Limite de données microsoft UE surnommée « fumée et miroirs »

Données personnelles européennes régulièrement traitées à l’étranger

Toutefois, Alexander Hanff, fondateur de Think Privacy et conseiller principal en protection de la vie privée chez Amari.ai, a qualifié le mouvement de Microsoft de « fumée et de miroirs », affirmant qu’il n’existe aucun moyen possible de protéger les données des citoyens européens contre leur transfert à l’étranger vers les États-Unis, où il existe un niveau inférieur de protection des données.

« Je pense qu’il est assez évident pour la plupart que lorsque nous utilisons l’infrastructure cloud, il ya un niveau d’accès à cette infrastructure de Microsoft dans le but de soutien à la clientèle et divers autres, » Hanff dit Computer Weekly. « Cela en soi constituerait un transfert. Même si les données sont stockées dans l’UE, si quelqu’un y accède depuis les États-Unis, alors il est considéré comme un transfert en vertu du droit de l’UE. »

Hanff a ajouté que toute personne qui a travaillé dans cet espace comprend qu’une grande quantité de données sont collectées et traitées sur les utilisateurs de Cloud de Microsoft, y compris les données sur leurs appareils et les informations de télémétrie liées à la façon dont ils utilisent ses services.

En réponse aux questions d’Computer Weekly sur la question de savoir si les informations placées dans ses services cloud publics sont en fait limitées aux limites géographiques choisies par les clients de l’UE, Microsoft a déclaré que l’importance de l’annonce peut être divisée en trois parties.

« Tout d’abord, il s’appliquera à toutes les données personnelles, dit-il. « Dans le passé, nous nous sommes concentrés sur des catégories spécifiques de données personnelles, mais pas sur toutes les données personnelles. Deuxièmement, cette annonce couvre non seulement le stockage, mais aussi le traitement. Auparavant, nous avons effectué une partie, mais pas la toute, du traitement en Europe pour ces clients. Troisièmement, cette annonce s’applique à nos trois principaux produits cloud… alors que les clients Azure avaient peut-être auparavant un peu plus de choix que, par exemple, les clients de Dynamics 365. »

M. Hanff a ajouté qu’il est de notoriété publique que Microsoft fait l’objet d’un « grand nombre de demandes d’agences de surveillance gouvernementales » aux États-Unis – comme en témoignent ses rapports semestriels sur la transparence – en vertu des Foreign Services Intelligence Amendments (FISA) et des Cloud Acts, et qu’il serait naïf dans ce contexte de penser qu’ils ne faisaient pas de demandes d’accès aux données des Européens.

Plus précisément, l’article 702 de la FISA permet au procureur général des États-Unis et au directeur des services de renseignement d’autoriser conjointement la surveillance ciblée desaux États-Unis, tant qu’ils ne sont pas citoyens américains; tandis que la Loi sur le cloud donne effectivement au gouvernement américain l’accès à toutes les données, stockées n’importe où, par des sociétés américaines dans le cloud.

« Pour moi, c’est un aveu par Microsoft que cela se produit réellement, et que la Loi sur le cloud américain est actuellement utilisé pour accéder aux données dans les centres de données étrangers, en dehors des États-Unis », a déclaré Hanff, ajoutant que dans le cas des lois FISA, les tribunaux secrets sont également habitués à feu vert diverses activités de surveillance.

« Chaque fois que ce tribunal rend une ordonnance – compte tenu du fait qu’il y a des dizaines de milliers de demandes faites à ce tribunal chaque année, dont seulement une poignée, nous parlons de moins de 10 ans, sont rejetées – cela s’agit d’une ordonnance de bâillon. »

Ordres de bâillon

Les œssant à des avis D au Royaume-Uni, par lesquels le gouvernement peut empêcher les éditeurs d’imprimer des articles de nouvelles sur des sujets spécifiques pour des raisons de sécurité nationale, Hanff a déclaré que les ordonnances bâillon sont un instrument juridique pour empêcher les destinataires des ordonnances judiciaires de laisser quiconque sait qu’ils ont reçu l’ordonnance.

« Donc, même si Microsoft vous disent qu’il ya des données stockées au Royaume-Uni, s’ils ont reçu une demande de fournir ces données à une agence de surveillance américaine d’une certaine forme, comme la NSA ou le FBI, ils ne seraient pas en mesure de dire, at-il dit.

