Protection des données : La Commission Européenne se fait recadrer pour son usage de Microsoft 365

« Il incombe aux institutions, organes et organismes de l'UE de veiller à ce que tout traitement de données à caractère personnel en dehors et à l'intérieur de l'UE/EEE (IUE) y compris dans le contexte des services cloud, s'accompagne de garanties et de mesures solides en matière de protection des données », a expliqué Wojciech Wiewiórowski, contrôleur européen de la protection des données.

Une enquête menée par l'organisme de contrôle européen de la protection des données (CEPD) fait ressortir que la Commission européenne a enfreint plusieurs règles avec Microsoft 365 dont le transfert de données personnelles en dehors de l'Union européenne et de son espace économique. Une date butoir de mise en conformité est fixée au 9 décembre 2024.

Faites ce que je dis, pas ce que je fais ? La Commission européenne a été épinglée par l'organisme de contrôle européen de la protection des données (CEPD), soit l'équivalent de la CNIL mais à l'échelle européenne, pour avoir enfreint plusieurs règles relatives à la protection des données. Et pas n'importe lesquelles puisque la CEPD reproche à la Commission d'avoir enfreint celles incluant les transferts de données personnelles en dehors de l'Union européenne et de son espace économique en recourant à Microsoft 365.

« Il incombe aux institutions, organes et organismes de l'UE de veiller à ce que tout traitement de données à caractère personnel en dehors et à l'intérieur de l'UE/EEE (IUE) y compris dans le contexte des services cloud, s'accompagne de garanties et de mesures solides en matière de protection des données », a expliqué Wojciech Wiewiórowski, contrôleur européen de la protection des données. « Il s'agit là d'un impératif pour garantir la protection des informations des personnes, comme l'exige le règlement (UE) 2018/1725, chaque fois que leurs données sont traitées par une IUE ou pour son compte ».

Traitements et transferts des données épinglés

Mais ce n'est pas tout car la CEPD pointe que dans son contrat avec l'éditeur, la Commission n'a pas suffisamment précisé quels types de données à caractère personnel étaient collectés et pour quelles finalités dans le cadre de l'utilisation de la suite bureautique en mode SaaS. Les infractions commises par la Commission en tant que responsable du traitement des données concernent également le traitement des données, y compris les transferts de données à caractère personnel, effectués en son nom, précise l'instance.

Sur la base de ces éléments, la CEPD ordonne à la Commission à partir du 9 décembre 2024 de suspendre les flux de données Microsoft 365 traités par la firme de Redmond et ses sous-traitants dans des pays situés en dehors de l'Union européenne. Le CEPD invite également la Commission à mettre les opérations de traitement résultant de son utilisation de Microsoft 365 en conformité avec le règlement (UE) 2018/1725. 

Edition du 11/03/2024, par Dominique Filippone