Les autorités européennes de la protection des données lancent une enquête conjointe sur l’utilisation du cloud par le secteur public
22 autorités nationales de protection des données ont lancé une enquête conjointe mardi (15 février) sur la manière dont le secteur public utilise les services du cloud.
22 autorités nationales de protection des données ont lancé une enquête conjointe mardi (15 février) sur la manière dont le secteur public utilise les services du cloud.
Cette initiative est la première dans le cadre de l’application coordonnée du Comité européen de protection des données (CEPD), l’organe de l’UE qui rassemble tous les organismes européens de surveillance des données pour assurer une application coordonnée des règles de confidentialité du RGPD.
En octobre 2020, le Comité a décidé d’entreprendre chaque année des enquêtes conjointes sur des questions spécifiques qui pourraient avoir une importance transfrontalière dans le cadre de sa stratégie triennale. L’année dernière, ce sujet a été choisi parmi d’autres domaines cruciaux tels que la sécurité des sites web et les applications mobiles.
« Le cadre d’application coordonné permettra de créer des synergies entre les régulateurs. Des actions coordonnées autour d’un sujet convenu leur permettront de bénéficier de l’expertise de chacun, d’harmoniser leurs approches et d’accroître leur impact. À moyen terme, cela permettra de renforcer l’application de la législation », a déclaré Gwendal Le Grand, responsable des activités de soutien et de coordination de l’application de la législation au sein du CEPD.
Les opérations synchronisées constituent un mécanisme de coopération amélioré, mais elles s’appuient sur une méthodologie existante développée par des groupes de travail spécifiques.
Pour Charles Helleputte, responsable de la protection de la vie privée chez Steptoe, le cadre d’application coordonné a été adopté à un moment où les autorités de protection des données ressentaient la pression d’un manque de mise en application.
« Il s’agit de l’acte 2, nous nous dirigeons maintenant davantage vers des actions coordonnées, ce qui, sur le plan européen, signifie probablement une tentative pour un tas de pays de peser et d’imposer leur liste de lecture », a déclaré M. Helleputte.
Eurostat estime que l’adoption des services du cloud par les entreprises européennes a doublé au cours des six dernières années. Les institutions publiques ont connu une évolution similaire, car elles ont de plus en plus recours à la technologie du cloud pour numériser leurs services.
Conformément à la boussole numérique de l’UE, tous les services publics essentiels devront pouvoir être assurés en ligne d’ici à 2030. À cet égard, la Commission européenne a également présenté une proposition de portefeuille numérique pour permettre aux citoyens d’authentifier et de gérer les documents officiels par voie électronique.
Par conséquent, le cloud est une priorité absolue pour de nombreuses autorités de protection des données dans l’Union européenne. Des enquêtes nationales spécifiques sont allées jusqu’à examiner la conformité d’outils spécifiques tels que Microsoft Office. Les transferts internationaux de données sont particulièrement préoccupants à cet égard.
Dans l’arrêt Schrems II, qui a marqué un tournant, la Cour suprême de l’UE a déclaré illégal le transfert de données à caractère personnel vers les États-Unis, la juridiction américaine ayant été jugée comme n’offrant pas de normes de protection des données adéquates par rapport à la législation européenne sur la protection de la vie privée.
Pour Vincenzo Tiani, associé du cabinet d’avocats Panetta, il faut s’attendre à ce genre d’enquêtes.
« Une année s’est écoulée depuis les enquêtes similaires du CEPD sur la même question contre les institutions européennes et l’arrêt Schrems Cela fera bientôt deux ans qu’aucune nouvelle décision d’adéquation n’a été prise », a déclaré M. Tiani.
Le mois dernier, le Contrôleur européen de la protection des données a reproché au Parlement européen d’utiliser un site web interne qui transférait des données aux États-Unis.
Le CEPD a estimé que plus de 80 organismes publics seraient examinés en raison de l’action conjointe, notamment dans les domaines de la santé, de la fiscalité ou de l’éducation. Chaque autorité décidera indépendamment, au cas par cas, s’il convient de collecter des informations, de lancer une nouvelle enquête ou d’assurer le suivi d’une enquête en cours.
Les transferts internationaux de données sont explicitement mentionnés parmi les principales préoccupations des autorités de l’UE, ainsi que les garanties mises en place lors de l’utilisation de services d’informatique dématérialisée et les obligations légales concernant le contrôle et le traitement des données à caractère personnel.
« Outre la difficulté de changer de fournisseur de services du cloud, il y a toujours le dilemme de savoir si une solution autre que celle proposée par les géants de la technologie est tout aussi fonctionnelle et sûre. En fait, les États européens ont gardé la porte ouverte en privé, même dans le cadre du projet GAIA X », a ajouté M. Tiani.
L’action conjointe devrait permettre d’identifier les problèmes généraux et de fournir une recommandation globale pour que les organismes publics utilisent les services du cloud de manière conforme. Par exemple, lorsque les marchés publics sont centralisés par des organismes centralisateurs qui fournissent un catalogue de services pertinents, la liste de ces services devrait être conforme dès la conception.
Il existe déjà deux codes de conduite au niveau de l’UE qui rendent opérationnelle la conformité au RGPD pour les services du cloud et les infrastructures du cloud respectivement. Dans les deux cas, le respect du code est certifié par un audit indépendant.
Le CISPE (Cloud Infrastructure Services Providers in Europe), l’association professionnelle à l’origine du code de l’infrastructure, s’apprête à présenter mercredi à la Commission européenne son nouveau guide sur l’achat de services du cloud dans le secteur public.
Pour le secrétaire général du CISPE, Francisco Mingorance, le guide « complète parfaitement les initiatives politiques du CEPD en fournissant des conseils pratiques sur la mise en œuvre des codes de conduite en matière de protection des données dans le cadre de l’achat de services du cloud ».