« Il s’agit d’un défaut très important et fondamental dans la « fumée et les miroirs » que nous voyons, non seulement de Microsoft, mais de tout un tas de sociétés technologiques américaines – Twitter, Salesforce, Netflix, Facebook, etc. – qui ouvrent toutes les filiales de l’UE à héberger des données dans l’UE, qui sont détenues à 100 % par leurs sociétés mères américaines, ce qui donne encore aux États-Unis un accès complet aux données de ces centres de données. »

Hanff a ajouté: « C’est incroyablement malhonnête parce que beaucoup d’entreprises là-bas, en particulier les petites entreprises, croient ce que ces entreprises technologiques géantes leur disent. Ils supposent que ces grandes entreprises mondiales ont d’énormes cabinets d’avocats et, par conséquent, ils doivent savoir de quoi ils parlent.

En réponse à Computer Weekly, Microsoft a déclaré qu’il s’est publiquement engagé à contester chaque demande du gouvernement pour les données des clients où il a une base légale pour le faire.

« Nos clients nous disent séparément que la résidence de données est importante pour eux, et nous espérons que cette étape supplémentaire aidera », a déclaré un porte-parole. « Nous pensons également que la résidence de données pourrait renforcer notre capacité à faire des contestations judiciaires de certaines demandes non gouvernementales de l’UE en matière d’accès aux données.

« En même temps, il est important de noter que tout fournisseur de technologie ayant des intérêts commerciaux aux États-Unis – même s’il est basé en Europe – peut être soumis à la procédure judiciaire américaine.

« Microsoft donne un préavis aux utilisateurs dont les données sont recherchées par un organisme d’application de la loi ou une autre entité gouvernementale, sauf si la loi l’interdit. »

Le porte-parole a ajouté: « C’est une étape sur un long voyage, et nous avons été clairs à ce sujet. Nous avons pris un certain nombre de mesures dans le passé, y compris notre initiative Défendre vos données. Nous pensons qu’il s’agit d’une autre étape utile et d’une étape adaptée aux discussions avec les clients. Et nous aurons d’autres annonces à l’avenir.

Implications pour la police britannique utilisant M365

Bien que la limite de données de l’UE ne s’applique qu’à 13 pays européens, les questions soulevées par Hanff avec la configuration actuelle de Microsoft s’étendent également aux organisations du secteur public britannique qui utilisent ses services.

En particulier, l’annonce de Microsoft a soulevé d’autres questions quant à l’endroit où il stocke et traite les données de ses clients d’application de la loi basés au Royaume-Uni, qui sont liés par des règles strictes sur le transfert de données à l’étranger.

À la suite d’une enquête sur la liberté de l’information (FoI), Computer Weekly a révélé en décembre 2020 que les forces de police britanniques traitaient illégalement plus d’un million de données personnelles sur le service de cloud public hyperscale M365, après avoir omis de se conformer aux principales exigences contractuelles et de traitement de la Loi de 2018 sur la protection des données (DPA), telles que les restrictions imposées aux transferts internationaux.

Computer Weekly a également constaté que les forces de police britanniques n’avaient pas procédé aux contrôles nécessaires à la protection des données avant de procéder à leurs déploiements de M365.

« Il serait impossible pour la police de déterminer réellement si oui ou non leurs données ont été consultées par, ou a été partagée avec, les organismes de surveillance ou d’application de la loi aux États-Unis où ces ordonnances bâillon ont été présentées », a déclaré Hanff.

Dans la dernière étude d’impact sur la protection des données (DPIA) publiée par le National Enabling Programme (NEP) – le groupe qui a dirigé le déploiement du M365 à la police britannique – elle a identifié le risque que « Microsoft puisse traiter des données personnelles en dehors du Royaume-Uni… sans aucune visibilité ou contrôle sur ce traitement ».

Il a revendiqué eest le risque a été « atténué par le fait que Microsoft est sous ses propres obligations de s’assurer que des mécanismes appropriés d’adéquation sont en place; même sans visibilité du traitement, il est probable que les transferts ne seront pas non conformes ».

Selon M. Hanff, toutes les garanties qui existent dans le droit de l’UE pour faciliter les transferts de pays tiers, ainsi que toutes les clauses contractuelles convenues entre les parties, « n’ont aucune incidence en matière de droit souverain ».

