Le CEPD (Contrôleur européen de la protection des données) est une autorité de contrôle indépendante ayant pour mission de veiller à la protection des données personnelles et de la vie privée et de promouvoir les bonnes pratiques au sein des institutions et organes de l’UE. Le CEPD mène une enquête depuis mai 2021 sur la manière dont la Commission européenne utilise Microsoft 365 (qui comprend notamment Teams, OneDrive ou encore SharePoint) et a publié un communiqué de presse le 11 mars 2024.
Le CEPD a constaté que la Commission européenne a enfreint plusieurs dispositions du règlement européen 2018/1725 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données. En particulier, la Commission ne s’est pas assurée que les données à caractère personnel transférées en-dehors de l’UE bénéficient d’un niveau de protection équivalent à celui garanti au sein de l’UE. De plus, elle n’a pas suffisamment précisé dans son contrat avec Microsoft quels types de données personnelles peuvent être collectés et pour quelles finalités Microsoft est autorisé à les collecter. Il est ainsi reproché à la Commission de ne pas avoir fourni d’instructions suffisamment claires et documentées pour le traitement des données personnelles.
Par conséquent, le CEPD a ordonné à la Commission de suspendre à compter du 9 décembre 2024 tous les transferts de données résultant de son utilisation de Microsoft 365 vers Microsoft, ses filiales et sous-traitants situés dans des pays hors UE/EEE (espace économique européen) non couverts par une décision d’adéquation. Une telle décision signifie qu’un pays offre un niveau de garantie équivalent, quant à la protection des données personnelles, à celui prévu au sein de l’UE.
Le CEPD accorde un délai de plusieurs mois à la Commission, reconnaissant la nécessité de lui laisser le temps nécessaire pour mettre en œuvre la suspension prévue sans compromettre sa capacité à assurer ses missions et à exercer son autorité.
Source : https://www.edps.europa.eu/system/files/2024-03/EDPS-2024-05-European-Commission_s-use-of-M365-infringes-data-protection-rules-for-EU-institutions-and-bodies_EN.pdf
