Coordinated Enforcement Action adop­ted on 17 January 2023 on the Use of cloud-based services by the public sector

Le Comité euro­péen de la protec­tion des données (European Data Protection Board, EDPB) publie le 17 janvier 2023 un rapport conte­nant des points d’attention fondés sur la pratique de certaines auto­ri­tés euro­péennes de protec­tion des données en matière d’utilisation de services en nuages (Cloud Computing) au sein de l’administration publique.

Les points soule­vés par l’EDPB portent prin­ci­pa­le­ment sur les diffi­cul­tés quant à la négo­cia­tion de contrats entre admi­nis­tra­tions publiques et four­nis­seurs de solu­tions cloud (Cloud Service Provider, CSP), sur le respect des obli­ga­tions fondées sur la légis­la­tion en matière de protec­tion des données par les admi­nis­tra­tions publiques et les CSP et sur les trans­ferts de données à des États tiers. Les défis iden­ti­fiés présentent régu­liè­re­ment un lien avec le possible déséqui­libre entre l’administration négo­ciant avec un CSP déte­nant une posi­tion dominante.

Le contrat et la posi­tion de l’administration publique

Lors de l’utilisation de services en nuage, les admi­nis­tra­tions publiques sont en règle géné­rale consi­dé­rées comme les respon­sables du trai­te­ment, alors que les CSP sont consi­dé­rés comme des sous-trai­tants. Il est impor­tant que les rôles soient clai­re­ment répar­tis contrac­tuel­le­ment pour respec­ter le prin­cipe de respon­sa­bi­lité (art. 5 par. 2 et 24 RGPD), connaître les obli­ga­tions à respec­ter de part et d’autre et savoir si une base légale est néces­saire ou non pour justi­fier les trai­te­ments. Pour les trai­te­ments dont le CSP déter­mine les moyens et les fina­li­tés et dans la mesure où les rôles dépendent de cette consi­dé­ra­tion, ce dernier est consi­déré comme respon­sable du trai­te­ment au sens des art. 5 par. 2 et doit respec­ter le RGPD à ce titre (art. 28 par. 10 RGPD ; cf. www​.swiss​pri​vacy​.law/​2​04/). D’autres situa­tions peuvent exis­ter dans lesquelles l’administration et le CSP sont consi­dé­rés comme co-respon­sables du trai­te­ment, à savoir lorsqu’ils déter­minent ensemble les moyens et les fina­li­tés du trai­te­ment, ce qui doit se reflé­ter dans le contrat.

L’objet, les données et les fina­li­tés des trai­te­ments doivent égale­ment être préci­sées dans le contrat (art. 28 par. 3 RGPD), bien que les admi­nis­tra­tions publiques peinent parfois à exer­cer une influence sur ces consi­dé­ra­tions, notam­ment en raison d’un déséqui­libre des pouvoirs entre les cocontractants.

Problème à portée simi­laire : les auto­ri­tés inter­ro­gées ont un contrôle limité et prennent le risque de perdre une impor­tante part de service si elles objectent ou négo­cient l’utilisation par le sous-trai­tant d’un sous-trai­tant ulté­rieur. Cependant, l’administration publique doit avoir voix au chapitre lorsqu’il en va de sous-trai­tance en cascade (art. 28 par. 2 RGPD). Elle peut s’assurer d’une sous-trai­tance en cascade spéci­fique plutôt que d’accepter une telle délé­ga­tion de manière géné­rale, par exemple en prévoyant des critères à remplir pour tout nouveau sous-trai­tant ulté­rieur afin d’anticiper et dimi­nuer les risques pour les personnes concernées.

Pour aider à compen­ser le déséqui­libre dans les négo­cia­tions, les auto­ri­tés faisant appel à un même CSP doivent coopé­rer pour avoir un poids plus élevé. De même, leur délé­gué à la protec­tion des données (DPO) doit être impli­qué dans les négo­cia­tions du contrat (comme dans d’autres proces­sus, à l’instar des analyses d’impact rela­tives à la protec­tion des données (AIPD) au sens de l’art. 35 par. 2 RGPD). Dans le prolon­ge­ment de cette réflexion, nous esti­mons qu’il peut être béné­fique que l’État négo­cie pour l’ensemble de son admi­nis­tra­tion l’utilisation de solu­tions en nuage (comme le fait actuel­le­ment la Confédération avec son projet « Public Clouds Confédération ») pour que les auto­ri­tés puissent avoir plus de poids dans les négociations.

