L'utilisation de Microsoft 365 par la Commission européenne enfreint le RGPD

Vous savez que la situation est grave lorsqu'une entité que vous avez autorisée vous accuse d'avoir enfreint la loi que vous avez contribué à promulguer. 

Le Contrôleur européen de la protection des données (CEPD) est un organisme indépendant qui supervise les pratiques des institutions européennes, telles que la Commission européenne elle-même, en matière de protection de la vie privée. Dans une décision rendue le 11 mars 2024, le CEPD a estimé que la Commission européenne avait enfreint plusieurs dispositions du règlement 2018/1725 (essentiellement le RGPD tel qu'il s'applique aux institutions de l'UE) en utilisant le produit Microsoft 365, notamment en ne fournissant pas de garanties appropriées pour les flux transfrontaliers de données à caractère personnel. 

Le CEPD a également constaté que l'accord sur le traitement des données (DPA) conclu entre la Commission européenne et Microsoft ne précisait pas suffisamment les types de données à caractère personnel devant être traitées par Microsoft ni les finalités spécifiques du transfert. Cela devrait rappeler à toutes les entités soumises au RGPD (directement ou en tant que sous-traitants) qu'elles doivent veiller à ce que les exigences de spécificité du DPA et des clauses contractuelles types soient respectées, et ne pas se contenter de déclarations générales telles que « comme requis pour fournir les services ». 

À la suite de ces violations, le CEPD a ordonné à la Commission européenne de suspendre tous les flux de données vers Microsoft liés à l'utilisation de Microsoft 365 devant être traités dans des pays sans décision d'adéquation à compter du 9 décembre 2024, donnant ainsi à la Commission européenne la possibilité de se conformer à une liste de mesures correctives définies par le CEPD, qui comprennent la réalisation d'un exercice de cartographie des transferts et le respect total des exigences contractuelles applicables aux sous-traitants prévues par le règlement (UE) 2018/1725. 

À l'issue de son enquête, le CEPD a constaté que la Commission européenne (Commission) avait enfreint plusieurs règles essentielles en matière de protection des données lors de l'utilisation de Microsoft 365. Dans sa décision, le CEPD impose des mesures correctives à la Commission.

Wojciech Wiewiórowski, CEPD, a déclaré : « Il incombe aux institutions, organes et organismes de l'Union européenne (IOUE) de veiller à ce que tout traitement de données à caractère personnel à l'extérieur et à l'intérieur de l'UE/EEE, y compris dans le cadre de services basés sur le cloud, s'accompagne de garanties et de mesures solides en matière de protection des données. Cela est indispensable pour garantir la protection des informations des personnes, comme l'exige le règlement (UE) 2018/1725, chaque fois que leurs données sont traitées par ou pour le compte d'une institution, organe ou organisme de l'UE. »

Voir l'article référencé