Le contrôleur européen de la protection des données (EDPS) avait dévoilé en octobre dernier les résultats préliminaires de son enquête sur les contrats entre Microsoft et les institutions européennes. Y apparaissait alors de « sérieuses préoccupations »
La semaine dernière, le contrôleur a mis en ligne « ses conclusions et recommandations sur l'utilisation des produits et services Microsoft par les institutions de l'UE ». Plusieurs griefs sont détaillés.
« L'accord de licence entre Microsoft et les institutions de l’Union européenne a permis à Microsoft de définir et de modifier les paramètres de ses activités de traitement effectuées pour le compte des institutions », laissant ainsi le champ libre à Microsoft d’agir comme « un contrôleur ».
L’EDPS explique aussi que « les institutions de l'UE ont été confrontées à un certain nombre de problèmes liés à la localisation des données, aux transferts internationaux et au risque de fuite de données ».
Elles n’ont également « pas été en mesure de vérifier l'emplacement d'une grande partie des données traitées par Microsoft » ni ce qui a été transféré hors de l’Union. Elles ne disposaient que de « peu de garanties pour défendre leurs droits et veiller à ce que Microsoft ne divulgue des données à caractère personnel que dans la mesure où le droit de l’UE le permettait ».
D’autres points noirs sont évoqués dans le rapport, qui formule au passage des recommandations pour améliorer la situation.
Commentaires (12)
#1
What did you expect ?
" />
#2
Comment les “autorités” Européennes ont pu penser, un instant, que les données allaient sagement rester en Europe? On nous prend pour des neuneus c’est évident 
" />
#3
Tu crois pas que si de grandes administrations présentaient un vrai cahier des charges ce serait déjà plus safe? Il me faudrait les relire mais pour le contrat MS avec la Défense, il me semble (même si l’ensemble reste discutable) que les choses sont qd même mieux cadrer sur la donnée, l’hébergement etc.
Il me semble…
#4
Contractuellement je pense que oui. Maintenant ça reste une entreprise américaine avec les lois américaines qui s’appliquent (cloud act). Donc contrat ou pas…
#5
De toute façon depuis le Cloud Act le gvt US a accès à toutes les données des entreprises US
Et les serveurs peuvent être n’importe où dans le monde - c’est la nationalité de l’entreprise qui importe
Alors le contrat….. ils s’en tamponnent - ca doit juste faire rire la NSA
#6
#7
#8
#9
Lisez les sources que vous citez : le CLOUDAct ne concerne que les citoyens US…
#10
#11
#12
J’ai répondu à ta critique du commentaire suivant :
" />
“Et les serveurs peuvent être n’importe où dans le monde - c’est la nationalité de l’entreprise qui importe
Alors le contrat….. ils s’en tamponnent - ca doit juste faire rire la NSA”
Et si, c’est bien la nationalité de l’entreprise qui importe.
Même si pour le reste c’est du goulbi goulba (le cloud act ne s’applique que dans le cas de citoyen ou d’association majoritairement américaine et s’il n’y pas à pas conflit avec le droit local et la NSA c’est PRISM et ça n’est pas légal).
On s’est mal compris je pense