Dans une prise de position du 13 mai 2022 (publiée le 13 juin 2022), le Préposé fédéral à la protection des données et à la transparence (PFPDT) considère qu’un organe fédéral ne peut pas, dans le respect du droit applicable, utiliser les services cloud Microsoft 365. Au-delà de l’avis donné à la SUVA, la position du PFPDT rend impossible le recours à la plupart des services cloud disponibles sur le marché tant pour les privés que les organes fédéraux. Deux points sont considérés comme étant problématiques par le PFPDT : le caractère américain du fournisseur et l’évaluation du risque en cas de transfert à l’étranger.
Un fournisseur américain ?
Le projet de délégation de traitement est très classique et vise à remplacer un traitement de données personnelles sur site par le recours à des services d’informatique en nuage (cloud) proposés par la société Microsoft Ireland Operations Ltd, dont le siège est à Dublin, et avec un hébergement des données convenu dans des centres de données (datacenter) en Suisse.
Le PFPDT retient qu’il s’agit d’une externalisation de données personnelles dans un centre de données exploité par le groupe américain Microsoft sur le territoire suisse, ce qu’il qualifie d’exportation de données personnelles ou de communication transfrontière à destination des USA au sens des articles 6 ss. LPD et art. 16 ss. nLPD.
La position du PFPDT est surprenante parce qu’il n’y a aucune explication de la notion de groupe américain. Comme le souligne la SUVA, les données seront hébergées en Suisse et la SUVA ne transmet pas de données ni n’a de contrat avec la société américaine Microsoft Corp.
En revanche, on peut suivre le PFPDT dans le sens que le traitement de données personnelles en Suisse, par une société irlandaise qui dans le cadre de son activité est en mesure de consulter les données, doit être considéré comme étant une communication de données personnelles à l’étranger (en l’espèce en Irlande). L’Irlande faisant partie de l’EEE, elle offre un niveau de protection adéquat et un transfert est admissible. À noter que la question du secret de fonction n’a pas été évoquée (nous y reviendrons plus bas).
L’évaluation du risque
Dans le cadre de son projet, la SUVA a procédé à une évaluation du risque (à distinguer d’une analyse d’impact préalable au sens de l’art. 22 nLPD) en se basant sur un tableau Excel mis à disposition par David Rosenthal.
Dans le cadre de cette approche basée sur le risque, la SUVA estime que la possibilité d’un accès judiciaire aux données personnelles externalisées, c’est-à-dire fondé sur une demande d’entraide judiciaire ou sur le CLOUD ACT américain, s’élève à 2,52 % sur une période de cinq ans, ce qu’elle qualifie de hautement improbable.
À raison ici, le PFPDT retient, comme d’autres autorités européennes, que l’admissibilité d’un transfert à l’étranger n’est pas basée sur le risque. La loi distingue les pays qui garantissent un niveau de protection suffisant et les autres. Pour les autres, des exceptions (notamment le recours à garanties contractuelles) existent, voire des dérogations dans des cas plus limités (consentement, etc.). Dans le cas d’exceptions, il faut évaluer (à l’aide d’une analyse d’impact d’un transfert de données ou Data Transfer Impact Assessment) si les garanties sont suffisantes. Il s’agit de vérifier si oui ou non une protection suffisante est obtenue, mais pas de quantifier une probabilité d’atteinte à la personnalité dans les pays n’offrant pas une protection suffisante.
Le PFPDT renvoie notamment à ses documents pour évaluer la légalité d’un transfert. L’évaluation du degré de risque est donc un élément utile pour savoir, dans la gestion d’une entreprise, quels risques représente pour la personnalité un transfert dans un pays qui n’offre pas les garanties suffisantes. Cela ne rend pas pour autant le transfert licite.
Une procédure particulière
La prise de position sommaire du PFPDT intervient dans un contexte particulier, puis que la SUVA n’avait pas d’obligation formelle de le consulter et qu’il n’a pas rendu de recommandation formelle. Il l’invite toutefois à réévaluer son projet et se réserve d’intervenir ultérieurement. De manière tout aussi surprenante, le PFPDT a publié la prise de position ultérieure de la SUVA.
La publication de cette prise de position doit toutefois être prise comme un avertissement important pour l’administration, mais aussi toutes les entreprises et personnes individuelles qui traitent des données personnelles. La publication de la réponse de la SUVA sur le site officiel du PFPDT, expliquée par l’absence de jurisprudence relative à ce type d’externalisation, laisse néanmoins perplexe et permet de douter de la volonté du PFPDT d’appliquer sa position.
Le secret de fonction
La prise de position n’aborde pas la question du secret de fonction, qui est aussi une limite traditionnellement à la communication de données à l’étranger. Ici le ciel semble s’éclaircir, en tous cas si l’on en croit la récente réponse de la Conseillère fédérale Karin Keller-Sutter à la session de printemps du Conseil national (BO 2022 N 354, vidéo ci-dessous) par laquelle elle indiquait que si les fournisseurs de services externes à l’administration ne sont en principe actuellement pas tenus de garder les secrets de fonction qu’ils détiennent dans l’exercice de leur activité selon l’art. 320 ch. 1 CP, la révision de cette disposition qui devrait entrer en vigueur en 2023 obligera ces fournisseurs, en leur qualité d’auxiliaires, à répondre de violation du secret de fonction. Elle a encore précisé que cela s’appliquera également à un prestataire de services à l’étranger, même si le Conseil fédéral est conscient des difficultés pratiques de la mise en œuvre du droit pénal suisse contre un prestataire à l’étranger.
Cette déclaration qui est passée assez inaperçue, semble ouvrir très grand la voie l’externalisation de données soumises au secret de fonction à l’étranger. Ici aussi, indépendamment du risque réel, et donc de savoir si c’est une bonne idée, le fonctionnaire qui recourt aux services d’un fournisseur étranger ne pourrait plus être condamné pénalement et cela indépendamment du lieu où se trouve le fournisseur. Finalement, c’est aussi un aveu, du moins dans cette lecture de la loi actuelle, que le recours à un fournisseur serait illégal (alors que la doctrine admet depuis longtemps la notion d’auxiliaire par analogie avec le secret professionnel).
En résumé
Traditionnellement, le recours à un fournisseur étranger était admis largement pour les privés, pour autant que le fournisseur soit dans un pays adéquat (principalement l’EEE) ou que des garanties contractuelles suffisantes aient pu être obtenues. En revanche, le secret de fonction bloquait tout transfert à l’étranger pour l’administration vu les difficultés à le faire respecter et l’absence de notion d’auxiliaires.
La révision de l’art. 320 CP qui entrera prochainement en vigueur en 2023 devrait permettre à l’administration de traiter facilement à l’étranger des données soumises au secret.
En revanche, les décisions récentes en matière de protection des données laissent peu d’espoir à un transfert licite de données vers les USA, tant pour les privés que les organes fédéraux (notamment les décisions des autorités française et autrichienne concernant Google Analytics). Quant à la dernière prise de position du PFPDT, elle assimile à une communication aux USA tout traitement par une société faisant vaguement partie d’un groupe ayant des entités, même séparées, aux USA. Si cette décision devait être suivie, cela signifie que tous les fournisseurs de services qui ont un lien avec les USA, sans même que des données n’y soient transférées ou rendues accessibles d’une autre manière, seraient exclus. La mise en application semble difficile, si ce n’est impossible au moins à moyen terme.
Laisser un commentaire