swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

L’Oberlandesgericht de Karlsruhe confirme la licéité d’un contrat cloud passé entre un organe public et un fournisseur de service américain

Michael Montavon, le 5 octobre 2022
La Cour d’appel de Karlsruhe a jugé que le seul fait qu’un four­nis­seur de services cloud soit une filiale d’un groupe améri­cain soumis aux lois améri­caines ne suffit pas pour conclure à une viola­tion de la protec­tion des données selon le droit européen.

OLG Karlsruhe, Beschluss vom 07.09.2022 – 15 Verg 8/​22 – openJur

Les faits

Une société alle­mande de droit public active dans le milieu hospi­ta­lier lance un appel d’offres pour l’ac­qui­si­tion d’une solu­tion infor­ma­tique dans le cadre d’une procé­dure de marché public ouverte dans toute l’Union euro­péenne. Les critères de l’appel d’offres contiennent des exigences en matière de protec­tion des données et de sécu­rité infor­ma­tique. La solu­tion infor­ma­tique doit être conforme au RGPD et les centres d’hébergement doivent être situés exclu­si­ve­ment dans l’Espace écono­mique européen.

Le marché est attri­bué à A. Cette dernière ne four­nit pas l’entier de la pres­ta­tion deman­dée elle-même, mais recourt aux services cloud du sous-trai­tant B (Amazon Web Services EMEA S.à r.l.) basé au Luxembourg, une filiale de la société C (Amazon Web Services, Inc.) basée aux États-Unis. B assure que ses serveurs sont tous situés en Allemagne ou sur le terri­toire de l’Union euro­péenne. Le sous-trai­tant four­nit par ailleurs une garan­tie écrite qu’il ne divul­guera pas les données récol­tées à un tiers, sauf si cela est néces­saire pour se confor­mer à la loi ou à un ordre valable et contrai­gnant d’une auto­rité. Il s’engage dans ce contexte à contes­ter les demandes trop larges ou inap­pro­priées, en parti­cu­lier celles ne respec­tant pas le cadre euro­péen rela­tif à la protec­tion des données.

Un soumis­sion­naire concur­rent attaque cette attri­bu­tion auprès de la Vergabekammer du Bade-Wurtemberg en repro­chant à l’offre de A de ne pas être conforme au RGPD en raison du recours au sous-trai­tant B et de son lien de subor­di­na­tion avec C. Le recours aux services cloud sur sol euro­péen, mais dont la société mère est améri­caine implique, selon lui, un trans­fert de données illi­cite vers les États-Unis, et ce indé­pen­dam­ment du lieu d’hébergement des données. En raison des possi­bi­li­tés d’accès des auto­ri­tés améri­caines réser­vées par le Cloud Act, il existe au moins un risque latent que ces dernières puissent accé­der aux données exter­na­li­sées ; cela suffit déjà pour recon­naître l’existence d’un trans­fert au sens des art. 44 ss RGPD. Or, selon l’arrêt Schrems II de la CJUE, les États-Unis ne disposent pas d’une légis­la­tion jugée adéquate du point de vue du RGPD. Ce trans­fert doit par consé­quent être quali­fié d’illicite.

A se défend en arguant qu’une simple possi­bi­lité théo­rique d’ac­cès depuis l’étran­ger ne consti­tue pas un trans­fert vers ce pays au sens des art. 44 ss RGPD. En outre, A et B ont pris toutes les dispo­si­tions complé­men­taires exigées par la juris­pru­dence Schrems II lors de l’implication d’un pays tiers dans un trai­te­ment de données. Non seule­ment ils ont fait usage des clauses contrac­tuelles types en matière de protec­tion des données (CCT), mais les données sont aussi chif­frées de sorte qu’elles ne peuvent de toute manière pas être lues par des tiers non auto­ri­sés. Finalement, B s’est engagé contrac­tuel­le­ment vis-à-vis de A à assu­rer la pres­ta­tion deman­dée confor­mé­ment aux règle­men­ta­tions de l’Union euro­péenne et de l’Allemagne. Il n’existe ainsi aucun élément concret qui indi­que­rait un futur non-respect des dispo­si­tions du RGPD.

