Le Contrôleur européen de la protection des données (CEPD) a ordonné à la Commission de prendre des mesures pour se conformer aux règles de confidentialité et d'arrêter le transfert de données à l'entreprise américaine et aux filiales situées dans des pays tiers qui n'ont pas conclu d'accords de confidentialité avec l'UE, fixant une date limite au 9 décembre pour les deux ordres.
La décision du CEPD fait suite à une enquête de trois ans déclenchée par des inquiétudes concernant le transfert de données personnelles vers les Etats-Unis suite aux révélations en 2013 par l'ancien contractant du renseignement américain Edward Snowden sur la surveillance de masse des Etats-Unis.
"La Commission n'a pas fourni les garanties appropriées pour s'assurer que les données personnelles transférées en dehors de l'UE/EEE bénéficient d'un niveau de protection essentiellement équivalent à celui garanti dans l'UE/EEE", a déclaré l'organisme de surveillance dans un communiqué.
L'EEE, ou Espace économique européen, est composé des 27 pays de l'UE ainsi que de l'Islande, du Liechtenstein et de la Norvège.
"Dans son contrat avec Microsoft, la Commission n'a pas suffisamment spécifié quels types de données personnelles doivent être collectées et pour quelles finalités explicites et spécifiées lors de l'utilisation de Microsoft 365", a déclaré le CEPD.
Microsoft 365 est la suite de produits qui comprend les documents Word, les feuilles de calcul Excel, les présentations PowerPoint et les courriels Outlook.
L'autorité de protection des données a ordonné à la Commission de suspendre tous les flux de données résultant de son utilisation de Microsoft 365 vers l'entreprise, ses filiales et ses sous-traitants situés dans des pays hors d'Europe qui ne sont pas couverts par une décision d'adéquation.
L'UE a conclu des accords d'adéquation des données avec 16 pays, dont l'Argentine, le Japon, la Corée du Sud, la Suisse, le Royaume-Uni et les États-Unis.
Microsoft a déclaré qu'il examinerait la décision du CEPD et qu'il travaillerait avec l'exécutif européen pour répondre aux préoccupations.
"Les inquiétudes soulevées par le Contrôleur européen de la protection des données concernent principalement des exigences de transparence plus strictes dans le cadre du RGPD, une loi qui ne s'applique qu'aux institutions de l'Union européenne", a déclaré un porte-parole.
L'exécutif européen a également été invité à prendre des mesures pour s'assurer que son utilisation de Microsoft 365 est conforme aux règles en matière de protection de la vie privée.
Le communiqué du CEPD est rapporté ci-dessous :
Suite à son enquête, le CEPD a constaté que la Commission européenne (Commission) a enfreint plusieurs règles clés de protection des données lors de l'utilisation de Microsoft 365. Dans sa décision, le CEPD impose des mesures correctives à la Commission.
Le CEPD a constaté que la Commission a enfreint plusieurs dispositions du règlement (UE) 2018/1725, la loi de l'UE sur la protection des données pour les institutions, organes et organismes de l'UE (IUE), y compris celles relatives aux transferts de données à caractère personnel en dehors de l'UE/de l'Espace économique européen (EEE). En particulier, la Commission n'a pas prévu de garanties appropriées pour assurer que les données à caractère personnel transférées en dehors de l'UE/EEE bénéficient d'un niveau de protection essentiellement équivalent à celui garanti dans l'UE/EEE. En outre, dans son contrat avec Microsoft, la Commission n'a pas suffisamment précisé quels types de données à caractère personnel doivent être collectés et pour quelles finalités explicites et spécifiées dans le cadre de l'utilisation de Microsoft 365. Les infractions commises par la Commission en tant que responsable du traitement des données concernent également le traitement des données, y compris les transferts de données à caractère personnel, effectué en son nom.
Wojciech Wiewiórowski, CEPD, a déclaré : "Il incombe aux institutions, organes et organismes de l'UE (IUE) de veiller à ce que tout traitement de données à caractère personnel en dehors et à l'intérieur de l'UE/EEE, y compris dans le contexte des services basés sur le cloud, s'accompagne de garanties et de mesures robustes en matière de protection des données. Cela est impératif pour garantir que les informations des individus sont protégées, comme l'exige le règlement (UE) 2018/1725, chaque fois que leurs données sont traitées par, ou au nom de, une IUE."
Le CEPD a donc décidé d'ordonner à la Commission, avec effet au 9 décembre 2024, de suspendre tous les flux de données résultant de son utilisation de Microsoft 365 vers Microsoft et vers ses sociétés affiliées et sous-traitants secondaires situés dans des pays en dehors de l'UE/EEE qui ne sont pas couverts par une décision d'adéquation. Le CEPD a également décidé d'ordonner à la Commission de mettre les opérations de traitement résultant de son utilisation de Microsoft 365 en conformité avec le règlement (UE) 2018/1725. La Commission doit démontrer qu'elle s'est conformée à ces deux ordonnances d'ici le 9 décembre 2024.
Le CEPD considère que les mesures correctives qu'il impose sont appropriées, nécessaires et proportionnées à la lumière de la gravité et de la durée des infractions constatées.
Bon nombre des infractions constatées concernent toutes les opérations de traitement effectuées par la Commission, ou en son nom, lors de l'utilisation de Microsoft 365, et ont une incidence sur un grand nombre de personnes.
Le CEPD tient également compte de la nécessité de ne pas compromettre la capacité de la Commission à accomplir ses tâches dans l'intérêt public ou à exercer l'autorité officielle dont elle est investie, et de la nécessité d'accorder à la Commission un délai approprié pour mettre en œuvre la suspension prévue des flux de données concernés et pour mettre le traitement des données en conformité avec le règlement (UE) 2018/1725.
Les mesures imposées par le CEPD dans sa décision du 8 mars 2024 sont sans préjudice de toute autre action que le CEPD pourrait entreprendre.
Source : "European Commission’s use of Microsoft 365 infringes data protection law for EU institutions and bodies" (CEPD)
Et vous ?
Quelle lecture faites-vous de cette situation ?
Voir aussi :
Le Contrôleur européen de la protection des données appelle à un renforcement des garanties en matière de protection de la vie privée, dans le projet de loi de l'UE visant à soutenir l'euro numérique
Le Contrôleur européen de la protection des données (CEPD) a ordonné à Europol de supprimer 4 pétaoctets de données personnelles sur des criminels et des citoyens innocents, collectées illégalement
L'Union européenne se prépare à corriger le RGPD en améliorant la façon dont il est appliqué. Un texte est attendu avant cet été, selon une page récemment publiée sur son site Web