Le contrôleur européen de la protection des données (CEPD) avait lancé en avril 2019 une enquête sur les contrats liant les institutions européennes et Microsoft. Les résultats de l’enquête préliminaire publiés en octobre suggéraient que les contrats ne respectaient pas le RGPD. L’enquête définitive a été dévoilée le 2 juillet et soulève un certain nombre de dysfonctionnements dans le traitement des données.

Les 5 problèmes des contrats entre institutions européennes et Microsoft

Le CEPD c’est l’autorité qui contrôle le respect des règles, de protection des données au sein des institutions de l’UE. Un règlement très proche du RGPD. Les résultats de l’enquête de l’autorité ne sont pas tendres envers Microsoft ni envers les institutions européennes qui utilisent les logiciels de l’entreprise. Cinq constatations, problématiques, ont été faites :

  1. L’accord de licence entre Microsoft et les institutions donne trop de pouvoir à la société qui peut se permettre d’agir comme un « contrôleur», capable de « définir et modifier ses activités de traitements menées pour le compte des institutions européennes ».
  2. Le manque de contrôle et de capacité d’audit des sous-traitants auxquelles fait appel Richmond. Normalement l’entreprise doit demander une autorisation écrite pour utiliser un sous-traitant et leur transmettre les obligations en matière de protection des données. Le rapport constate que les institutions européennes ne contrôlent pas le respect de ces points précis.
  3. Troisième problème, et non des moindres : l’impossibilité pour les institutions de l’Union de contrôler la localisation d’une grande partie des données traitées par Microsoft. Une partie des données est stockée aux États-Unis. Le contrôleur déplore également le manque de garanties pour la sécurité de ces données.
  4. La Commission européenne a mis en place des mesures techniques pour « endiguer le flux de données personnelles générées par les produits et services Microsoft et envoyées à Microsoft ». Le CEPD suggère à toutes les institutions de mettre en place de pareils techniques et partagent activement leurs résultats.
  5. Le dernier point concerne l’Union européenne elle-même. Pour le CEPD, les institutions n’ont pas été « suffisamment claires quant à la nature, la portée et les objectifs du traitement et aux risques encourus par les personnes concernées pour pouvoir remplir leurs obligations de transparence envers ces dernières».

En conclusion, le rapport somme les institutions européennes de mettre plus de poids sur le principe de protection des données dans les négociations de contrats passés avec des sous-traitants, quitte à s’adresser à des solutions alternatives de Microsoft. Le rapport précise que ces derniers se sont montrés prêt, « dans une certaine mesure », à s’adapter pour être conforme aux besoins des institutions européennes.

Derrière le rapport, l’objectif d’aider les administrations des pays européens à peser durant les négociations

Ce rapport a été présenté, et ce n’est pas un hasard, au cours du Forum de La Haye. Le thème du forum était de renforcer la coopération entre pays européens pour des contrats informatiques. Wojciech Wiewiórowski, contrôleur, a souhaité à cette occasion  « qu’en partageant les résultats de notre récente enquête, nous aiderons les administrations publiques à améliorer le respect de la protection des données lors de la négociation de contrats avec leurs fournisseurs de services ».

Le but est de renforcer la coopération au sein de l’Union entre les administrations publiques lors de la négociation de contrat avec des fournisseurs de solutions numériques. L’idée est qu’avec plus de discussions, d’échanges entre elles, le poids des administrations soit renforcé face aux géants de la Tech. De quoi les aider à imposer une meilleure protection de leurs données à l’avenir.