Bim ! L’EDPS vient de retoquer la CE. L’European Data Protection Supervisor est un peu à l’Union européenne ce que le DPO est à toute entreprise : le garant de la protection des données personnelles. Autorité indépendante, il veille à ce que les institutions et organes de l’Union respectent la loi sur la protection des données lors du traitement des données personnelles. L’EDPS protège les données personnelles des citoyens de l’Union et guide les institutions, organes, bureaux et agences afin qu’ils soient exemplaires dans le respect des principes de protection des données.

Traitements et transferts des données épinglés 

« Il incombe aux institutions, organes et organismes de l'UE de veiller à ce que tout traitement de données à caractère personnel en dehors et à l'intérieur de l'UE/EEE (IUE) y compris dans le contexte des services cloud, s'accompagne de garanties et de mesures solides en matière de protection des données », a expliqué Wojciech Wiewiórowski, contrôleur européen de la protection des données. « Il s'agit là d'un impératif pour garantir la protection des informations des personnes, comme l'exige le règlement (UE) 2018/1725, chaque fois que leurs données sont traitées par une IUE ou pour son compte ».

Dans le détail, il apparait surtout que la Commission européenne s’est montrée jusqu’ici incapable : – de déterminer les types de données personnelles collectées dans le cadre des utilisations de Microsoft 36, – de fournir des instructions documentées sur les types de données personnelles utilisées par ses processus, – de fournir les preuves qu’elle s’était assurée que les données personnelles traitées par Microsoft pour fournir ses services l’étaient uniquement sur instructions documentées de la Commission, – de ne pas avoir évalué si les finalités des traitements ultérieurs sont compatibles avec les finalités pour lesquelles les données à caractère personnel ont été traitées, – de ne pas avoir évalué s’il est nécessaire et proportionné de transmettre les données à caractère personnel à Microsoft.

Autrement dit, la Commission européenne se rend coupable d’infractions à ses propres règles de respect de la vie privée à cause de la façon dont des données sont transférées de Microsoft 365 à Microsoft ou à d’autres firmes de traitement des données en dehors de l’Union.

A raison, l’EDPS s’inquiète de la façon dont Microsoft utilise les données de ses utilisateurs et accuse la Commission européenne de ne pas s’en être inquiétée avant d’adopter Microsoft 365…

Gênant !

Gênant pour la CE, qui dit s’être « toujours engagée à veiller à ce que son utilisation du logiciel Microsoft M365 soit conforme aux règles applicables en matière de protection des données et continuera à le faire ». Gênant, aussi, pour Microsoft qui dit « s’engager à trouver des solutions pour répondre aux préoccupations de la CE. »

Cette affaire tombe alors que la même Commission Européenne vient d’ouvrir une enquête sur Entra ID, bien plus connu sous son ancien nom : Azure Active Directory. La pierre angulaire de l’authentification à tous les services Microsoft, à commencer par Microsoft 365, est dans le collimateur de l’Europe. Elle favoriserait des pratiques anticoncurrentielles notamment en compliquant l’intégration des produits non Microsoft aux plateformes du géant américain. En outre, elle ne permettrait pas aux autres fournisseurs de solutions d’identité et de protection des identités de s’imposer en lieu et place d’Entra ID.

Sur la base de ces éléments, la CEPD ordonne à la Commission à partir du 9 décembre 2024 de suspendre les flux de données Microsoft 365 traités par la firme de Redmond et ses sous-traitants dans des pays situés en dehors de l'Union européenne. Le CEPD invite également la Commission à mettre les opérations de traitement résultant de son utilisation de Microsoft 365 en conformité avec le règlement (UE) 2018/1725

Alain de Fooz
Editeur responsable Solutions Magazine
www.soluxions-magazine.com