Drapeaux de l’Union européenne

La Commission européenne épinglée pour son utilisation de Microsoft 365 sans protéger suffisamment les données personnelles

Balayer devant son cloud

Avatar de l'auteur
Martin Clavey

Publié dans

Droit

12/03/2024 6 minutes
24

Drapeaux de l’Union européenne

Selon le Contrôleur européen de la protection des données (CEPD), la Commission européenne a enfreint, dans son utilisation de Microsoft 365, certaines règles de protection clés du règlement sur le traitement des données à caractère personnel par les institutions (à ne pas confondre avec le RGPD). La commission a jusqu'au 9 décembre pour se mettre en règle.

Lundi 11 mars, le CEPD, l’autorité de contrôle indépendante des institutions européennes sur la protection des données, a épinglé la Commission européenne elle-même, car elle n'a pas respecté le règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union.

C'est le résultat de son enquête sur l'utilisation de Microsoft 365 par la Commission menée depuis mai 2021, après l'arrêt Schrems II.

Des données personnelles traitées en dehors de l'UE pas assez protégées

Dans son communiqué, le CEPD explique que la Commission n'a pas prévu, dans son utilisation de Microsoft 365, les garanties appropriées pour que les données à caractère personnel transférées sur les serveurs de Microsoft en dehors de l'Europe bénéficie des mêmes protections que sur le sol européen.

« En outre, dans son contrat avec Microsoft, la Commission n'a pas suffisamment précisé quels types de données à caractère personnel doivent être collectés et pour quelles finalités explicites et spécifiées dans le cadre de l'utilisation de Microsoft 365 » explique le Contrôleur.

En effet, l'article 29 du règlement de 2018 impose que l'institution qui signe un contrat avec un sous-traitant doit s'assurer que le sous-traitant « ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ».

Pas d'évaluation des transferts de données par la Commission

Le Contrôleur va plus loin en expliquant que la Commission « n'a pas évalué, ni avant le début des transferts ni par la suite, quelles données à caractère personnel seront transférées à quels destinataires, dans quels pays tiers et à quelles fins, et n'a donc pas obtenu les informations minimales nécessaires pour déterminer si des mesures supplémentaires sont nécessaires pour assurer un niveau de protection essentiellement équivalent et si des mesures supplémentaires efficaces existent et pourraient être mises en œuvre ».

En conséquence, le contrat entre Microsoft et la Commission a été signé sans définition claire des transferts de données et sans qu'il y ait eu d'évaluation de l'impact de ces transferts. Tout ceci est encore contraire au règlement de 2018.

En effet, le règlement dit explicitement que l'administration cliente, ici la Commission, doit faire respecter à ses prestataires, ici Microsoft, les principes édictés par la Commission elle-même sur la protection des données.

Il lui reproche aussi de ne pas avoir mis en œuvre de mesures supplémentaires efficaces pour les transferts vers les États-Unis effectués avant l'entrée en vigueur de nouvelles garanties données par le gouvernement américain et la nouvelle décision « d'adéquation » prise par la Commission en juillet 2023. Celle-ci valide les accords de confidentialité sur les données personnelles entre les États-Unis et l'Europe.

Wojciech Wiewiórowski, à la tête du CEPD, rappelle qu' « il incombe aux institutions, organes et organismes de l'UE de veiller à ce que tout traitement de données à caractère personnel en dehors et à l'intérieur de l'UE/EEE, y compris dans le contexte des services basés sur le cloud, s'accompagne de garanties et de mesures robustes en matière de protection des données ».

Il a ajouté que « cela est impératif pour garantir que les informations des individus sont protégées, comme l'exige le règlement (UE) 2018/1725, chaque fois que leurs données sont traitées par une institution européenne, ou en son nom ».

Des corrections à faire avant le 9 décembre 2024

Le CEPD a donc ordonné à la Commission de cesser, d'ici le 9 décembre, tous les flux de données issus de son utilisation de Microsoft 365 allant vers les serveurs de Microsoft, de ses sociétés affiliées et de sous-traitants situés dans des pays n'ayant pas signé d'accord de confidentialité avec l'UE.

