La Commission européenne ne respecte pas la protection des données en utilisant Microsoft 365

La Commission européenne ne respecte pas la protection des données en utilisant Microsoft 365



Le Contrôleur européen de la protection des données (CEPD, autorité de contrôle indépendante) annonce ce lundi qu’à la suite de son enquête, il «a constaté que la Commission a enfreint plusieurs dispositions du règlement (UE) 2018/1725, la loi de l’UE sur la protection des données pour les institutions, organes et organismes (IUE) de l’UE, y compris celles relatives aux transferts de données à caractère personnel en dehors de l’Union européenne et de l’Espace économique (EEE). En particulier, la Commission n’a pas fourni de garanties appropriées pour garantir que les données à caractère personnel transférées en dehors de l’UE/EEE bénéficient d’un niveau de protection essentiellement équivalent à celui garanti dans l’UE/EEE.

Des corrections à appliquer d’ici décembre

Le CEPD a aussi adressé un blâme à la Commission pour ces infractions, qui couvrent des questions telles que la limitation de la finalité, les transferts de données en dehors de l’UE/EEE, et les divulgations non autorisées de données à caractère personnel. Les actions du CEPD soulignent la nécessité de mettre en place des garanties solides en matière de protection des données dans les services basés sur le cloud utilisés par les institutions de l’UE, afin d’assurer la protection des informations des individus comme l’exige la législation de l’UE.

Le CEPD prescrit des mesures correctives, qui devront être effectives d’ici le 9 décembre 2024: il exige que la Commission mette fin à tous les transferts de données à Microsoft et à ses filiales et sous-traitants situés en dehors de l’UE/EEE dans des pays n’ayant pas fait l’objet d’une décision d’adéquation. En outre, la Commission doit s’assurer que ses activités de traitement des données sont conformes au règlement, notamment en réalisant un exercice de cartographie des transferts identifiant quelles données personnelles sont transférées, à quels destinataires, dans quels pays tiers et à quelles fins. La Commission doit aussi donner l’assurance que les transferts sont effectués pour des tâches relevant de sa compétence, et la mise en œuvre de mesures contractuelles et d’organisation pour sécuriser le traitement des données.

Le CEPD (en anglais European Data Protection Supervisor, EDPS) est une autorité de contrôle indépendante dont la mission est d’assurer que les institutions et organes européens respectent le droit à la vie privée et à la protection des données lorsqu’ils traitent des données à caractère personnel et élaborent de nouvelles politiques.

Lire aussi

La Cnil valide avec regret l’hébergement chez Microsoft des données de santé – 2 février 2024

Les transferts de données vers les Etats-Unis rétablis. Provisoirement? – 11 juillet 2023

Bruxelles lance une enquête sur la conformité au RGPD des services d’Azure et AWS – 28 mai 2021



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.