Le Contrôleur européen de la protection des données (CEPD) a ordonné à la Commission européenne de suspendre tout transfert de données hors Union européenne résultant de son utilisation de Microsoft 365. La Commission dispose d’un délai jusqu’au 9 décembre 2024 pour mettre en application les injonctions du CEPD.
Enfreintes des règles de protection des données
À la suite d’une enquête, le CEPD a constaté que la Commission européenne avait enfreint plusieurs règles clés de protection des données en utilisant Microsoft 365. Dans sa décision, le CEPD impose des mesures correctives à la Commission.
Le CEPD a conclu que la Commission avait enfreint plusieurs dispositions du Règlement (UE) 2018/1725, la loi européenne sur la protection des données pour les institutions, organes, bureaux et agences de l’UE. Ceci concerne particulièrement les transferts de données personnelles en dehors de l’UE et l’espace économique européen (EEE). En effet, la Commission n’a pas mis en place les garanties nécessaires pour assurer que les données personnelles transférées en dehors de l’UE/EEE bénéficient d’une protection équivalente à celle garantie dans l’UE/EEE.
En outre, dans son contrat avec Microsoft, la Commission n’a pas clairement dit quelles données et pourquoi elles seraient collectées en utilisant Microsoft 365. La Commission a également enfreint les règles sur la façon dont les données sont gérées, y compris les transferts de données, lorsqu’elles étaient traitées pour son compte.
Wojciech Wiewiórowski, CEPD, a déclaré : « Il incombe aux institutions, organes, bureaux et agences de l’UE de veiller à ce que tout traitement de données personnelles en dehors et à l’intérieur de l’UE/EEE, y compris dans le cadre de services cloud, soit accompagné de garanties et de mesures de protection des données robustes. C’est impératif pour garantir que les informations des individus soient protégées, comme l’exige le Règlement (UE) 2018/1725, chaque fois que leurs données sont traitées par ou pour le compte d’un organisme de l’UE. »
Mesures correctives imposées
Donc, à partir du 9 décembre 2024, le CEPD a ordonné à la Commission d’arrêter tous les transferts de données provenant de son utilisation de Microsoft 365 vers Microsoft et ses partenaires situés en dehors de l’UE/EEE, sauf s’ils sont couverts par une décision d’adéquation. Le CEPD a également ordonné à la Commission de mettre en conformité les opérations de traitement résultant de son utilisation de Microsoft 365 avec le Règlement (UE) 2018/1725. La Commission doit démontrer sa conformité avec ces deux ordres d’ici le 9 décembre 2024.
Même les grandes institutions comme la Commission européenne doivent respecter le RGPD. C’est pourquoi il est recommandé de faire appel à notre cabinet d’avocats spécialisé dans ce domaine pour garantir la conformité.
***
Pour toute demande de conseil juridique concernant la conformité au RGPD, n’hésitez pas à nous contacter. Vous pouvez dès à présent demander un devis gratuit ici.
