1. Contenu de la prise de posi­tion du PFPDT

Le 13 juin 2022, le Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence (PFPDT) a publié une prise de posi­tion rela­tive à un projet de la Caisse natio­nale suisse d’as­su­rance en cas d’ac­ci­dents (SUVA) impli­quant le recours aux services cloud M365 de Microsoft, notam­ment les services Outlook et Teams. Le PFPDT a égale­ment publié la réponse de la SUVA à sa prise de posi­tion, une démarche exem­plaire en termes de transparence.

Le projet implique un stockage des données person­nelles sur une infra­struc­ture cloud basée en Suisse. Le cocon­trac­tant (sous-trai­tant dans la pers­pec­tive des règles de protec­tion des données) de la SUVA est l’en­tité irlan­daise du Groupe Microsoft (Microsoft Ireland Operations Ltd).

La SUVA a iden­ti­fié dans son analyse du projet le risque d’ac­cès aux données héber­gées sur le cloud par les auto­ri­tés améri­caines en vertu du US CLOUD Act (sur le US CLOUD Act, cf. not. swiss​pri​vacy​.law/​101). Après avoir procédé à une analyse des risques, la SUVA estime qu’un accès aux données par les auto­ri­tés améri­caines dans ce contexte est très impro­bable (« höchst unwahr­schein­lich ») et consi­dère donc que le recours aux services M365 est licite au regard de la LPD.

Dans sa prise de posi­tion, le PFPDT estime tout d’abord que l’exis­tence d’un risque de divul­ga­tion de données person­nelles aux États-Unis eu égard au US CLOUD Act déclenche auto­ma­ti­que­ment l’ap­pli­ca­tion des dispo­si­tions de la LPD en matière de commu­ni­ca­tion trans­fron­ta­lière de données (art. 6 LPD /​ art. 16 ss nLPD), nonobs­tant le carac­tère « suisse » du projet (respon­sable du trai­te­ment en Suisse et stockage de données en Suisse sur les serveurs du sous-trai­tant). Pour rappel, suite à la déci­sion Schrems II de juillet 2020, le PFPDT a estimé, dans un commu­ni­qué du 8 septembre 2020, qu’un trans­fert de données vers les États-Unis (État ne garan­tis­sant pas un niveau de protec­tion adéquat dans une pers­pec­tive suisse) ne pouvait plus se fonder sur le Swiss-US Privacy Shield (sur ce point, cf. not. swiss​pri​vacy​.law/17). D’autres mesures de protec­tion, comme des clauses contrac­tuelles types de protec­tion des données, doivent donc être mises en œuvre, tout en tenant compte de la pratique du PFPDT en la matière (cf. le « Swiss finish » en cas de recours aux Clauses-Modèles de l’Union euro­péenne ; sur ce point, cf. not. le commu­ni­qué du PFPDT, commenté in swiss​pri​vacy​.law/91).

Ensuite, le PFPDT main­tient sa posi­tion en vertu de laquelle, en cas d’exis­tence d’un risque rési­duel d’ac­cès par les auto­ri­tés d’un État ne garan­tis­sant pas un niveau de protec­tion adéquat, aucune donnée person­nelle ne peut être commu­ni­quée à l’im­por­ta­teur des données (nonobs­tant la mise en place des clauses contrac­tuelles types). En effet, dans son Guide pour l’exa­men de la licéité de la commu­ni­ca­tion trans­fron­tière de données, publié en juin 2021, le PFPDT avait déjà estimé que, en cas de commu­ni­ca­tion trans­fron­ta­lière, les mesures de protec­tion prises par le respon­sable du trai­te­ment doivent réduire à zéro le risque d’ac­cès aux données person­nelles par une auto­rité étran­gère, faute de quoi le trans­fert est jugé incom­pa­tible avec la LPD. C’est pour­quoi, en cas de persis­tance d’un risque (même faible) après l’ana­lyse (typi­que­ment forma­li­sée sous la forme d’un Transfer Impact Assessment), aucune donnée person­nelle ne pour­rait, selon le PFPDT, être commu­ni­quée à l’im­por­ta­teur situé dans un État ne garan­tis­sant pas un niveau de protec­tion adéquat.

Dans la prise de posi­tion évoquée ici, le PFPDT affiche un grand scep­ti­cisme quant à l’ap­proche fondée sur les risques (risk-based approach, risi­ko­ba­sier­ter Ansatz) qui a été prônée par la SUVA, le PFPDT arguant qu’une telle approche ne trouve pas d’an­crage dans la LPD. De plus, face à l’ar­gu­ment de la SUVA selon lequel les données concer­nées par le projet seraient de peu d’in­té­rêt pour les auto­ri­tés améri­caines, le PFPDT estime que ce critère ne devrait pas rentrer en compte dans l’ana­lyse de la licéité d’une commu­ni­ca­tion trans­fron­ta­lière de données.

