La Commission européenne se rend coupable d’infractions à ses propres règles de respect de la vie privée à cause de la façon dont des données sont transférées de Microsoft 365 à Microsoft ou à d’autres firmes de traitement des données en dehors de l’UE.
Voilà ce que prétend l’European Data Protection Supervisor (EDPS), le régulateur européen de la confidentialité, qui a suivi de près cette affaire ces trois dernières années. L’affaire porte sur le fait que le contrat relatif à Microsoft 365, où figurent notamment Word, Excel et Powerpoint, impose des limites insuffisantes en matière d’échange de données personnelles avec les pays non-européens.
Selon l’EDPS, la Commission n’a pas suffisamment précisé quels types de données à caractère personnel sont collectés et à quelles fins, lorsqu’un utilisateur utilise Microsoft 365. ‘La Commission n’a pas prévu de mesures suffisantes pour garantir que les données personnelles transférées en dehors de l’UE/EEE soient protégées de la même manière que dans l’UE/EEE’, déclare-t-on à l’EDPS par voie de communiqué.
L’EEE couvre les 27 pays de l’UE, ainsi que le Liechtenstein et la Norvège. La décision ne concerne pas seulement l’envoi de données aux Etats-Unis, où Microsoft a son siège. Elle s’applique également aux sous-traitants qui effectuent du traitement de données, mais qui le font en dehors de l’UE ou de l’EEE.
L’échange de données est un sujet sensible au niveau européen depuis une dizaine d’années. La discussion a surgi à la suite du scandale Prism, où le lanceur d’alertes Edward Snowden a démontré que les Etats-Unis espionnent effectivement les gens à grande échelle par le biais d’entreprises technologiques américaines.
En même temps, de nombreux produits logiciels ont évolué au cours des 10 dernières années vers le ‘as a service’, c’est-à-dire qu’ils sont disponibles en ligne ou se synchronisent en temps réel. Mais cela signifie également que, dans de nombreux cas, les fournisseurs de ces logiciels sont en contact permanent avec l’utilisateur final et traitent ses données. Cela s’applique également à Microsoft 365.
L’EDPS recommande à présent à la Commission européenne de prendre des mesures pour se conformer aux règles en matière de protection de la vie privée et de mettre fin aux transferts de données vers Microsoft et vers les firmes de traitement des données non européennes.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici