Frankrike: Domstol kräver att Microsoft anpassar avtal på grund av Schrems II-målet

Frankrikes högsta förvaltningsdomstol Conseil d´État kräver att Microsoft anpassar personuppgiftsbiträdesavtalet för tjänsten Microsoft Azure som Microsoft ingått med Frankrikes statliga plattform för hälsodata Health Data Hub (”HDH”). Domstolen kräver att Microsoft inte överför personuppgifter till länder utanför EU/EES och att personuppgiftsbehandlingen som sker hos Microsoft följer gällande regler i EU och i EU:s enskilda medlemsländer. Bakgrunden till målet är EU-domstolens beslut i det så kallade Schrems II-målet (C-311/18) om att vissa överföringar av personuppgifter till USA strider mot dataskyddsförordningen (”GDPR”).

Bakgrunden till målet

Den 28 september 2020 inledde olika organisationer, fackförbund och enskilda ett snabbförfarande (Référé-liberté) mot HDH inför Conseil d´État då de ansåg att deras grundlagsstadgade rätt till privatliv kränkts på ett allvarligt sätt genom att HDH använde Microsoft Azure vid behandling av personuppgifter. De yrkade att personuppgiftsbehandlingen omedelbart skulle avbrytas då personuppgifter överfördes till USA i strid med reglerna i GDPR.

Den 8 oktober 2020 skickade den franska dataskyddsmyndigheten Commission Nationale de l’Informatique et des Libertés (“CNIL”) en skrivelse till Conseil d´État där myndigheten bland annat förtydligade följande:

  • Även om data lagras i Microsoft Azures datacenter på Irland förekommer överföringar av personuppgifter till USA i samband med supportärenden. Att fortsätta med dessa överföringar strider mot EU-domstolens beslut i Schrems II-målet.
  • Enligt amerikansk övervakningslagstiftning kan brottsbekämpande myndigheter i USA komma att begära ut data som lagras i Microsofts datacenter på Irland. Ett sådant utlämnande strider mot artikel 48 i GDPR.

Den 9 oktober 2020, en dag efter att CNIL skickat sin skrivelse till domstolen, utfärdade den franska regeringen ett ministerbeslut som förbjöd HDH att överföra personuppgifter till länder utanför EU/EES.

Conseil d´États beslut

Av Conseil d´États beslut från den 13 oktober 2020 framgår att domstolen tolkat den aktuella behandlingen som att HDH och Microsoft kommit överens om att det inte skulle ske några överföringar av personuppgifter till USA i samband med HDH:s användning av Microsoft Azure. En omständighet som bidragit till denna tolkning var ministerbeslutet som fattats fyra dagar tidigare. Samtidigt erkände domstolen att det fanns en risk för att personuppgifter ändå kan komma att överföras till USA. Mot bakgrund av detta krävde domstolen att HSH och Microsoft skulle inkomma med ytterligare bevis för att det inte skedde några överföringar av personuppgifter till USA i samband med HDH:s användning av Microsoft Azure.

Domstolen krävde även att HSH och Microsoft skulle anpassa personuppgiftsbiträdesavtalet som ingåtts mellan parterna så att det tydligt framgick att personuppgifter inte överförs till USA i samband med HDH:s användning av Microsoft Azure. Domstolen gav HDH och Microsoft 15 dagar för att presentera bevisen och åtgärda avtalet. Domstolen ansåg därutöver att HDH utgjorde en viktig del i Frankrikes strategi för att hantera covid-19-pandemin. Mot denna bakgrund ansåg domstolen att hälsoplattformen för tillfället inte skulle stoppas.

Domens konsekvenser

Conseil d´États beslut tog höjd för utfallet i EU-domstolens beslut i Schrems II-målet och visar att det sannolikt kommer att bli svårare att använda amerikanska molntjänstleverantörer framöver om inte leverantörerna anpassar sin behandling av personuppgifter utifrån reglerna i GDPR. Utmaningen är att många molntjänstleverantörer som Microsoft, Amazon och Google idag överför personuppgifter till USA som standard vilket även återspeglas i leverantörernas avtal. Myndigheter, företag och andra organisationer som vill använda molntjänster behöver därför säkerställa att varje enskild leverantör inte överför personuppgifter till USA och att detta återspeglas i mellan parterna ingånget avtal. Risken för att bryta mot bestämmelserna i GDPR samt eventuella sanktionsavgifter och skadeståndskrav ligger enligt samma regelverk på den som upphandlat den aktuella molntjänsten.

Läs Conseil d´États beslut här och CNIL:s skrivelse här, båda endast tillgängliga på franska.

Läs mer om EU-domstolens beslut i Schrems II-målet här.

Vill du lära dig mer om GDPR, molntjänster och informationssäkerhet kan du läsa om våra aktuella kurser här.

Vill du ha hjälp med rådgivning i frågor om dataskydd och personlig integritet kan du läsa mer här.

Vill du ha vårt nyhetsbrev?

Vi skickar regelbundet ut fullmatade nyhetsbrev med tips, erbjudanden och det senaste inom dataskydd och personlig integritet.