Il a ajouté: « Si la Cour de surveillance du renseignement extérieur a émis une ordonnance à la NSA qui dit à Microsoft ‘vous nous fournirez ces données’, peu importe les clauses contractuelles qu’ils ont avec leur client. »

Computer Weekly a été informé par le NEP et un certain nombre de forces de police en Novembre 2020 que « la région sélectionnée pour le stockage des données est le Royaume-Uni », malgré Microsoft a longtemps clairement indiqué sur son site Web et les conditions de service qu’il ya plusieurs exceptions pour ses services cloud, y compris la sauvegarde de certains services de données qui sont envoyés aux États-Unis et d’autres pays qui ne répondent pas aux normes de données de l’UE.

Un porte-parole du NEP a confirmé à l’époque que le groupe « a toujours été au courant et qu’il a été examiné en détail », affirmant en outre que le programme avait entrepris « une évaluation robuste et détaillée de la gestion des risques pour la sécurité ».

Selon owen Sayers, consultant indépendant en sécurité et architecte d’entreprise, l’annonce de Microsoft confirme que non seulement ses termes et conditions permettent à l’entreprise d’envoyer des données à l’étranger, mais qu’elle le fait régulièrement.

« Cela a de graves implications pour les utilisateurs du gouvernement britannique qui se réfèrent presque toujours à l’engagement « données stockées au Royaume-Uni » pour justifier l’utilisation de Microsoft, at-il dit. « C’est vraiment légal pour les utilisateurs des forces de l’ordre parce qu’ils ne peuvent tout simplement pas envoyer des données en dehors du Royaume-Uni pour un traitement de routine depuis le Brexit, ou avant que le Brexit ne les envoie régulièrement en dehors de l’UE.

« Le Royaume-Uni ne fait pas, cependant, partie de cette nouvelle initiative de Microsoft et il est maintenant très bien une île de protection des données à lui-même. Cela tendrait à la conclusion que le gouvernement britannique, l’application de la loi et les données commerciales seront encore transiter par le monde comme il le fait aujourd’hui pour être traitées alors que dans le nuage Microsoft.

« Les données, personnelles ou autres, que vous mettez dans Microsoft Public Cloud Services ne sont pas limitées aux frontières du Royaume-Uni et de l’UE aujourd’hui. À l’avenir, le Royaume-Uni n’utilisera pas du tout les centres de données de l’UE et ne sera pas protégé par ces nouvelles mesures microsoft. À ce moment-là, le Royaume-Uni ne fera vraiment que faire partie d’un paysage cloud mondial, sans aucun moyen d’exercer la souveraineté des données du Royaume-Uni ou d’exercer un quelconque contrôle sur les données et où elles sont détenues ou vont.

Microsoft soutient toutefois que les données chargées par ses clients dans le cloud sont disponibles en mode résident de données (limité aux limites des centres de données) pour tous ses services de support depuis un certain temps.

« Cette annonce s’étend sur les engagements antérieurs, y compris en réduisant la quantité de transferts de données résiduelles ayant à voir avec les données générées par le service et de diagnostic », a déclaré un porte-parole de Microsoft. « Ces transferts sont conformes au GDPR [General Data Protection Regulation] réglementations en vigueur, mais compliquent les efforts de nos clients pour connaître leurs transferts. La limite de données de l’UE simplifiera considérablement ces transferts.

Computer Weekly a également communiqué avec le NEP au sujet de l’annonce des limites de données pour voir si elle pouvait fournir des preuves que toutes les données d’application de la loi actuellement en M365 sont stockées et traitées au Royaume-Uni, ainsi que les détails des mesures en place pour s’assurer que les forces ont un plus grand niveau de visibilité des données, mais n’ont pas reçu de réponse directe.

Un porte-parole du NEP a déclaré: « Nous sommes convaincus, après avoir examiné tous les aspects de la législation complexe et des orientations affectant ce domaine d’activité, que notre approche au sein du programme continue d’être à la fois légale et appropriée.

« Nous appuyons les forces qui continuent d’examiner leur prise de décisions locales conformément à la Loi sur la protection des données et le travail se poursuit à l’échelle nationale dans tous les organismes concernés. Nous continuons de maintenir l’EFD au niveau du programme à l’étude pour répondre à l’évolution des circonstances.

« Un partage rapide, sûr et proportionné des données entre les forces et les partenaires est essentiel pour enquêter sur les crimes complexes et protéger les gens contre les préjudices. C’est pourquoi nous suivons l’approche du gouvernement en matière de « cloud first ».

