juridiques un tel traitement est basé.
Le cadre contractuel permet également à Microsoft de communiquer les données de ses clients à des tiers, de manière plus large que ce qui est prévu par le RGPD, potentiellement en violation de ce règlement. La liste des pays de destination des données n’est pas exhaustive.
Même si cela n’est pas toujours possible en pratique, il serait donc conseillé aux entreprises utilisant les services de Microsoft 365 de négocier les termes du contrat en termes de protection des données, afin de remédier à ces manquements.
Transferts de données vers les États-Unis inévitables
Le cadre contractuel, qui reste non exhaustif quant aux pays vers lesquels les données personnelles sont transférées, prévoit néanmoins la possibilité pour Microsoft de transférer des données personnelles vers les États-Unis, en utilisant des clauses contractuelles types.
Selon les conclusions du groupe de travail, il n’est pas possible d’utiliser Microsoft 365 sans transférer des données personnelles aux États-Unis. De plus, dans le cadre de ce transfert, les données personnelles peuvent être lues par le destinataire, de sorte que ce transfert ne serait pas conforme aux exigences de l’arrêt Schrems II.
Vers une régularisation des transferts de données vers les États-Unis ?
Les plaintes adressées à Microsoft par les autorités allemandes concernant les transferts de données sont à mettre en perspective avec les dernières déclarations de la Commission européenne.
Il convient de noter, en effet, que les opérations de collecte de données personnelles par les autorités américaines, dont le caractère général a motivé la décision Schrems II de 2020, ont été soumises, par décret présidentiel américain du 7 octobre 2022, à des conditions de proportionnalité et De nécessité.
Au lendemain de ce décret, et sur la base de celui-ci, la Commission européenne a annoncé qu’elle travaillait sur une décision d’adéquation qui assurera la conformité des transferts de données personnelles vers les États-Unis, comme, en leur temps, le “Privacy Shield ” et les décisions “Safe Harbor”.
Cette décision a été rédigée et publiée le 13 décembre 2022, et soumise au CEPD (le groupe des CNIL européennes) pour avis. Une fois cet avis rendu, la décision d’adéquation ne sera applicable qu’après un processus qui la verra passer devant un comité composé de représentants des États membres de l’UE et devant le Parlement européen.
Ainsi, du moins aux yeux de la Commission européenne, le sujet des transferts de données personnelles vers les Etats-Unis n’en est plus vraiment un. Reste à savoir si la Cour de justice de l’Union européenne sera d’accord.