La déci­sion de la Vergabekammer du Bade-Wurtemberg (1 VK 23/​22)

Par déci­sion du 13 juillet 2022, la Vergabekammer du Bade-Wurtemberg donne raison au soumis­sion­naire concur­rent et ordonne l’ex­clu­sion de A du marché public. En raison du recours à B dont la société mère est améri­caine, elle juge que la pres­ta­tion ne serait pas conforme au RGPD comme l’exigent les critères fixés par l’appel d’offres. Elle estime que le recours aux services cloud de B consti­tue un trans­fert illi­cite de données vers les États-Unis.

Pour arri­ver à ce résul­tat, la Vergabekammer procède à l’analyse de l’expression « trans­fert de données » prévue à l’art. 44 RGPD. Elle parvient à la conclu­sion que celle-ci doit être comprise non pas comme un trai­te­ment, mais comme toute divul­ga­tion de données. Le recours à B en tant que four­nis­seur de services cloud consti­tue ainsi un trans­fert de données au sens des art. 44 ss RGPD.

L’utilisation de l’in­fra­struc­ture d’hé­ber­ge­ment de B comporte un « risque latent » d’ac­cès par des orga­nismes tant publics que privés en dehors de l’UE, notam­ment aux États-Unis, peu importe que ce dernier ait son siège dans l’UE et que le stockage des données doive se faire exclu­si­ve­ment sur des serveurs en Allemagne ou dans l’UE. Un tel risque latent peut se concré­ti­ser à tout moment. Il suffit à conclure à l’existence d’un trans­fert de données.

Le RGPD n’au­to­rise pas le trans­fert de données vers un pays tiers à moins que des garan­ties spéciales ne soient prévues (sur la ques­tion, cf. www​.swiss​pri​vacy​.law/45). Depuis l’arrêt Schrems II, l’usage seul des CCT n’est pas de nature à rendre licite le trans­fert de données vers les États-Unis et A ne démontre pas concrè­te­ment en quoi le chif­frage des données permet de proté­ger ces dernières d’un accès par des tiers. En concluant un contrat avec B, A perd, partiel­le­ment en tout cas, son pouvoir d’influence sur les données dont il est responsable.

Dans le cas présent, le recours aux services de B consti­tue ainsi un trans­fert illi­cite de données vers les États-Unis.

Saluée par certains, cette déci­sion n’a pas fait l’unanimité, y compris auprès de l’Autorité de protec­tion des données du Bade-Wurtemberg. Dans une prise de posi­tion du 15 août 2022, cette dernière a quali­fié de douteuse l’assimilation faite par la Vergabekammer entre le risque d’accès et le trans­fert de données. Même si elle recon­naît que l’approche fondée sur les risques est géné­ra­le­ment trop favo­rable au respon­sable du trai­te­ment, elle est d’avis que l’approche adop­tée par la Vergabekammer du Bade-Wurtemberg consti­tue un revi­re­ment de pratique brutal préju­di­ciable aux respon­sables du traitement.

Le juge­ment de l’Oberlandesgericht de Karlsruhe (15 Verg 8/​22)

Par juge­ment du 7 septembre 2022, l’Oberlandesgericht de Karlsruhe casse la déci­sion du 13 juillet 2022 de la Vergabekammer du Bade-Wurtemberget confirme l’attribution du marché public à A.

Elle relève qu’en signant les contrats spéci­fiques conte­nant des garan­ties rela­tives au respect de la légis­la­tion euro­péenne en matière de protec­tion des données impo­sées par A, B fait une promesse de pres­ta­tion claire et sans équi­voque dans laquelle elle garan­tit que le trai­te­ment des données non seule­ment ne quit­te­rait pas l’Union euro­péenne, mais se ferait unique­ment en Allemagne. C’est dans le sens d’une telle promesse contrai­gnante que le pouvoir adju­di­ca­teur a égale­ment compris les décla­ra­tions de A dans les docu­ments d’ad­ju­di­ca­tion. Le pouvoir adju­di­ca­teur pouvait légi­ti­me­ment se fier à cette promesse de pres­ta­tion. Contrairement à ce que pense le concur­rent évincé, le seul fait que B soit une filiale d’un groupe améri­cain ne doit pas faire douter le pouvoir adju­di­ca­teur de la possi­bi­lité de remplir la promesse de pres­ta­tion. Rien ne permet de dire qu’en raison du lien exis­tant entre B et la société mère améri­caine, des instruc­tions contraires à la loi et au contrat seraient données à B ou que B, en tant que filiale euro­péenne de C, suivrait, par l’in­ter­mé­diaire de ses direc­teurs, des instruc­tions de la société mère améri­caine qui sont contraires à la loi.

