Le 10 avril dernier, la presse spécialisée s est fait l écho(1) d un

Transcription

1 Les offres Cloud pour entreprises et la protection des données à caractère personnel : les recommandations dont les entreprises doivent tenir compte lorsqu elles choisissent une offre Cloud Toute entreprise française désireuse d opter pour une offre de services Cloud doit aller audelà des déclarations de communication des fournisseurs et vérifier que les offres qui lui sont proposées, notamment celles émanant de sociétés américaines, répondent aux contraintes légales qui pèsent sur elle en sa qualité de responsable du traitement des données qui transiteront par les services du fournisseur de services Cloud choisi et de ses éventuels prestataires sous-traitants. Tel est le sens de la présente analyse. Par Anne-Sophie POGGI Avocat Cabinet Anne-Sophie Poggi Avocats IT Et Audrey LEFÈVRE Avocat Cabinet Anne-Sophie Poggi Avocats IT RLDA 3532 Le 10 avril dernier, la presse spécialisée s est fait l écho(1) d un billet posté sur le blog officiel de Microsoft, dans lequel Brad Smith, directeur juridique et vice-président exécutif de Microsoft, déclarait que les contrats des services Cloud Microsoft (Azure, Office 365, Dynamics CRM et Intune) étaient conformes aux «high standards of EU privacy law» (2). Au soutien de cette déclaration, Microsoft a fait circuler sur le net une lettre du 2 avril 2014 émanant d Isabelle Falque-Pierrotin (actuelle présidente de la Cnil), en sa qualité de présidente du Groupe de travail des autorités indépendantes nationales de protection des données de l Union européenne (le «G29») (3), qui validait, selon la société américaine, cette conformité. Dans un communiqué publié le 24 avril 2014, la Cnil est venue tempérer cette affirmation en précisant que le «G29» n avait procédé qu à une «évaluation partielle» des documents contractuels soumis par Microsoft, soulignant que «l issue positive de cette éva- (1) < (2) < privacy-authorities-across-europe-approve-microsoft-s-cloud-commitments.aspx>. (3) Lettre du «G29» du 2 avril 2014 à Microsoft, Ref. Ares(2014) avr. 2014, publiée sur le blog de Microsoft. luation partielle ne signifie pas que les dispositions contractuelles de Microsoft dans leur ensemble sont conformes avec l intégralité des règles de protection des données de l UE, ni que Microsoft respecte ces règles dans la pratique» (4). Cette précision de la Cnil est l occasion de souligner, dans le contexte particulier des révélations d Edward Snowden, que les entreprises françaises intéressées par des offres de services Cloud ne peuvent se limiter aux communications des fournisseurs lorsqu elles décident d opter pour une offre de services Cloud en particulier. Avant de prendre leur décision, les directions juridique et informatique de ces entreprises doivent se poser plusieurs questions essentielles pour la protection des données à caractère personnel de leurs collaborateurs, partenaires et clients. Pour affirmer sur son blog que les documents contractuels de ses services Cloud (Azure, Office 365, Dynamics CRM et Intune) seraient conformes aux «high standards of EU privacy law» et que ses clients pourraient ainsi utiliser, «en toute sécurité», ces services pour librement déplacer les données, au moyen du Cloud, depuis l Europe vers le reste du monde, Microsoft s est appuyée sur une lettre émise par le «G29» le 2 avril (4) Article Cnil «[Communiqué «G29»] Évaluation partielle du contrat Microsoft par le G29 : rappels aux fournisseurs de services Cloud», 24 avr. 2014, < 44 I RLDI Numéro 106 I Juillet 2014

2 Le «G29» a été institué par la directive nº 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l égard du traitement des données à caractère personnel. Il a une mission consultative et agit en toute indépendance. Outre la mission de veiller à la mise en œuvre homogène des dispositions nationales prises en application de la directive, il a également pour mission de donner des avis sur le niveau de protection dans l Union européenne («UE») et dans les pays tiers. Le «G29» peut émettre de sa propre initiative des recommandations sur toute question concernant la protection des personnes à l égard du traitement des données à caractère personnel dans l UE, ce qu il fait notamment au moyen d opinions et de recommandations publiques (5). En renvoyant à une lettre du «G29», les offres de services Cloud de Microsoft semblaient donc revêtues de garanties particulièrement rassurantes pour les entreprises. On comprend qu à travers son billet et la diffusion de cette lettre sur son blog, la volonté de Microsoft a été de rassurer la clientèle européenne alertée par les révélations Snowden qui n en finissent pas de mettre au jour l étendue colossale, au nom de la lutte antiterroriste, de la surveillance opérée par les agences de sécurité américaines sur les données provenant notamment d entreprises et d institutions