La commission européenne transgresse les règles du RGPD
Une enquête menée par le CEPD (Comité Européen de Protection des Données) pointe du doigt certains manquements de la Commission Européenne. Celle-ci a enfreint plusieurs règles en matière de protection des données dans son usage de Microsoft 365 (suite de logiciels bureautiques de Microsoft). Des mesures correctives ont été adressées à la Commission.
Contexte de l’investigation
Les organes et institutions de l’UE, tout comme les acteurs privés, sont soumis aux obligations du RGPD (Règlement Général sur la Protection des Données).
Le 27 mai 2021, à la suite de la décision Schrems II, le CEPD a lancé deux enquêtes :
- L'une visant les services de Cloud de Microsoft et Amazon utilisés par les organes et institutions de l’UE.
- L'autre s'intéressant aux usages de Microsoft 365 par la Commission Européenne.
L'objectif de ces investigations : garantir la conformité de ces institutions avec les exigences de l’arrêt Schrems II. Notamment en matière de transferts de données personnelles hors Union Européenne, alors que les services examinés sont fournis par des entreprises basées aux États-Unis.
Infractions constatées
Dans un communiqué de presse du 11 février 2024, le CEPD a conclu que l’usage de Microsoft 365 par la Commission Européenne n’était pas conforme aux exigences en matière de protection des données personnelles.
Le CEPD a identifié que :
- La Commission ne fournissait pas de garanties suffisantes lors des transferts de données hors UE dans le cadre de l’utilisation de Microsoft 365.
- Le contrat conclu entre la Commission et Microsoft ne précisait pas quels types de données personnelles étaient collectés, et pour quelles finalités.
En conséquence, la Commission a jusqu’au 9 décembre 2024 pour suspendre tous les transferts de données personnelles vers Microsoft et ses filiales situées dans des pays hors UE et n'étant pas en adéquation vis-à-vis du RGPD. Elle est également sommée de mettre en conformité tous les traitements de données résultant de son usage de la suite Microsoft 365.
Références :
- European Data Protection Supervisor - European Commission’s use of Microsoft 365 infringes data protection law for EU institutions and bodies
- Reuters - EU Commission's use of Microsoft software breached privacy rules
[Crédit Photo : Christophe Licoppe - Commission Européenne]
Soutenez-nous en partageant l'article :