RGPD : la Commission européenne défend son usage de Microsoft 365
Publié par Clément Bohic le - mis à jour à
Enjoint de rendre son usage de Microsoft 365 conforme au RGPD, Bruxelles a répondu au Contrôleur européen de la protection des données... et attaqué sa décision.
La Commission européenne utilise-t-elle Microsoft 365 en bonne conformité avec le RGPD ?
Le CEPD (Contrôleur européen de la protection des données) s'était penché sur la question dans les mois ayant suivi l'entrée en application du règlement. Il en avait résulté des recommandations, à la suite desquelles la Commission avait modifié son ILA (contrat de licence institutionnel).
En mai 2021, le CEPD avait commencé à examiner ces modifications. Ses conclusions étaient tombées en mars 2024. Ayant relevé plusieurs infractions, il avait donné six mois à la mise en cause pour corriger le tir.
Des finalités aux "instructions documentées", un contrat insuffisamment clair
Le CEPD avait notamment considéré que Bruxelles n'avait pas défini de manière assez exhaustive les types de données à traiter ; ni les finalités associées, jugées trop vagues, trop générales.
En outre, certaines finalités étant dans l'intérêt de Microsoft et non de la Commission (exemple : rémunération du personnel et reporting interne), le groupe américain se retrouvait responsable de traitement. Par conséquent, il aurait lui aussi dû définir précisément les données concernées.
Pour ce qui est de Microsoft en tant que sous-traitant, le RGPD lui impose de ne réaliser des traitements que sur instructions documentées de la Commission. Cette dernière en a bien fourni, mais insuffisamment claires, a estimé le CEPD. Entre autres celles touchant à l'exploitation de données personnelles aux fins d'amélioration du service. Certaines instructions ont par ailleurs été données oralement, ce que ne permettait pas l'ILA.
Bruxelles n'a, de surcroît, pas évalué la nécessité et la proportionnalité des transferts de données à Microsoft Irlande et à ses sous-traitants.
Un encadrement inadéquat des transferts vers des pays tiers
Le CEPD note l'adoption, au cours de son enquête, du Data Privacy Framework. Il considère toutefois que cette décision d'adéquation ne peut couvrir le stockage du logiciel et des données : même si Microsoft en a la propriété, la transmission directe aux sous-traitants exclut une applicabilité du DPF.
À ce sujet, le CEPD pointe un autre manque de clarté. En l'occurrence, sur quels types de données personnelles peuvent être transférées à quels destinataires et dans quels pays tiers. La Commission n'a, en outre, pas évalué les transferts et donc pas pu déterminer si des mesures supplémentaires étaient nécessaires. Elle aurait, d'autant plus, dû réaliser une analyse d'impact, en l'inexistence de clauses contractuelles types applicables par les institutions de l'UE en tant qu'exportatrices. Il lui incombait aussi de communiquer au CEPD les accords avec les sous-traitants en vue d'une validation.
Microsoft propose, depuis le 1er janvier 2023, une garantie de stockage des données client dans l'UE. Mais elle n'englobe pas tous les types de données, relativise le CEPD. Quant à la fameuse EU Data Boundary, elle présente de nombreuses exceptions et exclusions, y compris pour les données que génèrent les services.
Des mesures limitantes, mais pas protectrices
Le CEPD a aussi cerné des problèmes au niveau de la transmission de données personnelles par des institutions européennes à des destinataires dans l'UE. Il estime que l'article encadrant ces pratiques s'applique aussi aux transmissions à des sous-traitants de ces institutions.
Ces transmissions ne devraient se faire que dans l'intérêt public et à condition de mettre en balance les risques pour les personnes concernées (notion de proportionnalité). Or, aussi longtemps que les finalités ne sont pas suffisamment détaillées et explicites, dur de peser le pour et le contre...
Le CEPD a également relevé l'insuffisance des mesures prises pour restreindre ou empêcher l'accès aux données par des autorités de pays tiers. En outre, si les mesures organisationnelles prises limitent les transferts, elles n'en assurent pas pour autant la protection. L'ILA ne donne pas ailleurs de détails sur le chiffrement que pour les données clients - et c'est Microsoft qui contrôle les clés.
Une décision attaquée au Tribunal de l'UE
Le CEPD a confirmé, ce 10 décembre 2024, avoir reçu une réponse de la Commission européenne. Il ne s'est pas engagé sur un délai d'instruction.
En toile de fond, des recours auprès du Tribunal de l'UE. La Commission fut la première à attaquer la décision du CEPD (17 mai 2024). Microsoft suivit rapidement (21 mai 2024), en invoquant plus ou moins les mêmes moyens.
Parmi les éléments contestés :