La Commission doit aussi cartographier les transferts de données pour identifier quelles données personnelles sont transférées à quel destinataire, à quel pays tiers, pourquoi et quelles sont les garanties. Elle doit aussi « veiller à ce que tous les transferts vers des pays tiers aient lieu uniquement pour permettre l'exécution des tâches relevant de la compétence du responsable du traitement ».

Enfin, la Commission doit, toujours avant le 9 décembre, avoir signé des contrats en bonne et due forme avec Microsoft en prenant en compte le règlement européen.

Le CEPD donne aussi un blâme à la Commission. En effet, comme les CNIL nationales, le CEPD ne peut pas infliger d'amende aux institutions publiques qu'il contrôle.

Selon Euractiv, un porte-parole de la Commission a déclaré que « le respect de la décision du CEPD semble malheureusement susceptible de compromettre le niveau élevé actuel des services informatiques mobiles et intégrés. Cela s’applique non seulement à Microsoft, mais aussi potentiellement à d’autres services informatiques commerciaux », et que la Commission devait « d’abord analyser en détail les conclusions de la décision et les raisons sous-jacentes ».

Écrit par Martin Clavey

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Des données personnelles traitées en dehors de l'UE pas assez protégées

Pas d’évaluation des transferts de données par la Commission

Des corrections à faire avant le 9 décembre 2024

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Fermer

Commentaires (24)


"Nan, mais vous ne comprenez pas que c'est compliqué et couteux de faire ce que dit le règlement donc on ne l'a pas fait"
on peut trouver ça rigolo que ce soit la commission qui se fasse taper sur les doigts par raport à la RGPD... mais ça en dit long sur tout ce que la RGPD implique pour tous les organismes publics et para-publics. Je pense que c'est la même chose pour tous les organismes publics français qui utilisent Office 365. (y compris les mairies)
A part le bannir totalement (Office 365 pas le RGPD) de toutes façons ça va être compliqué.
En fait, je ne comprends pas comment cette abomination d'Office 365 peut ne pas être bannie de tout organisme public et de toute grande entreprise européenne.
Comment peut-on laisser des données, par définition sensible, sur les serveurs d'une entité soumis au cloud act ? Surtout avec l'historique pour montrer l'absence totale de scrupule de la NSA pour se servir dessus.
Oui c'est pratique, les utilisateurs y sont habitués, et ça coûte sans doute moins cher que d'adapter des technologies souveraines. Mais à un moment il faut arrêter de faire n'importe quoi et prendre en compte le coût de l'espionnage économique par nos "alliés".

bidou.bidou

En fait, je ne comprends pas comment cette abomination d'Office 365 peut ne pas être bannie de tout organisme public et de toute grande entreprise européenne.
Comment peut-on laisser des données, par définition sensible, sur les serveurs d'une entité soumis au cloud act ? Surtout avec l'historique pour montrer l'absence totale de scrupule de la NSA pour se servir dessus.
Oui c'est pratique, les utilisateurs y sont habitués, et ça coûte sans doute moins cher que d'adapter des technologies souveraines. Mais à un moment il faut arrêter de faire n'importe quoi et prendre en compte le coût de l'espionnage économique par nos "alliés".
Quelle alternative aujourd'hui ? OnlyOffice ? Mais c'est russe.

meyrand018

Quelle alternative aujourd'hui ? OnlyOffice ? Mais c'est russe.
un nextcloud auto-hébergé ?

meyrand018

Quelle alternative aujourd'hui ? OnlyOffice ? Mais c'est russe.
Non pas russe, Letton.
On peut dire aussi que se qui est français est allemand ou espagnol. je pense pas qu'il apprécies, surtout en se moment.

