La commission européenne transgresse les règles du RGPD

Soutenez un média indépendant

Reportages, enquêtes, initiatives et solutions en accès libre : pour un numérique plus responsable, notre rédaction compte sur vous.

Nousseu DOUONNousseu DOUON

La commission européenne transgresse les règles du RGPD

Une enquête menée par le CEPD (Comité Européen de Protection des Données) pointe du doigt certains manquements de la Commission Européenne. Celle-ci a enfreint plusieurs règles en matière de protection des données dans son usage de Microsoft 365 (suite de logiciels bureautiques de Microsoft). Des mesures correctives ont été adressées à la Commission.

Contexte de l’investigation

Les organes et institutions de l’UE, tout comme les acteurs privés, sont soumis aux obligations du RGPD (Règlement Général sur la Protection des Données).

Le 27 mai 2021, à la suite de la décision Schrems II, le CEPD a lancé deux enquêtes :

  • L'une visant les services de Cloud de Microsoft et Amazon utilisés par les organes et institutions de l’UE.
  • L'autre s'intéressant aux usages de Microsoft 365 par la Commission Européenne.

L'objectif de ces investigations : garantir la conformité de ces institutions avec les exigences de l’arrêt Schrems II. Notamment en matière de transferts de données personnelles hors Union Européenne, alors que les services examinés sont fournis par des entreprises basées aux États-Unis.

Arrêt Schrems II du 16 juillet 2020 : invalidation du Privacy Shield, qui permettait les transferts de données vers les Etats-Unis, en raison des atteintes disproportionnées à la vie privée des personnes par les entreprises et opérateurs états-uniens.

Infractions constatées

Dans un communiqué de presse du 11 février 2024, le CEPD a conclu que l’usage de Microsoft 365 par la Commission Européenne n’était pas conforme aux exigences en matière de protection des données personnelles.

Le CEPD a identifié que :

  • La Commission ne fournissait pas de garanties suffisantes lors des transferts de données hors UE dans le cadre de l’utilisation de Microsoft 365.
  • Le contrat conclu entre la Commission et Microsoft ne précisait pas quels types de données personnelles étaient collectés, et pour quelles finalités.

En conséquence, la Commission a jusqu’au 9 décembre 2024 pour suspendre tous les transferts de données personnelles vers Microsoft et ses filiales situées dans des pays hors UE et n'étant pas en adéquation vis-à-vis du RGPD. Elle est également sommée de mettre en conformité tous les traitements de données résultant de son usage de la suite Microsoft 365.

Références :

[Crédit Photo : Christophe Licoppe - Commission Européenne]

Soutenez-nous en partageant l'article :