La commission devra démontrer le respect des ordonnances d’ici le 9 décembre 2024.
La Commission européenne a été sommée de mettre son utilisation des programmes bureautiques Microsoft 365 en conformité avec les règles de protection de l’UE, a déclaré aujourd’hui (11 mars) le Contrôleur européen de la protection des données (CEPD) à la suite d’une enquête.
Le CEPD, l’organisme de surveillance des questions de protection des données au sein des institutions européennes, a déclaré que la Commission avait enfreint les règles de l’UE, notamment celles relatives aux transferts de données personnelles en dehors de l’UE ou de l’Espace économique européen (EEE). Dans son contrat avec Microsoft, la commission n’a pas suffisamment précisé quels types de données personnelles doivent être collectées et à quelles fins.
La commission doit désormais suspendre tous les flux de données résultant de son utilisation de Microsoft 365 vers Microsoft et vers ses filiales et sous-traitants situés dans des pays en dehors de l’UE/EEE qui ne sont pas couverts par un accord de transfert de données.
La commission devra démontrer le respect des ordonnances d’ici le 9 décembre 2024.
Wojciech Wiewiórowski, le contrôleur du CEPD, a déclaré dans un communiqué : « Il est de la responsabilité des institutions, organes et organismes de l’UE de garantir que tout traitement de données personnelles en dehors et à l’intérieur de l’UE/EEE, y compris dans le contexte du cloud- services basés sur des données, s’accompagne de garanties et de mesures robustes en matière de protection des données.
Flux de données
Le CEPD a déclaré que les mesures correctives sont appropriées, nécessaires et proportionnées compte tenu de la gravité et de la durée des infractions constatées. Le CEPD tient également compte de la nécessité de ne pas compromettre la capacité de la commission à remplir ses missions dans l’intérêt public.
L’UE a conclu des accords d’adéquation avec Andorre, l’Argentine, le Canada, les îles Féroé, Guernesey, Israël, l’île de Man, le Japon, Jersey, la Nouvelle-Zélande, la République de Corée, la Suisse, le Royaume-Uni, les États-Unis et l’Uruguay. Pour les flux de données avec d’autres pays, les entreprises et institutions de l’UE doivent d’abord établir des garanties concernant leur utilisation par l’intermédiaire des autorités de protection des données.