Une enquête menée par le Contrôleur européen de la protection des données (CEPD) a conclu que la Commission européenne enfreignait la loi à travers son usage de Microsoft 365. Il appelle l’autorité à déployer des garanties adéquates pour protéger les informations transférées vers des pays non européens.
La Commission européenne épinglée
D’une durée de trois ans, l’investigation a été déclenchée par des inquiétudes concernant le transfert de données personnelles vers les États-Unis, notamment suite aux révélations en 2013 par Edward Snowden sur la surveillance de masse des États-Unis.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Le Contrôleur a ainsi constaté que la Commission avait enfreint plusieurs législations sur la protection des données pour les institutions, organes et organismes de l’Union Européenne (UE), y compris celles sur les transferts de données à caractère personnel en dehors de l’UE et de l’Espace économique européen. Les infractions concernent toutes les opérations de traitement effectuées par la Commission, ou en son nom, lors de l’utilisation de Microsoft 365.
Ainsi, « la Commission n’a pas prévu de garanties appropriées » pour que ces données bénéficient d’un niveau de protection essentiellement équivalent à celui garanti dans l’UE, explique le CEPD dans un communiqué de presse. « Dans son contrat avec Microsoft, la Commission n’a pas suffisamment précisé quels types de données à caractère personnel doivent être collectés et pour quelles finalités explicites et spécifiées dans le cadre de l’utilisation de Microsoft 365 », poursuit-il.
Les régulateurs européens expriment leurs inquiétudes à ce sujet depuis des années, notamment en ce qui concerne la base juridique invoquée par Microsoft pour le traitement des données. « Il incombe aux institutions, organes et organismes de l’UE (IUE) de veiller à ce que tout traitement de données à caractère personnel en dehors et à l’intérieur de l’UE/EEE, y compris dans le contexte des services en nuage, s’accompagne de garanties et de mesures solides en matière de protection des données », commente Wojciech Wiewiórowski, CEPD.
Le transfert des données, une question de plus en plus cruciale
Le Contrôleur ordonne à la Commission, d’ici au 9 décembre 2024, de prendre des mesures pour se conformer aux règles et de mettre fin au transfert de données vers Microsoft et ses filiales situées dans des pays tiers n’ayant pas conclu d’accords de confidentialité avec l’UE.
À noter que lorsque le CEPD a ouvert l’enquête, l’accord sur le transfert des données en place entre l’Union européenne et les États-Unis n’était plus valable. Son remplaçant a été approuvé l’année dernière.
Les questions relatives au transfert de données sont de plus en plus cruciales dans le paysage géopolitique mondial, alors que les tensions s’intensifient. Il y a quelques jours, Joe Biden signait un décret visant à empêcher la vente et le transfert d’informations sensibles aux entreprises basées dans six pays jugés « hostiles ».