Appréciation

De manière un peu déce­vante, l’Oberlandesgericht de Karlsruhe ne se prononce pas (direc­te­ment) sur les ques­tions de protec­tion des données sous-jacentes, mais fonde son raison­ne­ment du seul point de vue contrac­tuel. On ne trouve ainsi aucun raison­ne­ment concer­nant le fait que la Vergabekammer du Bade-Wurtemberg assi­mile le recours à des services cloud euro­péens propo­sés par un four­nis­seur améri­cain à un trans­fert de données illi­cite vers les États-Unis.

Selon l’opinion que nous défen­dons, il n’est toute­fois pas possible de répri­mer un acte illi­cite qui ne s’est pas encore réalisé au seul motif qu’il existe un risque – peut-il alors être autre chose que « latent » ? – qu’il ne se réalise. Une analo­gie inté­res­sante peut être faite ici avec la circu­la­tion routière. Dès le moment où un véhi­cule est mis en circu­la­tion, on accepte le risque que non seule­ment le conduc­teur, mais aussi des tiers (autres usagers, cyclistes, piétons) puissent subir un acci­dent. Ce risque est même très préci­sé­ment quan­ti­fié. Selon les chiffres de l’Office fédé­ral de statis­tique, l’année 2021 a connu 20’794 victimes de la route en Suisse dont 200 tuées, 3993 grave­ment bles­sées et 16’601 légè­re­ment bles­sées. Il s’agit donc d’un risque élevé et concret. Pour y remé­dier, la légis­la­tion en matière de circu­la­tion routière fixe de nombreuses règles de compor­te­ment à respec­ter. Ces règles sont renfor­cées par des dispo­si­tifs de sécu­rité comme l’installation de cein­tures ou d’airbags, la pose de radars ou des contrôles de police. Mais le risque demeure et des acci­dents surviennent.

Cette même concep­tion se retrouve dans la légis­la­tion sur le fait des produits défec­tueux, dans la légis­la­tion sur la recherche sur l’être humain, dans la légis­la­tion sur les produits théra­peu­tiques ou encore dans la légis­la­tion bancaire et finan­cière. On accepte l’exis­tence d’un risque rési­duel, car il n’y a pas vrai­ment d’alternative. Pourquoi devrait-il en aller diffé­rem­ment dans la légis­la­tion sur la protec­tion des données ? Dans une inter­view récente, la Préposée zuri­choise à la protec­tion des données a déclaré que l’uti­li­sa­tion de services cloud améri­cains devrait être inter­dite même si la proba­bi­lité d’un accès illi­cite était de 0,0001 pour cent. Il va sans dire que le droit fonda­men­tal à la protec­tion des données est un droit très précieux et qu’il doit être protégé. Mais est-il plus précieux que l’intégrité physique, la vie ou le patri­moine au point de justi­fier la créa­tion d’un nouveau régime de respon­sa­bi­lité sans précé­dent qui rejette entiè­re­ment le risque ?



Proposition de citation : Michael Montavon, L’Oberlandesgericht de Karlsruhe confirme la licéité d’un contrat cloud passé entre un organe public et un fournisseur de service américain, 5 octobre 2022 in www.swissprivacy.law/175


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Peut-on encore, en Suisse, recourir à des services cloud offerts par Microsoft ?
  • Le transfert de données à l'étranger : état des lieux en Suisse
  • US CLOUD Act – un aperçu
  • Télémonitoring et données médicales : le casse-tête des professionnels de la santé
Derniers articles
  • Contenu de l’information sur le licenciement d’un employé à l’interne
  • L’administration publique responsable dans l’utilisation de services en nuage
  • Une DPO peut-elle être licenciée pour une raison autre que celle liée à ses qualités professionnelles ?
  • La mise en place de mesures de sécurité techniques et organisationnelles : not just a checklist !
Abonnement à notre newsletter
swissprivacy.law