2. Observations

Même si la SUVA est quali­fiée d’or­gane fédé­ral au sens de la LPD (art. 3 let. h LPD /​ art. 5 let. i nLPD), les obli­ga­tions en matière de commu­ni­ca­tions trans­fron­ta­lières de données (telles qu’in­ter­pré­tées par le PFPDT dans cette prise de posi­tion) s’ap­pliquent aux respon­sables du trai­te­ment privés, qui liront donc ce docu­ment avec beau­coup d’intérêt.

2.1 Une analyse fondée sur les risques est-elle admis­sible en matière de commu­ni­ca­tion trans­fron­ta­lière de données ?

Selon nous, il convient de bien distin­guer deux étapes dans l’ana­lyse de la licéité d’une commu­ni­ca­tion de données à l’étran­ger : (i) l’exis­tence même d’une commu­ni­ca­tion effec­tive de données sur une base trans­fron­ta­lière et (ii), si une commu­ni­ca­tion a lieu (ou est très probable), la licéité de celle-ci. Comme mentionné ci-dessus, le PFPDT estime que l’exis­tence d’un risque d’ac­cès par les auto­ri­tés améri­caines entraîne déjà une commu­ni­ca­tion trans­fron­ta­lière de données (étape 1) et qu’une approche fondée sur les risques n’est pas perti­nente pour analy­ser la licéité d’une commu­ni­ca­tion (étape 2).

À notre sens, contrai­re­ment à la posi­tion défen­due par le PFPDT, le recours à des services cloud héber­gés sur des serveurs situés en Suisse d’un sous-trai­tant euro­péen ne donne pas auto­ma­ti­que­ment lieu à une commu­ni­ca­tion de données person­nelles aux États-Unis, mais seule­ment une commu­ni­ca­tion de données person­nelles vers l’Irlande (dans ce sens : Sylvain Métille, L’utilisation de Microsoft 365, illé­gale en Suisse ?; voir égale­ment l’or­don­nance du 13 octobre 2020 du Conseil d’État fran­çais statuant en référé dans le cas Health Data Hub, résu­mée in Jusletter du 7 juin 2021), voire vers les États d’autres sous-trai­tants de Microsoft (un volet qui n’est pas abordé dans la prise de posi­tion commen­tée ici).

Pour déter­mi­ner l’exis­tence-même d’une commu­ni­ca­tion trans­fron­ta­lière de données (en parti­cu­lier lorsque les données sont stockées en Suisse), le respon­sable du trai­te­ment doit consi­dé­rer, lors de cette première étape, les risques d’un accès par les auto­ri­tés étran­gères. Ainsi, l’éva­lua­tion des risques n’est pas effec­tuée pour analy­ser la licéité d’une commu­ni­ca­tion trans­fron­ta­lière dans un pays non adéquat (étape 2), mais plutôt en amont pour déter­mi­ner l’exis­tence même d’une commu­ni­ca­tion trans­fron­ta­lière vers un État non adéquat et donc la néces­sité (ou non) de mettre en œuvre les mesures de l’art. 6 LPD (étape 1).

Si le résul­tat de cette évalua­tion des risques démontre un risque très faible que des auto­ri­tés étran­gères d’un État non adéquat puissent accé­der aux données (stockées en Suisse), alors le respon­sable du trai­te­ment devrait, selon nous, arri­ver à la conclu­sion (et docu­men­ter) qu’il n’y a pas de commu­ni­ca­tion trans­fron­ta­lière vers un État non adéquat et donc que l’art. 6 al. 2 LPD n’est pas appli­cable. La ques­tion de la licéité de la commu­ni­ca­tion (étape 2) n’au­rait alors pas à être analysée.

Au contraire, si l’ana­lyse de risque conclut à un risque non-négli­geable d’ac­cès aux données par les auto­ri­tés étran­gères, une commu­ni­ca­tion trans­fron­ta­lière devrait être rete­nue (étape 1) et le respon­sable du trai­te­ment devrait respec­ter les obli­ga­tions qui découlent de l’art. 6 LPD pour s’as­su­rer de la licéité de la commu­ni­ca­tion (étape 2). Dans cette dernière situa­tion, si les données sont commu­ni­quées dans un État ne garan­tis­sant pas un niveau de protec­tion adéquat, le respon­sable du trai­te­ment doit pouvoir se préva­loir d’une excep­tion de l’art. 6 al. 2 LPD ou alors renon­cer à commu­ni­quer les données à l’étranger.

