Nos clients du secteur public et nos clients commerciaux transfèrent régulièrement des données entre pays, régions et continents. Dès lors, Microsoft annonce à présent de nouvelles mesures de protection pour le secteur public et les entreprises qui effectuent leurs transferts de données depuis l’Union européenne. Microsoft y adjoint également l’obligation contractuelle de contester les demandes de données gouvernementales et une obligation financière permettant de souligner notre conviction. Microsoft est la première entreprise à offrir ces obligations en réponse aux directives claires publiées la semaine dernière par les autorités de réglementation de la protection des données dans l’Union européenne.
Nos clients effectuent quotidiennement des transferts de données à travers leurs réseaux mondiaux pour servir à leur tour leurs clients, pour travailler avec leurs fournisseurs et partenaires et pour gérer les salaires de leur personnel mondial. Ces transferts de données transfrontaliers font l’objet de procès et de réglementations récents, comme un arrêt rendu au début de l’année par la Cour de justice de l’Union européenne et un projet de recommandations présenté au début du mois par le Comité Européen de la Protection des Données (CEPD) sur la manière dont les entreprises peuvent se conformer à cet arrêt.
Avec cette annonce, Microsoft est la première entreprise à répondre à la réglementation du CEPD par de nouveaux engagements qui soulignent notre conviction que les données de nos clients doivent être protégées. Microsoft a déjà montré que nous offrons des mesures de protection solides pour les données de nos clients, que nous sommes transparents sur nos pratiques et que nous protégeons les données de nos clients. Les nouvelles mesures que nous annonçons maintenant vont encore plus loin que les règlements et les projets de recommandations du CEPD. Nous espérons donc que ces mesures donneront à nos clients une confiance supplémentaire dans la protection de leurs données.
- Microsoft s’engage tout d’abord à contester toute demande d’obtention de données auprès du secteur public ou d’entreprises (de tout gouvernement) s’il existe une base juridique pour le faire. Cet engagement fort va au-delà des recommandations proposées par le CEPD.
- En outre, Microsoft accordera une compensation financière aux utilisateurs de ces clients si nous leur fournissons des données en réponse à une demande gouvernementale qui enfreint le Règlement général sur la protection des données (RGPD) de l’UE. Cette promesse va également au-delà des recommandations du CEPD. Microsoft affirme par la présente que nous protégerons les données de nos clients du secteur public et des entreprises et que nous ne les exposerons pas à une divulgation abusive.
Microsoft a donné à ces mesures de protection le titre de « Defending Your Data » (protection de vos données) et nous les ajoutons immédiatement à nos contrats avec les clients du secteur public et des entreprises.
Ces mesures constituent un complément essentiel à nos promesses fondamentales en matière de protection de la vie privée et s’appuient sur la solide protection que Microsoft offre déjà à ses clients.
- Nous utilisons un cryptage puissant : Nous utilisons un niveau élevé de cryptage pour les données des clients, tant en transit que pendant le stockage. Le cryptage est une partie essentielle des projets de recommandations du CEPD. Nous ne fournissons pas nos clés de cryptage ou d’autres moyens de casser notre cryptage aux gouvernements.
- Nous défendons les droits des clients : nous ne donnons pas aux gouvernements un accès direct et illimité aux données des clients. Si un gouvernement nous demande des données sur les clients, il doit suivre les procédures légales appropriées. Nous ne répondons aux demandes que lorsque nous y sommes clairement obligés. Nous essayons toujours de transmettre ces demandes aux clients en premier lieu ou nous les en informons. Nous refuserons ou contesterons aussi systématiquement ces demandes si nous pensons qu’elles ne sont pas légales.
- Nous sommes transparents : nous publions depuis des années des informations sur les demandes de données des clients par les pouvoirs publics. Nous avons intenté une action en justice contre le gouvernement américain pour obtenir l’autorisation de fournir plus d’informations sur les injonctions que nous recevons en matière de sécurité gouvernementales demandant des données sur les clients. Cela a donné lieu à un règlement qui a permis à Microsoft d’obtenir cette autorisation. En conséquence, nous divulguons des informations plus détaillées sur ces injonctions deux fois par an à tous nos secteurs (consommateurs, entreprises et secteur public), en complément de notre Rapport régulier sur les demandes d’application de la loi.
- Microsoft jouit d’une excellente réputation en matière d’aboutissement favorable de procès : Microsoft a plus d’expérience que toute autre entreprise dans la conduite de procès qui définissent les limites des demandes gouvernementales. Nous avons même intenté un procès à la Cour suprême des États-Unis. Nos efforts conduisent à une plus grande transparence et à une meilleure protection de nos clients. La promesse de contester les injonctions d’accéder aux données ne mène pas automatiquement au succès, mais jusqu’à présent, Microsoft a obtenu un taux de réussite significatif.
Une partie du débat public sur l’influence des demandes de données du gouvernement américain concerne les entreprises qui ont leur siège aux États-Unis. Mais il est clair que les lois du gouvernement américain sur l’accès aux données s’appliquent également aux entreprises qui font des affaires aux États-Unis, même si leur siège social se trouve en Europe ou ailleurs dans le monde.
Le respect de la vie privée est une valeur fondamentale pour Microsoft, car nous pensons que les gens n’utilisent que des technologies auxquelles ils font confiance. C’est pourquoi nous avons été le premier fournisseur de cloud computing à travailler avec les autorités européennes de protection des données sur des clauses types, nous avons été les premiers à utiliser de nouvelles normes techniques pour la confidentialité du cloud computing et Microsoft est un fervent partisan du RGPD depuis sa première proposition en 2012. Nous avons étendu les droits fondamentaux du RGPD à tous les consommateurs du monde entier et nous avons appliqué les droits fondamentaux du California Consumer Privacy Act à tous nos clients aux États-Unis. En outre, Microsoft a lancé l’initiative Tech Fit for Europe pour développer des solutions numériques basées sur les valeurs et les règles européennes.
Nous espérons avoir convaincu nos clients commerciaux et nos clients du secteur public que les mesures annoncées vont au-delà de l’obligation légale de protéger leurs données et celles de leurs utilisateurs.
Vous trouverez de plus amples informations sur nos engagements en matière de protection de la vie privée ici