Passer au contenu

Données personnelles : la Commission européenne épinglée pour son utilisation de Microsoft 365

L’exécutif européen a jusqu’au 9 décembre pour rectifier le tir dans son utilisation des outils de Microsoft comme OneDrive, Teams ou SharePoint. Le Contrôleur européen de la protection des données vient de publier un communiqué salé, l’invitant à adopter des mesures correctives d’ici à décembre 2024.

La Commission européenne, à l’origine des lois européennes sur les données personnelles, ne respecterait pas elle-même… un règlement européen sur les données personnelles. C’est l’avis sans appel du Contrôleur européen de la protection des données (CEPD), qui vient de publier ce lundi 11 mars un communiqué pour le moins incisif, à destination de Bruxelles. Il y explique que l’exécutif européen aurait violé les règles de protection des données, dans son utilisation de Microsoft 365. Les fonctionnaires européens ont quotidiennement recours à différents services de Microsoft, comme Word, Excel, PowerPoint, Outlook, OneDrive, Teams, ou encore SharePoint.

Or, pour le CEPD, les contrats conclus entre Bruxelles et Microsoft seraient pour le moins problématiques. Et ces « problèmes » seraient à corriger dès que possible, et d’ici le mois de décembre prochain, explique cet organisme qui liste plusieurs « mesures correctives ». Le CEPD, une autorité indépendante chargée de contrôler la façon dont les institutions européennes protègent les données, enquêtait sur ce sujet depuis mai 2021. 

Un problème de garanties dans les pays qui traitent les données personnelles des Européens

Et ses conclusions sont sans appel. Selon le contrôleur, la Commission européenne n’aurait pas respecté l’équivalent du RGPD, le règlement sur les données personnelles, applicable aux institutions de l’UE (le règlement 2018/1725). Premier problème, le CEPD estime que l’exécutif européen « n’a pas prévu de garanties appropriées, pour s’assurer que les données à caractère personnel transférées en dehors de (l’Europe) bénéficient d’un niveau de protection essentiellement équivalent à celui prévu dans l’UE ».

À lire aussi : Pourquoi le transfert de vos données personnelles aux Etats-Unis est un incroyable casse-tête

Le deuxième problème a trait à la collecte en elle-même. Normalement, il aurait dû être précisé « quels types de données à caractère personnel peuvent être collectés, et pour quelles finalités explicites et spécifiées ». Or ici, cette condition ne serait pas respectée. Pourtant, écrit le Contrôleur européen de la protection des données, Wojciech Wiewiórowski dans son rapport, « (…) les institutions, organes et organismes de l’UE doivent veiller à ce que tout traitement de données à caractère personnel en dehors et à l’intérieur de l’UE / EEE (espace économique européen, NDLR), y compris dans le contexte des services basés sur le cloud, s’accompagne de garanties et de mesures solides en matière de protection des données ».

Faire cesser certains transferts, cartographier les transferts…

À compter du 9 décembre prochain, la Commission doit cesser d’envoyer des données provenant de son utilisation de Microsoft 365 à Microsoft et ses filiales, « dans les pays non membres de l’Europe qui ne sont pas visés par une décision d’adéquation ». Pour autoriser des transferts de données personnelles d’un pays de l’UE vers un autre pays, Bruxelles émet ce type d’accord. Ce texte signifie que le droit dans le pays de destination présente un niveau de garanties équivalent à celui dont bénéficient les Européens, en Europe.

Dans le passé, Bruxelles a émis ce type de décisions pour plusieurs pays – comme le Canada, le Japon, la Suisse, ainsi que les États-Unis en juillet dernier. Mais Microsoft enverrait dans d’autres États, non visés par ces décisions d’adéquation, les données personnelles de la Commission européenne : un transfert qui devra donc cesser, jusqu’à ce qu’une décision d’adéquation de Bruxelles soit émise.

Le CEPD demande également à ce que toutes les opérations de données personnelles liées à son utilisation de Microsoft 365 soit conforme à la règlementation européenne. En conséquence, « la Commission devra mener un exercice de cartographie des transferts afin de détailler les transferts de données personnelles, les destinataires, les finalités et les garanties ».

À lire aussi : Transfert des données Europe/États-Unis : le député Philippe Latombe nous explique son coup de poker

Pour la Commission, les règles sont bien respectées

La réponse de Bruxelles ne s’est pas fait attendre. Son porte-parole, Johannes Bahrke, a déclaré lors d’un point de presse relayé par Euractiv que « la Commission s’est toujours pleinement engagée à veiller à ce que son utilisation de Microsoft 365 soit conforme aux règles applicables en matière de protection des données et continuera à le faire ». Le constat serait le même pour « tous les autres logiciels acquis par la Commission », a-t-il ajouté. Pour ce dernier, la Commission « est convaincue qu’elle respecte bien les règles applicables en matière de protection des données, tant en fait qu’en droit ».

Et cette décision du CEPD est d’autant plus problématique qu’elle « semble malheureusement susceptible de compromettre le niveau élevé actuel des services informatiques mobiles et intégrés » de la Commission européenne, a-t-il ajouté.

L’enquête du Contrôleur européen sur l’utilisation de Microsoft 365 a débuté après l’arrêt Schrems II, un arrêt de la Cour de justice de l’Union européenne qui avait annulé l’accord de transfert transatlantique conclu précédemment entre Bruxelles et Washington. Contacté par nos confrères d’Euractiv, un porte-parole de Microsoft s’est voulu rassurant, en déclarant que « nos clients en Europe peuvent continuer à utiliser Microsoft 365 en pleine conformité avec le RGPD (…) ».

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : Communiqué de presse du CEPD