Pourquoi cloud non-européen et RGPD ne font pas bon ménage ?
Depuis le 21 septembre 2021, les entreprises doivent passer au crible leurs contrats cloud avec des fournisseurs non-européens pour évaluer si des clauses contractuelles types (CCT) s’imposent. Le résultat d’une incompatibilité fondamentale entre des lois américaines telles que le FISA et la réglementation européenne sur les données personnelles.
Les entreprises qui exploitent des solutions cloud américaines ont-elles conscience que ce choix peut entrer en contradiction avec le respect du RGPD ? À leur décharge, le sujet est technique et s’apparente à un long feuilleton réservé aux initiés.
L’un des rebondissements majeurs date de l’été 2020 : le 16 juillet, la grande chambre de la Cour de justice de l’Union européenne invalide le « Privacy Shield ». Promesse de ce « bouclier » : protéger les données personnelles des résidents européens de l’appétit des services de renseignement américains. Pour rappel le « Privacy Shield » avait succédé au « Safe Harbor » lui-même invalidé en 2015, comme le rappelle Nextinpact.
À l’origine, de ces deux invalidations, une seule et même personne : Max Schrems, un militant autrichien pour la protection des données privées. D’où le nom de l’arrêt rendu par la cour, « Schrems II ».
FISA versus Privacy Shield
La cour a dû répondre à cette question : pour les résidents européens, le « Privacy Shield » offre-t-il des garanties semblables s’ils confient leurs données à des entreprises états-uniennes qu’à des entreprises de l’Union européenne ? Des garanties relatives, par exemple, à la proportionnalité des mesures et aux recours possibles.
Pour trancher, il a fallu comparer les pouvoirs octroyés au renseignement américain à travers le Foreign Intelligence Surveillance Act (FISA) avec les contre-mesures proposées par le « Privacy Shield ». Loi fédérale adoptée en 1978, le FISA a été étoffé en 2008, notamment à travers l’article 702, pour donner toute légitimité aux programmes de surveillance de la NSA et du FBI. Concrètement, le FISA autorise l’exploitation de données personnelles de ressortissants non-américains situés en dehors des États-Unis, dans la mesure où ces données sont gérées par des personnes morales américaines. Outre l’article 702, un « executive order 12333 » (EO 12333) autorise pour sa part l’interception de données en transit vers les États-Unis via les câbles sous-marins.
Le « Privacy Shield », un réhabillage hâtif du « Safe Harbor »
Bref, entre l’article 702 du FISA et ce « EO 12333 », l’arsenal du renseignement américain s’avère plutôt… complet. Ce qui contraste avec la faiblesse du « Privacy Shield ». Si un mécanisme de contrôle à travers un médiateur y est bien prévu, il n’a pas été jugé suffisant. Il faut noter que la fragilité du « Privacy Shield » n’est pas une surprise. Élaboré à la hâte après l’invalidation du « Safe Harbor », il en reprenait de fait les grands principes. Et son adoption par la Commission européenne n’avait pas empêché les CNIL européennes de pointer, dès 2017, les grands manquements du texte avec, à la clé, des menaces de recours.
Cet arrêt « Schrems II », qui a donc mis fin au « Privacy Shield », rappelle que le RGPD s’applique aux Européens, y compris en dehors de l’Union européenne. Quelles conséquences pour les entreprises européennes qui contractualisent avec des acteurs américains pour des services cloud ? Dans l’attente d’un nouvel accord, ces entreprises se retrouvent exposées à un risque juridique, puisque les transferts de données personnelles vers les États-Unis sont pour l’heure illégaux, à moins qu’ils soient couverts par des clauses contractuelles types (CCT).
Les clauses contractuelles types : un nouveau « mikado juridique »
Dans le cadre du RGPD, ces clauses encadrent le transfert de données vers des pays non-membres de l’Union européenne. Les entreprises ont jusqu’au 27 décembre 2022 pour mettre en conformité leur CCT sur des projets existants. Pour tout nouveau projet de transfert conclu depuis le 27 septembre 2021, ces CCT doivent être formalisées d’emblée.
Comment faut-il comprendre cette notion de transfert ? Réponse courte : au sens le plus large possible. Exemple : faire appel à une tierce maintenance exercée depuis un pays hors UE est bien considéré comme un transfert et demande des CCT, même si les données, elles, sont hébergées dans un pays de l’UE.
En outre, comme le précise l’avocat Eric Barbry, formaliser les CCT n’est pas une mince affaire et ce pour plusieurs raisons :
- Les entreprises doivent passer au crible les prestations qui peuvent être concernées.
- Elles doivent ensuite rédiger les CCT en s’appuyant sur une documentation complexe (Eric Barbry évoque un véritable « mikado juridique ») éditée par la Commission européenne.
- Enfin, il faut faire signer les CCT par les fournisseurs non-européens.
Autant dire que la mise en place des CCT dans le délai imparti va occuper les équipes juridiques dans les mois à venir. Notamment pour les services cloud qui peuvent combiner des configurations variées – par exemple : localisation des données en Europe mais gestion depuis les États-Unis. Précisons aussi que les États, dixit la Cour de justice de l’UE, restent libres de suspendre les transferts vers des pays tiers à tout moment, même si des CCT sont en place.
Pour les entreprises, la non-compatibilité des lois américaines avec la réglementation européenne sur les données personnelles génère une complexité (donc des coûts) et des risques (donc une incertitude) loin d’être anodins. De quoi, a minima, motiver une réflexion sur la (re)localisation complète des infrastructures cloud et de leurs données.
Un « mikado juridique » doublé d’un « micmac institutionnel »
L’État, pour sa part, a tranché à sa manière… et envoie un message pour le moins nébuleux aux entreprises en plus de brouiller les pistes en matière de compatibilité des lois américaines avec les réglementations européennes.
Si sa doctrine dite « Cloud au centre » plaide pour un cloud labellisé « cloud de confiance », le partenariat annoncé en octobre 2021 entre Thalès et Google pour, justement, proposer un tel « cloud de confiance » questionne. Son principe : utiliser les technologies logicielles et matérielles de Google dans des datacenters localisés en France et opérés par Thalès. Aucune information n’est donc supposée remontée vers l’infrastructure de Google. Mais le cloud reste… le cloud. Les services IaaS et PaaS proposés supposent des mises à jour régulières. Que Thalès promet d’auditer dans un « SAS de sécurité ».
Pour l’État français, la notion de cloud souverain semble donc pouvoir s’accommoder d’un repackaging de technologies américaines par une société française. Sur le papier, le montage semble mettre ce cloud hors de portée de l’extraterritorialité des lois américaines. Et dans la pratique ? Peut-on vraiment garantir un cloud de confiance national en s’appuyant sur des logiciels et matériels américains ? Le débat est ouvert. Et, avec lui peut-être, un feuilleton à rebondissements comme le fut celui autour du « Privacy Shield ».
Marre de jouer au mikado avec les lois ? Optez pour un cloud 100% français
... et protégez vos données et celles de vos clients. Découvrez nos offres d'hébergement infogéré.