La Commission européenne est rappelée à l’ordre sur son usage de la bureautique Microsoft 365 qui ne respecte pas la législation sur la protection des données. Le verdict vient du CEPD (Contrôleur européen de la protection des données) qui impose des mesures correctives à la Commission qu’elle doit mettre en œuvre d’ici le 9 décembre 2024. L’enquête du CEPD sur l’utilisation de Microsoft 365 par la Commission avait été ouverte en mai 2021 à la suite de l’arrêt Schrems II.
Absence de garanties sur la protection des données personnelles
La solution de bureautique Microsoft 365 fonctionne en mode Cloud. La Commission européenne n’a pas fourni de garanties appropriées pour certifier que les données à caractère personnel transférées en dehors de l’Union européenne, bénéficient d’un niveau de protection essentiellement équivalent à celui garanti dans l’Union Européenne et l’Espace Economique Européen.
De plus, la Commission européenne a signé un contrat trop flou avec Microsoft. Elle n’a pas suffisamment précisé quels types de données à caractère personnel doivent être collectés et à quelles fins explicites et spécifiées lors de l’utilisation de Microsoft 365. La Commission est responsable de traitement, y compris pour les transferts de données à caractère personnel, effectué pour son compte.
» Les institutions, les organes et les agences de l’Union Européenne doivent veiller à ce que tout traitement de données à caractère personnel en dehors et à l’intérieur de l’Union Européenne, y compris dans le cadre de services basés sur le Cloud, s’accompagne de garanties et de mesures robustes en matière de protection des données » récapitule Wojciech Wiewiórowski, patron du CEPD.
Stopper les flux de données vers Microsoft et ses affiliés
La Commission doit à compter du 9 décembre 2024, suspendre tous les flux de données résultant de son utilisation de Microsoft 365 vers Microsoft et ses sociétés affiliées et sous-traitantes situées dans des pays situés en dehors de l’Union Européenne qui ne sont pas couverts par une décision d’adéquation. Le CEPD ordonne à la Commission de mettre en conformité les traitements résultant de son utilisation de Microsoft 365 avec le règlement (UE) 2018/1725. La Commission doit démontrer qu’elle s’est conformée aux deux ordonnances d’ici le 9 décembre 2024.
La CEPD estime qu’elle tient également compte de la nécessité de ne pas compromettre la capacité de la Commission à s’acquitter de ses tâches dans l’intérêt public ou à exercer l’autorité publique dont elle est investie.
Top lectures en ce moment
-
Trois questions auxquelles les retailers doivent répondre face à l’IA agentique
-
Doctolib lance un assistant vocal de gestion des appels des patients
-
La CDP (Customer Data Platform), un projet clé de la transformation Data d’Axa F...
L’actualité de la transformation
L'IA clé de nos besoins vitaux dans l'eau, l'électricité et le gaz
Marchés de l’eau : l’IA générative arrive dans les réponses aux appels d’offres des collectivités
Saur, spécialiste de la distribution d’eau potable, fait évoluer son processus de réponse aux appels d’offres des collectivités et des industriels en y injectant de l’IA géné…
Stockage de l’électricité : l’IA générative outil d’accélération clé chez Engie
Le stockage de l’électricité est un enjeu stratégique. Engie s’y attelle et mobilise pour cela l’IA générative de type RAG, c'est-à-dire basée sur le traçage des documents source. …
Nouvelle donne dans le gaz naturel : GRDF s’adapte en utilisant l’IA
GRDF, leader de la distribution du gaz naturel en France, affine sa stratégie d’IA. Il s’appuie sur des serveurs internes pour la confidentialité des données de ses clients. GRDF c…
Et vous, qu’en pensez-vous ?
Une idée, une réaction, une question ? Laissez-nous un mot ci-dessous.
Je réagis à cet article