L’utilisation d’AWS par Bruxelles enfreint-il le RGPD ? Un citoyen allemand a déposé une plainte contre la Commission européenne devant la Cour de justice de l’UE et devant l’ EDPS, lequel enquêtait déjà depuis un an sur l’utilisation d’AWS et Microsoft par les institutions européennes.
L’Europäische Gesellschaft für Datenschutz, association allemande spécialisée dans l’indemnisation des victimes de violation de leurs données personnelles, a annoncé par voie de communiqué une plainte visant la Commission européenne. L’EGFD représente en effet un citoyen allemand qui attaque devant la Commission devant la CJUE. Laquelle a reçu la plainte et devrait statuer d’ici à l’année prochaine.
Selon ce recours, la Commission a enfreint le RGPD en ayant recours pour l’un de ses sites web à AWS comme hébergeur. D’autant qu’il s’agit du site de la Conférence sur l'avenir de l'Europe, une plateforme participative qui entend permettre aux citoyens européens de s’exprimer sur différents sujets et qui, en conséquence, collecte de nombreuses données personnelles. Selon la plainte, les données renseignées lors de l’inscription à la plateforme sont susceptibles d’être transférés aux Etats-Unis.
Deux poids deux mesures
Or les utilisateurs ne sont pas informés de la sortie de leurs données en dehors de l’UE, et ne peuvent y consentir. Un point problématique vis-à-vis de l’invalidation du Privacy Shield. Pire encore, la page du site relative à la protection des données ne signale à aucun moment AWS ou un transfert des données aux Etats-Unis.
Pour Thomas Bindl, fondateur du Europäische Gesellschaft für Datenschutz, « si un restaurant ou une boulangerie doit trouver un moyen de se conformer à l'interdiction des transferts de données vers les Etats-Unis, la Commission européenne doit en faire autant car il ne peut y avoir deux poids deux mesures ». Le recours a également été déposé devant l’EDPS (European Data Protection Supervisor). Celui-ci enquête depuis mai 2021 sur l’utilisation d’Amazon Web Services et Microsoft Office 365 par plusieurs institutions européennes, Commission incluse. Le CEPD ne se prononcera qu’après que la CJUE ait rendu son verdict.