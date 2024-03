Le Contrôleur européen de la protection des données (CEPD) a ordonné à la Commission de prendre des mesures pour se conformer aux règles de confidentialité et d'arrêter le transfert de données à l'entreprise américaine et aux filiales situées dans des pays tiers qui n'ont pas conclu d'accords de confidentialité avec l'UE, fixant une date limite au 9 décembre pour les deux ordres.La décision du CEPD fait suite à une enquête de trois ans déclenchée par des inquiétudes concernant le transfert de données personnelles vers les Etats-Unis suite aux révélations en 2013 par l'ancien contractant du renseignement américain Edward Snowden sur la surveillance de masse des Etats-Unis.", a déclaré l'organisme de surveillance dans un communiqué.L'EEE, ou Espace économique européen, est composé des 27 pays de l'UE ainsi que de l'Islande, du Liechtenstein et de la Norvège.", a déclaré le CEPD.Microsoft 365 est la suite de produits qui comprend les documents Word, les feuilles de calcul Excel, les présentations PowerPoint et les courriels Outlook.L'autorité de protection des données a ordonné à la Commission de suspendre tous les flux de données résultant de son utilisation de Microsoft 365 vers l'entreprise, ses filiales et ses sous-traitants situés dans des pays hors d'Europe qui ne sont pas couverts par une décision d'adéquation.L'UE a conclu des accords d'adéquation des données avec 16 pays, dont l'Argentine, le Japon, la Corée du Sud, la Suisse, le Royaume-Uni et les États-Unis.Microsoft a déclaré qu'il examinerait la décision du CEPD et qu'il travaillerait avec l'exécutif européen pour répondre aux préoccupations.", a déclaré un porte-parole.L'exécutif européen a également été invité à prendre des mesures pour s'assurer que son utilisation de Microsoft 365 est conforme aux règles en matière de protection de la vie privée.Le communiqué du CEPD est rapporté ci-dessous :Suite à son enquête, le CEPD a constaté que la Commission européenne (Commission) a enfreint plusieurs règles clés de protection des données lors de l'utilisation de Microsoft 365. Dans sa décision, le CEPD impose des mesures correctives à la Commission.Le CEPD a constaté que la Commission a enfreint plusieurs dispositions du règlement (UE) 2018/1725, la loi de l'UE sur la protection des données pour les institutions, organes et organismes de l'UE (IUE), y compris celles relatives aux transferts de données à caractère personnel en dehors de l'UE/de l'Espace économique européen (EEE). En particulier, la Commission n'a pas prévu de garanties appropriées pour assurer que les données à caractère personnel transférées en dehors de l'UE/EEE bénéficient d'un niveau de protection essentiellement équivalent à celui garanti dans l'UE/EEE. En outre, dans son contrat avec Microsoft, la Commission n'a pas suffisamment précisé quels types de données à caractère personnel doivent être collectés et pour quelles finalités explicites et spécifiées dans le cadre de l'utilisation de Microsoft 365. Les infractions commises par la Commission en tant que responsable du traitement des données concernent également le traitement des données, y compris les transferts de données à caractère personnel, effectué en son nom.Wojciech Wiewiórowski, CEPD, a déclaré : "Le CEPD a donc décidé d'ordonner à la Commission, avec effet au 9 décembre 2024, de suspendre tous les flux de données résultant de son utilisation de Microsoft 365 vers Microsoft et vers ses sociétés affiliées et sous-traitants secondaires situés dans des pays en dehors de l'UE/EEE qui ne sont pas couverts par une décision d'adéquation. Le CEPD a également décidé d'ordonner à la Commission de mettre les opérations de traitement résultant de son utilisation de Microsoft 365 en conformité avec le règlement (UE) 2018/1725. La Commission doit démontrer qu'elle s'est conformée à ces deux ordonnances d'ici le 9 décembre 2024.Le CEPD considère que les mesures correctives qu'il impose sont appropriées, nécessaires et proportionnées à la lumière de la gravité et de la durée des infractions constatées.Bon nombre des infractions constatées concernent toutes les opérations de traitement effectuées par la Commission, ou en son nom, lors de l'utilisation de Microsoft 365, et ont une incidence sur un grand nombre de personnes.Le CEPD tient également compte de la nécessité de ne pas compromettre la capacité de la Commission à accomplir ses tâches dans l'intérêt public ou à exercer l'autorité officielle dont elle est investie, et de la nécessité d'accorder à la Commission un délai approprié pour mettre en œuvre la suspension prévue des flux de données concernés et pour mettre le traitement des données en conformité avec le règlement (UE) 2018/1725.Les mesures imposées par le CEPD dans sa décision du 8 mars 2024 sont sans préjudice de toute autre action que le CEPD pourrait entreprendre.Quelle lecture faites-vous de cette situation ?