GuiGui's Show

Une analyse d'impact sur la protection des données personnelles portant sur Microsoft Teams, OneDrive, SharePoint et Azure Active Directory réalisée en février 2022 par le ministère de la justice et de la sécurité des Pays-Bas.

Mes notes :

• La section 702 de la loi FISA prend fin en 2023. Pour continuer, il faudra le renouvellement du Congrès.
  
  
• Pages 66 et suivantes : un tableau recensant toutes les lois ricaines qui permettent d'obtenir des données personnelles d'un client européen ;
  
  
• Le chiffrement de bout en bout des appels Teams est à venir ;
  
  
• À ce jour, même quand les données (et le reste) sont stockées dans l'UE, la télémétrie et les journaux d'audit sont transférés aux États-Unis. Idem pour les noms d'utilisateurs, de fichiers et de chemins dans OneDrive et SharePoint. Ça ne devrait plus être le cas fin 2022. Les rapports de sécurité seront toujours transférés aux États-Unis, même avec la « EU Boundary » (cf. ci-dessous) afin de proposer un niveau de sécurité harmonisé au niveau mondial ;
  
  
• Les clauses contractuelles-types (les dernières datent de 2021) sont valides mais le CEPD exige des garanties supplémentaires, que souvent les sociétés ricaines ne peuvent fournir, (excepté le chiffrement de bout en bout), ce qui les rend caduques. Rien de neuf (la CNIL le rappelait déjà dans sa mise en demeure de février 2022 portant sur l'utilisation de Google Analytics) ;
  
  
• La surveillance ricaine est classée comme risque faible + préjudice grave (si ça arrive). Très faible nombre de demandes des autorités ricaines, combativité de Microsoft contre les demandes infondées des autorités états-uniennes, promesses de MS de contester toutes les demandes infondées et de compenser pécuniairement toute divulgation en infraction avec le RGPD (ha… donc t'es pas sûr de tout contester ?). Pour moi, les promesses engagent que ceux qui y croient (Microsoft avait fini par renoncer à contester), et, en avril 2022, l'APD autrichienne a rappelé que le RGPD ne prévoit pas d'approche basée sur les risques en matière de transfert vers des pays tiers non adéquat (ce qui est le le cas des États-Unis à ce jour) ;
  
  
• Microsoft est maline et insiste lourdement sur l'intérêt économique suprême qu'elle a à veiller à une stricte et exigeante protection des données persos des ricains. C'est beau. Comme si le business ne pouvait pas se maintenir par d'autres moyens genre entrave à la concurrence, différenciation technique, hégémonie culturelle, etc. ;
  
  
• Sans accord de coopération CLOUD Act, les demandes des autorités ricaines auraient peu de chance d'aboutir selon le CEPD (EDPB et EDPS). Ça contraste avec le mémorandum rédigé en août 2022 pour le même ministère des Pays-Bas par un cabinet d'avocats ricain. Cependant, les accords de coopération concernent une partie seulement du CLOUD Act (cf. mémo). Pour le reste, les sociétés commerciales pourraient contester les demandes des autorités ricaines en manipulant trouzemilles concepts juridiques… Mais bien sûûûûr qu'elles le feront ;
  
  
• L'EDPB et l'EDPS bossent depuis mi-2021 sur le cas d'Office 365 ;
  
  
• Microsoft EU Boundary : Microsoft proposera, à la fin de 2022, à ses clients Entreprise et Education, un traitement des données exclusivement dans l'UE. Un cloud séparé est évoqué (MS le fait déjà pour la Chine et pour le gouvernement ricain). Comment ? Dans une société qui n'est pas une filiale de MS USA (sinon CLOUD Act) ? Avec des employés (européens) dédiés ? Aucune précision. Le mémorandum sus-cité évoquait déjà cette « UE Boundary ». Beaucoup d'exceptions et de conditionnel, en tout cas. Actualisation ici.

Bref, je note que ça met du temps à converger / gamberger (points 6 et 8), et que ça souhaite quand même bien sauver la mise aux GAFAM (points 7 et 10).