EC a enfreint les lois de l’Union sur la protection des données en utilisant les services Microsoft 365

Selon le Contrôleur européen de la protection des données (CEPD), la Commission européenne n’a pas respecté plusieurs règles importantes en matière de protection des données en vertu des lois de l’Union européenne sur la protection des données lors de l’utilisation des services Microsoft 365.

Le CEPD est un organisme indépendant chargé de réaliser des audits en matière de protection des données au sein des institutions européennes et peut émettre des mesures correctives pour remédier aux violations.

Wojciech Wiewiórowski, CEPD, a déclaré :

Les principales conclusions de l’enquête indiquent qu’EC n’a pas précisé dans son contrat avec Microsoft les types de données qui pourraient être collectées ni mentionné le but de celles-ci.

En outre, la CE n’a pas mis en œuvre de garanties adéquates concernant le transfert de données en dehors de l’espace de l’Union européenne, un aspect important pour garantir la protection des informations personnelles des individus.

Le Contrôleur européen de la protection des données a ordonné à la Commission européenne de mettre son utilisation des services Microsoft 365 en conformité avec les réglementations strictes de l’UE en matière de protection des données. Il a également indiqué que les flux de données Microsoft 365 qui ne respectent pas la réglementation seront suspendus à compter du 9 décembre 2024.

La violation s’est produite sur une période de trois ans, commençant le 21 mai 2021 et se terminant avec la décision du CEPD du 8 mars 2024.

Le Contrôleur européen de la protection des données a déclaré que la CE n’avait pas réussi à garantir des spécifications contractuelles appropriées avec Microsoft, car la CE n’avait pas clarifié l’utilisation des données et n’avait pas blâmé Microsoft pour cela.

Le CEPD ayant constaté que l’UE était en faute, il a appliqué le règlement UE 2018/1725 sur le traitement des données à caractère personnel, ce qui montre à quel point des mesures robustes de protection des données sont importantes, en particulier lorsque l’on travaille avec des prestataires de services externes.

Cet incident rappelle aux personnes faisant des affaires en Europe de prêter attention à tous les petits détails contractuels et de respecter le cadre réglementaire pour éviter des problèmes à l’avenir.

Que pensez-vous du sujet ? Partagez vos opinions dans la section commentaires ci-dessous.

Il est de la responsabilité des institutions, organes et organismes (IUE) de l’UE de garantir que tout traitement de données à caractère personnel en dehors et à l’intérieur de l’UE/EEE, y compris dans le contexte de services basés sur le cloud, s’accompagne de solides garanties de protection des données. et des mesures. Cela est impératif pour garantir que les informations des individus sont protégées, comme l’exige le règlement (UE) 2018/1725, chaque fois que leurs données sont traitées par ou pour le compte d’une UE.