Recevez chaque jour toute l'actualité du numérique

x

L'utilisation du cloud d'Amazon et de Microsoft par les institutions européennes au coeur d'une enquête

Le Contrôleur européen de la protection des données lance deux enquêtes sur l'utilisation par les institutions bruxelloises des services de cloud computing de Microsoft et d'Amazon. L'autorité estime que les garanties proposées par ces entreprises américaines sont insuffisantes pour s'assurer que les données qu'elles hébergent sont protégées des autorités américaines en vertu du CLOUD Act.
Twitter Facebook Linkedin Flipboard Email
×

L'utilisation du cloud d'Amazon et de Microsoft par les institutions européennes au coeur d'une enquête
L'utilisation du cloud d'Amazon et de Microsoft par les institutions européennes au coeur d'une enquête © Parlement européen/Facebook

Le Contrôleur européen de la protection des données (CEPD), chargé de veiller à ce que les institutions et organes de l'Union européenne respectent le droit des citoyens à la protection de leur vie privée lors du traitement de données personnelles, annonce ce 27 mai l'ouverture de deux enquêtes. La première porte sur l'utilisation des services de cloud fournis par Amazon Web Services (AWS) et Microsoft dans le cadre du contrat "Cloud II" par les institutions, organes et agences de l'UE et la seconde sur l'utilisation de Microsoft Office 365 par la Commission européenne.

Respecter l'arrêt Schrems II
Cette nouvelle procédure s'inscrit dans une stratégie du CEPD de vérifier que les institutions européennes se conforment bien à l'arrêt Schrems II qui a invalidé le Privacy Shield en juillet 2020. Pour rappel, ce texte facilitant le transfert de données entre l'UE et les Etats-Unis en reconnaissant que la législation américaine offrait les mêmes garanties que le Règlement général sur la protection des données (RGDP).

En novembre 2020, l'autorité avait demandé aux institutions européennes d'éviter les activités de traitement qui impliquaient des transferts de données personnelles outre-Atlantique. Wojciech Wiewiórowski, à la tête de l'institution, dit avoir "identifié certains types de contrats qui nécessitent une attention particulière (...)". Il note que bien que ces contrats aient été signés avant l'arrêt Schrems II et que des mesures ont été prises par Amazon et Microsoft, "ces mesures annoncées peuvent ne pas être suffisantes pour garantir le plein respect de la législation de l'UE sur la protection des données". C'est la raison pour laquelle il a été décidé d'enquêter sur ce sujet.

Des interrogations similaires en France
Des interrogations similaires se posent en France où la Commission nationale de l'informatique et des libertés (Cnil) vient de demander à l'enseignement supérieur et de la recherche de cesser l'utilisation d'outils collaboratifs américains et de se tourner vers des solutions alternatives. Mais l'illustration la plus notoire de ce contentieux reste le Health Data Hub, cette base de données de santé des Français dont l'hébergement a été confié à Microsoft Azure.

Face au risque de divulgation des données aux autorités américaines, le gouvernement français dit vouloir changer de fournisseur de cloud pour le Health Data Hub. "Je partage pleinement vos préoccupations relatives au risque de divulgation de données hébergées par la plateforme aux autorités américaines avec le choix de l'entreprise Microsoft", écrivait le ministre de la Santé et des Solidarités, Olivier Véran, dans cette lettre en novembre 2020. Il expliquait souscrire pleinement à la nécessité d'adopter "une nouvelle solution technique" dans un "délai qui soit autant que possible compris entre 12 et 18 mois".

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.