Tags :
Retour à l'accueil de la catégorie...
Le 2 juillet 2020, soit quelques jours à peine avant que la Cour de Justice de l'Union Européenne (CJUE) n'invalide le « Privacy Shield », le CEPD (Contrôleur européen de la protection des données1)) a publié un Public Paper intitulé « Résultats de l'enquête d'initiative sur l'utilisation des produits et services Microsoft par les institutions européennes »2). Et le moins que l’on puisse dire est que ce rapport soulève de très (trop ?) nombreux problèmes !
Concernant le contrôle de la localisation des données, si les institutions de l'UE souhaitaient maintenir les protections accordées par ses règlements contre la divulgation non autorisée, elles devraient sérieusement envisager :
Le CEPD conseille aux organisations de ne pas envisager d'engager un sous-traitant qui n'est pas disposé à fournir des garanties suffisantes
Pour se conformer au principe de la protection des données […], les organisations devraient vérifier […] si aucune autre solution logicielle alternative ne permet des garanties de confidentialité plus élevées.
De l’avis du CEPD, les organisations qui externalisent la fourniture ou l’exploitation de services numériques auprès d’autres fournisseurs de services que Microsoft – chez Google par exemple – sont également susceptibles de rencontrer des problèmes similaires.
Dans son rapport d'enquête, après avoir étudié la compatibilité des accords de licence entre Microsoft et l'UE avec la réglementation (EU) 2018/17253), le CEPD en est arrivé aux conclusions suivantes :
Dès lors le CEPD conseille aux organisations de ne pas envisager d'engager un sous-traitant (ou sous-contractants) qui n'est pas disposé à fournir des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement satisfasse aux exigences des règles de l'UE en matière de protection des données et assure la protection des droits des personnes concernées. Pour se conformer au principe de la protection des données dès la conception et par défaut, les organisations devraient vérifier à la fois lors de la planification du traitement et pendant le traitement, si aucune autre solution logicielle alternative ne permet des garanties de confidentialité plus élevées.
Concernant le contrôle de la localisation des données, les transferts internationaux et les divulgations de données, à moyen terme, si les institutions de l'UE souhaitaient maintenir les protections accordées par le règlement (UE) 2018/1725 contre la divulgation non autorisée, elles devraient sérieusement envisager :
Le CEPD reconnaît que la ligne de conduite recommandée aux institutions de l’UE peut sembler un défi de taille pour de nombreux clients, sinon pour la plupart, de licences en volume de Microsoft.
Le CEPD estime aussi que ces conclusions et recommandations sont susceptibles de présenter un intérêt plus large que celui des seules institutions de l'UE : elles peuvent présenter un intérêt particulier pour toutes les autorités publiques des États membres de l'UE/EEE. Elles sont également susceptibles d'être pertinentes au-delà de la conclusion et de la mise en œuvre d'accords de licence en volume pour les produits et services Microsoft. De l’avis du CEPD, les organisations qui externalisent la fourniture ou l’exploitation de services numériques auprès d’autres fournisseurs de services sont susceptibles de rencontrer des problèmes similaires.
Il est à noter que quelques jours à peine après la publication du rapport du CEPD, la Cour de justice de l’Union européenne (CJUE) a invalidé le « Privacy Shield ». Ce qui corrobore et renforce notablement les arguments développés par le Contrôleur européen
Pages dans la catégorie :