européennes. Pour autant, le contenu de la lettre du «G29» dont se prévaut Microsoft ne permet pas, contrairement à ce qu affirme la société américaine, de conclure que ses clients peuvent utiliser ses services Cloud et transférer leurs données librement depuis l UE vers le reste du monde (sans distinction de pays) «en toute sécurité». En effet, aux termes de son courrier, le «G29» a seulement indiqué que le MS Agreement, c est-à-dire le contrat Microsoft remis pour signature aux clients des services Office 365, Microsoft Azure, Microsoft Dynamics CRM et Windows pour les aspects «données à caractère personnel», tel que modifié par Microsoft, «sera en ligne avec les clauses contractuelles types 2010/87/EU et ne devrait dès lors pas être considéré comme des clauses ad hoc» (6). La Cnil, dans son communiqué du 24 avril 2014, a d ailleurs pris soin de souligner que le «G29» n a procédé qu à une «évaluation partielle» du contrat Microsoft, limitée à l évaluation de la conformité «aux exigences visant les transferts internationaux de données contenues dans les clauses contractuelles types 2010/87/ EU (clauses dites de responsable de traitement à sous-traitant (7) ( )» conformément à l article 26 de la directive nº 95/46/CE (8), ajoutant que cette évaluation n incluait pas les annexes au contrat censées décrire précisément ces transferts («catégories de données, mesures de sécurité et de confidentialité mises en œuvre par l importateur de données, etc.»). Ainsi, l évaluation du «G29» a uniquement confirmé que les exigences contractuelles de Microsoft, en sa qualité de sous-traitant de traitement de données à caractère personnel agissant pour le compte de ses clients européens responsables de traitement, à l égard de ses propres éventuels prestataires sous-traitants établis dans des pays tiers n assurant pas un niveau de protection adéquat au sens de la directive nº 95/46/CE, étaient bien conformes aux clauses contractuelles types et donc à la directive. Cette évaluation n a, en outre, été que «partielle» puisqu elle n a pas pris en compte les annexes dont le contenu, susceptible de varier selon les clients, devra faire l objet d une vérification au cas par cas par Microsoft et ses clients afin de veiller à ce qu elles «répondent à leurs besoins spécifiques et aux exigences légales en matière de protection des données ( )». De sorte que, comme le rappelle la Cnil, «l issue positive de cette évaluation partielle ne signifie pas que les dispositions contractuelles de Microsoft dans leur ensemble sont conformes avec l intégralité des règles de protection des données de l UE, ni que Microsoft respecte ces règles dans la pratique» (9). Ainsi toute entreprise française désireuse d opter pour une offre de services Cloud doit aller au-delà des déclarations de communication des fournisseurs et vérifier, en se posant les questions traitées dans le présent article, que les offres qui lui sont proposées, notamment celles émanant de sociétés américaines, répondent aux contraintes légales qui pèsent sur elle en sa qualité de responsable du traitement des données qui transiteront par les services du fournisseur de services Cloud choisi et de ses éventuels prestataires sous-traitants. I. LE FOURNISSEUR DE SERVICES CLOUD PERMET-IL AU CLIENT (RESPONSABLE DE TRAITEMENT) FRAN- ÇAIS DE SE CONFORMER À LA LOI «INFORMA- TIQUE ET LIBERTÉS» DE 1978? La loi nº du 6 janvier 1978 «relative à l informatique, aux fichiers et aux libertés» telle que modifiée par la loi nº du 6 août 2004 (la loi «Informatique et libertés»), qui transpose la directive nº 95/46/CE, met en œuvre un régime contraignant pour le responsable du traitement de données à caractère personnel établi en France. (5) Articles 29 et 30 de la directive nº 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 «relative à la protection des personnes physiques à l égard du traitement des données à caractère personnel et à la libre circulation de ces données». (6) Lettre du «G29» du 2 avril 2014 à Microsoft, précitée : «They [le G29 ] concluded that the MS Agreement, as it will be modified by Microsoft, will be in line with the Standard Contractual Clauses 2010/87/EU, and should therefore not be considered as ad hoc clauses ( )». (7) Décision de la Commission du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive nº 95/46/CE du Parlement européen et du Conseil (notifiée sous le numéro C(2010)593). (8) Article 26 de la directive nº 95/46/CE : «( ) 2. Sans préjudice du paragraphe 1, un État membre peut autoriser un transfert, ou un ensemble de transferts, de données à caractère personnel vers un pays tiers n assurant pas un niveau de protection adéquat au sens de l article 25, paragraphe 2, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu à l égard de l exercice des droits correspondants ; ces garanties peuvent notamment résulter de clauses contractuelles appropriées ( ).» (9) Article Cnil «[Communiqué «G29»] Évaluation partielle du contrat Microsoft par le G29 : rappels aux fournisseurs de services Cloud», précité. Numéro 106 I Juillet 2014 RLDI I 45

