La montée en puissance des clouds souverains en Europe, via des fournisseurs locaux comme 3DS Outscale en France, ou l’initiative européenne Gaia-X, attire de plus en plus l’attention des entreprises sur la nécessité de mettre leurs données hors de portée du Cloud Act. Pour certaines organisations, c’est même devenu un critère de choix d’un fournisseur. Parallèlement, l’invalidation du Privacy Shield par la Cour européenne de justice ne laisse pas d’autre choix aux fournisseurs que de se conformer aux clauses du RGPD pour pouvoir opérer sur le marché européen dans les secteurs publics. Ceci, même si les entreprises peuvent s’appuyer sur les Clauses Contractuelles Types (CCT) : des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne. Celles-ci ont été réaffirmées aux entreprises la semaine dernière par le Comité Européen de la Protection des Données qui a publié une série de recommandations.
Pour les géants des services cloud aux entreprises, l’enjeu est important et ils doivent rassurer leurs clients actuels et potentiels en prenant des mesures unilatérales de protection des données européenne qui leur sont confiées. Dans un article de blog intitulé « New Steps to Defend Your Data », Julie Brill, vice-présidente for Global Privacy and Regulatory Affairs and Chief Privacy Officer chez Microsoft, annonce de nouvelles mesures de protection des données à destination des secteurs publics et privés.
De la relativité de certains engagements face à la loi
La représentante du géant de Redmond annonce une série d’engagements « en réponse aux orientations claires données la semaine dernière par les autorités de réglementation de la protection des données dans l’Union européenne ». En premier lieu, Microsoft annonce un engagement contractuel à contester les demandes de données des gouvernements. Cet engagement n’est pas nouveau, mais à présent Microsoft propose de le coucher sur le papier.
Au regard du passé, nous serions tentés de souscrire à cet engagement de Microsoft, car il a déjà un historique riche de refus d’obtempérer aux demandes du gouvernement américain, puisqu’en filigrane c’est de lui dont il s’agit. Mais le passé ne préjuge rien de l’avenir et force reste à la loi aux États-Unis comme ailleurs. On peut donc légitimement douter, non pas de la volonté de Microsoft de résister à son propre gouvernement, mais de sa capacité à enfreindre la loi de son pays de domiciliation pour respecter ses engagements envers ses clients européens. Dura lex, sed lex.
D’ailleurs, le second engagement pris par Microsoft confirme implicitement la validité toute relative du premier engagement. En effet, l’éditeur de Redmond s’engage à offrir une compensation financière aux utilisateurs de ces clients, s’il divulgue leurs données en réponse à une demande gouvernementale en violation du RPDD. En somme, Microsoft s’engage à utiliser tous les recours à sa disposition pour refuser le transfert des données si un gouvernement le demande, mais si cela s’avère impossible, il indemnisera les clients du client dont les données ont été transférées. Voilà qui relève plus de l’incantation que d’une assurance tout risque.