La Commission européenne épinglée pour son utilisation de Microsoft 365 sans protéger suffisamment les données personnelles
Balayer devant son cloud
Selon le Contrôleur européen de la protection des données (CEPD), la Commission européenne a enfreint, dans son utilisation de Microsoft 365, certaines règles de protection clés du règlement sur le traitement des données à caractère personnel par les institutions (à ne pas confondre avec le RGPD). La commission a jusqu'au 9 décembre pour se mettre en règle.
Le 12 mars à 14h26
6 min
Droit
Droit
Lundi 11 mars, le CEPD, l’autorité de contrôle indépendante des institutions européennes sur la protection des données, a épinglé la Commission européenne elle-même, car elle n'a pas respecté le règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union.
C'est le résultat de son enquête sur l'utilisation de Microsoft 365 par la Commission menée depuis mai 2021, après l'arrêt Schrems II.
Des données personnelles traitées en dehors de l'UE pas assez protégées
Dans son communiqué, le CEPD explique que la Commission n'a pas prévu, dans son utilisation de Microsoft 365, les garanties appropriées pour que les données à caractère personnel transférées sur les serveurs de Microsoft en dehors de l'Europe bénéficie des mêmes protections que sur le sol européen.
« En outre, dans son contrat avec Microsoft, la Commission n'a pas suffisamment précisé quels types de données à caractère personnel doivent être collectés et pour quelles finalités explicites et spécifiées dans le cadre de l'utilisation de Microsoft 365 » explique le Contrôleur.
En effet, l'article 29 du règlement de 2018 impose que l'institution qui signe un contrat avec un sous-traitant doit s'assurer que le sous-traitant « ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ».
Pas d'évaluation des transferts de données par la Commission
Le Contrôleur va plus loin en expliquant que la Commission « n'a pas évalué, ni avant le début des transferts ni par la suite, quelles données à caractère personnel seront transférées à quels destinataires, dans quels pays tiers et à quelles fins, et n'a donc pas obtenu les informations minimales nécessaires pour déterminer si des mesures supplémentaires sont nécessaires pour assurer un niveau de protection essentiellement équivalent et si des mesures supplémentaires efficaces existent et pourraient être mises en œuvre ».
En conséquence, le contrat entre Microsoft et la Commission a été signé sans définition claire des transferts de données et sans qu'il y ait eu d'évaluation de l'impact de ces transferts. Tout ceci est encore contraire au règlement de 2018.
En effet, le règlement dit explicitement que l'administration cliente, ici la Commission, doit faire respecter à ses prestataires, ici Microsoft, les principes édictés par la Commission elle-même sur la protection des données.
Il lui reproche aussi de ne pas avoir mis en œuvre de mesures supplémentaires efficaces pour les transferts vers les États-Unis effectués avant l'entrée en vigueur de nouvelles garanties données par le gouvernement américain et la nouvelle décision « d'adéquation » prise par la Commission en juillet 2023. Celle-ci valide les accords de confidentialité sur les données personnelles entre les États-Unis et l'Europe.
Wojciech Wiewiórowski, à la tête du CEPD, rappelle qu' « il incombe aux institutions, organes et organismes de l'UE de veiller à ce que tout traitement de données à caractère personnel en dehors et à l'intérieur de l'UE/EEE, y compris dans le contexte des services basés sur le cloud, s'accompagne de garanties et de mesures robustes en matière de protection des données ».
Il a ajouté que « cela est impératif pour garantir que les informations des individus sont protégées, comme l'exige le règlement (UE) 2018/1725, chaque fois que leurs données sont traitées par une institution européenne, ou en son nom ».
Des corrections à faire avant le 9 décembre 2024
Le CEPD a donc ordonné à la Commission de cesser, d'ici le 9 décembre, tous les flux de données issus de son utilisation de Microsoft 365 allant vers les serveurs de Microsoft, de ses sociétés affiliées et de sous-traitants situés dans des pays n'ayant pas signé d'accord de confidentialité avec l'UE.
La Commission doit aussi cartographier les transferts de données pour identifier quelles données personnelles sont transférées à quel destinataire, à quel pays tiers, pourquoi et quelles sont les garanties. Elle doit aussi « veiller à ce que tous les transferts vers des pays tiers aient lieu uniquement pour permettre l'exécution des tâches relevant de la compétence du responsable du traitement ».
Enfin, la Commission doit, toujours avant le 9 décembre, avoir signé des contrats en bonne et due forme avec Microsoft en prenant en compte le règlement européen.
Le CEPD donne aussi un blâme à la Commission. En effet, comme les CNIL nationales, le CEPD ne peut pas infliger d'amende aux institutions publiques qu'il contrôle.