3 Elle dispose en effet, aux termes des articles 34 et 35 (10), que le responsable du traitement et son sous-traitant (et donc notamment le fournisseur de services Cloud) doivent prendre «toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès». Si cette obligation pèse également sur les épaules du sous-traitant (article 35), le responsable du traitement reste celui qui doit veiller au respect de telles mesures par son sous-traitant, par tous moyens qui peuvent notamment consister en des audits dudit sous-traitant. Certaines dispositions de la loi «Informatique et libertés» sont plus contraignantes que celles de la directive nº 95/46/CE qui prévoit que s applique au responsable du traitement et à son sous-traitant la loi nationale de l État membre sur le territoire duquel ils sont établis (11). (10) Article 34 de loi «Informatique et libertés» : «Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ( ).» (11) Article 4 de la directive nº 95/46/CE : «Droit national applicable Chaque État membre applique les dispositions nationales qu il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque : a) le traitement est effectué dans le cadre des activités d un établissement du responsable du traitement sur le territoire de l État membre ; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable ( ).» Article 17 de la directive nº 95/46/CE : «Sécurité des traitements 1. Les États membres prévoient que le responsable du traitement doit mettre en œuvre les mesures techniques et d organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l altération, la diffusion ou l accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite. Ces mesures doivent assurer, compte tenu de l état de l art et des coûts liés à leur mise en œuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger. 2. Les États membres prévoient que le responsable du traitement, lorsque le traitement est effectué pour son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d organisation relatives aux traitements à effectuer et qu il doit veiller au respect de ces mesures. 3. La réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que : le sous-traitant n agit que sur la seule instruction du responsable du traitement ; les obligations visées au paragraphe 1, telles que définies par la législation de l État membre dans lequel le sous-traitant est établi, incombent également à celui-ci ( ).» D une part, en cas de transfert de données à caractère personnel vers un sous-traitant établi en dehors de l UE, la directive nº 95/46/ CE prévoit qu un tel transfert n est possible que vers un pays tiers offrant «un niveau de protection adéquat» en raison de sa législation interne ou des engagements pris au niveau international (article 25) (12). C est le cas, notamment, des États-Unis, uniquement toutefois dans le cadre du programme «Sphère de sécurité» dit «Safe Harbor», pour les sociétés qui y ont adhéré (dont notamment la société Microsoft). Si le pays tiers n assure pas un tel niveau de protection, la directive transposée prévoit en outre qu un État membre peut autoriser un tel transfert «lorsque le responsable de traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu à l exercice des droits correspondants» (article 26) (13). Ces garanties peuvent résulter de l adoption de Binding Corporate Rules (BCR, règles pouvant être adoptées au sein de multinationales exportant des données depuis leurs filiales situées au sein de l UE vers leurs filiales situées dans des pays tiers n assurant pas un niveau de protection équivalent à celui de l UE), ainsi que de «clauses contractuelles appropriées» telles que, notamment, les clauses contractuelles types de responsable de traitement à sous-traitant qu a annexées Microsoft à son MS Agreement (14). En France, la loi «Informatique et libertés», qui a transposé ces règles, prévoit donc également que la garantie du «niveau de protection suffisant» peut résulter «des clauses contractuelles ou règles internes dont il [le traitement] fait l objet» (15). La loi «Informatique et libertés» impose, en outre, au responsable du traitement que les (12) Article 25 de la directive nº 95/46/CE : «Principes 1. Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l objet d un traitement, ou destinées à faire l objet d un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat. 2. Le caractère adéquat du niveau de protection offert par un pays tiers s apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données ; en particulier sont pris en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées ( ).» (13) Article 26, 2, de la directive nº 95/46/CE, précité. (14) Décision de la Commission du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers, précitée. (15) Articles 68 et suivants de loi «Informatique et libertés». Article 68 : «Le responsable d un traitement ne peut transférer des données à caractère personnel vers un État n appartenant pas à la Communauté européenne que si cet État assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l égard du traitement dont ces données font l objet ou peuvent faire l objet. Le caractère suffisant du niveau de protection assuré par un État s apprécie en fonction notamment des dispositions en vigueur dans cet État, des mesures de sécurité qui y sont appliquées, des caractéris- 46 I RLDI Numéro 106 I Juillet 2014

