Les conséquences de l’arrêt Schrems II constituent une opportunité pour le cloud souverain.
Tout comme le Safe Harbor avant lui, le Privacy Shield qui permettait le transfert de données entre l’Union européenne et les opérateurs américains adhérant à ses principes de protection des données sans autre formalité, a été invalidé par la Cour de justice de l’Union européenne par un arrêt Schrems II rendu le 16 juillet 2020 (ci-après « CJUE ») (1).
Des recommandations ont été formulées par le CEPD. Mais l’onde de choc créée par l’invalidation pourrait avoir pour conséquence de faire la part belle au cloud souverain.
Des obligations renforcées pour les responsables de traitement
A l’occasion de l’arrêt Schrems II, la Cour de justice a rappelé que les garanties appropriées des articles 46 et suivants du RGPD ne permettent pas d’offrir une conformité automatique aux transferts de données vers des pays tiers.
L’exportateur des données doit en effet s’assurer, au cas par cas, que l’importateur satisfait lui-même les conditions d’exigence requises. C’est ce que l’on nomme le principe d’accountability.
Bien que la pratique avait pu laisser croire à une conformité quasi-automatique des transferts, en présence de l’un des mécanismes de l’article 46 du RGDP, notamment les clauses contractuelles types et les règlements d’entreprise contraignants (Binding Corporate Rules – BCR), le CEPD est venu battre en brèche cette idée reçue dans un projet de recommandation en date du 10 novembre 2020 (2).
Les clauses contractuelles types demeurent un mécanisme valide d’encadrement des transferts vers des pays ne bénéficiant pas de décision d’adéquation. Toutefois, ce mécanisme dans tous les cas, à lui seul n’est pas de nature à constituer une protection suffisante. Il est inefficace en cas de transferts vers des États qui n’encadrent pas suffisamment le pouvoir d’ingérence de leurs autorités ; cas des États-Unis.
Les garanties complémentaires
Il convient dès lors de mettre en place, en plus des clauses, des garanties supplémentaires. Ces mesures peuvent être de différentes natures : contractuelles, organisationnelles ou techniques avec contrôle effectif de ces mesures, notamment par des audits sur pièce et sur site, exigence qui préexistait d’ailleurs au RGPD (3).
Toutefois, pour le CEPD, ces mesures ne suffisent pas à empêcher l’accès aux données par les autorités des pays tiers. La mise en place simultanée des trois types de mesures susvisées paraît donc inéluctable.
En tout état de cause, il n’existe pas de solution parfaite et globale. Au vu de ces éléments, il est indéniable que les responsables de traitement voient leurs obligations décuplées. Ce maillage d’obligations pourrait avoir pour conséquence de multiplier le recours aux offres de cloud souverain.
Des recours aux offres de cloud souverain multipliés ?
En invalidant le « Privacy Shield », une insécurité juridique importante s’est installée. Désormais, les entreprises exportatrices doivent évaluer elles-mêmes le niveau d’adéquation du pays tiers ne bénéficiant pas d’une décision d’adéquation.
L’onde de choc a été très importante et a renforcé les craintes de nombres entreprises cherchant alors par des clouds privés coûteux, à défaut de clouds souverains, à relocaliser et cloisonner, autant que faire se peut, leurs données stratégiques (4). Cela représente une formidable opportunité pour les fournisseurs de cloud souverain.
Le Health Data Hub, plateforme technologique interprofessionnelle en fournit une formidable illustration. Elle permet notamment le stockage et la mise à disposition de données de santé. Dans le sillage de l’arrêt Schrems II, un arrêté publié au Journal officiel le 10 octobre 2020 a édicté qu’« aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l’Union européenne » (5).
Suite à cet arrêté, Cédric O, Secrétaire d’État chargé de la Transition numérique et des Communications, a justement indiqué que le gouvernement avait pris la décision de rapatrier le Health Data Hub « vers une plateforme européenne » (6).
Quelles sont les alternatives face aux GAFAMI ?
Le déploiement de Gaia-X, arrivant à point nommé pourrait donc largement bénéficier de l’onde de choc créée par l’arrêt Schrems II (7).
L’offre Gaia-X est très alléchante sur le papier au moment de son annonce officielle. Cependant, il semble en pratique bien compliqué de s’abstraire des leaders non européens du cloud. Gaia-X au demeurant ne leur ferme pas la porte dès lors qu’ils respecteraient les normes de confidentialité les plus strictes. On pense notamment à Microsoft et son offre cloud, Azure Stack, et Palantir, ayant dernièrement rejoint Gaia-X (8).
Si l’heure du cloud souverain a véritablement sonnée, son succès repose sur la construction d’une réelle alternative aux GAFAMI. Le rapatriement en Europe du Health Data Hub d’ici deux ans en fournira autant la meilleure des réponses que la meilleure illustration de cette nouvelle tendance.
Éric Le Quellenec
Marine Lecomte
Lexing Informatique Conseil
Notes :
(1) Voir sur notre site, « Le Privacy Shield invalidé par la Cour de justice de l’Union européenne », publié le 17 juillet 2020.
(2) Recommandations du CEPD-Comité 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE, adoptées le 10 novembre 2020 (version pour consultation publique).
(3) Conseil d’État, n° 385019, 30 décembre 2015.
(4) Éric Le Quellenec, « L’émergence d’un cloud souverain européen » , RLDI n° 173 d’août-septembre 2020.
(5) Arrêté du 9 octobre 2020 modifiant l’arrêté du 10 juillet 2020 prescrivant les mesures générales nécessaires pour faire face à l’épidémie de covid-19 dans les territoires sortis de l’état d’urgence sanitaire et dans ceux où il a été prorogé.
(6) Compte rendu analytique officiel des travaux parlementaires du 22 octobre 2020.
(7) Voir sur notre site, « Gaia-X : les lignes directrices du cloud souverain européen dévoilées », publié le 24 juin 2020.
(8) « US and Chinese tech giants welcomed into ‘EU sovereign’ cloud project », Euractiv, publié le 15 octobre 2020.