La Commission européenne est rappelée à l’ordre sur son usage de la bureautique Microsoft 365 qui ne respecte pas la législation sur la protection des données. Le verdict vient du CEPD (Contrôleur européen de la protection des données) qui impose des mesures correctives à la Commission qu’elle doit mettre en œuvre d’ici le 9 décembre 2024. L’enquête du CEPD sur l’utilisation de Microsoft 365 par la Commission avait été ouverte en mai 2021 à la suite de l’arrêt Schrems II.
Absence de garanties sur la protection des données personnelles
La solution de bureautique Microsoft 365 fonctionne en mode Cloud. La Commission européenne n’a pas fourni de garanties appropriées pour certifier que les données à caractère personnel transférées en dehors de l’Union européenne, bénéficient d’un niveau de protection essentiellement équivalent à celui garanti dans l’Union Européenne et l’Espace Economique Européen.
De plus, la Commission européenne a signé un contrat trop flou avec Microsoft. Elle n’a pas suffisamment précisé quels types de données à caractère personnel doivent être collectés et à quelles fins explicites et spécifiées lors de l’utilisation de Microsoft 365. La Commission est responsable de traitement, y compris pour les transferts de données à caractère personnel, effectué pour son compte.
» Les institutions, les organes et les agences de l’Union Européenne doivent veiller à ce que tout traitement de données à caractère personnel en dehors et à l’intérieur de l’Union Européenne, y compris dans le cadre de services basés sur le Cloud, s’accompagne de garanties et de mesures robustes en matière de protection des données » récapitule Wojciech Wiewiórowski, patron du CEPD.
Stopper les flux de données vers Microsoft et ses affiliés
La Commission doit à compter du 9 décembre 2024, suspendre tous les flux de données résultant de son utilisation de Microsoft 365 vers Microsoft et ses sociétés affiliées et sous-traitantes situées dans des pays situés en dehors de l’Union Européenne qui ne sont pas couverts par une décision d’adéquation. Le CEPD ordonne à la Commission de mettre en conformité les traitements résultant de son utilisation de Microsoft 365 avec le règlement (UE) 2018/1725. La Commission doit démontrer qu’elle s’est conformée aux deux ordonnances d’ici le 9 décembre 2024.
La CEPD estime qu’elle tient également compte de la nécessité de ne pas compromettre la capacité de la Commission à s’acquitter de ses tâches dans l’intérêt public ou à exercer l’autorité publique dont elle est investie.