4 transferts hors UE effectués dans le cadre de BCR ou de clauses contractuelles types soient autorisés par la Cnil. Cette autorisation de la Cnil, qui valide au cas par cas les transferts de données traitées hors UE, conditionne donc le transfert des données vers un sous-traitant installé hors UE. Cette procédure contraignante d autorisation préalable est un choix du législateur français, alors que la directive nº 95/46/CE prévoit simplement l existence de contrôles préalables pour les «traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées» (16). D autre part, la loi «Informatique et libertés» sanctionne civilement et pénalement le responsable de traitement en cas de non-respect de ses obligations en termes de sécurité, et ce même si leur origine se trouve dans une défaillance du sous-traitant (et donc notamment du fournisseur de services Cloud ou des sous-traitants de celui-ci), selon le principe suivant lequel le donneur d ordre reste responsable de son sous-traitant. Ainsi, les articles , et du Code pénal condamnent à cinq ans d emprisonnement et à d amende les responsables de traitement qui contreviennent aux obligations qui leur incombent quant au traitement ou au transfert hors UE de données à caractère personnel qui ne bénéficierait pas d un niveau de protection «suffisant». Cette sanction passe à pour les personnes morales qui sont également exposées à des peines complémentaires telles que la confiscation, la fermeture d établissements, l interdiction d exercer ou l exclusion des marchés publics (article du Code pénal). Par conséquent, le responsable de traitement, client français d un fournisseur de services Cloud établi à l étranger, doit être assuré que ce dernier a mis en place les moyens suffisants assurant sa conformité, ainsi que celle de ses propres sous-traitants, au droit européen mais également à la loi «Informatique et libertés» afin d être autorisé à procéder à des transferts de données hors UE. Ainsi, dans le cas de Microsoft, fournisseur de services Cloud américain ayant adhéré au Safe Harbor, la conformité revendiquée de ses documents contractuels aux exigences européennes ne doit pas faire oublier que les transferts de données hors UE que Microsoft pourrait être amenée à faire, pour le compte de ses clients français, vers des prestataires sous-traitants installés dans des pays tiers (et non-safe Harbor), dans le cadre des clauses contractuelles types de responsable de traitement à sous-traitant annexées au MS Agreement, devront en tout état de cause être autorisés par la Cnil. tiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de l origine et de la destination des données traitées.» Article 69 : «( ) Il peut également être fait exception à l interdiction prévue à l article 68, par décision de la Commission nationale de l informatique et des libertés ou, s il s agit d un traitement mentionné au I ou au II de l article 26, par décret en Conseil d État pris après avis motivé et publié de la Commission, lorsque le traitement garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes, notamment en raison des clauses contractuelles ou règles internes dont il fait l objet.» (16) Article 20 de la directive nº 95/46/CE. II. LE FOURNISSEUR CLOUD AMÉRICAIN EST-IL EN MESURE DE GARANTIR LA CONFIDENTIALITÉ DES DONNÉES PROVENANT DE L UE FACE À L ÉTEN- DUE DE LA SURVEILLANCE DES DONNÉES EURO- PÉENNES OPÉRÉE PAR LES AGENCES DE SURVEIL- LANCE AMÉRICAINES? La validation du MS Agreement Microsoft par le «G29» n écarte pas la question délicate de l accès aux données étrangères permis par les lois américaines (Foreign Intelligence Surveillance Act FISA, le Patriot Act, et le FISA Amendments Act of 2008 FAA de 2008) et mieux connu du grand public depuis les révélations Snowden, sans que les prestataires de services Cloud américains, dont notamment Microsoft, puissent s y soustraire, ni même en informer leurs clients. Ces lois américaines autorisent les autorités américaines à surveiller les appels et les courriers électroniques de citoyens étrangers sans mandat délivré par un Tribunal (FISA), élargissent considérablement les pouvoirs des autorités répressives américaines s agissant de la collecte de renseignements à l intérieur des États-Unis (Patriot Act) et créent un pouvoir de