En avril 2019, le « CEPD-contrôleur » (*) ou Contrôleur européen de la protection des données, a lancé une enquête sur l’utilisation des produits et services Microsoft par les institutions européennes.
L’enquête avait permis d’identifier les produits et services Microsoft utilisés par les institutions de l’UE et d’évaluer si les accords contractuels conclus entre Microsoft et les institutions de l’UE étaient conformes au RGPD (1). Microsoft y avait répondu en revoyant notamment ses « Online Services terms » (OST) (2).
Le 2 juillet 2020, le CEPD-contrôleur a rendu publiques ses conclusions et recommandations sur l’utilisation des produits et services Microsoft par les institutions de l’UE (3).
Selon le CEPD-contrôleur, Microsoft agit comme « Responsable de traitement ». Le CEPD-contrôleur a formulé trois principales critiques quant à la latitude d’action laissée à Microsoft par les Institutions européennes (4).
Le CEPD-contrôleur contre le droit d’amendement unilatéral de Microsoft
En application du contrat, Microsoft bénéficie d’un droit illimité de modifier tous les ensembles de clauses types qui lui ont été incorporés par référence.
Par ailleurs, Microsoft peut apporter des modifications profondes aux termes de protection des données du contrat. Il lui suffit de changer un ensemble de termes standards incorporés. Ainsi, au mois de janvier 2020, Microsoft a retiré un certain nombre de termes importants relatifs à la protection des données des « Conditions des services en ligne » et les a intégrés dans un nouveau document standard, appelé l’« Addendum sur la protection des données ».
Le contenu de ces termes de protection des données a également fait l’objet d’une révision substantielle.
De plus, au moment où le CEPD-contrôleur a conclu son enquête, il n’existait pas, non plus, de lien contractuel explicite, entre l’addendum relatif à la protection des données et le contrat interinstitutionnel, tel qu’une déclaration dans les conditions des services en ligne, selon laquelle l’addendum relatif à la protection des données faisait partie des conditions des services en ligne.
Dans l’ensemble, le CEPD-contrôleur a estimé qu’il y avait un risque élevé que Microsoft modifie, par exemple, les finalités pour lesquelles elle traite des données à caractère personnel, la localisation des données et les règles régissant la divulgation et le transfert de données, sans que les institutions européennes aient un recours contractuel contre ces modifications.
La portée limitée des obligations en matière de protection des données dans l’Accord de Licence interinstitutionnel
Certaines catégories de données, recueillies et utilisées par Microsoft à la suite de l’utilisation de ses produits et services par les institutions européennes, ne relevaient pas du champ d’application des protections contractuelles.
Selon le CEPD-contrôleur, les institutions européennes n’ont que peu ou pas de contrôle contractuel sur les données personnelles collectées par Microsoft auprès des utilisateurs, ou sur ce que Microsoft peut faire avec ces données, à moins qu’elles n’aient été fournies via des services en ligne et qu’il soit certain qu’elles restent dans cette catégorie.
L’absence de finalités spécifiques et explicitement définies pour le traitement qui a eu lieu dans ce cadre
Dans le contexte d’un accord détaillé et complexe entre des opérateurs sophistiqués touchant un grand nombre de personnes concernées, le CEPD-contrôleur estime qu’il convient de spécifier les finalités autorisées pour le traitement. Or, le contrat tel qu’il est rédigé laisse beaucoup trop de place à l’interprétation.
En outre, un certain nombre de difficultés subsistent quant à la clarté de la limitation de la finalité. Par exemple, l’addendum relatif à la protection des données incluait la « fourniture d’expériences utilisateur personnalisées » dans la définition de ce que signifiait « fournir » un service en ligne.
Cela était en contradiction directe avec l’interdiction par défaut du « profilage des utilisateurs » soulevant ainsi la question de savoir dans quelle mesure Microsoft interprétait de manière restrictive le « profilage des utilisateurs ».
