Depuis que la Cour de justice de l’Union européenne a déclaré les accords bilatéraux pour la transmission des données transatlantiques (Safe Harbor et, ensuite, Privacy Shield) invalides sur requête de Max Schrems, activiste autrichien pour la protection des données, de plus en plus de fournisseurs américains de services cloud sont contraints d’avoir recours aux clauses contractuelles types (CCT, Standard Contractual Clauses ou SCC). Dans le cadre de nos projets client, nous recevons fréquemment des questions pour savoir à quoi s’attendre sur le sujet. À ce contexte s’ajoutent les incertitudes liées aux lois comme le CLOUD Act aux États-Unis. Celle-ci régit la transmission des données aux autorités pour les fournisseurs américains, et ce, même si les données ne sont pas hébergés aux États-Unis mais sur des serveurs en Europe.
Schrems : scepticisme également à l’égard des clauses contractuelles types actualisées
Il est évident qu’un article de blog ne peut pas et ne doit pas remplacer un conseil juridique pointu sur ces questions. Toutefois, nous vous renvoyons à la conversation que nous avons eue avec Max Schrems l’année dernière. Durant cet échange, Schrems abordait de manière très explicite le « contournement » au moyen des CCT (clauses contractuelles types). Dans sa ligne de mire : les versions mises à jour depuis juin 2021, qui seraient toutefois nettement plus compliquées à appliquer, car, en principe, une évaluation au cas par cas doit être effectuée à chaque fois.
Les datacenters européens des fournisseurs américains non protégés contre l’accès des autorités
Selon Max Schrems, il n’est pas toujours facile d’évaluer la situation des fournisseurs américains, en particulier ceux dont le traitement des données est géographiquement réparti, comme c’est le cas dans les domaines de la messagerie électronique, de la sécurité ou de la fourniture de contenu. Mais une chose est claire : même si les fournisseurs américains de services cloud exploitent leurs propres datacenters en Europe, cela ne protège pas les données qui y sont stockées contre l’accès permis par la loi FISA. Et pour cause : le Foreign Intelligence Surveillance Act n’a pas de restriction géographique.
Des fournisseurs tenus au secret
L’obligation de garder le secret est considérée ici comme particulièrement problématique dans le cadre des National Security Letters (NSL) et du Foreign Intelligence Surveillance Act (FISA), qui interdisent parfois expressément aux fournisseurs d’informer les personnes concernées des demandes de données dont elles font l’objet (au grand dam de grands fournisseurs américains tels que Microsoft).
Et si vous interrogiez directement vos fournisseurs sur leurs pratiques ?
Concernant l’invalidation du Privacy Shield et les doutes que cela génère chez de nombreuses entreprises, Max Schrems a un avis tranché. Plutôt que de dépenser leur argent en conseils juridiques, les entreprises devraient interroger elles-mêmes leurs prestataires de services et les mettre à l’épreuve. Dans cette optique, nous avons rassemblé les critères essentiels à respecter sur notre site Web. Vous trouverez également un questionnaire à transmettre à votre prestataire de services informatiques.