Make this article seo compatible,Let there be subheadings for the article, be in french, create at least 700 words
La Commission européenne a violé les règles de protection des données lors de l’utilisation de Microsoft 365, ce qui a conduit à l’imposition de mesures correctives par le Contrôleur européen de la protection des données (CEPD), a annoncé l’organisme de surveillance lundi 11 mars.
Selon le CEPD, une autorité de contrôle indépendante garantissant que les institutions européennes respectent les lois sur la vie privée et la protection des données, la Commission a violé plusieurs parties du règlement de l’UE sur la protection des données des institutions (règlement 2018/1725).
La loi concerne la protection des données au sein des institutions, organes et organismes (IUE) de l’UE et le traitement des données personnelles par ces entités, garantissant le respect des principes de protection des données et protégeant les droits des individus à la vie privée au sein des institutions de l’UE.
Selon le CEPD, la Commission a négligé de garantir des garanties adéquates pour le transfert de données à caractère personnel en dehors de l’UE ou de l’Espace économique européen (EEE).
Dans son contrat avec Microsoft, l’institution n’a pas non plus précisé les types de données personnelles collectées et la finalité de la collecte de données lors de l’utilisation de Microsoft 365, qui comprend les services de collaboration et basés sur le cloud proposés par Microsoft, notamment des applications comme Word, Excel, PowerPoint. , Outlook et les services en ligne tels que OneDrive, Teams et SharePoint.
Les manquements de la Commission en tant que responsable du traitement des données s’étendent également au traitement des données, ainsi qu’aux transferts de données personnelles effectués en son nom. Plusieurs violations concernent toutes les activités de données de la Commission, y compris celles effectuées via Microsoft 365, affectant de nombreuses personnes, a déclaré le CEPD.
« Il est de la responsabilité des institutions, organes et organismes (IUE) de l’UE de garantir que tout traitement de données personnelles en dehors et à l’intérieur de l’UE/EEE, y compris dans le contexte des services basés sur le cloud, s’accompagne d’une solide protection des données. garanties et mesures », a déclaré le Contrôleur européen de la protection des données, Wojciech Wiewiórowski.
« Cela est impératif pour garantir que les informations des individus sont protégées, comme l’exige le règlement (UE) 2018/1725, chaque fois que leurs données sont traitées par ou pour le compte d’une UE », a-t-il ajouté.
Mesures correctives
Depuis le 9 décembre 2024, le CEPD a demandé à la Commission de cesser d’envoyer des données relatives à son utilisation de Microsoft 365 à Microsoft et à ses filiales dans des pays tiers à l’UE/EEE sans décision d’adéquation.
La Commission doit également garantir que ses opérations Microsoft 365 sont conformes au règlement 2018/1725 d’ici la même date. Pour ce faire, la Commission devra mener un exercice de cartographie des transferts pour détailler les transferts de données personnelles, les destinataires, les finalités et les garanties.
Par ailleurs, il devra également limiter les transferts vers des pays tiers aux tâches relevant de la compétence du responsable du traitement et mettre en œuvre des dispositions contractuelles et des mesures organisationnelles.
Cela inclut la collecte de données personnelles à des fins explicites, la détermination des types de données traitées et la garantie du respect des instructions documentées et des exigences légales.
Selon le CEPD, les données personnelles ne doivent pas être utilisées au-delà des objectifs prévus, sauf si la loi l’autorise, les transmissions de données au sein de l’UE ou vers Microsoft ou ses partenaires adhèrent aux réglementations de l’UE en matière de protection des données, et les divulgations de données personnelles par Microsoft ou ses partenaires sont limitées. , sauf lorsque cela est requis par le droit de l’UE ou d’un pays tiers offrant une protection équivalente à celle de l’UE.
Le porte-parole de la Commission européenne, Johannes Bahrke, a déclaré lors d’un point de presse que « la Commission s’est toujours pleinement engagée à garantir que son utilisation de Microsoft 365 soit conforme aux règles applicables en matière de protection des données et continuera de le faire ».
Cela « s’applique également à tous les autres logiciels acquis par la Commission », a-t-il ajouté.
L’enquête
L’enquête sur l’utilisation de Microsoft 365 par la Commission a débuté en mai 2021 après l’arrêt Schrems II, une décision historique de la Cour de justice de l’Union européenne concernant le transfert de données personnelles de l’UE vers des pays tiers, en se concentrant particulièrement sur les transferts de données vers aux États-Unis et sur l’adéquation des mesures de protection des données et de la vie privée dans ce contexte.
L’objectif de l’enquête du CEPD est de vérifier le respect des recommandations du CEPD sur les produits et services de Microsoft, dans le cadre de la contribution du contrôleur à l’action d’exécution coordonnée de 2022 du Comité européen de la protection des données (EDPB), qui comprend également des représentants des autorités nationales de protection des données. comme le CEPD.
L’action d’application coordonnée de 2022 de l’EDPB était un effort conjoint des autorités européennes de protection des données pour faire appliquer les réglementations en matière de protection des données, en particulier la loi suprême de l’UE sur la confidentialité des données, le Règlement général sur la protection des données (RGPD).
Bahrke a déclaré que la Commission « est convaincue qu’elle respecte les règles applicables en matière de protection des données, tant en fait qu’en droit. En outre, elle a mis en place diverses améliorations dans le cadre de ses contacts avec le CEPD au cours de l’enquête.»
Prochaines étapes
Le porte-parole de la Commission a déclaré qu’ils devaient «analysez d’abord en détail les conclusions de la décision et les raisons sous-jacentes.
Cependant, il a ajouté que «le respect de la décision du CEPD semble malheureusement susceptible de compromettre le niveau élevé actuel de services informatiques mobiles et intégrés. Cela s’applique non seulement à Microsoft mais potentiellement aussi à d’autres services informatiques commerciaux. »
L’organisme de surveillance a noté qu’il reconnaît la nécessité pour la Commission de remplir ses fonctions publiques sans interruption, c’est pourquoi il accorde à l’organisme européen le temps de suspendre les flux de données et d’aligner le traitement des données sur la réglementation. Toutefois, les actions actuelles du CEPD ne l’empêchent pas de prendre d’autres mesures à l’avenir si nécessaire.
« Nos clients en Europe peuvent continuer à utiliser Microsoft 365 en totale conformité avec le RGPD et peuvent compter sur notre soutien et nos conseils continus », a déclaré un porte-parole de Microsoft à Euractiv.
« Les inquiétudes soulevées par le Contrôleur européen de la protection des données concernent en grande partie les exigences de transparence plus strictes du EUDPR, une loi qui s’applique uniquement aux institutions de l’Union européenne. Nous examinerons la décision du CEPD et travaillerons avec la Commission européenne pour répondre aux préoccupations restantes », a ajouté le porte-parole.
En juillet, c’est la Commission qui a ouvert une enquête formelle contre Microsoft, craignant que l’entreprise n’ait regroupé son produit de collaboration Teams avec son logiciel de productivité faisant partie du package Office.
Selon des informations récentes dans les médias, la Commission enquête également pour savoir si Microsoft empêche les clients de recourir à des logiciels de sécurité spécifiques proposés par ses concurrents.
[Edited by Zoran Radosavljevic]
