Fin de l'hébergement de données chez Google, Microsoft ou AWS pour les grosses sociétés ?

Entre 2 mesures de Covid, la fin du "Privacy Shield" est passée complètement inaperçue.. Et pourtant, cette affaire a de sacrés impacts dans l'économie et l'Internet.

De quoi s'agit-il et quelles en sont les conséquences ?

Pour aller au plus intéressant: est-ce la fin de l'hébergement de données chez Google, Microsoft ou AWS quand on est prestataire pour de grosses sociétés ?

En effet, les banques commencent d'ores et déjà à demander à leurs prestataires qui ont un hébergement de données (prestataires RH, prestataires de formation, prestataires de marketing, etc..) de leur "certifier" que les données sont en Europe..

Difficile quand on passe par Amazon Web Services (AWS), Microsoft ou Google Cloud ou autre ..

Concrètement, pour celles et ceux d'entre vous qui sont dans ce cas et ne veulent pas entrer dans les détails, un certificat de localisation des données (fourni par AWS ou Google ou autre prestataire US ou chinois ou moldave) ne servira à rien du tout (car il n'a aucune utilité face au Cloud Act si la Justice US par exemple décide de l’invoquer, pour quelque raison que ce soit).

Rappelons qu'avec la Pax Americana, le Cloud Act est une législation US bénéficiant de l’extra-territorialité : la Justice US peut contraindre Google à livrer des données sur un de ses clients même si elles sont stockées en Europe ou en Tasmanie.

Rappelons aussi que le Conseil d’État a reconnu que le gouvernement US peut accéder aux données de santé des Français.. Hé oui celles-ci sont hébergées chez Microsoft, avec "toutes les sécurités possibles" d'après la ministre de l'époque en charge de ce projet, Agnès Buzyn. Même la CNIL, (qui sert à quoi finalement ?), avait validé la "sécurité" avant de faire marche arrière devant les évidences du Cloud Act..

Bref, oubliez AWS, Microsoft et Google Cloud et cherchez une solution européenne (OUI, il existe des prestataires européens, parmi lesquels des français : OVHCloud, Scaleway et 3DS OutScale).

Pour en revenir à la fin du Privacy Shiel, de quoi s'agit-il ?

A la base, il y a la lutte d'un autrichien contre Facebook et ses dérives totalitaires #bigbrother.. Comme dans les films, le petit a gagné..  Ca a fini par un arrêt de la Cour de Justice de l'Union Européenne

Cet arrêt dit « Schrems II » en date du 16 juillet 2020,   a invalidé le traité « Privacy Shield », sur lequel la majorité des entreprises fondaient jusqu’alors le transfert de données à caractère personnel en direction de sous-traitants ou de partenaires situés aux Etats-Unis.

Par conséquent, la simple signature d’un contrat bipartite ne suffit pas à valider un transfert de données à caractère personnel hors de l’Union Européenne, si le pays destinataire ne permet pas aux personnes concernées de disposer de droits opposables et de voies de recours effectives.

Voir aussi ici cet article de l'Usine Nouvelle, qui liste de façon très claire les conséquences de ce qu'a indiqué le contrôleur des données au niveau européen, le CEPD (https://edps.europa.eu/press-publications/press-news/press-releases/2020/edps-statement-following-court-justice-ruling-case_en ):

• Conséquence 1 : les transferts vers les entreprises américaines relevant du Privacy Shield (Google, AWS, Microsoft... Fort nombreuses et souvent incontournables) sont désormais interdits.
• Conséquence 2 : en ce qui concerne les clauses contractuelles types, l’arrêt de la CJUE a une portée qui va au-delà des États-Unis ; le CEPD estime en effet qu’il incombe à l’exportateur et à l’importateur de données d’évaluer si le niveau de protection du pays tiers concerné est substantiellement équivalent à celui de l’UE afin de déterminer si les garanties appropriées pourront être respectées dans la pratique.
• Conséquence 3 : toutes les garanties appropriées prévues par le RGPD sont impactées en ce compris les BCR, quand bien même leur validation par le CEPD …
• Conséquence 4 : pour les USA comme pour tout autre pays tiers dont la règlementation n’assure pas un niveau de protection adéquat, les transferts de données doivent être suspendus ou définitivement arrêtés si des mesures de protection complémentaires n’ont pas été adoptées ou si les dérogations prévues par l’article 49 du RGPD ne sont pas applicables (consentement explicite, spécifique et informé et des personnes concernées).
• Conséquence 5 : en cas de maintien du transfert vers un pays tiers (ex : Chine, Inde) dont la règlementation n’assure pas un niveau de protection adéquat (sans mesures complémentaires ou dérogation applicable), le responsable du traitement doit en informer l’autorité de contrôle (qui pourra interdire ledit transfert).
• Conséquence 6 : pour les transferts de données opérés par les sous-traitants situés dans l’UE (sous-traitance en chaîne), le responsable du traitement doit négocier un amendement ou une clause supplémentaire au contrat de sous-traitance afin d’interdire les transferts.

Maj: avis de la CNIL européenne sur les transferts de données  https://www.usine-digitale.fr/article/la-cnil-europeenne-pose-les-conditions-a-respecter-pour-transferer-des-donnees-en-dehors-de-l-ue.N1027589

Et pourtant, rien que pour Google Cloud, Renault, Veolia, Air France, Carrefour, Adeo, Orange pour ne citer qu'eux, sont passés à Google Cloud et par là-même au-dessus des recos et des précautions basiques..