Une enquête de l’Union européenne, toujours en cours, suggère que les contrats informatiques de Microsoft avec les institutions européennes ne respectent pas la réglementation européenne sur la protection des données (RGPD).

Une enquête du Contrôleur européen de la protection des données

En avril dernier le Contrôleur européen de la protection des données (CEPD) a lancé une enquête sur les contrats informatiques liant les agences européennes à des services de Microsoft. La CEPD est une autorité relativement méconnue, créée en 2004.

Son rôle a été renforcé et clairement définit dans le chapitre VI du Règlement général sur la protection des données (RGPD). Globalement le CEPD est chargé d’intervenir dans toutes les affaires européennes ayant un trait aux données et à la vie privée. Il a un rôle de contrôle, de conseil sur les lois ou traités et coopère avec les états membres.

L’enquête actuellement menée n’est toujours pas achevée, mais des résultats préliminaires ont été communiqués le 21 octobre et ils ne sont pas très bons pour Microsoft, « Bien que l’enquête soit toujours en cours, les résultats préliminaires révèlent de sérieuses inquiétudes quant à la conformité des clauses contractuelles concernées avec les règles de protection des données et quant au rôle de Microsoft en tant que sous-traitant pour les institutions européennes utilisant ses produits et services ».

Les Pays-Bas, qui ont débuté une enquête similaire, en sont arrivés à la même conclusion que le CEPD. Le contrôleur en est arrivé à la conclusion que Microsoft ne respectait le RGPD ni dans ses contrats avec l’Union européenne, ni avec les états membres.

Microsoft a mollement répondu aux accusations de la CEPD par l’intermédiaire de son porte-parole, « Nous nous engageons à aider nos clients à se conformer au RGPD, au Règlement 2018/1725 et aux autres lois applicables ».

Malgré cette réponse bateau de Microsoft, le communiqué du contrôleur européen se montre plutôt rassurant, l’exemple néerlandais aidant. Ces derniers, une fois après avoir constaté le non-respect de la réglementation sur les données privées ont modifié les termes des contrats, les garanties techniques et les paramètres les liant à Microsoft.

Pour Wojciech Wiewiórowski, Contrôleur adjoint de la CEPD, « L’accord conclu entre le ministère néerlandais de la Justice et de la Sécurité et Microsoft sur les garanties contractuelles et techniques appropriées et les mesures visant à atténuer les risques pour les particuliers est un pas en avant positif ».

Un seul type de contrat pour tous les pays de l’UE ?

La CEPD, en collaboration avec le ministre néerlandais de la Justice et de la Sécurité, a tenu le 29 août à la Haye un forum pour réfléchir au meilleur moyen pour les états membres et les institutions européennes de reprendre la main sur les contrats informatiques négociés avec les mastodontes tels que Microsoft.

Dans son communiqué, la CEPD a esquissé l’idée de mettre en place un contrat type, unique à tous les pays européens, sollicitant des produits et services informatiques à de grands groupes. Les pays européens sont invités à participer au prochain forum pour réfléchir à cette solution. Le contrat type, s’il est adopté par un nombre suffisant de pays européens, pourra ainsi avoir une force de frappe suffisante pour éviter aux institutions de signer des contrats qui ne respectent pas leur propre réglementation… À l’instar de la « taxe GAFA », réunir plusieurs pays européens derrière un même projet apportera toujours plus de poids.