Les contrats cloud Microsoft rattrapés par le RGPD

Depuis l’application du RGPD, les acteurs du cloud sont contraints à la fois de repenser leurs outils et de revoir leurs contrats.

Le dernier exemple en date concerne Microsoft. Le Contrôleur européen s’alarme des conditions contractuelles signées par l’Union européenne. Microsoft s’engage à réagir promptement (1).

La position du Contrôleur européen sur les contrats cloud Microsoft

Dans un contexte marqué par des menaces toujours plus fortes d’accès par des États à la donnée numérique directement chez le prestataire cloud, en particulier le Cloud Act pour les États-Unis d’Amérique, le Contrôleur européen a lancé en avril 2019 un audit complet des contrats cloud signés par les institutions de l’Union européenne (2).

Même si les institutions européennes disposent de leur « propre RGPD », à savoir le règlement 2018/1725 du 11 décembre 2018, les principes et leur mise en œuvre sont en très grande partie les mêmes.

Le contrôleur Giovanni Buttarelli et le contrôleur adjoint Wojciech Wiewiórowsk ont donc mis en œuvre un audit pour s’assurer que les clauses applicables respectent la réglementation et que les droits des personnes soient effectifs.

Ces travaux ont été menés en coopération avec le ministre néerlandais de la justice qui, au même moment, s’était engagé dans la réalisation d’une étude d’impact sur le service bureautique phare de Microsoft, Office 365, hébergé dans le cloud « maison », Azure.

Le Contrôleur européen fait siennes toutes les réserves figurant dans cette analyse d’impact et, en particulier :

• l’absence de transparence sur la circulation des données personnelles, notamment hors de l’Union européenne ;
• l’impossibilité de « prendre le contrôle total » de ses données, notamment du fait de l’activation automatique d’outils de traçabilité des actions utilisateurs et de statistiques ;
• la difficulté pour l’utilisateur à pouvoir faire valoir ses droits dans les interfaces actuellement disponibles.

Pour proposer plus concrètement des clauses types pouvant s’appliquer à toute administration publique, un forum dit de la Haye a été mis en place pour réunir les parties intéressées, utilisateurs et prestataires mais aussi toute partie concernée, à se joindre à ces travaux.

Dès 2012, l’Agence européenne de cybersécurité, l’Enisa avait déjà formulé ses recommandations sur la contractualisation des services dans le cloud (3). Avec les travaux du forum, il s’agit désormais d’aller bien au-delà des préconisations de l’Enisa, alors que le cadre réglementaire est de plus en plus précis et contraignant. Il est d’ailleurs possible de considérer, au moins pour la gestion des données personnelles, que le contrat cloud est désormais un contrat nommé (4).

Les contrats cloud de Microsoft revus par le RGPD

Microsoft a pris publiquement l’engagement formel de revoir ses contrats. La nouvelle version des Online Services Terms (OST) devrait intervenir pour début 2020 (5). A la lumière des critiques formulées par le contrôleur, outre les travaux du ministre néerlandais de la justice, les dispositions suivantes devraient être revues :

• Une clause doit garantir la possibilité pour le responsable de traitement d’assurer leurs droits effectifs aux utilisateurs. Ces personnes concernées doivent ainsi disposer de toute information utile sur l’usage de leurs données et pouvoir directement exercer leurs droits dans les outils utilisés.
• La clause d’audit sur site devrait être désormais présente au contrat selon des conditions à préciser. Elle était jusqu’alors refusée par Microsoft au prétexte que les certifications à diverses normes, dont la norme ISO 27001 complétée de la norme ISO 27018 sur l’hébergement de données personnelles, devaient suffire en soi.
• On devrait aussi avoir des précisions sur la directive NIS et l’obligation de notifier les failles de sécurité affectant tout type de données et système auprès de l’Agence nationale de cybersécurité (l’ANSSI en France).
• Enfin, dans la mesure où le Contrôleur européen et le CEPD ont déjà exprimé leur inquiétude sur le Cloud Act (6), il devrait être prévu que le prestataire, dès lors que cela peut être envisageable par cette loi, devrait s’engager à en contester la mise en œuvre auprès du juge compétent.

Si Microsoft a explicitement pris cette position après l’avis du Contrôleur européen, ces nouvelles mesures contractuelles ne devraient pas se limiter aux seules institutions européennes mais bien à tout client, responsable de traitement soumis au RGPD.

Il n’est pas précisé si ces nouvelles dispositions auront un effet rétroactif. En tout cas, tout contract manager devra veiller à ce que les contrats cloud Microsoft dont il dispose dans son organisation,seront bien soumis aux nouvelles OST plus favorables.

Eric Le Quellenec, Avocat
Lexing Informatique conseil

(1) Post du Contrôleur européen du 21 octobre 2019.
(2) Post du Contrôleur européen du 8 avril 2019.
(3) Guide achat cloud, Enisa, 2012.
(4) Eric Le Quellenec, Les contrats informatiques et la protection des données à caractère personnel : aspects pratiques, AJ contrat, Dalloz, octobre 2019, p.420.
(5) Post Microsoft du 18 novembre 2019.
(6) Lettre de couverture sur le Cloud Act du 10 juillet 2019.