Cloud Act: l’approche basée sur les risques n’est pas du goût du Préposé

«L’utilisation de Microsoft 365, illégale en Suisse?», telle est la question posée par l’avocat spécialisé Sylvain Métille, suite à une prise de position du Préposé fédéral à la protection des données et à la transparence (PFPDT). Adrian Lobsiger a en effet réagi de manière très critique à l’analyse des risques réalisée par la Suva en vue d’employer l’environnement cloud de Microsoft. Un usage qui concernerait notamment les e-mails, la correspondance commerciale, mais aussi les documents de travail et de gestion des cas pour l’assurance-accidents et l’assurance militaire.

Comme d’autres organisations (Comment le canton de Zurich a estimé le risque de passer sur le cloud de Microsoft), la Suva a opté pour une approche basée sur les risques et la méthode de David Rosenthal pour décider de la viabilité d’un passage à Microsoft 365, avec un focus particulier sur le Cloud Act et le danger d’accès aux données personnelles par les autorités américaines. Alors que rien ne l’y obligeait, l’assureur a partagé en décembre son analyse avec le PFPDT - mal lui en a pris.

Dans sa prise de position qu’il a décidé de publier (tout comme la réponse de la Suva), le Préposé «salue la décision prise par la Suva de soumettre son projet d’externalisation des données à un examen sous l’angle de la protection des données», mais il émet surtout de nombreuses critiques et suggère à l’assureur «de réévaluer son projet dans les meilleurs délais».

Le Préposé adresse plusieurs reproches à l’assureur. A commencer par l’emploi de la méthode de David Rosenthal au lieu de son propre «Guide pour l’examen de la licéité de la communication transfrontière de données» publié l’an dernier. Le Préposé reproche aussi à la Suva d'évaluer l’intérêt que des autorités étrangères pourraient avoir pour ses données personnelles, alors que rien ne permet d'en présager - ce à quoi la Suva rétorque que le Cloud Act exige de motiver les demandes. Le Préposé critique également le fait que l’analyse Rosenthal aboutisse à un pourcentage précis de risque d’accès, alors qu’elle multiplie les estimations en amont pour le calculer.

Deux critiques aux multiples incidences

Mais ce sont deux critiques plus fondamentales qu’il faut retenir car leur incidence est importante pour les organisations faisant face aux mêmes questionnements pour migrer dans le cloud d’un fournisseur américain dans la situation d’incertitude qui prévaut actuellement.

Premièrement, les services d’Adrian Lobsiger critiquent le choix de la Suva de procéder à une analyse d’impact, sans considérer préalablement si le recours aux outils cloud de Microsoft - société américaine - est tout simplement licite. De l’avis des spécialistes de la Suva, la démarche se justifie dès lors que le contrat est conclu avec Microsoft Irlande (pays au niveau de protection adéquat) et pas avec Microsoft aux Etats-Unis (pays considéré comme n’offrant pas de garantie suffisante depuis Schrems II). Un avis que ne semble pas partager le Préposé et qui a des incidences importantes, comme le souligne Sylvain Métille: «La dernière prise de position du PFPDT assimile à une communication aux USA tout traitement par une société faisant vaguement partie d’un groupe ayant des entités, même séparées, aux USA. Si cette décision devait être suivie, cela signifie que tous les fournisseurs de services qui ont un lien avec les USA, sans même que des données n’y soient transférées ou rendues accessibles d’une autre manière, seraient exclus».

Deuxièmement, le Préposé remet en question le principe même d’une approche basée sur les risques. Ainsi son argumentaire: «Dans ce contexte, le préposé se demande pour le moins si l’approche fondée sur les risques est juridiquement admissible et si elle peut être invoquée pour justifier l’externalisation des données dont il est question ici». Dans sa réponse, la Suva se montre pour le moins surprise: «Vos explications nous étonnent beaucoup; elles contredisent en effet le point de vue que vous avez défendu jusqu’à présent. Vous expliquez qu’après presque 30 ans de LPD, l’approche «basée sur les risques» ne serait soudainement plus valable pour les transferts à l’étranger, sans donner de raisons matérielles. Or, ce sont précisément ces raisons qu’il serait important de connaître pour nous». Citant plusieurs exemples, l’assureur estime que l’approche basée sur les risques est inhérente au droit suisse de la protection des données. Et d’ajouter: «Si la Suisse venait à abandonner l’approche basée sur les risques en suivant de manière autonome certaines autorités de protection des données de l’UE, cela signifierait que les transferts internationaux de données vers des États tels que les États-Unis devraient être interdits par principe».

Volonté de donner un signal?

Ces divergences entre le Préposé et la Suva ne sont pas anodines. Comme on l’a dit, la question est actuelle pour de nombreuses organisations, notamment des administrations, sur fond de débat autour du cloud souverain. Alors que la Suva voit dans la prise de position du préposé une volonté de ne pas compromettre la décision de l’UE sur l’adéquation de la Suisse, l’avocat Sylvain Métille y voit «un avertissement important pour l’administration, mais aussi toutes les entreprises et personnes individuelles qui traitent des données personnelles», même s’il doute de la volonté du PFPDT d’appliquer sa position.