Dernières actualités : données personnelles

Contrôleur européen de la protection de données (EDPS)

L’EDPS dévoile un nouveau modèle pour des transferts plus sûrs de données à caractère personnel entre les institutions de l’UE et les organisations internationales

transfers of data

Le contrôleur européen a publié aujourd’hui son modèle d’arrangement administratif (modèle) pour les transferts de données à caractère personnel des institutions, organes et organismes de l’UE (IUE) vers les organisations internationales. Le modèle vise à aider les institutions européennes à se conformer à la législation européenne applicable en matière de protection des données, le règlement (UE) 2018/1725, lorsqu’elles doivent transférer des données à caractère personnel à des organisations internationales, dans le cadre de leur rôle.

Wojciech Wiewiórowski, EDPS, a déclaré : « En fonction de la nature de leur travail, les IUE peuvent être amenées à transférer des données à caractère personnel à des organisations internationales pour atteindre des objectifs importants, tels que la fourniture d’une assistance alimentaire ou la défense des droits des personnes, par exemple. Dans ce contexte, l’une des priorités de mon institution est de veiller à ce que les données personnelles des individus soient protégées conformément aux normes de l’UE, tant à l’intérieur qu’à l’extérieur de l’UE/Espace économique européen. Le nouveau modèle d’arrangement administratif permet aux institutions européennes de se préparer efficacement à d’éventuels transferts de données à caractère personnel vers des organisations internationales, et ce de manière globale ».

Pour assurer son application pratique par les IUE, le modèle met l’accent sur les principes fondamentaux de la protection des données et met en place les garanties nécessaires, afin d’assurer un niveau de protection essentiellement équivalent à celui garanti par la législation de l’UE. En tant que tels, les arrangements administratifs conclus par les IUE avec les organisations internationales en utilisant le modèle publié aujourd’hui continueront à nécessiter l’approbation du CEPD. Toutefois, son utilisation par les IUE facilitera grandement la procédure d’approbation, dans l’intérêt des deux parties et des personnes concernées.

Disponible (en anglais) sur: edps.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Contrôleur européen de la protection de données (EDPS)

L’utilisation de Microsoft 365 par la Commission européenne enfreint la législation sur la protection des données pour les institutions et organes de l’UE

computer with people sitting on it. Vectorial image.

Le Contrôleur a constaté que la Commission européenne a enfreint plusieurs dispositions du règlement (UE) 2018/1725, la loi de l’UE sur la protection des données pour les institutions, organes et organismes de l’UE (IUE), y compris celles relatives aux transferts de données à caractère personnel en dehors de l’UE/de l’Espace économique européen (EEE). En particulier, la Commission n’a pas prévu de garanties appropriées pour assurer que les données à caractère personnel transférées en dehors de l’UE/EEE bénéficient d’un niveau de protection essentiellement équivalent à celui garanti dans l’UE/EEE. En outre, dans son contrat avec Microsoft, la Commission n’a pas suffisamment précisé quels types de données à caractère personnel doivent être collectés et pour quelles finalités explicites et spécifiées dans le cadre de l’utilisation de Microsoft 365. Les infractions commises par la Commission en tant que responsable du traitement des données concernent également le traitement des données, y compris les transferts de données à caractère personnel, effectué en son nom.

En conséquence, le Contrôleur a décidé d’ordonner à la Commission, avec effet au 9 décembre 2024:
* de suspendre tous les flux de données résultant de son utilisation de Microsoft 365 vers Microsoft et vers ses filiales et sous-traitants situés dans des pays en dehors de l’UE/EEE qui ne sont pas couverts par une décision d’adéquation.
*de mettre les opérations de traitement résultant de son utilisation de Microsoft 365 en conformité avec le règlement (UE) 2018/1725.

La Commission doit démontrer qu’elle s’est conformée aux deux ordonnances d’ici le 9 décembre 2024. Le CEPD considère que les mesures correctives qu’il impose (voir l’annexe pour un extrait détaillé) sont appropriées, nécessaires et proportionnées à la lumière de la gravité et de la durée des infractions constatées.

Disponible (en anglais) sur: edps.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut