Gouvernance
La Commission européenne prise en flag de non-respect de ses propres règles
Par Laurent Delattre, publié le 12 mars 2024
Dans la série « faites ce que je dis, pas ce que je fais », la Commission européenne vient d’être retoquée par son DPO pour son utilisation de Microsoft 365 qui enfreindrait les règles de protection des données européennes !
L’EDPS (European Data Protection Supervisor) est un peu à l’Union européenne ce que le DPO est à toute entreprise : le garant de la protection des données personnelles. C’est une autorité indépendante dont la mission est de veiller à ce que les institutions et organes de l’UE respectent la loi sur la protection des données lors du traitement des données personnelles. L’EDPS protège les données personnelles des citoyens de l’UE et guide les institutions, organes, bureaux et agences de l’UE afin qu’ils soient exemplaires dans le respect des principes de protection des données.
Et, justement, en termes d’exemplarité, l’EDPS vient de retoquer la Commission européenne. En utilisant Microsoft 365 pour ses besoins collaboratifs, elle enfreint plusieurs règles clés du règlement « EU 2018/1725 » en matière de protection des données, notamment en ne pouvant pas fournir les garanties appropriées pour les données transférées hors de l’Union européenne.
Se mettre en conformité avec le règlement 2018/1725
L’EDPS Wojciech Wiewiórowski rappelle qu’« il incombe aux institutions, organes et organismes de l’UE de veiller à ce que tout traitement de données à caractère personnel en dehors et à l’intérieur de l’UE/EEE, y compris dans le contexte des services basés sur le cloud, s’accompagne de garanties et de mesures robustes en matière de protection des données. Cela est impératif pour garantir que les informations des individus sont protégées, comme l’exige le règlement (UE) 2018/1725, chaque fois que leurs données sont traitées par, ou au nom de, une IUE. »
L’EDPS a donné jusqu’au 9 décembre 2024 à la Commission européenne pour suspendre tous les flux de données vers Microsoft (y compris ses sociétés affiliées et ses sous-traitants non européens) résultant de son utilisation de Microsoft 365 et pour mettre ses opérations sous Microsoft 365 en conformité avec le règlement 2018/1725.
Dans le détail, il apparait surtout que la Commission européenne s’est montrée jusqu’ici incapable :
– de déterminer les types de données personnelles collectées dans le cadre des utilisations de Microsoft 36,
– de fournir des instructions documentées sur les types de données personnelles utilisées par ses processus,
– de fournir les preuves qu’elle s’était assurée que les données personnelles traitées par Microsoft pour fournir ses services l’étaient uniquement sur instructions documentées de la Commission,
– de ne pas avoir évalué si les finalités des traitements ultérieurs sont compatibles avec les finalités pour lesquelles les données à caractère personnel ont été traitées,
– de ne pas avoir évalué s’il est nécessaire et proportionné de transmettre les données à caractère personnel à Microsoft.
Bref l’EDPS ne reproche pas réellement de mauvaises actions, mais plutôt un défaut de contrôle, de documentation et de vérification notamment sur les types de données personnelles — éventuellement — collectées par Microsoft dans l’usage des produits de la suite collaborative.
Dit autrement, l’EDPS s’inquiète de la façon dont Microsoft utilise les données de ses utilisateurs et accuse la Commission européenne de ne pas s’en être inquiétée avant d’adopter Microsoft 365.
Une histoire qui tombe mal pour Microsoft
La Commission a déclaré qu’elle analyserait « en détail » les manquements soulevés par l’EDPS avant de prendre une décision sur la manière de procéder. Elle se dit convaincue de respecter « les règles applicables en matière de protection des données, tant en fait qu’en droit ». Elle affirme que « diverses améliorations » ont été apportées aux contrats en concertation avec l’EDPS au cours de son enquête. « La Commission a toujours été prête à mettre en œuvre, et reconnaissante de recevoir, toute recommandation justifiée de l’EDPS. La protection des données est une priorité absolue pour la Commission. La Commission s’est toujours engagée à veiller à ce que son utilisation du logiciel Microsoft M365 soit conforme aux règles applicables en matière de protection des données et continuera à le faire. Il en va de même pour tous les autres logiciels acquis par la Commission. »
Via un porte-parole, Microsoft a réagi en expliquant « Nous respectons le travail de la Commission européenne dans cette affaire et prenons nos propres responsabilités très au sérieux… Nous continuerons à coopérer avec la Commission et nous nous engageons à trouver des solutions pour répondre à ses préoccupations. »
Cette affaire tombe alors que la même Commission européenne vient d’ouvrir une enquête sur Entra ID, bien plus connu sous son ancien nom : Azure Active Directory. La pierre angulaire de l’authentification à tous les services Microsoft, à commencer par Microsoft 365, est dans le collimateur de l’Europe. Elle favoriserait des pratiques anticoncurrentielles notamment en compliquant l’intégration des produits non Microsoft aux plateformes du géant américain. En outre, elle ne permettrait pas aux autres fournisseurs de solutions d’identité et de protection des identités de s’imposer en lieu et place d’Entra ID.
Rappelons que même si Microsoft a été désignée comme un « GateKeeper » dans le cadre de la réglementation DMA, son service Entra ID n’est jusqu’ici pas considéré comme un « Core Platform Service » et n’entre donc pas dans le champ d’application du nouveau règlement. Peut-être à tort. Et c’est probablement ce que doivent se dire les régulateurs comme les concurrents européens de Microsoft.