Une longue enquête sur l’utilisation de Microsoft 365 par l’Union européenne a révélé que la Commission avait enfreint les règles de protection des données du bloc en utilisant le logiciel de productivité basé sur le cloud.
Annonçant sa décision dans un communiqué de presse aujourd’hui, le Contrôleur européen de la protection des données (CEPD) a déclaré que la Commission avait enfreint « plusieurs règles clés en matière de protection des données lors de l’utilisation de Microsoft 365 ».
“La Commission n’a pas suffisamment précisé quels types de données personnelles doivent être collectées et pour quelles finalités explicites et spécifiées lors de l’utilisation de Microsoft 365”, a écrit le responsable des données, Wojciech Wiewiórowski, ajoutant : “Les infractions de la Commission en tant que responsable du traitement concernent également les traitements de données, y compris les transferts de données personnelles, effectués pour son compte. Le CEPD a imposé des mesures correctives obligeant la Commission à résoudre les problèmes de conformité qu’elle a identifiés d’ici le 9 décembre 2024, en supposant qu’elle continue à utiliser la suite cloud de Microsoft.
Microsoft et la Commission ont été contactés pour obtenir une réponse aux conclusions du CEPD. Mais au moment de la rédaction de cet article, aucun des deux n’avait répondu. Le régulateur, qui supervise le respect par les institutions européennes des règles de protection des données, a ouvert une enquête sur l’utilisation par la Commission de Microsoft 365 et d’autres services cloud américains en mai 2021.
La question est de savoir comment Microsoft traite les données des utilisateurs de son service cloud. Les régulateurs de l’UE ont fait part de leurs inquiétudes à ce sujet depuis des années, notamment en ce qui concerne la base juridique revendiquée par Microsoft pour le traitement des données ; un manque de clarté et de précision dans la formulation de ses contrats pour le produit ; et aucune garantie technique n’est appliquée pour garantir que les données sont uniquement utilisées pour fournir et maintenir le service. Lorsque le CEPD a ouvert l’enquête, aucun accord de transfert de données n’était en vigueur entre le bloc et les États-Unis, suite à l’annulation de l’accord UE-États-Unis. Privacy Shield en juillet 2020.
Un nouvel accord transatlantique sur le transfert de données a ensuite été convenu et adopté trois ans plus tard (juillet 2023). Mais pendant la majeure partie de la période pendant laquelle le CEPD enquêtait sur l’utilisation de Microsoft 365 par la Commission, aucun accord n’avait été conclu concernant les transferts de données de l’UE vers les États-Unis. Pourtant, l’utilisation de Microsoft 365 entraîne régulièrement un retour de données vers les serveurs de Microsoft aux États-Unis. Concernant les transferts de données, le CEPD a constaté que la Commission n’avait pas veillé à ce que des garanties adéquates soient appliquées à ces exportations de données afin de garantir que des protections essentiellement équivalentes soient en place pour les données une fois qu’elles ont quitté le bloc.
Le contrôleur des données a ordonné à la Commission de suspendre tous les flux de données résultant de son utilisation de Microsoft 365 vers Microsoft et ses filiales et sous-traitants situés dans des pays en dehors de l’UE/EEE non couverts par une décision d’adéquation de l’UE en matière de transferts de données – encore une fois, avec une date limite du 9 décembre pour cela.
Il a également été ordonné de procéder à un exercice de cartographie des transferts de données, identifiant « quelles données personnelles sont transférées vers quels destinataires dans quels pays tiers, à quelles fins et sous quelles garanties, y compris les transferts ultérieurs ». Elle doit également garantir que tous les transferts vers des pays tiers sans décision d’adéquation aient lieu « uniquement pour permettre l’exécution de tâches relevant de la compétence du responsable du traitement ».
Plus généralement, les mesures correctives du CEPD exigent que la Commission corrige ses contrats avec Microsoft — pour garantir qu’ils contiennent les dispositions contractuelles, les mesures organisationnelles et/ou techniques nécessaires pour garantir que les données à caractère personnel ne soient collectées qu’à des fins explicites et spécifiées ; et « suffisamment déterminés » par rapport aux finalités pour lesquelles ils sont traités.
