En mars dernier, l’utilisation de Microsoft 365 par la Commission européenne a été jugée non conforme aux règles de protection des données de l’UE. Depuis, peu d’informations ont filtré sur cette situation délicate. Mais lundi était la date limite pour l’exécutif de l’UE de répondre à l’injonction du Contrôleur européen de la protection des données (CEPD) lui ordonnant de suspendre tout transfert de données illégal et de rectifier ses contrats avec Microsoft.
Mardi, le CEPD Wojciech Wiewiórowski a confirmé la réception du rapport de la Commission, qu’il est en train d’examiner pour déterminer si l’UE s’est conformée ou non à l’ordre de mars. « Compte tenu de l’étendue des informations et de la complexité des opérations de traitement impliquées, cette analyse nécessitera un examen attentif et sera menée de manière approfondie dans un délai approprié », a-t-il ajouté, laissant présager une autre longue période de silence radio.
Enjeux pour les entreprises européennes
Cette enquête soulève d’importantes questions pour les milliers d’entreprises et organisations européennes qui utilisent les services cloud de Microsoft comme Office 365, OneDrive ou Azure. La conformité au RGPD est un défi majeur, en particulier concernant les transferts de données hors UE.
Microsoft a longtemps été critiqué pour son manque de transparence sur la localisation et l’accès aux données de ses clients européens. En 2020, le CEPD avait déjà épinglé plusieurs clauses des contrats de Microsoft ne respectant pas le RGPD.
La protection des données personnelles est une priorité absolue pour Microsoft. Nous travaillons en étroite collaboration avec nos clients pour les aider à se conformer au RGPD.
– Julie Brill, Directrice Protection des Données Microsoft
Recommandations pour une utilisation conforme
En attendant les résultats de l’enquête du CEPD, les entreprises utilisant Microsoft 365 peuvent prendre plusieurs mesures pour limiter les risques :
- Auditer et cartographier tous les flux de données impliquant Microsoft
- Vérifier les clauses contractuelles et garanties de Microsoft en matière de protection des données
- Contrôler la localisation des données et limiter les transferts hors UE
- Utiliser le chiffrement et la pseudonymisation des données sensibles
- Former les employés aux bonnes pratiques de sécurité des données dans le cloud
Vers plus de souveraineté numérique européenne
Au-delà du cas Microsoft, cette affaire illustre la volonté croissante de l’Europe de réguler les géants technologiques américains et de renforcer sa souveraineté sur ses données. Le Cloud Act américain, qui permet aux autorités d’accéder aux données stockées par les entreprises américaines même en dehors des USA, est une source de tensions.
L’Europe cherche à développer des alternatives souveraines, comme le projet GAIA-X d’un cloud européen sécurisé. Des acteurs européens comme OVHcloud ou Nextcloud proposent aussi des solutions conformes au RGPD. Mais pour beaucoup d’entreprises, se passer totalement des services de Microsoft, Google ou Amazon reste difficile à court terme.
– Thierry Breton, Commissaire européen au Marché intérieur2025 sera donc une année charnière, à la fois pour la mise en conformité des institutions et entreprises européennes, mais aussi pour les relations tumultueuses entre l’UE et les géants technologiques américains. La protection des données personnelles des citoyens européens est l’un des nombreux fronts ouverts, alors que se profilent aussi des régulations sur l’intelligence artificielle, la désinformation ou la concurrence.
Les mois à venir seront décisifs pour savoir si les efforts de Microsoft seront jugés suffisants, ou si l’UE imposera des sanctions et forcera une évolution des pratiques. Une chose est sûre : la pression ne faiblira pas pour renforcer la conformité au RGPD et la maîtrise européenne de ses données stratégiques.
Le numérique est un enjeu de souveraineté. Nous devons construire une Europe des données, maîtrisant ses choix technologiques et ses valeurs.
– Thierry Breton, Commissaire européen au Marché intérieur
2025 sera donc une année charnière, à la fois pour la mise en conformité des institutions et entreprises européennes, mais aussi pour les relations tumultueuses entre l’UE et les géants technologiques américains. La protection des données personnelles des citoyens européens est l’un des nombreux fronts ouverts, alors que se profilent aussi des régulations sur l’intelligence artificielle, la désinformation ou la concurrence.
Les mois à venir seront décisifs pour savoir si les efforts de Microsoft seront jugés suffisants, ou si l’UE imposera des sanctions et forcera une évolution des pratiques. Une chose est sûre : la pression ne faiblira pas pour renforcer la conformité au RGPD et la maîtrise européenne de ses données stratégiques.
