L’utilisation de Microsoft 365 par la Commission européenne enfreint les règles de protection des données de l’UE, ce qui a conduit le Contrôleur européen de la protection des données (CEPD) à imposer, lundi (11 mars), des mesures correctives.
Selon le CEPD, une autorité de contrôle indépendante qui veille à ce que les institutions européennes respectent le droit à la vie privée et à la protection des données, la Commission a enfreint plusieurs articles du règlement relatif à la protection des données pour les institutions, organes et organismes de l’Union (règlement 2018/1725).
Ce règlement concerne la protection des données au sein des institutions, organes et organismes de l’UE et le traitement des données personnelles par ces entités, en veillant au respect des principes de protection des données et en sauvegardant le droit des personnes à la vie privée.
Pour le CEPD, la Commission n’a pas assuré l’inclusion de garanties adéquates pour le transfert de données personnelles en dehors de l’UE ou de l’Espace économique européen (EEE).
Dans son contrat avec Microsoft, l’institution n’a également pas suffisamment spécifié quels types de données personnelles sont collectées et pour quelles finalités lors de l’utilisation de Microsoft 365, qui comprend des services collaboratifs et des services cloud fournis par l’entreprise, y compris des applications telles que Word, Excel, PowerPoint, Outlook, et des services en ligne tels que OneDrive, Teams et SharePoint.
« Il incombe aux institutions, organes et organismes de l’UE de veiller à ce que tout traitement de données personnelles en dehors et à l’intérieur de l’UE/EEE, y compris dans le contexte des services cloud, s’accompagne de garanties et de mesures solides en matière de protection des données », a déclaré le contrôleur européen de la protection des données, Wojciech Wiewiórowski.
« Cela est impératif pour garantir que les informations des personnes sont protégées, comme l’exige le règlement [UE] 2018/1725, chaque fois que leurs données sont traitées par une institution européenne ou pour le compte de celle-ci », a-t-il ajouté.
Mesures correctives
Le CEPD a demandé à la Commission de se conformer aux règles de confidentialité des données, mais également de cesser d’envoyer, au plus tard le 9 décembre 2024, les données issues de son utilisation de Microsoft 365 à Microsoft et à ses sociétés affiliées dans les pays non membres de l’UE/EEE n’ayant pas signé d’accords de confidentialité avec l’Union.
Pour s’assurer de sa conformité avec le règlement, la Commission devra mener un exercice de cartographie des transferts afin de détailler les transferts de données personnelles, les destinataires, les finalités et les garanties offertes.
De plus, elle devra limiter les transferts vers les pays tiers aux tâches relevant de la compétence du contrôleur et mettre en œuvre des dispositions contractuelles et des mesures organisationnelles.
Ceci inclut la collecte de données personnelles à des fins explicites et spécifiées, la détermination des types de données traitées et la garantie de la conformité avec les instructions documentées et les exigences légales.
Le CEPD estime que les données personnelles ne doivent pas être utilisées au-delà des finalités prévues par la loi. Les transmissions de données au sein de l’UE, ou à Microsoft ou à ses partenaires, doivent respecter les règlementations européennes en matière de protection des données, et les divulgations de données personnelles par Microsoft ou ses partenaires doivent être limitées, sauf si la législation de l’Union ou d’un pays tiers offrant une protection équivalente à celle de l’UE l’exige.
Johannes Bahrke, porte-parole de la Commission européenne, a déclaré lors d’un point de presse lundi que « la Commission s’est toujours pleinement engagée à veiller à ce que son utilisation de Microsoft 365 soit conforme aux règles applicables en matière de protection des données et continuera à le faire ».
Cela « s’applique également à tous les autres logiciels achetés par la Commission », a-t-il ajouté.
L’enquête
L’enquête sur l’utilisation de Microsoft 365 par la Commission a débuté en mai 2021 après l’arrêt Schrems II, une décision historique de la Cour de justice de l’Union européenne concernant le transfert de données personnelles de l’UE vers des pays tiers se focalisant particulièrement sur les transferts de données vers les États-Unis et l’adéquation des mesures de protection des données et de la vie privée dans ce contexte.
L’objectif de l’enquête du CEPD est de vérifier la conformité des produits et services de Microsoft avec ses recommandations, dans le cadre de la contribution de l’autorité de contrôle à l’action coordonnée de mise en œuvre 2022 du Comité européen de la protection des données (EDPB), qui comprend des représentants des autorités nationales de protection des données, ainsi que le CEPD.
L’action coordonnée de mise en application de 2022 de l’EDPB est un effort conjoint des autorités européennes de protection des données pour mettre en œuvre les règlementations sur la protection des données, en particulier le règlement général sur la protection des données (RGPD).
Le porte-parole de la Commission a également déclaré que l’exécutif de l’UE « est convaincu qu’il respecte les règles applicables en matière de protection des données, tant dans les faits que sur le plan juridique » et qu’il avait « mis en place plusieurs améliorations dans le cadre de ses contacts avec le CEPD au cours de l’enquête ».
Prochaines étapes
Le porte-parole de la Commission a déclaré que l’exécutif allait « d’abord analyser en détail les conclusions de la décision et les raisons sous-jacentes ».
Toutefois, il a ajouté que « le respect de la décision du CEPD semble malheureusement susceptible de compromettre le niveau élevé actuel des services informatiques mobiles et intégrés. Cela s’applique non seulement à Microsoft, mais aussi potentiellement à d’autres services informatiques commerciaux ».
L’organisme de surveillance a indiqué qu’il reconnaissait la nécessité pour la Commission de mener à bien ses missions publiques sans interruption, c’est pourquoi il accorde un délai à celle-ci pour suspendre les flux de données et aligner le traitement des données sur le règlement.
Cependant, les actions menées par le CEPD ne l’empêchent pas de prendre d’autres mesures à l’avenir si cela s’avère nécessaire.
« Nos clients en Europe peuvent continuer à utiliser Microsoft 365 en pleine conformité avec le RGPD et peuvent compter sur notre soutien et nos conseils continus », a indiqué un porte-parole de Microsoft à Euractiv.
« Les préoccupations soulevées par le Contrôleur européen de la protection des données concernent principalement des exigences de transparence plus strictes dans le cadre du RGPD, une loi qui ne s’applique qu’aux institutions de l’Union européenne. Nous examinerons la décision du CEPD et travaillerons avec la Commission européenne pour répondre aux préoccupations restantes », a-t-il ajouté.
La Commission a ouvert une enquête sur Microsoft en juillet, car elle craint que l’entreprise n’ait regroupé son produit Teams avec ses suites de productivité, qui font partie du paquet Office, ce qui constituerait une pratique anticoncurrentielle.
La Commission enquêterait également pour savoir si Microsoft empêche les clients de recourir à des logiciels de sécurité spécifiques proposés par ses concurrents.
[Édité par Anne-Sophie Gayet]