En résumé, nous sommes d’avis que l’éva­lua­tion des risques devrait inter­ve­nir au stade de déter­mi­na­tion de l’exis­tence d’une commu­ni­ca­tion (étape 1) et la ques­tion de l’ad­mis­si­bi­lité de la commu­ni­ca­tion à l’étran­ger (étape 2) devrait être trai­tée unique­ment en cas d’exis­tence d’une commu­ni­ca­tion. À noter toute­fois que telle n’est pas la posi­tion prise par le PFPDT dans la prise de posi­tion analy­sée ici.

2.2 Une réti­cence du PFPDT compréhensible ?

À nos yeux, les raisons suivantes pour­raient expli­quer la prise de posi­tion du PFPDT.

La Commission euro­péenne analyse actuel­le­ment si la déci­sion d’adé­qua­tion de la Suisse peut être main­te­nue sous l’angle du RGPD (cf. PFPDT, 29^e rapport d’ac­ti­vi­tés 2021/​2022, p. 11). Le PFPDT cherche proba­ble­ment à éviter toute prise de posi­tion qui pour­rait avoir un impact néga­tif sur ce proces­sus, en tenant compte égale­ment du net durcis­se­ment de la pratique des auto­ri­tés euro­péennes de protec­tion des données en matière de trans­fert de données aux États-Unis. À titre d’exemples, on peut citer les déci­sions strictes prises dans les affaires Google Analytics : la déci­sion de l’au­to­rité autri­chienne de protec­tion des données du 22 décembre 2021, la déci­sion de mise en demeure de la CNIL du 10 février 2022 et plus récem­ment la déci­sion de l’au­to­rité italienne de protec­tion des données du 9 juin 2022. De même, la chambre des marchés publics de Baden-Wüttemberg (Allemagne) a retenu dans une déci­sion qu’un risque d’ac­cès par les auto­ri­tés améri­caines doit être analysé comme une commu­ni­ca­tion effec­tive. En effet, une déci­sion néga­tive quant à l’adé­qua­tion de la Suisse aurait des consé­quences impor­tantes sur l’éco­no­mie suisse.

Ensuite, le 25 mars 2022, la Commission euro­péenne et le gouver­ne­ment fédé­ral améri­cain ont annoncé avoir conclu un accord de prin­cipe sur un nouveau cadre règle­men­taire régis­sant les flux de données person­nelles et répon­dant aux préoc­cu­pa­tions expri­mées par la Cour de justice de l’Union euro­péenne dans l’arrêt Schrems II de juillet 2020 (cf. les commu­ni­qués de presse de la Commission euro­péenne ainsi que de la Maison-Blanche). Précisons que cet accord reste pour le moment une simple décla­ra­tion d’in­ten­tion de vouloir mettre en œuvre des mesures visant à permettre une commu­ni­ca­tion de données, des mesures de sécu­rité concrètes devront encore être négo­ciées et mises en œuvre dans le cadre régle­men­taire améri­cain. Dans sa prise de posi­tion, le PFPDT fait réfé­rence à cette annonce en préci­sant que, une fois un accord trouvé au niveau trans­at­lan­tique, la Suisse devrait égale­ment négo­cier une telle règle­men­ta­tion, qui permet­trait un trans­fert de données vers les États-Unis.

2.3 Divergence entre les auto­ri­tés canto­nales et fédérales

Cette prise de posi­tion du PFPDT révèle la complexité de la ques­tion et les diver­gences d’opi­nions entre les diffé­rentes auto­ri­tés de protec­tion des données suisses. En effet, dans une déci­sion du 30 mars 2022, le Conseil d’État du canton de Zurich avait estimé – après avoir consulté notam­ment le Préposé canto­nal zuri­chois à la protec­tion des données – qu’une approche fondée sur les risques pouvait être appli­quée pour analy­ser la licéité du recours à des services cloud de Microsoft par l’ad­mi­nis­tra­tion canto­nale zurichoise.

En résumé, le Conseil d’État du canton de Zurich a estimé dans cette déci­sion que, après analyse, le risque que des auto­ri­tés étran­gères accèdent aux données person­nelles stockées sur des serveurs cloud de Microsoft situés dans l’Union euro­péenne était très faible et que l’ad­mi­nis­tra­tion canto­nale pouvait dès lors recou­rir à des services M365 de Microsoft, pour autant que certaines mesures addi­tion­nelles de protec­tion soient prises afin de limi­ter ce risque (raison­ne­ment simi­laire à celui proposé par la SUVA dans le cas d’espèce).