« Nous avons toujours agi légalement, en prenant des conseils juridiques d’experts et en consultant l’OIC [Information Commissioner’s Office] tout au long de la vie de notre programme. Nous attendons d’autres conseils en réponse à l’annonce de Microsoft et aux autres changements probables entraînés par l’environnement en constante évolution dans laquelle nous travaillons. Nous en avons déjà discuté avec des données collègues de protection dans les forces et nous continuerons de nous engager avec eux au fur et à mesure que d’autres conseils seront disponibles.

Au cours de l’enquête initiale de foi, le NEP a déclaré à Computer Weekly que l’OIC avait reçu une copie complète de son DPIA M365, et que l’organisme de réglementation de la protection des données avait « fourni des commentaires détaillés et des commentaires sur le document ».

En vertu de l’APP 18, il est obligatoire d’envoyer une EFD à l’OIC lorsque le traitement des données personnelles présente un risque élevé qui ne peut être atténué.

Toutefois, lorsqu’Computer Weekly lui a demandé s’il avait effectivement été consulté sur le DPIA national, l’OIC a d’abord refusé de confirmer de toute façon.

Lorsqu’on lui a parlé de l’allégation du NEP, un porte-parole de l’OIC a déclaré : « Nous avons fourni des conseils informels en matière de protection des données sur le Programme national d’habilitation, mais une étude d’impact sur la protection des données n’a pas été officiellement soumise pour consultation avec le commissaire. »

Solutions potentielles

Sayers et Hanff ont convenu qu’une façon d’atténuer le risque présenté par les lois américaines en ce qui concerne la surveillance serait que Microsoft m’installe une nouvelle société basée dans l’UE, et pas simplement une filiale américaine, comme Amazon Web Services (AWS) l’a fait avec sa société luxembourgeoise distincte AWS SARL.

« Microsoft a effectivement fait cela dans le passé en Allemagne, parce que les Allemands étaient très sensibles à leurs données étant accessibles par la surveillance américaine », a déclaré Hanff.

« Microsoft a mis au point un système où ils ont autorisé leurs services, leurs plates-formes, à un tiers en Allemagne, et que les tiers ont été ceux qui ont vendu la plate-forme à d’autres clients allemands. De cette façon, il y avait presque un pare-feu entre Microsoft et le client.

« Gardez à l’esprit que nous ne parlons pas de l’une des données qui est envoyer dans les coulisses ici, qui est quelque chose qui doit encore être regardé dans les données de télémétrie, etc, mais Microsoft n’avait pas d’accès direct pour aller dans le système. »

Hanff a ajouté que si Microsoft a liquidé le service vers 2018, toutes les entreprises américaines pourraient et devraient chercher à fournir des modèles similaires basés sur la séparation physique.

Mais selon Microsoft, « toutes les améliorations apportées par Microsoft à l’annonce de la limite de données de l’UE seront apportées et déployées dans des centres de données appartenant ou exploités par Microsoft, et non par une nouvelle société ».

Computer Weekly a déjà contacté un certain nombre de fournisseurs basés au Royaume-Uni cloud et d’hébergement ayant de l’expérience dans la prestation de services de police et de justice pénale qui se sont dits globalement positifs et réceptifs à l’idée de travailler avec la police pour développer une capacité de cloud souverain du Royaume-Uni, si bien sûr les forces décident d’explorer de telles opportunités.

Toutefois, Hanff a déclaré qu’il n’y avait rien que Microsoft ou quelqu’un d’autre pourrait vraiment faire pour résoudre les problèmes de transferts vers les États-Unis, et qu’en fin de compte « c’est une question politique qui doit être résolu » par les États-Unis en changeant leurs lois intrusives de surveillance.

Interrogé sur le fait de savoir s’il était d’accord avec cette caractérisation et s’il prendrait des mesures pour faire pression en faveur de changements dans les lois américaines sur la surveillance, Microsoft a déclaré qu’il était important de noter que « tout fournisseur de technologie présent aux États-Unis est soumis à un processus juridique américain – et pas seulement aux entreprises basées aux États-Unis ».

Il a ajouté: « Nous n’avons reçu que trois mandats de perquisition américains pour les données des clients d’entreprise situés en dehors des États-Unis au cours de l’année 2020. Au-delà de cela, il y a certaines questions importantes liées à l’accès légal que les dirigeants gouvernementaux des deux côtés de l’Atlantique doivent aborder.

« Dans notre blog, nous avons également dit que Microsoft continuera à faire tout notre possible pour encourager les dirigeants gouvernementaux à aborder ces questions rapidement, et nous sommes optimistes qu’il y aura une résolution dans un proche avenir. »