Microsoft traque aussi les fonctionnaires européens

epa07942259 (FILE) - Microsoft booth at Japan CEATEC in Makuhari city, east of Tokyo, 30 September, 2008 (reissued 23 October 2019). Microsoft is to release their fiscal year 2020 first quarter earnings on 23 October 2019. EPA-EFE/EVERETT KENNEDY BROWN [EPA-EFE/EVERETT KENNEDY BROWN]

Selon le Contrôleur européen de la protection des données (CEPD), les fonctionnaires des institutions européennes ignorent à quel point l’entreprise américaine, Microsoft, collecte et stocke leurs données.

En octobre, le Contrôleur européen de la protection des données (CEPD) a révélé de graves préoccupations « quant à la conformité des clauses contractuelles pertinentes avec les règles de protection des données et au rôle de Microsoft en tant que processeur pour les institutions européennes utilisant ses produits et services. »

Le problème ? Les clauses contractuelles concernant la prestation de biens et services de Microsoft aux institutions européennes pourraient constituer une entorse au règlement général sur la protection des données établies.

L’UE en tête sur la législation numérique mais à la traine sur l'innovation

C’est dans l’UE que Facebook compte le plus d’utilisateurs. Un avantage qui permet au bloc d’imposer ses règles en matière numérique au géant américain.

Wojciech Wiewiórowski, contrôleur adjoint du CEPD, a déclaré que le personnel des institutions européennes « n’a pas la moindre idée de toutes les données que Microsoft collecte à son insu », ajoutant que le CEPD rédigeait actuellement un train de mesures à soumettre à la Commission européenne sur les modifications nécessaires dans les clauses contractuelles avec Microsoft afin que les normes de protection de données soient respectées. Ces mesures devraient être envoyées à Bruxelles d’ici à fin novembre.

D’après M. Wiewiórowski, le contrôleur européen de la protection des données s’alarme aussi parce que les contrats, signés par Direction générale de l’informatique (DG DIGIT) en 2018, autorisent seulement le fournisseur, Microsoft, à apporter des modifications.

Un autre sujet d’inquiétude mis en exergue par le CEPD concerne « la possibilité limitée d’effectuer des contrôles » des accords contractuels, autrement dit, l’absence de cadre pour vérifier que les normes soient bien respectées dans les faits.

D’autres administrations publiques de l’UE ont également exprimé leurs inquiétudes sur les contrats de prestation de biens et de services conclus avec Microsoft. Une évaluation menée l’année dernière par le ministre néerlandais de la Justice et de la Sécurité avait mis en lumière les mêmes problèmes. Après de très longues négociations, Microsoft a finalement accepté la révision des clauses contractuelles qui, si elles étaient reproduites au niveau des institutions européennes, s’aligneraient sur les mesures du CEPD soumises à l’exécutif européen.

Dans un communiqué, un porte-parole de Microsoft a indiqué que la société « s’engageait à aider nos consommateurs à respecter le RGPD, le Règlement 2018/1725, et d’autres lois en vigueur. Nous sommes en contact avec nos consommateurs au sein des institutions européennes et nous annoncerons bientôt des changements contractuels qui répondront aux craintes exprimées par le CEPD ».

Une haute fonction pour Wojciech Wiewiórowski

Wojciech Wiewiórowski lorgne sur le poste de contrôleur européen de la protection des données, à pourvoir depuis le décès de son chef, Giovanni Buttarelli. Une liste des candidats possibles pour occuper cette haute fonction a été envoyée au Parlement européen et Strasbourg devrait prendre une décision d’ici au 5 décembre, date qui signe la fin du trimestre actuel.

Une source proche du dossier a révélé à Euractiv que la nomination de M. Wiewiórowski, bien qu’elle soit un « choix logique » était « loin d’être certaine », car elle nécessite l’approbation du Parlement et du Conseil européen.

Plutôt cette année, le Polonais avait fait état de nombreuses inquiétudes liées à l’avenir du champ d’action du RGPD. Les solutions européennes doivent devenir « une référence » pour les autres régimes de protection de données dans le monde, comme en Chine et aux États-Unis ; il convient d’améliorer le fonctionnement des institutions européennes pour qu’elles soient entièrement conscientes des données collectées les concernant et il faut œuvrer davantage pour la protection de données. Aux yeux de M. Wiewiórowski, « la loi n’est pas suffisante », et des systèmes et structures numériques sont créés à chaque étape en gardant l’importance de la protection de données à l’esprit.

Chine & Brexit

Plus généralement, Wojciech Wiewiórowski s’interroge sur les relations futures de l’UE avec les régimes politiques qui ne partagent pas ses valeurs.

« La Chine et l’Europe ne parviennent pas à s’entendre sur des principes de base », affirme-t-il. « Lorsque je rencontre un représentant d’une société comme Huawei, ils avancent tout le temps qu’ils ne collectent pas de données en catimini et que les données qu’ils amassent ne sont jamais envoyées en Chine. Mais, voici ma question : comment prouver qu’ils disent vrai ? »

La collecte de données alimente les craintes du Royaume-Uni avant les élections

L’agence britannique de protection des données a averti les partis politiques du pays qu’ils devaient se conformer aux lois sur le stockage et la protection des données en vue des élections législatives du 12 décembre.

En outre, la sortie de l’UE du Royaume-Uni est également dans le radar du Polonais. Lors du Web Summit à Lisbonne cette semaine, le négociateur du Brexit pour l’UE, Michel Barnier, a souligné qu’il fallait des accords sur les données numériques entre le Royaume-Uni et l’UE post-Brexit. Afin de parvenir à un accord, l’UE devra mener une évaluation des normes britanniques de protection des données, et ce, même si Londres a réaffirmé vouloir maintenir le cadre général du RGPD. Toutefois, de nombreux obstacles pourraient entraver un possible accord, surtout au vu des antécédents douteux du pays en matière de programmes de surveillances de masse : en 2018, la Cour européenne des droits de l’homme a rendu un jugement condamnant Londres pour avoir violé les droits de l’homme dans le cadre de son programme de surveillance de masse.

Néanmoins, Wojciech Wiewiórowski reste optimiste, que le Royaume-Uni quitte l’UE avec ou sans accord : « En cas de Brexit dur, la démarche serait plus complexe, mais, si l’UE parvient à s’entendre avec Israël au sujet des normes de protections de données, alors conclure un accord avec le Royaume-Uni ne devrait pas être un problème. »

Reconnaissance faciale

D’après le Polonais, l’UE devrait se montrer proactive dans le secteur de la reconnaissance faciale — un domaine qui reste tristement non réglementé à ce jour.

Dans un blog publié récemment, il a mis en lumière le recours à la reconnaissance faciale à des fins immorales, en particulier à Hong Kong, où d’aucuns craignent que cette technologie soit utilisée pour localiser les manifestants. Le port de masque par les manifestants est ainsi devenu un symbole de résistance contre cette pratique.

Mais, selon Wojciech Wiewiórowski, en Europe « une interdiction générale » de cette technologie n’est pas une solution. La façon dont elle sera réglementée devrait néanmoins être un sujet brûlant à Bruxelles. Où voulons-nous implanter cette technologie ? Et où voulons-nous l’exclure ?

« Je n’ai pas honte de dire que ces questions restent toujours sans réponse à l’heure actuelle, mais j’ai honte que nous ne les abordions pas », déplore-t-il.

Subscribe to our newsletters

Subscribe

Envie de savoir ce qu'il se passe ailleurs en Europe? Souscrivez maintenant à The Capitals.