Dans un communiqué publié fin novembre, les autorités allemandes de protection des données sont parvenues à la conclusion que malgré des « améliorations mineures », il existe toujours des inquiétudes en matière de protection des données concernant l’utilisation de Microsoft 365. Microsoft a répondu aux allégations par sa propre déclaration et a rejeté les préoccupations de la conférence sur la protection des données (DSK). Le DSK est l’organe commun des autorités allemandes de contrôle de la protection des données.
Les deux parties interprètent différemment les exigences du RGPD et ont de bons arguments. L’essentiel : qui a raison ?
Avocate Christina Kiefer, LL.M. est Associate au sein de la Digital Business Unit de Reuschlaw. Avocat Stefan Hessel, LL.M. est Salary Partner et Head of Digital Business chez reuschlaw.
Le RGPD ne reconnaît aucune obligation du fabricant
L’actuel jeu de ping-pong sur la protection des données chez Microsoft 365 n’est pas nouveau : les autorités de contrôle de la protection des données suspectent une violation, que ce soit chez Microsoft ou Facebook, mais ne sont – puisque le RGPD ne contient aucune obligation constructeur – pas en mesure de conclure de manière concluante avec le fournisseur pour clarifier et ainsi créer une sécurité juridique pour toutes les parties concernées. Au premier niveau d’escalade, les autorités de contrôle de la protection des données mettent alors souvent en garde publiquement contre de prétendues lacunes en matière de protection des données et marchent donc elles-mêmes légalement sur de la glace mince. De tels avertissements sur les produits constituent de graves atteintes aux droits fondamentaux des fabricants, qui nécessitent une base juridique suffisamment claire. Cependant, ni le RGPD ni la loi allemande n’en contiennent. Un autre problème : Celui qui – malgré les améliorations continues du fabricant – se plaint à plusieurs reprises d’une protection insuffisante des données et en même temps ne donne pas suite à l’action, semble de plus en plus invraisemblable.
En pratique, les autorités de contrôle de la protection des données recourent donc à un deuxième niveau d’escalade, approchent les entreprises ou les autorités publiques dans leur domaine de responsabilité et tentent de faire valoir indirectement leur interprétation du RGPD à l’encontre du fabricant. Cela entraîne une énorme charge supplémentaire pour les responsables, qui sont parfois choisis plus ou moins au hasard et dont les autorités de contrôle de la protection des données veulent faire un exemple. S’ensuivent des évaluations au cas par cas – et de la frustration et de la résignation, surtout dans le cas des responsables qui n’ont pas de budget pour faire valoir leurs droits devant les tribunaux. Outre les start-ups, les petites entreprises et les indépendants, cela s’applique également en particulier aux écoles et autres petits organismes publics. Au lieu d’applaudir les améliorations de la protection des données à l’échelle nationale, les autorités de contrôle de la protection des données ont surtout reçu de l’incompréhension.
lire aussi
Une situation juridique floue nous oblige à être prévenants
Bien qu’il soit applicable depuis le 25 mai 2018, le RGPD contient d’innombrables questions juridiques non résolues et controversées. Cependant, lors de l’interprétation des règles, les objectifs du RGPD doivent être pris en compte. Parce que : En plus de protéger les personnes physiques lors du traitement de leurs données personnelles, le RGPD devrait également contribuer explicitement à la libre circulation des données. Selon le RGPD, la protection des données n’est pas un droit illimité, mais doit être harmonisée avec d’autres droits fondamentaux, tels que la liberté d’entreprendre, mais aussi le droit à l’éducation et la liberté académique.
Il convient également de tenir compte du fait que les solutions cloud modernes telles que Microsoft 365 peuvent être plus critiques que les logiciels auto-hébergés du point de vue de la protection des données, mais apportent des avantages significatifs dans d’autres domaines. En plus de meilleures performances et d’une plus grande accessibilité, la cybersécurité doit également être prise en compte ici. Le piratage massif des serveurs Exchange l’année dernière a montré ce qui se passe lorsque les entreprises et les organismes non publics sont obligés d’exploiter eux-mêmes leurs systèmes informatiques.
Cependant, une interprétation du RGPD qui rend impossible l’exploitation d’un cloud moderne dans le respect des réglementations sur la protection des données pose également des défis insurmontables pour les alternatives européennes tant vantées. Des revers importants sont imminents pour la numérisation de l’économie et de l’administration publique en Europe.
DSK fait cavalier seul: occasion manquée pour la protection des données de l’UE
Après que les autorités allemandes de contrôle de la protection des données n’étaient toujours pas d’accord sur l’évaluation de la protection des données de Microsoft 365 en 2020, elles ont au moins réussi à s’entendre sur un document avec de nombreuses clauses de non-responsabilité cette fois. Ce n’est pourtant pas une raison de se réjouir : au lieu d’utiliser l’accord conclu pour une coordination plus poussée avec le comité européen de la protection des données et l’autorité irlandaise de contrôle de la protection des données responsable de Microsoft, le DSK a apparemment choisi la voie prétendument facile et veut prendre action contre les responsables en Allemagne. L’opportunité de clarifier l’utilisation de Microsoft 365 au niveau européen et d’assurer une interprétation uniforme du RGPD semble avoir été manquée. Les évaluations d’impact sur la protection des données réalisées par le ministère néerlandais de la justice et le Centre européen de prévention et de contrôle des maladies montrent, par exemple, que les opinions sur l’utilisation conforme à la protection des données de Microsoft 365 en Europe diffèrent. Cependant, les petits États soumis à la loi sur la protection des données portent atteinte à la protection des données et ne sont d’aucune utilité pour personne.
Les autorités de contrôle de la protection des données examinent et entretiennent des discussions intensives avec Microsoft depuis des années. Ce dernier groupe a considérablement bougé et mis en œuvre de nombreuses demandes des autorités. Les autorités devraient saisir le fait que le DSK n’a pas réussi à se convaincre d’une utilisation conforme à la protection des données comme une occasion de réfléchir également à la proportionnalité de leurs propres critères de test. En tout état de cause, le résultat actuel n’a aucun rapport avec la pertinence pratique de Microsoft 365 pour les entreprises et les pouvoirs publics. L’évaluation du DSK se réfère à des aspects partiels minimes sans considérer la situation dans son ensemble. Compte tenu d’un large éventail de menaces graves pour la protection des données, l’accent mis sur Microsoft 365 semble déplacé.
Au lieu de poursuivre le dialogue avec Microsoft, les autorités de tutelle veulent désormais agir contre les entreprises et les pouvoirs publics afin d’augmenter la pression sur Microsoft. Il faut donc des managers courageux qui s’opposent à l’avis juridique des autorités et prônent une interprétation du RGPD favorable à la technologie. Ils ont de bons arguments pour cela. Dans le même temps, un débat de société doit avoir lieu sur la manière dont la numérisation doit être mise en œuvre aujourd’hui et sur la manière dont les nouvelles technologies, la cybersécurité ou l’accessibilité peuvent être conciliées avec la protection des données.
(fo)