Le CEPD-contrôleur a émis les recommandations suivantes :
- chaque institution de l’UE devrait agir en tant que responsable du traitement unique en ce qui concerne son utilisation des produits et services Microsoft dans l’accomplissement de tâches d’intérêt public ou dans l’exercice de l’autorité officielle ;
- l’accord de licence-cadre devrait prévoir un ordre de préséance non ambigu des documents contractuels ;
- les modifications que les institutions européennes ont négociées concernant les conditions standard de Microsoft devraient figurer dans le document contractuel hiérarchiquement le plus important. Il devrait en être de même pour toutes les dispositions nécessaires pour se conformer au règlement (UE) 2018/1725, pendant du RGPD adapté aux institutions européennes ;
- il ne devrait être possible de modifier les dispositions relatives à la protection des données que d’un commun accord ;
- le champ d’application des dispositions relatives à la protection des données devrait être élargi pour couvrir toutes les données personnelles non seulement fournies à Microsoft mais aussi générées par Microsoft, en conséquence de l’utilisation par les institutions européennes de tous les produits et services de Microsoft ;
- les institutions de l’UE devraient négocier un ensemble de finalités spécifiques, explicites et exhaustives pour couvrir tous les types de données personnelles impliquées dans leur utilisation des produits et services Microsoft. Les finalités devraient être limitées à celles qui étaient nécessaires pour que les institutions de l’UE puissent utiliser ces produits et services. Les autres finalités devraient être expressément interdites.
L’absence de contrôle des institutions européennes sur la relation de sous-traitance
Le CEPD-contrôleur regrette une absence de contrôle des institutions européennes, notamment dans les éléments suivants (4) :
- Les termes du contrat contiennent ce qui semble être une autorisation générale d’engager des sous-traitants secondaires. Cependant, celle-ci ne s’applique qu’aux données personnelles fournies par l’utilisation des services en ligne. Le CEPD-contrôleur n’a vu aucune autorisation en place couvrant les autres catégories de données traitées par Microsoft ;
- Microsoft peut prendre des dispositions pour que des audits de sécurité soient effectués au moins une fois par an, par des auditeurs de sécurité externes sélectionnés et payés par Microsoft. Les textes n’expliquent pas dans quelle mesure ces audits de sécurité couvrent le respect de la protection des données. Ils n’ont pas non plus confirmé si les audits de sécurité couvriraient toutes les activités de traitement relevant du champ d’application des conditions des services en ligne ou seulement certaines d’entre elles, ou s’ils couvriraient également les traitements ne relevant pas du champ d’application des conditions des services en ligne.
Le CEPD-contrôleur a notamment formulé les recommandations suivantes sur la sous-traitance
- évaluer les risques que présentent pour les personnes concernées les sous-traitants ultérieurs actuellement utilisés par Microsoft.
- veiller à ce que l’utilisation de sous-traitants secondaires pour toutes les données à caractère personnel traitées par Microsoft en vertu du contrat (et tout changement de sous-traitant secondaire) soit soumise à une autorisation écrite préalable ;
- introduire dans le contrat l’obligation pour Microsoft de fournir des informations complètes, d’une part, sur les sous-traitants secondaires utilisés pour chaque produit ou service fourni aux institutions européennes et pour chaque activité de traitement et catégorie de données à caractère personnel et, d’autre part, sur les garanties de protection des données et les mesures de sécurité (c’est-à-dire les mesures techniques et organisationnelles) mises en place pour chaque sous-traitant secondaire. Cela devrait inclure l’obligation pour Microsoft de fournir sur demande les parties pertinentes de son contrat avec un sous-traitants ultérieurs particulier ;
- des droits d’audit détaillés, efficaces et exécutoires pour le responsable du traitement et pour le CEPD-contrôleur devraient être prévus ;
- Microsoft devrait mettre à la disposition des institutions européennes toutes les informations nécessaires pour démontrer la conformité avec l’article 29 du RGPD. Selon le CEPD-contrôleur, les dispositions contractuelles devraient couvrir les informations sur le fonctionnement des systèmes utilisés, l’accès aux données et les destinataires, les sous-traitants secondaires, les mesures de sécurité, la conservation des données à caractère personnel, la localisation des données, les transferts de données à caractère personnel ou tout autre traitement ultérieur des données à caractère personnel.