Par ailleurs sur un plan extra-juri­dique, le Conseil d’État zuri­chois a égale­ment précisé, proba­ble­ment à juste titre, qu’il n’est aujourd’­hui plus envi­sa­geable de recou­rir exclu­si­ve­ment à des services on premise (donc non situés sur un cloud) et que, pour ne pas se retrou­ver « tech­no­lo­gi­que­ment hors-jeu » (« tech­no­lo­gisch ins Abseits » selon les termes utili­sés par le Conseil d’État zuri­chois), un recours à des services de type cloud est indis­pen­sable. Les prin­ci­paux pres­ta­taires de services cloud étant basés aux États-Unis (respec­ti­ve­ment, présen­tant des liens avec les États-Unis et entrant par consé­quent dans le champ d’ap­pli­ca­tion du US CLOUD Act), l’im­pos­si­bi­lité de recou­rir à ces pres­ta­taires est écono­mi­que­ment non envisageable.

3. Et maintenant ?

Le lecteur avide d’ob­te­nir une certaine sécu­rité juri­dique quant à la licéité du recours à des pres­ta­tions cloud reste sur sa faim après la lecture de la prise de posi­tion du PFPDT. Le proces­sus initié par la SUVA a au moins eu le mérite de sensi­bi­li­ser le PFPDT sur les contraintes auxquelles sont expo­sés les acteurs écono­miques suisses.

Selon nous, lors de l’ana­lyse de la licéité d’un projet de type cloud, il convient tout d’abord de bien distin­guer la situa­tion où (i) les données sont commu­ni­quées direc­te­ment dans un État ne garan­tis­sant pas un niveau de protec­tion adéquat (situa­tion qui entraîne une commu­ni­ca­tion trans­fron­ta­lière) de la situa­tion où (ii) il existe unique­ment un risque que les auto­ri­tés étran­gères accèdent aux données, notam­ment à travers le US CLOUD Act, les données étant néan­moins trai­tées depuis des États garan­tis­sant un niveau de protec­tion adéquat (situa­tion où le risque d’une commu­ni­ca­tion trans­fron­ta­lière doit être analysé). Le projet de Microsoft en vertu duquel les données seront trai­tées unique­ment dans l’Union euro­péenne (« EU Boundary Project » destiné à être lancé en 2023) revêt une grande impor­tance dans ce contexte, étant précisé que le commu­ni­qué du 16 décembre 2021 laisse entendre que les données ne seront pas « commu­ni­quées » en dehors de l’Union euro­péenne, mais qu’elles pour­ront être « acces­sibles »  depuis l’ex­té­rieur de l’Union européenne.

La mise en place d’une analyse de risques docu­men­tée pour déter­mi­ner l’exis­tence d’une commu­ni­ca­tion reste une démarche indis­pen­sable, même si l’ana­lyse conduite par la SUVA en l’es­pèce a été criti­quée par le PFPDT. Afin de calcu­ler et de pouvoir appré­hen­der le risque, il convient de mener, selon nous, une analyse de risque qui doit en parti­cu­lier prendre en compte les deux aspects suivants :

• l’exis­tence d’un droit d’ac­cès légal en faveur d’une auto­rité étran­gère (droit d’ac­cès ponc­tuel), la proba­bi­lité que celle-ci le fasse valoir et la proba­bi­lité qu’elle arrive à ses fins ;
• l’exis­tence d’un système de surveillance de masse, la proba­bi­lité qu’une auto­rité étran­gère utilise ce système pour obte­nir un accès aux données et la proba­bi­lité qu’elle arrive à ses fins.

Par ailleurs, cette déci­sion met égale­ment en lumière la mission de conseil du PFPDT (art. 28 LPD /​ art. 58 nLPD), étant précisé toute­fois que les docu­ments et infor­ma­tions échan­gés dans ce contexte sont en prin­cipe soumis à la LTrans, sauf si l’au­to­rité en a expres­sé­ment garanti le secret (art. 7 al. 1 let. h LTrans, cf. swiss​pri​vacy​.law/71 pour un commen­taire de cette exception) .

À titre de remarque conclu­sive, il nous semble impor­tant de rappe­ler que le risque d’ac­cès aux données person­nelles par des auto­ri­tés étran­gères (notam­ment, mais pas unique­ment, sur la base du US CLOUD Act) ne consti­tue pas l’unique prisme par lequel un projet d’ex­ter­na­li­sa­tion doit être analysé. L’impératif de sécu­rité des données (à savoir la protec­tion contre les accès non auto­ri­sés, y compris à l’in­terne) et la néces­sité de garan­tir la busi­ness conti­nuity en cas de défaillance du pres­ta­taire repré­sentent des enjeux tout aussi impor­tants, voire plus cruciaux en termes de risques effec­tifs à prendre en compte dans le cadre d’un projet impli­quant un trai­te­ment de données.