Le 8 avril 2019, le Contrôleur européen à la protection des données (EDPS), autorité de contrôle de la conformité des institutions européennes aux règles applicables à la protection des données, a annoncé ouvrir une enquête sur les contrats d’utilisation des logiciels Microsoft. 

Créé par le règlement 2001/45, remplacé par le règlement 2018/1725 du 11 décembre 2018, l’EDPS fournit des avis sur les politiques et les législations relevant de la protection des données à caractère personnel, contrôle les instances nationales et collabore avec elles. Ce contrôleur s’est en outre vu confier le secrétariat du Comité européen à la protection des données (CEPD) qui remplace le groupe dit du « G29 » et réunit les représentants des différentes autorités de contrôle en matière de protection des données des Etats membres. 

La nécessité d’aider à l’analyse et à l’évaluation de la sécurité des traitements de données est à l’origine de la démarche du gouvernement néerlandais de procéder au contrôle de la conformité des contrats proposés par Microsoft. Il s’agit de doter les institutions publiques, fréquentes utilisatrices des logiciels et solutions proposés par Microsoft, d’outils utiles à la réalisation des analyses d’impact relatives à la protection des données prévues à l’article 35 du RGPD.

Cette nécessaire évaluation a ainsi permis d’identifier plusieurs risques au regard des droits et libertés des personnes concernées, plus spécifiquement en raison de l’absence de documentation quant aux réglages des dispositifs de télémétrie des données et à la collecte possible, par Microsoft, du libellé de l’objet des courriels envoyés par les utilisateurs des logiciels de l’éditeur américain.

A la suite de cette étude, la société Microsoft s’est engagée à apporter les modifications appropriées pour parvenir à la mise en conformité au RGPD d’ici au mois de mai 2019. 

Dans un « esprit de coopération », l’EDPS a pris le relais de cette démarche à l’échelon de l’Union européenne et a annoncé, dans un communiqué de presse, que « toutes les institutions de l’UE utilisant les applications Microsoft étudiées dans le présent rapport sont susceptibles de faire face à des problèmes similaires à ceux rencontrés par les autorités publiques nationales, notamment en ce qui concerne les risques accrus pour les droits et libertés des personnes ».

 

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance & Mathieu Vincens, juriste

 

 

Nous contacter