Alors que les grandes manœuvres pour un cloud souverain agitent l’Europe, et après l’invalidation de l’accord Privacy Shield par la Cour de Justice de l’UE, la CNIL vient de lancer un dernier pavé dans la marre. Saisi par la Conférence des présidents d’université et la Conférence des grandes écoles sur l’utilisation des « suites collaboratives pour l’éducation » proposées par des sociétés américaines, le gendarme français du numérique estime « qu’il est nécessaire que le risque d’un accès illégal par les autorités américaines à ces données soit écarté ».

La décision de la CNIL s’appuie sur l’étude de documents transmis par la CPU et la CGE, et qui font apparaître « dans certains cas, des transferts de données personnelles vers les États-Unis dans le cadre de l’utilisation des suites collaboratives pour l’éducation ». La CNIL a découvert que dans les établissements qui utilisent ces outils, les données traitées concernent potentiellement un nombre important d’utilisateurs (étudiants, chercheurs, enseignants, personnel administratif), et ces outils peuvent conduire au traitement d’une quantité considérable de données dont certaines sont sensibles (par exemple des données de santé dans certains cas) ou ont des caractéristiques particulières (données de la recherche ou relatives à des mineurs).

Un risque d’accès par les autorités américaines

« La CNIL a constaté que le recours à ces solutions met en lumière des problématiques de plus en plus prégnantes relatives au contrôle des flux de données au niveau international, à l’accès aux données par les autorités de pays tiers, mais aussi à l’autonomie et la souveraineté numérique de l’Union européenne », explique le régulateur dans son communiqué. En somme, la CNIL préconise de ne pas utiliser les applications de collaboration à distance développées par des entreprises américaines.« Il existe donc un risque d’accès par les autorités américaines aux données stockées. Cet accès, s’il n’est pas fondé sur un accord international, constituerait une divulgation non autorisée par le droit de l’Union, en violation de l’article 48 du RGPD », conclut le régulateur français.

Cette décision montre bien la position inconfortable dans laquelle se trouve l’Europe par rapport aux implications du Cloud Act et des autres lois extraterritoriales américaines sur le données des européens. D’un côté, des décisions qui montrent la défiance des Européens, et de l’autre l’impossibilité pour tous les acteurs européens du cloud se passer des technologies américaines.