Les préoccupations du Contrôleur Européen de la Protection des Données concernant les contrats entre Microsoft et les institutions européennes

Publié le - Mise à jour le

Retour aux actualités

Le 2 juillet 2020, le Contrôleur Européen de la Protection des Données (European Data Protection Supervisor ou EDPS) a rendu son rapport d’enquête définitif sur la conformité des accords entre les institutions européennes et Microsoft. Le CEDP a constaté à ce sujet plusieurs défauts de conformité aux règles européennes de protection des données à caractère personnel et a émis une série de recommandations pour y remédier.

 

Le contexte de l’enquête

Cette enquête, initiée en avril 2019 par le CEDP, fait suite à un rapport d’évaluation émis par les autorités néerlandaises en 2018 qui faisait état de risques de non-conformité de Microsoft Office au regard du Règlement Général sur la Protection des Données (RGPD). Les Pays-Bas rapportaient notamment que :

  • La collecte de données effectuée par le biais de Microsoft Office ProPlus et Office 365 incluait des éléments de contenu, dépassant les simples données fonctionnelles et de diagnostic ;
  • Le système de données de télémétrie envoyait des données à des serveurs américains ;
  • Cette collecte de données à grande échelle était effectuée sans information correcte des utilisateurs.

 

Il s’agissait donc pour le Contrôleur de vérifier quelles applications Microsoft étaient utilisées par les institutions de l’Union Européenne (UE), et de savoir si les contrats conclus avec la firme américaine étaient conformes au RGPD, ainsi qu’au règlement (UE) 2018/1725 portant sur la protection des données par les institutions de l’UE.

 

La nécessité d’équilibrer la relation contractuelle

Si Microsoft avait pris les devants en revoyant les termes de ses contrats de service en ligne, le CEPD note néanmoins que les accords conclus avec l’UE présentent toujours plusieurs points problématiques :

  • Microsoft peut définir et modifier ses activités de traitements menées pour le compte des institutions européennes et agit en cela comme un « contrôleur », ce qui lui donne un poids démesuré dans la relation contractuelle ;
  • Le contrôle et la capacité d’audit des sous-traitants de Microsoft sont insuffisants ;
  • Il est impossible de localiser un grand nombre de données traitées. Qui plus est, une partie des données est stockée aux États-Unis.

 

Le Contrôleur recommande par conséquent la mise en place de garanties contractuelles et de mesures d'atténuation des risques appropriées. Il suggère par exemple que, comme l’a fait la Commission européenne, toutes les institutions prennent des mesures techniques pour endiguer le flux de données personnelles générées par les applications Microsoft. Le CEPD encourage également les institutions à plus de clarté dans le traitement des données afin qu’elles puissent remplir leurs obligations de transparence à cet égard.

 

En savoir plus :

 

Et pour aller plus loin, découvrez nos formations droit du digital, des données personnelles et de la propriété intellectuelle !

Formations qui pourraient vous intéresser

tealium