Contrôleur européen de la protection de données (EDPS)

L’utilisation de Microsoft 365 par la Commission européenne enfreint la législation sur la protection des données pour les institutions et organes de l’UE

computer with people sitting on it. Vectorial image.

Le Contrôleur a constaté que la Commission européenne a enfreint plusieurs dispositions du règlement (UE) 2018/1725, la loi de l’UE sur la protection des données pour les institutions, organes et organismes de l’UE (IUE), y compris celles relatives aux transferts de données à caractère personnel en dehors de l’UE/de l’Espace économique européen (EEE). En particulier, la Commission n’a pas prévu de garanties appropriées pour assurer que les données à caractère personnel transférées en dehors de l’UE/EEE bénéficient d’un niveau de protection essentiellement équivalent à celui garanti dans l’UE/EEE. En outre, dans son contrat avec Microsoft, la Commission n’a pas suffisamment précisé quels types de données à caractère personnel doivent être collectés et pour quelles finalités explicites et spécifiées dans le cadre de l’utilisation de Microsoft 365. Les infractions commises par la Commission en tant que responsable du traitement des données concernent également le traitement des données, y compris les transferts de données à caractère personnel, effectué en son nom.

En conséquence, le Contrôleur a décidé d’ordonner à la Commission, avec effet au 9 décembre 2024:
* de suspendre tous les flux de données résultant de son utilisation de Microsoft 365 vers Microsoft et vers ses filiales et sous-traitants situés dans des pays en dehors de l’UE/EEE qui ne sont pas couverts par une décision d’adéquation.
*de mettre les opérations de traitement résultant de son utilisation de Microsoft 365 en conformité avec le règlement (UE) 2018/1725.

La Commission doit démontrer qu’elle s’est conformée aux deux ordonnances d’ici le 9 décembre 2024. Le CEPD considère que les mesures correctives qu’il impose (voir l’annexe pour un extrait détaillé) sont appropriées, nécessaires et proportionnées à la lumière de la gravité et de la durée des infractions constatées.

Disponible (en anglais) sur: edps.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.