En tant qu'autorité de contrôle indépendante des institutions européennes, le contrôleur européen de la protection des données des données (CEPD) dispose de nombreuses prérogatives. Dont celle d'enquêter et de vérifier qu'elles respectent bien toutes les règles dans ce domaine. Son rôle est loin d'être anecdotique puisqu'il peut aboutir à une interdiction (temporaire ou définitive) de traitement de données, une amende ou encore de renvoyer une affaire devant la Cour de justice de l'Union européenne.
Le CEPD a ainsi lancé deux enquêtes, l'une concernant l'usage de services cloud fournis par Amazon Web Services et Microsoft par les agences, entités et institutions européennes, et une autre spécifique au recours à Microsoft Office 365 par la commission européenne. « Ces enquêtes font partie de la stratégie du CEPD visant à ce que les institutions de l’UE se conforment à l’arrêt Schrems II afin que les transferts internationaux en cours et futurs soient effectués conformément à la législation de l’UE en matière de protection des données », a expliqué l'autorité de contrôle.
Un pouvoir d'enquêter correctement
L'objectif de la CEPD est de s'assurer que les institutions européennes respectent bien leurs engagements au titre de la protection des données personnelles. Et ce, alors même que leurs contrats cloud avec AWS et Microsoft ont été signés avant l'arrêt Schrems II en juillet 2020 et que ces derniers ont indiqué avoir pris toutes les mesures nécessaires pour s'y conformer. « Ces mesures annoncées peuvent ne pas être suffisantes pour garantir le plein respect de la législation de l'UE sur la protection des données et nécessite donc d'enquêter correctement », a prévenu Wojciech Wiewiórowski, contrôleur européen de la protection des données nommé pour 5 ans le 5 décembre 2019 par le Parlement et le Conseil européen.
Rendu le 16 juillet 2020 par la Cour de Justice de l'Union Européenne, l'arrêt Schrems II a pris de court de nombreux juristes, fournisseurs cloud, entreprises et organisations publiques. Ce dernier, signant par la même occasion la fin du Privacy Shield, a en effet eu pour conséquence de rendre illicites tous les transferts de données personnelles vers les Etats-Unis. Sachant qu'au sens du RGPD, tout accès depuis les Etats-Unis à des données hébergées en Europe est considéré comme un transfert, ce qui rend la tâche du CEPD des plus délicates. « Nous reconnaissons que les institutions européennes - comme d'autres entités de l'UE / EEE - dépendent d'un nombre limité de grands fournisseurs. Avec ces enquêtes, le CEPD vise les aider à améliorer leur conformité en matière de protection des données lors de la négociation de contrats avec leur prestataire de services », poursuit Wojciech Wiewiórowski.