Con­seil d’É­tat sur le trans­fert de don­nées per­son­nel­les à Micro­soft aux Pays-Bas

FR 
FR  DE  EN 

de

sur le site

Bran­ches

Auto­ri­té

Lois

Thè­mes

, ,
Ven­te à emporter (AI)
  • Le Con­seil d’É­tat a con­fir­mé l’hé­ber­ge­ment aux Pays-Bas et a con­sidé­ré que le tex­te du cont­rat offrait des garan­ties suf­fi­san­tes cont­re les trans­ferts de rou­ti­ne de don­nées vers les États-Unis.
  • Le tri­bu­nal a souli­g­né que les obli­ga­ti­ons de divul­ga­ti­on ne con­cer­naient que le droit de l’UE/des États mem­bres ; Micro­soft doit signal­er les incom­pa­ti­bi­li­tés avec le RGPD.
  • La décis­i­on se con­cent­re sur les ris­ques con­crets des per­son­nes con­cer­nées plutôt que sur les droits abstraits des four­nis­seurs locaux, mais laisse plu­sieurs que­sti­ons en suspens.

La plus hau­te juri­dic­tion admi­ni­stra­ti­ve fran­çai­se (le Con­seil d’É­tat) s’est déjà pro­non­cée le 13 octobre 2020 – en réfé­ré – sur un cont­rat avec Micro­soft portant sur l’hé­ber­ge­ment de don­nées de san­té sur MS Azu­re pour la pla­te­for­me “Hub de don­nées sur la san­té” s’est expri­mé. Le Health Data Hub est une insti­tu­ti­on publi­que pour l’é­ch­an­ge de don­nées de san­té à des fins de recher­che. En avril 2020, la pla­te­for­me avait con­clu à cet effet un cont­rat d’hé­ber­ge­ment avec Micro­soft Irlan­de. Des asso­cia­ti­ons, des syn­di­cats et des per­son­nes indi­vi­du­el­les en France ont par la suite deman­dé d’in­terd­ire à la pla­te­for­me “Health Data Hub” de trai­ter des don­nées de san­té, car il y avait un ris­que de trans­fert de don­nées per­son­nel­les vers les États-Unis ; selon le Arrêt Schrems II de la CJCE n’off­re pas un niveau adé­quat de pro­tec­tion des données.

Le site Le Con­seil d’É­tat a reje­té le recours (une tra­duc­tion auto­ma­tique de la décis­i­on en alle­mand se trouve sur ici en PDF). Les con­sidé­ra­ti­ons sui­van­tes ont été déter­mi­nan­tes à cet égard :

  • En tant que site de ser­ve­urs, les Pays-Bas ont été convenus.
  • L’ac­cord ent­re Micro­soft et la pla­te­for­me pré­voyait que Micro­soft four­nis­se des don­nées sur les cli­ents pas sans con­sen­te­ment en dehors du site du ser­veur (“Geos”), même pour la main­ten­an­ce ou l’as­si­stance. Le Con­seil d’É­tat a donc sup­po­sé que les don­nées des cli­ents en régime de croi­siè­re, pas aux États-Unis de l’U­ni­on européenne.
  • En ce qui con­cer­ne le ris­que rési­du­el, que l’on ne peut écar­ter, que Micro­soft devi­en­ne tout de même la pre­miè­re ent­re­pri­se à uti­li­ser la tech­no­lo­gie de l’In­ter­net. Trans­mis­si­on de don­nées cli­ents aux auto­ri­tés amé­ri­cai­nes Une par­tie du cont­rat obli­ge­ait appa­rem­ment Micro­soft à se con­for­mer au RGPD, notam­ment à l’ar­tic­le 28 du RGPD rela­tif au trai­te­ment des don­nées. Micro­soft se réser­vait tou­te­fois le droit de trans­mett­re des don­nées en cas d’ob­li­ga­ti­on léga­le. Le Con­seil d’É­tat a décla­ré à ce sujet qu’il ne pou­vait s’a­gir que du droit de l’UE ou d’un État membre [artic­le 28, para­gra­phe 3, point a) du RGPD]. En out­re, Micro­soft doit infor­mer si le droit appli­ca­ble à Micro­soft est incom­pa­ti­ble avec le RGPD.
  • Le Con­seil d’É­tat con­sta­te en out­re que le dans l’ar­rêt Schrems II, la CJCE n’a exami­né que la que­sti­on du trans­fert de don­nées vers les États-Unis et non les con­di­ti­ons dans les­quel­les les don­nées peu­vent être trai­tées sur le ter­ri­toire de l’UE. Ain­si, selon le Con­seil d’É­tat, la juris­pru­dence Schems II ne sem­ble pas s’ap­pli­quer aux trai­te­ments pour les­quels les don­nées sont stockées at rest sur le ter­ri­toire de l’UE.
  • De plus, le Con­seil d’É­tat laisse entendre que ce n’est pas le stocka­ge chez Micro­soft qui serait éven­tu­el­le­ment con­trai­re au RGPD, mais éven­tu­el­le­ment une divul­ga­ti­on hypo­thé­tique future par Microsoft.
  • Enfin, les don­nées de la pla­te-for­me aurai­ent été trans­mi­ses avant cryp­té Stocka­ge dans l’in­fras­truc­tu­re de Micro­soft pseud­ony­mi­sé.

Dans ce con­tex­te – mais aus­si comp­te tenu de l’in­té­rêt public de la pla­te­for­me – le Con­seil d’É­tat n’a pas vu de rai­son d’or­don­ner la ces­sa­ti­on immé­dia­te du trai­te­ment des don­nées par la pla­te­for­me. Il exi­ge tou­te­fois que la pla­te­for­me et Micro­soft pré­cis­ent que le droit sur la base duquel Micro­soft pour­rait éven­tu­el­le­ment four­nir des don­nées cli­ents ne peut être que le droit de l’UE ou des États membres.

Au final, la décis­i­on du Con­seil d’É­tat est uti­le, mais laisse de nombreu­ses que­sti­ons en sus­pens. Néan­mo­ins, la décis­i­on peut être lue com­me une indi­ca­ti­on que lors de la trans­mis­si­on de don­nées per­son­nel­les à l’étran­ger ce ne sont pas les ris­ques abstraits décou­lant du droit local du four­nis­seur qui doi­vent être éva­lués, mais les ris­ques con­crets pour la per­son­ne con­cer­née. Cela ne cor­re­spond pas à l’appro­che adop­tée par l’ED­SA dans son Pro­jet de pri­se de posi­ti­on sur les mesu­res Schrems IIL’ar­tic­le 5, para­gra­phe 1, de la direc­ti­ve sur la pro­tec­tion des don­nées, qui met davan­ta­ge l’ac­cent sur le droit local du desti­na­tai­re que sur les ris­ques qui peu­vent en résul­ter pour les per­son­nes con­cer­nées par le trans­fert con­cret, pré­voit que le trans­fert de don­nées à carac­tère per­son­nel ne peut être effec­tué que par des per­son­nes physiques.