Le Contrôleur européen de la protection des données (CEPD) a épinglé la Commission européenne, lundi, pour avoir enfreint la loi sur la protection des données des institutions de l'UE, lors de l'utilisation de l'environnement Microsoft 365.
Quel est le comble du comble, pour l'Union européenne en matière de données personnelles ? Que l'une de ses autorités majeures sanctionne l'une des ses institutions fondamentales. C'est ce qui est arrivé avec le CEPD qui a, lundi 11 mars 2024, annoncé avoir constaté que la Commission européenne avait « enfreint plusieurs règles clés en matière de protection des données lors de l'utilisation de Microsoft 365 ». Un détail de cette affirmation s'impose.
La Commission européenne n'a pas respecté les règles de l'UE sur les données personnelles, lors de son utilisation de Microsoft 365
Le Contrôleur européen de la protection des données est catégorique : la Commission a enfreint plusieurs dispositions du règlement de 2018 sur la protection des informations pour les institutions, organes et organismes de l'Union européenne. Le CEPD, autorité de contrôle indépendante de l'Union européenne, estime que Bruxelles « n'a pas fourni d'éléments pouvant garantir que les données à caractère personnel transférées en dehors de l'UE et de l'Espace économique européen (EEE) bénéficient d'un niveau de protection essentiellement équivalent à celui garanti dans l'UE/EEE ».
Ici, l'autorité vise le contrat qui lie la Commission européenne à Microsoft. Et plus particulièrement, elle s'est intéressée à l'utilisation de la suite applicative Microsoft 365 (Word, PowerPoint, Outlook, Excel), et à ce que la Commission a fait des informations collectées, en tant que responsable du traitement des données.
Du moment que les services sont basés dans le Cloud, les institutions de l'UE ont obligation de garantir que le traitement des données personnelles dans et en dehors de l'UE/EEE « s'accompagne de garanties et de mesures robustes » en matière de protection des données, comme le rappelle l'organisme de surveillance. Ce dernier estime que c'est loin d'être le cas du côté de Bruxelles. Il a ainsi pris une décision radicale.
11 mars 2024 à 10h24
Le Contrôleur européen ne veut plus que Bruxelles transfère des données via les applications Microsoft 365
Le CEPD a ordonné à la Commission européenne de suspendre tous les transferts de données découlant de l'utilisation, par celle-ci, de Microsoft 365 vers Microsoft et ses diverses filiales qui seraient situées hors de l'Union européenne ou de l'EEE. Cette suspension sera effective à partir du 9 décembre 2024. D'ici cette date, la Commission devra avoir assuré sa mise en conformité avec le règlement européen (2018/1725) des traitements résultant de son utilisation de Microsoft 365.
Le contrôleur en rajoute une couche en indiquant que les infractions constatées sont nombreuses et qu'elles touchent un grand nombre de personnes. La Commission va devoir montrer patte blanche. Elle devra par exemple cartographier tous ses transferts de données, pour que l'on puisse identifier quelles données personnelles ont été transférées à quels destinataires, dans quels pays tiers, à quelles fins et sous réserve de quelles garanties.
Le CEPD fait comprendre qu'il tape bien du poing sur la table, en ce qu'il indique, dans l'annexe de sa décision, avoir constaté les infractions « de manière continue » jusqu'au 8 mars 2024, date de publication de la CEPD auprès de la Commission.
