Transfert des données personnelles aux Etats-Unis: ce que reproche l'Allemagne à Microsoft 365

Les autorités de contrôle allemandes (équivalentes de notre Commission informatique et libertés ou CNIL) ont entamé des discussions avec Microsoft afin d’obtenir des améliorations quant à la conformité des services Microsoft 365 aux exigences du RGPD. Etaient en cause le cadre contractuel de Microsoft et les transferts de données vers les Etats-Unis.

La décision Schrems II: un frein aux transferts de données hors UE

Pour rappel, le RGPD pose une interdiction de principe des transferts de données hors UE, qui peut toutefois être outrepassée en recourant à des "garanties appropriées", constituées par des instruments juridiques, notamment contractuels, tels que les clauses contractuelles types de la Commission européenne.

Les possibilités de transférer des données vers les Etats-Unis ont été d’autant plus restreintes par un arrêt "Schrems II", rendu en 2020 par la Cour de justice de l’Union européenne, qui a notamment invalidé le Privacy Shield. Cette décision était motivée par une collecte de données personnelles, par les autorités américaines, jugée particulièrement large et intrusive.

Elle a eu pour conséquence pratique de rendre non conforme au RGPD la plupart des transferts de données personnelles à destination de ce pays, en particulier les transferts de données non chiffrées et non pseudonymisées, vers des prestataires cloud, même lorsque ces transferts sont assortis de "garanties appropriées".

Selon cette décision, en dehors du cas particulier des Etats-Unis, il est par ailleurs nécessaire de réaliser une étude des lois et pratiques des pays de destination des données hors UE, afin de déterminer si ceux-ci ne font pas obstacle aux "garanties appropriées" utilisées pour assurer la conformité du transfert.

Les autorités européennes compétentes en matière de protection des données ont abondamment commenté cette décision. La CNIL (Commission nationale informatique et libertés) a, par exemple, émis des recommandations, par lesquelles elle a conseillé aux établissements d’enseignement supérieur de cesser d’utiliser les "outils états-uniens pour l’enseignement supérieur et la recherche".

L’examen des autorités de contrôle allemandes quant à Microsoft 365

Récemment, ce sont les autorités de contrôle allemandes qui se sont intéressées à Microsoft 365, notamment par le prisme des transferts de données personnelles vers les Etats-Unis.

En effet, le comité fédéral des autorités de contrôle allemandes a monté un groupe de travail chargé d’entamer des discussions avec Microsoft, afin que Microsoft améliore la conformité de ses services Microsoft 365 aux exigences du RGPD et de la décision Schrems II.

A l’issues de plusieurs entretiens avec Microsoft, les constatations, recensées dans un document publié le 24 novembre 2022, ont porté sur le cadre contractuel ainsi que sur les transferts de données vers les Etats-Unis.

Un cadre contractuel perfectible

Il a résulté des entretiens entre Microsoft et le groupe de travail allemand que les finalités de traitement et les catégories de données personnelles traitées ne sont pas suffisamment décrites dans le cadre contractuel de Microsoft. Le groupe de travail suggère, sur ce point, d’utiliser l’annexe des clauses contractuelles types « article 28 » de la Commission européenne, ou encore d’intégrer au contrat le registre des activités de traitement du responsable du traitement.

Le cadre contractuel de Microsoft ne distingue pas non plus suffisamment les traitements réalisés par Microsoft pour le compte de ses clients, d’une part, et pour son propre compte (notamment « à des fins commerciales légitimes » ou bien à des fins de diagnostic), d’autre part, ni sur quelles bases légales se fondent ces traitements.

Le cadre contractuel permet également à Microsoft de communiquer les données de ses clients à des tiers, de façon plus large que ce qui est prévu par le RGPD, potentiellement en violation de cette règlementation. La liste des pays de destination des données n’est d’ailleurs pas exhaustive.

Même si cela n’est pas toujours possible en pratique, il serait donc à conseiller aux entreprises utilisatrices des services Microsoft 365 de négocier les termes du contrat en matière de protection des données, afin de remédier à ces lacunes.

Des transferts de données aux Etats-Unis inévitables

Le cadre contractuel, qui demeure non-exhaustif quant aux pays vers lesquels les données personnelles sont transférées, prévoit toutefois la possibilité, pour Microsoft, de transférer des données à caractère personnel vers les Etats-Unis, en utilisant les clauses contractuelles types.

Selon les constatations du groupe de travail, il n’est pas possible d’utiliser Microsoft 365 sans transférer de données personnelles vers les Etats-Unis. Par ailleurs, dans le cadre de ce transfert, les données personnelles sont lisibles par le destinataire, de sorte que ce transfert ne serait pas conforme aux exigences de l’arrêt Schrems II.

Vers une régularisation des transferts de données vers les Etats-Unis?

Les griefs faits à Microsoft, par les autorités allemandes, concernant les transferts de données sont à mettre en perspective avec les dernières déclarations de la Commission européenne.

Précisons, en effet, que les opérations de collecte de données personnelles par les autorités américaines, dont le caractère généralisé avait motivé la décision Schrems II de 2020, ont été soumises, par décret présidentiel américain du 7 octobre 2022, à des conditions de proportionnalité et de nécessité.

Au lendemain de ce décret, et sur la base de celui-ci, la Commission européenne a annoncé travailler sur une décision d’adéquation qui permettra d’assurer la conformité des transferts de données personnelles vers les Etats-Unis, à l’image, en leur temps, des décisions "Privacy Shield" et "Safe Harbor".

Cette décision a été rédigée et publiée le 13 décembre 2022, et soumise au CEPD (le groupement des CNIL européennes) pour avis. Une fois cet avis rendu, la décision d’adéquation ne sera applicable qu’à l’issue d’un processus qui la verra passer devant un comité composé de représentants des Etats membres de l’UE et devant le Parlement européen.

Ainsi, au moins aux yeux de la Commission européenne, le sujet des transferts de données personnelles vers les Etats-Unis n’en est, d’ores et déjà, plus vraiment un. Reste à savoir si la Cour de justice de l’Union européenne sera du même avis.