Les analyses d’impact rela­tives à la protec­tion des données (AIPD)

Une AIPD doit être conduite lors de trai­te­ments suscep­tibles d’engendrer un risque élevé pour les droits et liber­tés des personnes physiques (art. 35 par. 1 RGPD). L’art. 35 par. 3 let. b RGPD dispose qu’une AIPD doit être menée notam­ment lors du trai­te­ment à grande échelle de caté­go­ries parti­cu­lières de données en vertu de l’art. 9 par. 1 RGPD ou de données person­nelles rela­tives à des condam­na­tions pénales et à des infrac­tions visées à l’art. 10 RGPD. Dans les cas où elle n’est pas néces­saire, les mesures tech­niques et orga­ni­sa­tion­nelles doivent en tout état de cause être déter­mi­nées à la suite d’une analyse de risque (art. 32 RGPD).

Alors que l’administration est fréquem­ment amenée à trai­ter des caté­go­ries parti­cu­lières de données à grande échelle ou des données rela­tives à des condam­na­tions pénales et à des infrac­tions, seule une part des auto­ri­tés inter­ro­gées indiquent avoir réalisé une AIPD. Une AIPD doit être réali­sée (ou son bien­fondé véri­fié) lors de la conclu­sion d’un contrat avec un CSP. Elle est néces­saire pour adop­ter les mesures tech­niques et orga­ni­sa­tion­nelles iden­ti­fiées et doit être régu­liè­re­ment réexa­mi­née, dans la mesure où les services en nuage sont dyna­miques et évoluent en permanence.

Les audits

Rares sont les audits menés, durant le trai­te­ment, auprès des CSP, souvent en raison de ces derniers. Il est égale­ment diffi­cile d’accéder aux résul­tats des audits menés au sein des CSP. L’EDPB rappelle néan­moins que l’art. 28 par. 3 let. h RGPD impose au sous-trai­tant de mettre à dispo­si­tion du respon­sable du trai­te­ment les infor­ma­tions néces­saires aux audits et d’y contribuer.

Les trans­ferts des données vers des pays tiers

Finalement, il est néces­saire que les trans­ferts de données soient iden­ti­fiés et que le Chapitre V RGPD soit respecté. De nombreux CSP sont basés dans des États hors de l’UE qui ne présentent pas un niveau adéquat de protec­tion des données au sens de l’art. 45 RGPD. Les auto­ri­tés doivent s’assurer en amont des caté­go­ries de données trans­mises, des fina­li­tés dudit trans­fert, de l’utilisation d’un outil sécu­risé pour la trans­mis­sion des données ou encore des enti­tés suscep­tibles d’avoir accès aux données. Dans la mesure où de nombreux CSP sont basés dans des pays ne béné­fi­ciant pas d’une déci­sion d’adéquation, il nous semble égale­ment impor­tant que les admi­nis­tra­tions s’assurent de trans­fé­rer les données sur la base de clauses contrac­tuelles types, voire qu’elles privi­lé­gient des rela­tions avec des CSP avec des règles d’entreprise contraignantes.

Ensuite, l’administration doit clari­fier l’éventuelle appli­ca­tion d’un droit étran­ger et l’éventuel accès par des auto­ri­tés étran­gères aux données trans­fé­rées, et savoir si le droit étran­ger appli­cable pour­rait impo­ser au CSP de ne pas respec­ter les instruc­tions du respon­sable du trai­te­ment. L’administration doit exami­ner si, cas échéant, le CSP peut mettre la requête de l’au­to­rité étran­gère en attente et infor­mer le respon­sable du trai­te­ment ou si ces actions peuvent faire l’objet d’une inter­dic­tion. L’administration doit savoir si les requêtes étran­gères peuvent se faire moyen­nant le respect de la base de l’art. 48 RGPD ou si le CSP peut deman­der à l’autorité étran­gère de suspendre l’interdiction en raison de ses obli­ga­tions RGPD.

Si aucune solu­tion n’est satis­fai­sante, l’administration doit être certaine que des mesures appro­priées au sens de l’art. 28 RGPD sont mises en place et le CSP doit infor­mer les auto­ri­tés compé­tentes de protec­tion des données par un rapport annuel au sujet de telles requêtes.

En Suisse

En Suisse, la ques­tion de l’utilisation de solu­tions cloud par des auto­ri­tés fait égale­ment du chemin. Alors que le PFPDT esti­mait en 2022 que la SUVA devait réexa­mi­ner son projet de faire appel au service cloud Microsoft 365 de Microsoft Irlande (cf. www​.swiss​pri​vacy​.law/​1​65/), il va bien­tôt prendre posi­tion sur le projet Microsoft 365 de la Confédération. Les circons­tances factuelles semblent avoir permis au Conseil fédé­ral d’approu­ver un crédit d’engagement pour cette migra­tion, mais il s’agit main­te­nant d’attendre la prise de posi­tion du PFPDT au sujet de sa confor­mité aux règles de protec­tion des données. À noter que ce projet prend forme dans le cadre du projet « Public Clouds Confédération », dans lequel la Confédération tente de trou­ver les compro­mis pour permettre l’externalisation de services de l’administration en respec­tant les droits en présence.