surveillance de masse spécialement conçu pour la captation des données des citoyens des pays étrangers et vivant en dehors du territoire des États-Unis qui s applique notamment aux fournisseurs de services Cloud (FAA). Il est fait interdiction aux sociétés américaines dont les données sont collectées de notifier à leurs clients les requêtes couvertes par le FISA. Le responsable de traitement, client français d un fournisseur de services Cloud établi à l étranger, doit être assuré que ce dernier a mis en place les moyens suffisants assurant sa conformité Le Parlement européen s est saisi de ces révélations et a fait part de ses craintes à l égard des programmes de surveillance mis en place par l Agence nationale de sécurité (NSA) dans plusieurs États membres et de leur impact sur les droits fondamentaux des citoyens de l UE. Sa Commission «LIBE» (liberté, sécurité et justice) a rendu publique, en 2013, une étude commandée à Caspar Bowden (ancien conseiller de Microsoft) mettant en garde sur les effets des programmes de surveillance des États-Unis sur les droits fondamentaux des citoyens de l UE (17). Le 12 mars 2014, le Parlement a adopté une résolution aux termes de laquelle il a clairement exprimé sa défiance à l égard du Safe Harbor (18), menaçant de suspendre son consentement à l accord de libre-échange transatlantique (TTIP) en cours de négociation avec les États-Unis tant que ceux-ci ne respecteraient pas complètement les droits fondamentaux européens (19). Selon le (17) < IPOL-LIBE_NT(2013)474405_FR.pdf>. (18) < (19) < PR38203/html/US-NSA-stop-mass-surveillance-now-or-face-consequences-MEPs-say>. Numéro 106 I Juillet 2014 RLDI I 47

5 Parlement, le Safe Harbor n apporterait plus les «garanties suffisantes» de protection pourtant exigées par la directive nº 95/46/ CE pour les transferts de données hors UE (20). Dès 2012, le «G29», dans un avis n 05/2012 sur le Cloud computing (WP 196), avait recommandé, à l égard des entreprises européennes voulant bénéficier de services Cloud, qu il soit fait interdiction aux responsables de traitement au sein de l UE de divulguer des données à caractère personnel à un pays tiers lorsque cela est requis par les autorités judiciaires ou administratives de ce pays, à moins qu ils n y soient expressément autorisés par un accord international ou des traités d entraide judiciaire qui sont, selon lui, indispensables (21). Dans ce même avis, le «G29» a recommandé une évolution législative qui obligerait le prestataire Cloud à notifier à son client toute requête légale l obligeant à transmettre des données à caractère personnel, à l exception des demandes relevant du secret de l instruction en matière pénale. Dans son communiqué du 24 avril 2014 relatif à l «évaluation partielle» des documents contractuels Microsoft par le «G29», la Cnil, en conclusion, a invité les fournisseurs de services Cloud à prendre en compte cet avis du «G29» de 2012 afin de «veiller à la conformité de leurs stipulations contractuelles avec les exigences de l UE en matière de protection des données» (22). De son côté, le «G29», concomitamment à son «évaluation partielle» des documents contractuels Microsoft, a fait savoir, dans un avis adopté le 10 avril 2014, que ni le Safe Harbor, ni les clauses contractuelles types 2010/87/UE, ni les BCR (Binding Corporate Rules) ne sauraient servir de base légale pour justifier le transfert de données à caractère personnel vers une autorité d un pays tiers «dans un but de surveillance massive et systématique» (23). Le «G29» a ajouté que les opérateurs Cloud pourraient agir en contravention avec la loi européenne si les services d intelligence de pays tiers devaient avoir accès aux données de citoyens européens stockées sur leurs serveurs ou devaient se conformer à une requête en communication de données à caractère personnel à grande échelle. Dans une lettre adressée, le même jour, à la Commission européenne, le «G29» a réitéré auprès de celle-ci le caractère «hautement nécessaire» de l amélioration du Safe Harbor, en rappelant qu en tout état de cause (et notamment en cas de suspension du Safe Harbor) les autorités de protection des données européennes pouvaient suspendre les flux de données conformément à leurs compétences nationales et européennes (24). Les réserves émises par le «G29» tant à l égard des clauses contractuelles types, que du Safe Harbor ainsi que, s agissant de ce dernier, celles émises par le Parlement européen, du fait de la (20) Article 26, 2, de la directive nº 95/46/CE, précité. (21) Article 29 Data Protection Working Party, Opinion 05/2012 on Cloud computing adopté le 1 er juillet (22) Article Cnil «[Communiqué «G29»] Évaluation partielle du contrat Microsoft par le G29 : rappels aux fournisseurs de services Cloud», précité. (23) Article 29 Data Protection Working Party, Opinion 04/2014 on Surveillance of electronic communications for intelligence