Pouvez-vous échanger en toute quiétude au sujet du dossier d’un de vos clients sur teams?
Direction la politique de confidentialité de Microsoft: Microsoft traite comme données personnelles tout le contenu échangé sur teams, à savoir «vos réunions et conversations, messages vocaux, fichiers partagés, enregistrements et transcriptions».
Selon Microsoft, «pour les transferts de données personnelles à partir de l’EEE, de l’UE, de la Suisse et du Royaume-Uni, Microsoft est certifié pour l’UE-États-Unis et la Suisse-États-Unis. Les cadres du bouclier de protection des données et les engagements qu’ils impliquent, bien que Microsoft ne s’appuie pas sur le cadre du bouclier de protection de la vie privée UE-États-Unis comme base juridique pour les transferts de données personnelles à la lumière de l’arrêt de la Cour de justice de l’UE dans l’affaire C-311/18» https://learn.microsoft.com/fr-fr/microsoftteams/teams-privacy
Vous avez bien lu. La multinationale Microsoft vous le promet: elle est «certifiée» pour la Suisse.
Tout porte à croire que l’échange de données personnelles sur un client sur teams ne pose aucunement problème.
Or en plus d’être nébuleuse, la politique de confidentialité de Microsoft apparait désuète. Les «boucliers» européens ou accords entre la Suisse et les Etats-Unis qui permettraient aux entreprises suisses de transférer des données aux Etats-Unis, sans conditions particulières, ne sont plus d’actualité.
Tel est l’avis de la Cour de justice européenne ainsi que du Préposé fédéral suisse à la protection des données à la transparence depuis 2022. Rien d’étonnant jusque-là: l’illégalité de l’utilisation du cloud Microsoft 365 (onedrive) pour le traitement de données personnelles a déjà fait grand bruit en Suisse.
Quelle est la raison de cette interdiction?
Une des raisons principales est que l’Etat américain et ses services de renseignement peuvent trop facilement accéder aux données personnelles des citoyens suisses qui sont traitées par Microsoft.
Microsoft a alors tenté de trouver la solution: proposer à ses clients suisses de migrer leurs données dans des data center sur territoire Suisse.
Fort de cet hébergement «swiss made», vous vous sentez libre de stocker et échanger des données sur teams.
Mais cela pose une question centrale: est-ce qu’en cas de demande des services de renseignement américain, Microsoft pourra refuser de s’exécuter en invoquant que les données sont hébergées en Suisse?
Et Microsoft de nous répondre dans sa politique de confidentialité: «si nous sommes contraints de divulguer des données personnes aux autorités de police, Microsoft informera le client dans les plus brefs délais et fournira une copie de la demande, à moins que l’autorité ne l’interdise».
En d’autres mots, si Microsoft est «contraint», il livrera les données.
Quelle est donc la solution à préconiser actuellement?
Il y en a deux.
La première : chaque utilisateur signe des clauses contractuelles (CCT 2.0) avec Microsoft pour l’utilisation de chacun de ses produits. Il vous faudra convaincre Microsoft à conclure une clause par laquelle la société accepte de refuser d’être « contrainte » par les services de renseignement.
Autant dire que cette solution est utopique.
La seconde : vous renoncez à utiliser teams ou le cloud pour communiquer ou stocker des données personnelles, même si celles-ci sont hébergées en Suisse, et vous prévoyez d’héberger vos données personnelles sur votre propre serveur ou votre NAS.
Ce dans l’attente qu’un consensus soit trouvé entre la Suisse et les décideurs américains…
Vous me direz: «pourquoi tant s’en faire dans l’attente qu’un consensus soit trouvé, puisque le risque de communication aux autorités américaines est faible?»
Si l’on s’attarde sur les statistiques dévoilés par Microsoft en 2022, sur le fondement de procédures pénales, 5’500 demandes de données ont été délivrées aux autorités américaines en vertu de la loi et 17’337 comptes et utilisateurs ont été spécifiés dans la demande. Seulement 704 demandes ont été rejetées par Microsoft faute de base légale. 68% des requêtes adressées à Microsoft ont donc été admises par Microsoft. Vu le nombre de comptes et de données, le risque semble extrêmement faible. Toutefois, ces statistiques ne sont que la pointe de l’iceberg. Ces chiffres représentent en effet les demandes basées sur des lois pénales (criminal law). Les demandes qui reposent sur le Foreign Intelligence Surveillance (FISA) act, soit la loi du Congrès des Etats-Unis relatives aux procédures de surveillance ou encore sur le droit civil doivent y être ajoutées.
En conclusion, que cela soit illégal ou peu risqué, si les données de votre client échangées sur teams finissent en mains d’une autorité américaine, vous lui expliquerez que cela n’arrive en principe qu’aux autres…
Cet article est paru pour la première fois sur le site Investir.ch