Le Contrôleur européen de la protection des données (CEPD) a récemment déterminé que l'utilisation par la Commission européenne de Microsoft 365 viole les règles strictes de protection des données du bloc.
Cette décision historique met en évidence la tension croissante entre la commodité des suites de productivité basées sur le cloud et le besoin urgent de protéger les données sensibles, en particulier au sein des institutions gouvernementales.
Les pratiques de la Commission en matière de données jugées dangereuses
Le CEPD a lancé sa enquête sur l'utilisation de Microsoft 365 par la Commission en mai 2021, alimentée par des inquiétudes concernant les transferts de données transatlantiques et le respect du règlement général sur la protection des données (RGPD) de l'UE.
Le nœud du problème réside dans le fait que Microsoft, en tant que société basée aux États-Unis, est soumise aux lois américaines comme la Loi CLOUD, accordant potentiellement aux autorités américaines l'accès aux données stockées sur les serveurs de Microsoft.
Après un examen attentif, le CEPD a conclu que la Commission n'avait pas mis en œuvre des garanties suffisantes pour les transferts de données vers les États-Unis. Cela laisse les données des citoyens de l’UE potentiellement vulnérables à l’accès des agences de renseignement américaines, soulevant de sérieuses questions sur la confidentialité et la souveraineté des données.
Où la Commission a-t-elle échoué en matière de protection des données ?
Le CEPD n'a pas seulement lancé une alarme générale à propos de Microsoft 365 : il a également identifié exactement où la Commission s'est trompée.
Tout d’abord, il n’y avait pas suffisamment de garanties en place lors de l’envoi de données personnelles en dehors de l’Europe. C’est un énorme signal d’alarme, surtout après que l’ensemble de l’accord Privacy Shield a été rejeté dans la décision Schrems II, qui a clairement indiqué que la surveillance américaine pourrait être un problème.
Se pose ensuite la question de savoir si la Commission avait vraiment besoin de Microsoft 365 en premier lieu. Ils ne pouvaient pas vraiment expliquer pourquoi c'était si essentiel. Cela nous amène à nous demander s’ils traitaient beaucoup plus de données via Microsoft que ce qui était réellement nécessaire.
Et enfin, il semble que la vérification initiale de la confidentialité effectuée par la Commission avant de commencer à utiliser Microsoft 365 n'ait pas été suffisamment approfondie. C'est un gros problème : effectuer cette évaluation correctement est la manière de repérer ces risques pour la vie privée et de les gérer avant qu'ils ne deviennent un problème.
Microsoft 365 pourrait disparaître dans l'UE
Le verdict du CEPD n’est pas seulement un coup de semonce. Il s’agit d’un ultimatum sérieux aux conséquences majeures. La Commission dispose désormais d'un délai serré, le 9 décembre 2024, pour arrêter complètement tous les flux de données vers Microsoft et ses partenaires américains résultant de leur utilisation de la suite Microsoft 365.
Le non-respect de ces règles pourrait entraîner des amendes substantielles et nuire à la réputation de l'organe administratif central de l'UE. Cela les met dans une situation difficile.
Se démènent-ils pour trouver un autre moyen de traiter leurs données d’une manière conforme au droit de l’UE, ou sont-ils confrontés aux conséquences potentielles d’un comportement de défi ?
La commission répond
La Commission a confirmé avoir reçu la décision de l'EDPB et a déclaré qu'elle devra analyser le raisonnement « en détail » avant de prendre une décision sur la manière de procéder.
Dans une série de déclarations lors d'un point de presse, ils se sont dits convaincus qu'il respecte « les règles applicables en matière de protection des données, tant en fait qu'en droit ».
Ils ont également cité « diverses améliorations » déjà apportées aux contrats avec le CEPD au cours de son enquête.
La Commission a en outre souligné son engagement en faveur de la protection des données et sa collaboration avec le CEPD:
«Nous coopérons pleinement avec le CEPD depuis le début de l'enquête… La Commission a toujours été prête à mettre en œuvre et reconnaissante de recevoir toute recommandation motivée du CEPD. La protection des données est une priorité absolue pour la Commission ».
Le dilemme : confidentialité ou perturbation
Toutefois, les déclarations de la Commission font également allusion au potentiel de perturbations importantes si elle était contrainte d'interrompre Microsoft 365. Elles affirment que « le respect de la décision du CEPD semble malheureusement susceptible de compromettre le niveau élevé actuel de services informatiques mobiles et intégrés ».
Cette déclaration souligne la tension entre le maintien d’un flux opérationnel fluide et la garantie d’une protection des données à toute épreuve.
Que ce passe t-il après?
La Commission s'est engagée à analyser attentivement la décision du CEPD, laissant entrevoir une période de délibération interne à venir. L’issue finale reste incertaine : donneront-ils la priorité à la conformité, au risque de sacrifier la facilité des opérations, ou rechercheront-ils une solution de compromis ?
La réponse aura des conséquences plus larges sur l’avenir de la gestion des données au sein de l’Union européenne.
Crédit d'image en vedette: Microsoft.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://dataconomy.com/2024/03/12/eu-vs-microsoft-365-privacy-battle/
