Par ses nouvelles mesures de sécurité, Microsoft estime aller au-delà de la loi et des projets de recommandations de l’EDPB.

«Nous sommes en passe d’être la première entreprise à répondre aux directives de l’EDPB par de nouveaux engagements», affirme Julie Brill, Chief Privacy Officer, Microsoft, sur le blog de l’entreprise.

Et d’insister : «Microsoft a déjà démontré que nous fournissons des protections solides pour les données de nos clients, nous sommes transparents sur nos pratiques et nous défendons les données de nos clients. Nous pensons que les nouvelles mesures que nous annonçons aujourd’hui vont au-delà de la loi et des projets de recommandations de l’EDPB, et nous espérons que ces étapes supplémentaires donneront à nos clients une confiance accrue dans leurs données.»

Microsoft prêt à contester

Confronté à l’invalidation par la Cour de justice européenne du Pricay Shield qui régissait le transfert de données personnelles européennes outre-Atlantique, ainsi qu’aux recommandations de l’EDPB (European Data Protection Board), l’organisme qui veille à l’application du GDPR, Microsoft annonce une série de mesures de protection contre le Cloud Act américain et la mainmise possible des autorités US sur ces données.

«Premièrement, nous nous engageons à contester toute demande gouvernementale concernant les données des clients du secteur public ou des entreprises -de n’importe quel gouvernement- là où il existe une base légale pour le faire. Cet engagement fort va au-delà des recommandations proposées par l’EDPB.»

A ce propos, Julie Brill évoque une possible compensation monétaire aux utilisateurs des clients si Microsoft venait à divulguer leurs données en réponse à une demande gouvernementale en violation du GDPR de l’UE. Cet engagement dépasse également les recommandations de l’EDPB, insiste-t-elle. «Cela montre que Microsoft est convaincu que nous protégerons les données de nos clients du secteur public et des entreprises et ne les exposerons pas à une divulgation inappropriée.»

Rediriger les demandes gouvernementales vers les clients

Et Microsoft de rappeler l’usage d’un cryptage fort, à la fois en transit et au repos. Le chiffrement est un point critique du projet de recommandations EDPB. «Nous ne fournissons à aucun gouvernement nos clés de cryptage ou tout autre moyen de briser notre cryptage.»

La représentante de Microsoft appuie sur la notion de défense des droits des clients : «nous ne fournissons à aucun gouvernement un accès direct et sans entrave aux données des clients. Si un gouvernement exige de nous des données client, il doit suivre la procédure légale applicable. Nous ne nous conformerons aux demandes que lorsque nous y serons clairement obligés. Notre première étape consiste toujours à tenter de rediriger ces commandes vers les clients ou de les informer. Nous refusons ou contestons régulièrement les commandes lorsque nous pensons qu’elles ne sont pas légales.»

L’expérience vis-à-vis des tribunaux

Même souci de transparence. Ceci à travers la publication -depuis de nombreuses années- des informations sur les demandes du gouvernement en matière de données clients. «Nous avons poursuivi le gouvernement américain pour sa capacité à divulguer plus de données sur les ordres de sécurité nationale que nous recevons pour rechercher des données clients et avons conclu un règlement nous permettant de le faire. En conséquence, deux fois par an, nous divulguons des informations plus détaillées sur les ordonnances de sécurité nationale dans toutes nos activités en plus de notre rapport de demande d’application de la loi régulier.»

Et Julie Brill de mentionner la feuille de route de succès juridique de l’éditeur. «Nous avons plus d’expérience que toute autre entreprise qui a saisi les tribunaux pour établir les limites des ordonnances de surveillance du gouvernement, et nous avons même porté une affaire devant la Cour suprême des États-Unis. Si aucun engagement à contester les ordres d’accès ne peut garantir la victoire, nous sommes satisfaits de notre bilan à ce jour.»

Reste à voir si ces promesses suffiront à apaiser les craintes des entreprises européennes.