La Commission européenne épinglée pour son utilisation de Microsoft 365 sans protéger suffisamment les données personnelles

Selon le Contrôleur européen de la protection des données (CEPD), la Commission européenne a enfreint, dans son utilisation de Microsoft 365, certaines règles de protection clés du règlement sur le traitement des données à caractère personnel par les institutions (à ne pas confondre avec le RGPD). La commission a jusqu'au 9 décembre pour se mettre en règle.

Lundi 11 mars, le CEPD, l’autorité de contrôle indépendante des institutions européennes sur la protection des données, a épinglé la Commission européenne elle-même, car elle n'a pas respecté le règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union.

C'est le résultat de son enquête sur l'utilisation de Microsoft 365 par la Commission menée depuis mai 2021, après l'arrêt Schrems II.

• Schrems II : comment les États-Unis veulent encadrer la « collecte en vrac » des données des Européens

Des données personnelles traitées en dehors de l'UE pas assez protégées

Dans son communiqué, le CEPD explique que la Commission n'a pas prévu, dans son utilisation de Microsoft 365, les garanties appropriées pour que les données à caractère personnel transférées sur les serveurs de Microsoft en dehors de l'Europe bénéficie des mêmes protections que sur le sol européen.

« En outre, dans son contrat avec Microsoft, la Commission n'a pas suffisamment précisé quels types de données à caractère personnel doivent être collectés et pour quelles finalités explicites et spécifiées dans le cadre de l'utilisation de Microsoft 365 » explique le Contrôleur.

En effet, l'article 29 du règlement de 2018 impose que l'institution qui signe un contrat avec un sous-traitant doit s'assurer que le sous-traitant « ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ».

Pas d'évaluation des transferts de données par la Commission

Le Contrôleur va plus loin en expliquant que la Commission « n'a pas évalué, ni avant le début des transferts ni par la suite, quelles données à caractère personnel seront transférées à quels destinataires, dans quels pays tiers et à quelles fins, et n'a donc pas obtenu les informations minimales nécessaires pour déterminer si des mesures supplémentaires sont nécessaires pour assurer un niveau de protection essentiellement équivalent et si des mesures supplémentaires efficaces existent et pourraient être mises en œuvre ».

En conséquence, le contrat entre Microsoft et la Commission a été signé sans définition claire des transferts de données et sans qu'il y ait eu d'évaluation de l'impact de ces transferts. Tout ceci est encore contraire au règlement de 2018.

En effet, le règlement dit explicitement que l'administration cliente, ici la Commission, doit faire respecter à ses prestataires, ici Microsoft, les principes édictés par la Commission elle-même sur la protection des données.

Il lui reproche aussi de ne pas avoir mis en œuvre de mesures supplémentaires efficaces pour les transferts vers les États-Unis effectués avant l'entrée en vigueur de nouvelles garanties données par le gouvernement américain et la nouvelle décision « d'adéquation » prise par la Commission en juillet 2023. Celle-ci valide les accords de confidentialité sur les données personnelles entre les États-Unis et l'Europe.

• • La Commission européenne ((re)re)valide le transfert de données personnelles vers les États-Unis

Wojciech Wiewiórowski, à la tête du CEPD, rappelle qu' « il incombe aux institutions, organes et organismes de l'UE de veiller à ce que tout traitement de données à caractère personnel en dehors et à l'intérieur de l'UE/EEE, y compris dans le contexte des services basés sur le cloud, s'accompagne de garanties et de mesures robustes en matière de protection des données ».

Il a ajouté que « cela est impératif pour garantir que les informations des individus sont protégées, comme l'exige le règlement (UE) 2018/1725, chaque fois que leurs données sont traitées par une institution européenne, ou en son nom ».

Des corrections à faire avant le 9 décembre 2024

Le CEPD a donc ordonné à la Commission de cesser, d'ici le 9 décembre, tous les flux de données issus de son utilisation de Microsoft 365 allant vers les serveurs de Microsoft, de ses sociétés affiliées et de sous-traitants situés dans des pays n'ayant pas signé d'accord de confidentialité avec l'UE.

La Commission doit aussi cartographier les transferts de données pour identifier quelles données personnelles sont transférées à quel destinataire, à quel pays tiers, pourquoi et quelles sont les garanties. Elle doit aussi « veiller à ce que tous les transferts vers des pays tiers aient lieu uniquement pour permettre l'exécution des tâches relevant de la compétence du responsable du traitement ».

Enfin, la Commission doit, toujours avant le 9 décembre, avoir signé des contrats en bonne et due forme avec Microsoft en prenant en compte le règlement européen.

Le CEPD donne aussi un blâme à la Commission. En effet, comme les CNIL nationales, le CEPD ne peut pas infliger d'amende aux institutions publiques qu'il contrôle.

Selon Euractiv, un porte-parole de la Commission a déclaré que « le respect de la décision du CEPD semble malheureusement susceptible de compromettre le niveau élevé actuel des services informatiques mobiles et intégrés. Cela s’applique non seulement à Microsoft, mais aussi potentiellement à d’autres services informatiques commerciaux », et que la Commission devait « d’abord analyser en détail les conclusions de la décision et les raisons sous-jacentes ».