L’absence de contrôle des institutions européennes sur la localisation et le transfert des données
L’enquête du CEPD-contrôleur a révélé que les institutions européennes n’étaient pas en mesure de contrôler la localisation d’une grande partie des données traitées par Microsoft. Elles n’avaient pas non plus le contrôle total sur ce qui était transféré hors de l’UE/EEE et comment.
Il y avait également un manque de garanties appropriées pour protéger les données transférées.
Pour pallier à ces manquements, le CEPD-contrôleur a formulé les recommandations suivantes :
- le contrat devrait comprendre des dispositions détaillant, pour chaque produit et service Microsoft fourni dans le cadre de cet accord, l’emplacement des données collectées et traitées lorsque les institutions de l’UE ont utilisé ce produit ou service spécifique ;
- le contrat devrait explicitement exiger de Microsoft qu’il mette en place des garanties contractuelles, organisationnelles et sécuritaires appropriées en cas de transferts internationaux de données. En particulier, l’ADI devrait exiger de Microsoft qu’il mette en place des mesures de sécurité solides pour couvrir les données en transit ;
- le contrat devrait interdire à Microsoft (et aux sous-traitants secondaires) de divulguer des données à caractère personnel aux autorités des États membres, aux autorités de pays tiers, aux organisations internationales ou à d’autres tiers, sauf si cela a été expressément autorisé par le droit de l’Union, ou par le droit des États membres dans la mesure où les conditions prévues par le droit de l’Union pour une telle divulgation étaient remplies ;
- le contrat devrait exiger que Microsoft informe les institutions européennes concernées de toute demande d’accès à des données reçue par Microsoft ou les sous-traitants secondaires, dès réception de la demande. En règle générale, Microsoft devrait rediriger les demandes vers l’institution européenne concernée et solliciter ses instructions. En tout état de cause, Microsoft devrait contester les demandes d’accès, en épuisant tous les recours juridiques disponibles. Aucune divulgation de données par Microsoft ou par des sous-traitants secondaires ne devrait être autorisée sans notification, accord et instruction préalables de l’institution européenne concernée et sans que des garanties appropriées soient mises en place. Si une institution de l’UE choisit de ne pas divulguer des données, celles-ci ne devraient être divulguées que sur ordre de la Cour de justice européenne ;
Le respect du protocole n° 7 du TFUE et du règlement (UE) 2018/1725
Enfin, à moyen terme, si les institutions de l’UE souhaitent maintenir les protections offertes par le protocole n° 7 du TFUE et le règlement (UE) 2018/1725 contre la divulgation non autorisée, elles devraient sérieusement envisager de le faire :
- premièrement, de s’assurer que les données traitées pour leur compte se trouvent dans l’UE/EEE ;
- deuxièmement, n’utiliser que des prestataires de services non soumis à des lois de pays tiers en conflit avec la portée extraterritoriale.
La réponse de Microsoft se fait encore attendre. Cependant, cette fois, elle ne devrait pas se limiter à la simple mise à jour d’une documentation contractuelle mais également à la reprise de certains points techniques sensibles, allant dans le sens d’une régionalisation nécessaire des données par cloisonnement.
Eric Le Quellenec
Marine Lecomte
Lexing Informatique Conseil
* CEPD-Contrôleur à ne pas confondre avec le CEPD-Comité.
(1) EDPS investigation into IT contracts: stronger cooperation to better protect rights of all individuals, Communiqué de presse, 21-10-2019.
(2) Post “Les contrats cloud Microsoft rattrapés par le RGPD« , Eric Le Quellenec, 26-11-2019.
(3) DPS Public Paper on Outcome of own-initiative investigation into EU institutions’ use of Microsoft products and services, 02-07-2020.
(4) DPS Public Paper précité, 24.
(5) DPS Public Paper préc., 66.