[Communiqué G29] Evaluation partielle du contrat de Microsoft par le G29 : rappels aux fournisseurs de services de cloud
RSS CNIL - , 24/04/2014
A l’occasion de leur évaluation partielle du contrat de Microsoft relatif au traitement des données, les autorités européennes de protection des données réunies au sein du Groupe de travail de l’article 29 (G29) rappellent aux fournisseurs de services de cloud leurs obligations en vertu de la directive 95/46/CE.
Une des missions du G29 est de contribuer à l'application uniforme des règles de l'Union européenne en matière de protection des données. A cet égard, au cours de la dernière plénière, les autorités européennes de protection des données réunies au sein du G29 ont réaffirmé leur attachement à avoir une approche générale, y compris en ce qui concerne la définition d'un cadre juridique adéquat pour la fourniture de services d'informatique en nuage.
Dans le cadre du G29, les autorités européennes de protection des données ont analysé un certain nombre de documents contractuels présentés par Microsoft à plusieurs autorités de protection des données dans l'UE. Ces documents fournissent un cadre juridique pour les transferts internationaux de données liés aux services d'informatique en nuage proposés par Microsoft dans divers Etats membres. Le but de l'analyse était d'évaluer si ces documents sont strictement conformes aux exigences visant les transferts internationaux de données contenues dans les Clauses contractuelles types 2010/87/UE (clauses dites " de responsable de traitement à sous-traitant ").
Les autorités européennes de protection des données réunies au sein du G29 ont considéré que les documents étaient conformes aux exigences de l'UE définies dans ces clauses.
L'issue positive de cette évaluation partielle ne signifie pas que le G29 considère que les dispositions contractuelles de Microsoft dans leur ensemble sont conformes avec l'intégralité des règles de protection des données de l'UE, ni que Microsoft respecte ces règles dans la pratique. Le G29 reconnaît uniquement que Microsoft a pris suffisamment de précautions contractuelles pour encadrer ses flux internationaux de données, conformément à l'article 26 de la directive 95/46/CE.
De plus, les autorités européennes de protection des données n'ont pas analysé les annexes aux documents contractuels de Microsoft qui décrivent les transferts visés par le contrat (catégories de données, mesures de sécurité et de confidentialité mise en œuvre par l'importateur des données, etc.), dans la mesure où leur contenu peut varier selon les clients. Microsoft et ses clients devront veiller au cas par cas à ce que ces annexes répondent à leurs besoins spécifiques et aux exigences légales en matière de protection des données. Ces annexes pourront faire l'objet d'un examen séparé par les autorités de protection des données.
Au-delà de ce cas spécifique, les autorités européennes de protection des données rappellent à tous les fournisseurs d'informatique en nuage qui offrent leurs services à des clients soumis au droit européen, qu'il est de leur devoir de veiller à la conformité de leurs dispositions contractuelles avec les exigences de l'UE en matière de protection des données, en prenant dûment compte de l'avis 05/2012 du G29 sur l'informatique en nuage (WP196).