Les données doivent également être traitées uniquement par Microsoft ou ses sociétés affiliées ou sous-traitants « selon les instructions documentées de la Commission », conformément à l’ordonnance – à moins qu’elles n’aient lieu dans la région et que le traitement soit destiné à une finalité conforme au droit de l’UE ou de l’État membre ; ou, si en dehors de la région pour être traité à d’autres fins en vertu du droit d’un pays tiers, une protection essentiellement équivalente doit être appliquée.
Les contrats doivent également garantir qu’il n’y aura pas de traitement ultérieur des données, c’est-à-dire d’utilisations au-delà de la finalité initiale pour laquelle les données sont collectées.
Le CEPD a estimé que la Commission avait violé le principe de « limitation des finalités » des règles applicables en matière de protection des données en ne déterminant pas suffisamment les types de données à caractère personnel collectées dans le cadre de l’accord de licence qu’elle a conclu avec Microsoft Irlande, ce qui signifie qu’elle n’a pas été en mesure de garantir qu’elles étaient spécifiques et explicites.
L’UE n’a pas non plus fourni d’instructions suffisamment claires et documentées à Microsoft concernant le traitement ; n’a pas veillé à ce que son traitement soit limité par des instructions ; et n’a pas réussi à évaluer la conformité du traitement ultérieur effectué par Microsoft avec la finalité initialement indiquée pour la collecte, entre autres violations des règles identifiées par le CEPD.
Commentant dans une déclaration, Wiewiórowski a écrit :
Il est de la responsabilité des institutions, organes et organismes (IUE) de l’UE de garantir que tout traitement de données à caractère personnel en dehors et à l’intérieur de l’UE/EEE, y compris dans le contexte de services basés sur le cloud, s’accompagne de solides garanties de protection des données. et des mesures. Cela est impératif pour garantir que les informations des individus sont protégées, comme l’exige le règlement (UE) 2018/1725, chaque fois que leurs données sont traitées par ou pour le compte d’une UE.
Au cours des dernières années, Microsoft a répondu au risque réglementaire européen accru lié aux transferts de données en élargissant ses efforts de localisation des données axés sur les clients cloud régionaux – dans une infrastructure baptisée « frontière européenne des données pour le cloud Microsoft ». Cependant, l’infrastructure technique est encore en cours de déploiement. Il reste également poreux de par sa conception, certaines données devant rester accessibles en dehors de l’UE même lorsque le déploiement devrait être achevé à la fin de cette année, selon Microsoft.
Mise à jour : La Commission a confirmé avoir reçu la décision de l’EDPB et a déclaré qu’elle devra analyser le raisonnement « en détail » avant de prendre une décision sur la manière de procéder. Dans une série de déclarations lors d’un point de presse, elle s’est dite convaincue de respecter « les règles applicables en matière de protection des données, tant en fait qu’en droit ». Elle a également indiqué que « diverses améliorations » avaient été apportées aux contrats avec le CEPD au cours de son enquête.
“Nous coopérons pleinement avec le CEPD depuis le début de l’enquête, en fournissant tous les documents et informations pertinents au CEPD et en donnant suite aux questions soulevées au cours de l’enquête”, indique le communiqué. «La Commission a toujours été prête à mettre en œuvre et reconnaissante de recevoir toute recommandation motivée du CEPD. La protection des données est une priorité absolue pour la Commission.»
« La Commission s’est toujours pleinement engagée à garantir que son utilisation de Microsoft M365 soit conforme aux règles applicables en matière de protection des données et continuera de le faire. Il en va de même pour tous les autres logiciels acquis par la Commission », poursuit le texte, ajoutant : « De nouvelles règles en matière de protection des données pour les institutions et organes de l’UE sont entrées en vigueur le 11 décembre 2018. La Commission recherche activement des cadres d’adéquation ambitieux et sûrs avec partenaires internationaux. La Commission applique ces règles dans tous ses processus et contrats, y compris avec des entreprises individuelles telles que Microsoft.
Si les déclarations publiques de la Commission ont réitéré son engagement à respecter ses obligations légales, elle a également affirmé que « le respect de la décision du CEPD semble malheureusement susceptible de compromettre le niveau élevé actuel de services informatiques mobiles et intégrés ».
« Cela s’applique non seulement à Microsoft mais potentiellement aussi à d’autres services informatiques commerciaux. Mais nous devons d’abord analyser en détail les conclusions de la décision et les raisons qui la sous-tendent. Nous ne pouvons pas fournir d’autres commentaires tant que nous n’avons pas terminé l’analyse », a-t-il ajouté.