and national security purposes (10 avr. 2014). (24) Lettre du «G29» à la Commission européenne Viviane Reding en date du 10 avril 2014, Ref. Ares (2014) menace représentée par la surveillance massive des données à caractère personnel de citoyens européens par la NSA, nuancent donc considérablement l étendue de la conformité des documents contractuels Microsoft retenue par le «G29». L affaire révélée par la BBC le 29 avril 2014 (25) semble conforter ces réserves puisqu elle fait état de l injonction d un juge américain à Microsoft de remettre aux autorités américaines les données d un client, bien que ces dernières aient été stockées dans son data center irlandais et donc localisé sur le territoire de l UE. Les juges américains, arguant que ce mandat, dès lors qu il était relatif aux données en ligne qui relèvent du Stored Communications Act (intégré au titre II de l Electronic Communications Privacy Act), se distinguait des mandats classiques et n était, de ce fait, pas tenu par des limites territoriales. Consciente de l impact négatif que pourrait avoir, à l égard de sa clientèle européenne, un tel pouvoir judiciaire s il était confirmé, Microsoft s est opposée à cette injonction de divulgation des données stockées et a demandé que la décision soit cassée aux termes d objections émises le 6 juin 2014 et qu elle a diffusées sur son blog (26). Face au risque de perte de confiance que pourrait entraîner cette injonction si elle était confirmée, d autres opérateurs américains (Apple, Cisco, AT&T et Verizon), ainsi que l Electronic Frontier Foundation, se sont joints à Microsoft et ont produit des «amicus curiae» afin de donner leur position sur les risques de mandats judiciaires autorisant un juge américain à récupérer des données n étant pas sur le sol américain. III. LE FOURNISSEUR CLOUD EST-IL EN MESURE DE GARANTIR LA SÉCURITÉ, LE TRANSFERT, LA LO- CALISATION ET LA RESTITUTION DES DONNÉES? Dans son avis nº 05/12 sur le Cloud computing du 1 er juillet 2012 (WP 196), le «G29» avait formulé des recommandations qu une entreprise européenne souhaitant opter pour un fournisseur Cloud basé en dehors de l UE devrait prendre en compte dans son choix : le recours du fournisseur de services Cloud à des sous-traitants ne doit être rendu possible qu après un consentement du client au début de l exécution du contrat et à la condition que le fournisseur informe le client en cas de changement de ses sous-traitants, ajoutant qu il devrait être prévu une obligation d information de toutes intentions de changer de sous-traitants et la possibilité pour le client de les refuser ou de résilier librement le contrat ; les contrats entre le client et le fournisseur de services Cloud doivent fournir la liste des lieux où peuvent être traitées les données ; l obligation d audit des opérations de traitement du prestataire de services Cloud ainsi que de ses propres sous-traitants doit être prévue dans le contrat. En effet, bien que les fournisseurs de services Cloud mettent en place de plus en plus d actions pour rassurer la clientèle euro- (25) < (26) Microsoft s objections to the magistrates s order denying Microsoft s motion to vacate in part a search warrant seeking customer information located outside the United-States, June , Case nos 13- MAG-2814 ; M I RLDI Numéro 106 I Juillet 2014

6 péenne, il est nécessaire de vérifier que les dispositifs contractuels prévoient des engagements précis et transparents en termes de sécurité, de transfert, de localisation et de restitution des données : le client a-t-il un pouvoir de contrôle sur le transfert des données et leur traitement? ; le client peut-il localiser les données et le fournisseur de services Cloud se réserve-t-il le droit, notamment pour des raisons d organisation interne, de changer la localisation de ses data centers sans notification et acceptation préalable du client? ; le client est-il en mesure de savoir où ses données sont réellement traitées? ; le client a-t-il un droit de refuser des sous-traitants de son fournisseur? ; le client dispose-t-il d un véritable droit d audit ou ce droit estil limité par des modalités imposées par le fournisseur? Ce droit d audit est-il étendu aux sous-traitants du fournisseur de services Cloud? Sans compter la question de la réversibilité des données à la cessation des services Cloud. Cette réversibilité est-elle aménagée sans créer de dépendance technique du client vis-à-vis du fournisseur? Le client a-t-il l assurance que ses données seront définitivement détruites? Bien que les fournisseurs de services Cloud mettent en place de plus en plus d actions pour rassurer la clientèle européenne, il est nécessaire de vérifier que les dispositifs contractuels prévoient des engagements précis et transparents en termes de sécurité, de transfert, de localisation et de restitution des données Ce n est qu à l issue de ces vérifications que