En date du 15 novembre 2013, la Commission nationale pour la protection des données (CNPD) a informé les requérants des résultats de l’examen de leurs demandes relatives au respect de leurs droits et libertés fondamentaux à l’égard de traitements de données par les sociétés Skype Communications s.a.r.l. et Microsoft Luxembourg s.a.r.l.
Après sa recherche sur les faits conduite depuis juillet 2013 et son analyse détaillée subséquente, la CNPD ne dispose d’aucun élément qui pourrait indiquer un transfert massif de données de la part des deux entreprises basées au Luxembourg à la National Security Agency (NSA). Par ailleurs, il s’est avéré que le transfert de certaines catégories de données vers les entreprises affiliées aux Etats-Unis, tel qu’il est établi dans les politiques de confidentialité des deux entreprises, s’opère légalement, conformément aux règles applicables de la décision d’adéquation 2000/520/CE de la Commission européenne mettant en oeuvre l’accord « Safe Harbor ».
Par conséquent, la CNPD n’a pas constaté de violation des dispositions de la législation sur la protection des données à caractère personnel ni par Skype Communications s.a.r.l. ni par Microsoft Luxembourg s.a.r.l.
Il convient d'ailleurs de noter qu'il a été retenu formellement que Skype Communications s.a.r.l. ne peut plus être considérée comme responsable du traitement isolé, mais comme responsable conjoint pour le traitement des données à caractère personnel des utilisateurs des services en ligne de Skype avec Microsoft dont la maison mère est établie à Redmond (USA).
Mise à jour (02/12/2013):
Dans une deuxième lettre du 29 novembre 2013, la CNPD a fourni aux ressortissants européens des clarifications complémentaires quant à la portée de ses constatations.
En réponse à la question de savoir si la CNPD est parvenue à confirmer ou infirmer l'existence du programme PRISM et l'accès par la NSA aux données personnelles des utilisateurs de Skype et d'autres services en ligne de Microsoft, la Commission nationale a expliqué qu'en tant qu'autorité de contrôle, elle surveille le respect de la protection des données au Grand-Duché et que le périmètre de sa recherche se limitait donc forcément aux activités de Skype Communications s.a.r.l. et de Microsoft Luxembourg. En dehors de sa juridiction il n'appartient pas à la CNPD d'enquêter de sorte que ses conclusions ne sont pas de nature à confirmer ou réfuter l'existence des programmes de surveillance massive d'Internet de la part des services secrets comme PRISM, ni à exclure que les systèmes de Microsoft puissent avoir été accédés dans ce contexte, notamment aux Etats-Unis. Toutefois, la Commission nationale n'a-t-elle pas pu déceler d'indice que Skype ou Microsoft concèdent un accès aux données personnelles des utilisateurs de leurs services en ligne ou fournissent des données en dehors des injonctions ponctuelles leur soumises en conformité des législations nationales applicables dans le domaine répressif et de la sécurité publique.
La CNPD a estimé que des sanctions envers les sociétés sous investigation n'auraient pu être envisagées qu'en présence d'éléments concrets indiquant une violation de leurs obligations légales et qu'une suspension des transferts de données vers les Etats-Unis basés sur le dispositif Safe Harbor était inconcevable en l'absence de preuves matérielles ou d'indices constatés laissant présumer un transfert massif de données.
La Commission nationale a fait remarquer par ailleurs qu'elle était d'avis que les exceptions pour l'accès par les autorités répressives et de sécurité nationale stipulées dans l'accord "Safe Harbor" passé en 2000 entre la Commission européenne et les autorités US ne légitimisent en aucun cas une surveillance massive des communications et du traffic Internet. Elle s'est félicité des recommandations publiées le 27 novembre par la Commision Européenne en vue d'une amélioration des mécanismes d'application de Safe Harbor et d'une restauration de la confiance des citoyens européens dans les flux de données entre l'UE et les États-Unis.