Décision du Contrôleur européen sur Microsoft 365 à la Commission européenne

Commission Européenne

Le Contrôleur européen de la protection des données (European Data Protection Supervisor) a publié l’intégralité de sa décision sur l’utilisation de Microsoft 365 par la Commission européenne. 

Près de trois ans après l’ouverture d’une enquête, le 12 mai 2021, le Contrôleur européen de la protection des données (EDPS) rend ses conclusions sur l’utilisation des produits de Microsoft par les institutions et organes de l’UE, à la suite de l’arrêt Schrems II.  

L’EDPS a constaté que la Commission européenne avait enfreint plusieurs dispositions du règlement (UE) 2018/1725 parmi lesquels : 

  • La Commission européenne n’a pas correctement déterminé les finalités du traitement des données à caractère personnel, en ne précisant pas les données personnelles nécessaires 
  • L’utilisation de Microsoft 365 par la Commission a entraîné des violations concernant les transferts internationaux de données, notamment en n’incluant pas dans le contrat de licence avec Microsoft, la description détaillée du traitement (catégories de données, destinataires, localisation ) ce qui n’a pas permis d’évaluer la nécessité d’adopter des mesures supplémentaires pour, garantir un niveau de protection équivalent à ceux de l’EEE et en ne mettant pas en œuvre des mesures de protection adéquates 
  • La Commission européenne n’a pas mené d’évaluation du niveau de protection offert par la législation des pays destinataires pour prévenir le risque de divulgations non autorisées des données à caractère personnel aux autorités locales par Microsoft et ses sous-traitants 

Au vu de la « gravité » et la durée des infractions constatées, l’EDPS a adressé un blâme à la Commission européenne et a imposé des mesures correctives, dont la suspension des flux de données résultant de l’utilisation de Microsoft 365 vers des destinations en dehors de l’UE/EEE à partir du 9 décembre 2024, pour des raisons d’intérêt public. 

La décision du Contrôleur européen rappelle que la décision d’adéquation des États-Unis, adoptée par la Commission européenne le 10 juillet 2023 permettant les transferts de données personnelles vers certains organismes étasuniens est partielle.  Les mesures d’évaluation des risques relatives à un transfert, conséquences directes de « Schrems II », demeurent pertinentes pour tous les autres transferts vers les organismes étatsuniens qui ne font pas parties du dispositif Data privacy framework et pour les organismes situés dans des pays ne bénéficiant pas d’une décision d’adéquation.