bidou.bidou

En fait, je ne comprends pas comment cette abomination d'Office 365 peut ne pas être bannie de tout organisme public et de toute grande entreprise européenne.
Comment peut-on laisser des données, par définition sensible, sur les serveurs d'une entité soumis au cloud act ? Surtout avec l'historique pour montrer l'absence totale de scrupule de la NSA pour se servir dessus.
Oui c'est pratique, les utilisateurs y sont habitués, et ça coûte sans doute moins cher que d'adapter des technologies souveraines. Mais à un moment il faut arrêter de faire n'importe quoi et prendre en compte le coût de l'espionnage économique par nos "alliés".
En fait, je ne comprends pas comment cette abomination d'Office 365 peut ne pas être bannie de tout organisme public et de toute grande entreprise européenne.


Bon après, pour comprendre il faut avoir envie de comprendre.
Surtout avec l'historique pour montrer l'absence totale de scrupule de la NSA pour se servir dessus.


Parler de la NSA pour discréditer ce genre de solutions, c'est éculé; il faudrait penser à se renouveller un peu.

Myifee

En fait, je ne comprends pas comment cette abomination d'Office 365 peut ne pas être bannie de tout organisme public et de toute grande entreprise européenne.


Bon après, pour comprendre il faut avoir envie de comprendre.
Surtout avec l'historique pour montrer l'absence totale de scrupule de la NSA pour se servir dessus.


Parler de la NSA pour discréditer ce genre de solutions, c'est éculé; il faudrait penser à se renouveller un peu.
Bêtise, paresse, force de l'habitude, corruption. En vrai, je comprends très bien.
Comme nos politiques qui refusent d'utiiser leurs téléphones sécurisés au profit de leur smartphone personnel.

Et oui, un collabora online ou un onlyoffice couplé à un nextcloud auto hébergé est bien loin d'un Office 365. Personne de bonne foi ne peut prétendre le contraire. Maintenant, peut-être que si la majorité ne cédait pas à la solution de facilité, on trouverait les ressources pour améliorer ces outils, plutôt que d'engraisser Microsoft.

Par contre, je ne comprends toujours pas comment on peut être assez naïf pour croire que la NSA ne va pas se servir directement chez Microsoft ou Google.

Myifee

En fait, je ne comprends pas comment cette abomination d'Office 365 peut ne pas être bannie de tout organisme public et de toute grande entreprise européenne.


Bon après, pour comprendre il faut avoir envie de comprendre.
Surtout avec l'historique pour montrer l'absence totale de scrupule de la NSA pour se servir dessus.


Parler de la NSA pour discréditer ce genre de solutions, c'est éculé; il faudrait penser à se renouveller un peu.
Pour que ce soit éculé, il faudrait que la raison initiale cesse d'être vraie.

Aqua

Pour que ce soit éculé, il faudrait que la raison initiale cesse d'être vraie.
Non, pas forcément :
Fig. Qui a perdu toute fraîcheur ou toute originalité, pour avoir été trop souvent répété. Des mots éculés, qui ont perdu leur force d'expression. Un texte éculé, rabâché, trop souvent entendu.


Par exemple, parler du pare-feu Open Office est une plaisanterie éculée.

Ça peut être éculé et toujours pertinent comme ici.
Mais je le soupçonne d'avoir utilisé le terme afin de discréditer son interlocuteur en bon défenseur de Microsoft
Modifié le 13/03/2024 à 18h00

Historique des modifications :

Posté le 13/03/2024 à 17h57


Non, pas forcément :

Fig. Qui a perdu toute fraîcheur ou toute originalité, pour avoir été trop souvent répété. Des mots éculés, qui ont perdu leur force d'expression. Un texte éculé, rabâché, trop souvent entendu.


Par exemple, parler du pare-feu Open Office est une plaisanterie éculée.

Comme le dit l'article se n'est pas le RGDP.

"...certaines règles de protection clés du règlement sur le traitement des données à caractère personnel par les institutions (à ne pas confondre avec le RGPD)..."

RuMaRoCO

Comme le dit l'article se n'est pas le RGDP.