Selon Euractiv, un porte-parole de la Commission a déclaré que « le respect de la décision du CEPD semble malheureusement susceptible de compromettre le niveau élevé actuel des services informatiques mobiles et intégrés. Cela s’applique non seulement à Microsoft, mais aussi potentiellement à d’autres services informatiques commerciaux », et que la Commission devait « d’abord analyser en détail les conclusions de la décision et les raisons sous-jacentes ».
La Commission européenne épinglée pour son utilisation de Microsoft 365 sans protéger suffisamment les données personnelles
-
Des données personnelles traitées en dehors de l'UE pas assez protégées
-
Pas d’évaluation des transferts de données par la Commission
-
Des corrections à faire avant le 9 décembre 2024
Commentaires (25)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 12/03/2024 à 14h36
Le 12/03/2024 à 14h41
A part le bannir totalement (Office 365 pas le RGPD) de toutes façons ça va être compliqué.
Le 12/03/2024 à 14h51
Comment peut-on laisser des données, par définition sensible, sur les serveurs d'une entité soumis au cloud act ? Surtout avec l'historique pour montrer l'absence totale de scrupule de la NSA pour se servir dessus.
Oui c'est pratique, les utilisateurs y sont habitués, et ça coûte sans doute moins cher que d'adapter des technologies souveraines. Mais à un moment il faut arrêter de faire n'importe quoi et prendre en compte le coût de l'espionnage économique par nos "alliés".
Le 12/03/2024 à 16h45
Le 12/03/2024 à 18h53
Le 13/03/2024 à 11h03
On peut dire aussi que se qui est français est allemand ou espagnol. je pense pas qu'il apprécies, surtout en se moment.
Le 12/03/2024 à 18h30
Parler de la NSA pour discréditer ce genre de solutions, c'est éculé; il faudrait penser à se renouveller un peu.
Le 12/03/2024 à 21h26
Comme nos politiques qui refusent d'utiiser leurs téléphones sécurisés au profit de leur smartphone personnel.
Et oui, un collabora online ou un onlyoffice couplé à un nextcloud auto hébergé est bien loin d'un Office 365. Personne de bonne foi ne peut prétendre le contraire. Maintenant, peut-être que si la majorité ne cédait pas à la solution de facilité, on trouverait les ressources pour améliorer ces outils, plutôt que d'engraisser Microsoft.
Par contre, je ne comprends toujours pas comment on peut être assez naïf pour croire que la NSA ne va pas se servir directement chez Microsoft ou Google.
Le 13/03/2024 à 17h18
Modifié le 13/03/2024 à 18h00
Ça peut être éculé et toujours pertinent comme ici.
Mais je le soupçonne d'avoir utilisé le terme afin de discréditer son interlocuteur en bon défenseur de Microsoft
Le 13/03/2024 à 12h48
"...certaines règles de protection clés du règlement sur le traitement des données à caractère personnel par les institutions (à ne pas confondre avec le RGPD)..."
Le 13/03/2024 à 13h33
Le 14/03/2024 à 08h59
Le 12/03/2024 à 14h51
Le 12/03/2024 à 16h08
Le 12/03/2024 à 14h57
Le 12/03/2024 à 15h09
Le 12/03/2024 à 15h46
Le 01/07/2024 à 08h35
Par ailleurs, on a le risque ici d'avoir des collisions de lois. Parce que microsoft est aussi soumis au rgpd.
Le 13/03/2024 à 07h39
https://www.capgemini.com/fr-fr/actualites/communiques-de-presse/capgemini-et-orange-annoncent-le-lancement-des-activites-commerciales-de-bleu-leur-future-plateforme-de-cloud-de-confiance/
Maintenant ils parlent d'une qualification Secnumcloud en 2025. On peut donc supposer que ce n'est pas si facile que ça. Et que les coûts de la version Secnumcloud vont être coquets...
Le 12/03/2024 à 16h22
Je pensais que c'était à l'organisme (ici Microsoft) de faire le nécessaire avec ses propres sous-traitants.
Car cela me semble difficile à faire, dans les faits. Déjà qu'il est complexe de vérifier que le règlement est respecté quad on a directement affaire à un organisme, si en plus il faut aller vérifier pour chaque sous-traitant !
Le 12/03/2024 à 16h30
Modifié le 12/03/2024 à 16h54
je pense qu'il faut le dire plus explicitement dans l'article que ce n'est pas le RGPD. Je n'avais pas suivi le lien pensant que c'était le RGPD et je ne dois pas être pas le seul.
En relisant, la longue première phrase de l'article et en suivant le lien, j'ai compris mon erreur.
Merci à Jarodd pour avoir posé la question.
Le 12/03/2024 à 20h08
Le 13/03/2024 à 09h50
Question subsidiaire : le Contrôleur européen de la protection des données (CEPD) utilise t'il Office 365 ? Ce serait le comble 🤣🤣🤣🤣