le client pourra déterminer que l offre de services Cloud qui lui est proposée présente les garanties rappelées ci-avant et qu il disposera d une réelle visibilité sur le traitement de ses données. CONCLUSION À l heure où, un peu plus de un an après les premières révélations Snowden, de nouvelles révélations concernant les programmes de surveillance américains continuent d être régulièrement publiées (27), et où le caractère suffisant de la protection du Safe Harbor et des clauses contractuelles types est remis en cause, il convient de ramener l impact de la lettre du 2 avril 2014 adressée par le «G29» à Microsoft sur l «évaluation partielle» des documents contractuels de ses services Cloud, à de plus justes proportions. (27) < Au-delà des déclarations des fournisseurs de services Cloud, les entreprises françaises intéressées par leurs offres doivent vérifier que le niveau de protection des données à caractère personnel proposé et effectivement opéré par ces fournisseurs est suffisant, en gardant à l esprit que si ces fournisseurs et les data centers de ceux-ci sont localisés aux États-Unis, de telles mesures ne pourront, en tout état de cause, pas empêcher la surveillance massive des données par les agences de sécurité américaines. Les révélations Snowden ont secoué les institutions, tant en Europe qu outre-atlantique. Aux États-Unis, elles ont conduit le président Barack Obama à s engager à réformer les pouvoirs de la NSA. En réponse à cet engagement, la Commission de la justice de la Chambre des représentants a adopté à l unanimité le projet de loi USA Freedom qui devait mettre fin à la collecte systématique, par la NSA auprès des opérateurs américains, des métadonnées téléphoniques (numéro appelé, durée, horaire) des appels passés sur leurs réseaux. Toutefois, un amendement déposé in extremis a considérablement réduit le contenu de cette réforme et la version adoptée par la Chambre des représentants, le 22 mai dernier, n a finalement pas véritablement réduit les pouvoirs de surveillance de la NSA. Surtout, cette réforme ne s applique qu aux citoyens américains et à l exploitation faite de leurs données ; rien n y est dit à l égard des données des citoyens européens collectées par la NSA. En Europe, ces révélations ont eu un large impact sur les débats relatifs à l adoption de la proposition de règlement de la Commission sur la protection des données à caractère personnel, destiné à remplacer la directive nº 95/46/CE et dont l un des objectifs est de «donner aux citoyens davantage de contrôle sur leurs données personnelles et de permettre aux entreprises de travailler plus facilement au-delà des frontières» (28). La proposition a été adoptée, dans une version amendée, en première lecture par le Parlement européen le 12 mars 2014 à une écrasante majorité (621 pour, 10 contre et 22 abstentions). Elle est en cours de discussion au Conseil de l UE. Les deux institutions devront ensuite s accorder sur un compromis avant que le règlement ne soit définitivement adopté, ce qui est prévu pour la fin de l année La proposition de règlement, dans sa version amendée par le Parlement européen, consacre un statut légal des sous-traitants de données à caractère personnel (29) (et donc notamment des fournisseurs de services Cloud), ce qui permettrait d engager directement leur responsabilité en cas de non-respect des obligations qui leur incombent au titre de la loi «Informatique et libertés», aux côtés du responsable du traitement (30). Elle augmente par ailleurs considérablement les sanctions applicables aux entreprises en prévoyant que les autorités de contrôle pourraient infliger aux entreprises ne se conformant pas (28) Proposition de règlement du 25 janvier 2012 (COM[2012]0011). (29) Proposition de règlement du 25 janvier 2012 (COM[2012]0011), article 26 (modifié par la résolution législative du Parlement européen du 12 mars 2014, amendements 121 et 27). (30) Proposition de règlement du 25 janvier 2012 (COM[2012]0011), article 75 (modifié par la résolution législative du Parlement européen du 12 mars 2014, amendements 184 et 77, modifié par la résolution législative du Parlement européen du 12 mars 2014, amendements 186 et 187). Numéro 106 I Juillet 2014 RLDI I 49