"...certaines règles de protection clés du règlement sur le traitement des données à caractère personnel par les institutions (à ne pas confondre avec le RGPD)..."
Ce n'était pas écrit comme cela quand il a fait son commentaire. La mention a été ajoutée suite à d'autres commentaires, dont le mien qui conseillait explicitement de dire que ce n'était pas le RGPD.

fred42

Ce n'était pas écrit comme cela quand il a fait son commentaire. La mention a été ajoutée suite à d'autres commentaires, dont le mien qui conseillait explicitement de dire que ce n'était pas le RGPD.
Oki. :-)
Faite ce que je dis, pas ce que je fais 😁
J'ai direct penser a cette phrase ahah
Mais pourquoi la Commission européenne utilise-t-elle Microsoft 365 :eeek: ???
Lors d'une offre type ovh avec un 365 avec hebergement européen, est ce que le cloud act s'applique aussi. Parce que dans ce cas, la dissociation de la partie commercial usa et du stockage des données semble possible et le rgpd s'applique proprement?
Ça répondra peut-être en partie à ta réponse : https://blog.ovhcloud.com/cloud-act-quel-impact-pour-les-utilisateurs-de-cloud/
Ça fait depuis 2022 qu'ils promettent de faire un Office 365/Azure AD où l'hébergement des données n'est plus laissé à Microsoft.

https://www.capgemini.com/fr-fr/actualites/communiques-de-presse/capgemini-et-orange-annoncent-le-lancement-des-activites-commerciales-de-bleu-leur-future-plateforme-de-cloud-de-confiance/

Maintenant ils parlent d'une qualification Secnumcloud en 2025. On peut donc supposer que ce n'est pas si facile que ça. Et que les coûts de la version Secnumcloud vont être coquets...
En effet, le règlement dit explicitement que l’administration cliente, ici la Commission, doit faire respecter à ses prestataires, ici Microsoft, les principes édictés par la Commission elle-même sur la protection des données.


Ceci concerne tout organisme soumis au RGPD, ou c'est spécifique aux administrations / institutions comme la Commission européenne ?

Je pensais que c'était à l'organisme (ici Microsoft) de faire le nécessaire avec ses propres sous-traitants.
Car cela me semble difficile à faire, dans les faits. Déjà qu'il est complexe de vérifier que le règlement est respecté quad on a directement affaire à un organisme, si en plus il faut aller vérifier pour chaque sous-traitant !
Ce règlement concerne spécifiquement les institutions, ce n'est donc pas le RGPD ;)

Martin Clavey

Ce règlement concerne spécifiquement les institutions, ce n'est donc pas le RGPD ;)
Bonjour,

je pense qu'il faut le dire plus explicitement dans l'article que ce n'est pas le RGPD. Je n'avais pas suivi le lien pensant que c'était le RGPD et je ne dois pas être pas le seul.
En relisant, la longue première phrase de l'article et en suivant le lien, j'ai compris mon erreur.
Merci à Jarodd pour avoir posé la question.
Modifié le 12/03/2024 à 16h54

Historique des modifications :

Posté le 12/03/2024 à 16h53


Bonjour,

je pense qu'il faut le dire plus explicitement dans l'article que ce n'est pas le RGPD. Je n'avais pas suivi le lien pensant que c'était le RGPD et je ne dois pas être pas le seul.
En relisant, la longue première phrase de l'article et en suivant le lien, j'ai compris mon erreur.
Merci à 127.0.01 pour avoir posé la question.

On est d'accord que Microsot peut largement regarder le contenu des documents de la commission Européenne si ils utilisent O365... ? :eeek2:
Oui, ça doit être pratique pour Microsoft pour se tenir au courant des poursuites judiciaires, de la stratégie des avocats, etc.

Question subsidiaire : le Contrôleur européen de la protection des données (CEPD) utilise t'il Office 365 ? Ce serait le comble 🤣​🤣​🤣​🤣​