Le Contrôleur européen de la protection des données (CEPD) a publié le 21 octobre 2019 un communiqué exposant les résultats préliminaires de son enquête sur les contrats conclus entre Microsoft et les institutions de l’Union européenne. A ce titre, le Contrôleur a exprimé de « sérieuses préoccupations » quant à la conformité des contrats conclus avec la société Microsoft au regard de la réglementation européenne relative à la protection des données à caractère personnel.

Qui est le Contrôleur européen de la protection des données ? Quel est son rôle ?

Le Contrôleur européen de la protection des données est une autorité de contrôle indépendante chargée de la protection des données à caractère personnel au sein des institutions de l’Union européenne. Ainsi, les missions et pouvoirs du CEPD sont-ils définis par les dispositions du Règlement général sur la protection des données dédiées aux autorités de contrôle (RGPD, Chapitre VI, articles 51 et suivants).

En effet, comme toutes les autorités publiques, les institutions de l’UE ont l’obligation de respecter la réglementation en matière de protection des données. Le CEPD est chargé de surveiller le respect de celle-ci par les institutions européennes. Il a également un rôle de conseil dans les domaines ayant un impact sur les données à caractère personnel et coopère avec les autorités nationales de contrôle.

A noter que le Contrôleur européen de la protection des données doit être distingué du Comité européen de la protection des données. Ce dernier a notamment pour mission de fournir des orientations générales pour clarifier la réglementation et de promouvoir la coopération entre les autorités nationales de contrôle. C’est la raison pour laquelle il regroupe en son sein les représentants de chacune des autorités de contrôle européennes ainsi que le Contrôleur européen de la protection des données.

Quel est l’objectif poursuivi par l’enquête du CEPD ?

Lancée en avril 2019, cette enquête a pour objectif d’identifier les produits et services de la société Microsoft utilisés par les institutions européennes. Une fois cet inventaire réalisé, l’objectif est de déterminer si les contrats conclus avec cette société sont conformes à la réglementation. Le CEPD examine également si des mesures appropriées sont mises en place pour atténuer les risques éventuels quant à la protection des données.

Dans le communiqué précité, le CEPD précise que lorsque les institutions européennes recourent aux produits et services de fournisseurs des services informatiques, elles « externalisent le traitement de grandes quantités de données à caractère personnel ». Dès lors, ces fournisseurs agissent en qualité de sous-traitant et traitent les données sur instruction et pour le compte du responsable du traitement, à savoir les institutions européennes. Par conséquent, le CEPD souligne que ces institutions doivent « évaluer les risques et disposer de garanties contractuelles et techniques appropriées pour atténuer ces risques ».

Toutefois, le CEPD déclare que les résultats préliminaires de l’enquête « révèlent de sérieuses préoccupations quant à la conformité des clauses contractuelles concernées avec les règles de protection des données et quant au rôle de Microsoft en tant que sous-traitant des institutions européennes utilisant ses produits et services ». Le CEPD ne détaille pas ses préoccupations, étant précisé que l’enquête est toujours en cours.

Comme souligné par le contrôleur adjoint du CEPD, Wojciech Wiewiórowski, les résultats de cette enquête contribuent à l’amélioration du respect de la protection des données par les institutions européennes et permettent de « susciter des changements positifs en dehors des institutions de l’UE, afin que le plus grand nombre possible de personnes puissent en bénéficier ».

A la suite de cette annonce, Microsoft a répondu aux critiques émises par le CEPD en s’engageant à « aider [ses clients] à se conformer au RGPD, au Règlement 2018/1725 et aux autres lois applicables ».

Mathias Avocats ne manquera pas de vous tenir informé des résultats définitifs de cette enquête.