Le Contrôleur européen de la protection des données (CEPD) évalue si la Commission européenne a respecté les ordres émis dans sa décision du 8 mars 2024 concernant l’utilisation de Microsoft 365. La Commission avait jusqu’au 9 décembre 2024 pour démontrer sa conformité avec les réglementations. Trois jours avant la date limite, la Commission a soumis un rapport avec de la documentation qui est actuellement analysée par le CEPD.
Contexte de l’enquête
Le CEPD a lancé cette enquête en mai 2021, à la suite de la décision de la Cour de justice de l’UE dans l’affaire Schrems II, qui limitait le transfert de données personnelles vers des pays sans protections équivalentes à celles de l’UE. Selon le CEPD, l’utilisation de Microsoft 365 par la Commission viole plusieurs dispositions du Règlement (UE) 2018/1725, y compris le transfert de données personnelles en dehors de l’Espace économique européen (EEE).
Dans sa décision de mars 2024, le CEPD a ordonné à la Commission :
- Suspendre les transferts de données personnelles vers Microsoft et ses sous-traitants situés dans des pays non couverts par des décisions d’adéquation de l’UE.
- Aligner les opérations de traitement avec les réglementations européennes grâce à des mesures correctives spécifiques.
Le débat sur la dépendance à Microsoft
Des documents internes ont révélé des préoccupations au sein de la Commission concernant sa dépendance à Microsoft. Ceux-ci indiquent des risques tels que l’absence d’alternatives européennes compétitives, des augmentations de prix potentielles, et des défis pour assurer la souveraineté technologique de l’UE.
Cependant, un porte-parole de la Commission a affirmé qu’il n’existe actuellement aucune alternative fonctionnelle équivalente à Microsoft 365, bien que des initiatives de logiciel libre soient explorées à petite échelle.
Défis et Repercussions
L’utilisation continue de Microsoft 365 soulève des questions non seulement sur la vie privée, mais aussi sur la sécurité, car la plateforme n’est pas autorisée à gérer des documents classifiés. L’absence d’alternatives européennes crée des incitations à classer les données comme moins sensibles qu’elles ne le sont réellement, selon des sources anonymes des institutions.
En outre, la Commission a contesté la décision du CEPD devant le Tribunal général de l’UE, arguant une interprétation incorrecte du règlement. Pendant ce temps, le CEPD a réitéré que sa décision reste pleinement applicable et que son analyse des documents présentés sera exhaustive.
Avenir de la surveillance des données
L’incertitude sur la direction du CEPD se renforce, car Wojciech Wiewiórowski, l’actuel contrôleur, fait face à une concurrence pour sa réélection. Certains experts craignent qu’un CEPD plus aligné avec la Commission puisse affaiblir l’indépendance de l’organisme en matière de confidentialité dans le développement de l’IA ou l’utilisation de données personnelles.
Avec les audiences et les votes pour élire le nouveau contrôleur prévus pour janvier 2025, l’utilisation de Microsoft 365 et la souveraineté numérique occuperont vraisemblablement une place centrale dans le débat.
Le cas souligne l’équilibre délicat à trouver entre assurer la confidentialité des données et maintenir la fonctionnalité opérationnelle au sein des institutions de l’UE.
via: euroActive et CEPD