7 aux obligations énoncées dans le règlement une amende pouvant atteindre 5 % du chiffre d affaires annuel mondial (31). La proposition de règlement consacre une approche plus protectrice de l encadrement des transferts de données hors UE (32), question qui est également devenue centrale dans la négociation de l accord de libre-échange transatlantique (TTIP) comme l a soulevé le Parlement européen et comme l a rappelé la Cnil dans son rapport d activité 2013 publié en mai dernier (33). Cette approche plus protectrice devrait avoir d importantes répercussions sur les fournisseurs de services Cloud américains et plus globalement sur les prestataires établis en dehors de l UE. En effet, la proposition de règlement prévoit un champ d application territorial large, le règlement devant être applicable tant aux traitements de données effectués par un responsable de traitement ou un sous-traitant établi sur le territoire de l UE «que le traitement ait lieu ou pas dans l UE», qu aux traitements des données à caractère personnel appartenant «à des personnes concernées dans l Union européenne» (34) par un responsable du traitement ou un sous-traitant «qui n est pas établi dans l Union» lorsque les traitements sont liés à ces personnes concernées. Est ainsi consacrée la responsabilité du sous-traitant, que celui-ci soit établi sur le territoire de l UE ou en dehors de celui-ci, pour les traitements liés à des personnes concernées «dans l Union» (35). Parallèlement, la Cour de justice de l Union européenne vient de décider de l application de la directive nº 95/46/CE et de la législation nationale d un État membre à un traitement que la société mère, établie au États-Unis, revendiquait effectuer pour ne pas être assujettie à la directive nº 95/46/ CE. Pour ce faire, la Cour a retenu l interdépendance entre l activité de la société mère et celle de sa filiale installée sur le territoire de l UE. Dans un arrêt rendu le 13 mai 2014 impliquant Google Spain SL (société espagnole) et Google Inc. (société américaine), la Cour a ainsi considéré que, lorsque des données sont traitées pour les besoins d un moteur de recherche exploité par une entreprise qui, bien que située dans un État tiers (les États-Unis), dispose d un établissement dans un État membre, le traitement est effectué dans le cadre des activités de cet établissement au sens de la directive nº 95/45/CE dès lors que celui-ci est destiné à assurer, dans l État membre en question, la promotion et la vente des espaces publicitaires proposés sur le moteur de recherche en vue de rentabiliser le service offert par ce dernier. Du fait de l interdépendance entre ces activités, la Cour a retenu que Google était un responsable de traitement établi sur le territoire de l UE et par conséquent soumis aux obligations imposées par la directive nº 95/46/CE (36). Ces évolutions législatives et jurisprudentielles vont dans le sens d une plus grande protection des données à caractère personnel des citoyens européens, y compris lors de leur traitement par des sous-traitants établis en dehors de l UE. En ce sens, elles conforteront sans doute les entreprises européennes désireuses de faire appel à des prestataires de services Cloud localisés en dehors de l UE à opter pour leurs offres. Les recommandations du «G29» sur le Cloud computing restent toutefois d actualité et il est majeur que les entreprises européennes et notamment françaises, responsables de traitement de données à caractère personnel, s assurent, lorsqu elles décident de faire appel à un prestataire de services Cloud, de la mise en œuvre effective de garanties suffisantes en termes de sécurité, de localisation, de confidentialité et de réversibilité. (31) Proposition de règlement du 25 janvier 2012 (COM[2012]0011), article 79 (modifié par la résolution législative du Parlement européen du 12 mars 2014, amendement 188). (32) Proposition de règlement du 25 janvier 2012 (COM[2012]0011), chapitre V (modifié par la résolution législative du Parlement européen du 12 mars 2014, amendements 137, article 41 ; 138, article 42 ; 139, article 43 ; 140, article 43 bis ; 141, article 44 ; 142 et 143, article 45 et 144, article 45 bis). (33) Cnil, Rapport d activité 2013, Doc. fr., publié en mai 2014, p. 26 : «Les révélations sur les programmes de surveillance massive de la NSA ont provoqué une véritable onde de choc. Il en résulte une tension politique de l UE avec les États-Unis au sujet de l utilisation des données des citoyens européens recueillies par les géants américains de l internet, cela au moment même où s engagent les négociations pour un traité de libre-échange transatlantique.» (34) La notion de «personnes concernées dans l Union» retenue ici est plus large que la notion qui avait été retenue dans la version de la Commission au Parlement européen et au Conseil (COM[2012]) où il était question des traitements appartenant «à des personnes concernées ayant leur résidence sur le territoire de l Union». (35) Proposition de règlement du 25 janvier 2012 (COM[2012]0011), articles 3 (modifié par la résolution législative du Parlement européen du 12 mars 2014, amendements 97), 75 (modifié par la résolution législative du Parlement européen du 12 mars 2014, amendements 184) et 77 (modifié par la résolution législative du Parlement européenpe du 12 mars 2014, amendements 186 et 187). (36) Arrêt CJUE (Gde Ch.), 13 mai 2014, aff. C-131/12, Google Spain SL et Google Inc. c/ Agencia Española de Protección de Datos (AEPD) et Mario Costeja González. 50 I RLDI Numéro 106 I Juillet 2014