Le CEPD (Contrôleur européen de la protection des données) a ouvert en avril dernier une enquête sur l’utilisation des produits et services Microsoft par les institutions de l’union européenne. Il a identifié les produits et services de l’éditeur utilisés et évalué si les accords contractuels conclus entre les deux parties étaient pleinement conformes au RGPD. Il a également examiné si des mesures appropriées avaient été mises en place pour atténuer les risques d’atteinte aux droits des personnes en matière de protection des données en cas d’utilisation des produits et services de l’éditeur. Il ressort de l’enquête que la sécurité de ces données est loin d’être assurée.

« Bien que l’enquête soit toujours en cours, les résultats préliminaires révèlent de graves préoccupations quant à la conformité des clauses contractuelles pertinentes avec les règles de protection des données et au rôle de Microsoft en tant que processeur pour les institutions de l’UE utilisant ses produits et services », indique un communiqué du CEPD.

Le problème ne concerne pas les seules institutions de l’UE mais également les autorités publiques des Etats membres. C’est ce qui ressort d’une évaluation des risques réalisée par le ministère néerlandais de la Justice et de la Sécurité.

A l’occasion d’un conseil de l’UE pour les fournisseurs de logiciels et de fournisseurs de services cloud organisé à la rentrée par les deux autorités, les participants ont mis sur pied un forum chargé « de créer collectivement des contrats standard au lieu d’accepter les conditions générales telles qu’elles sont rédigées par ces fournisseurs. » Un premier pas dans la bonne direction avait déjà été fait par les Néerlandais qui ont conclu un accord avec Microsoft portant sur des garanties contractuelles et techniques appropriées et sur des mesures visant à atténuer les risques pour les personnes.

Le CEPD invite toutes les parties concernées à rejoindre le forum pour « aider à définir des conditions contractuelles équitables pour l’administration publique, en travaillant en synergie et en échangeant les meilleures pratiques en matière de services de sous-traitance, en particulier dans l’environnement complexe du cloud ». Il rappelle par ailleurs que bien qu’externalisant le traitement de grandes quantités de données à caractère personnel, les autorités de l’UE et tous les Etats membres restent néanmoins responsables des traitements informatiques effectués en leur nom.