L'utilisation par la Commission européenne de logiciels Microsoft a enfreint les règles de l'UE en matière de protection de la vie privée et l'exécutif de l'Union n'a pas non plus mis en œuvre des garanties adéquates pour les données personnelles transférées vers des pays non membres de l'UE, a déclaré lundi l'organisme de surveillance de la protection de la vie privée de l'UE.

Le Contrôleur européen de la protection des données (CEPD) a ordonné à la Commission de prendre des mesures pour se conformer aux règles de confidentialité et d'arrêter le transfert de données à l'entreprise américaine et aux filiales situées dans des pays tiers qui n'ont pas d'accords de confidentialité avec l'UE, fixant une date limite au 9 décembre.

La décision du CEPD fait suite à une enquête de trois ans déclenchée par des inquiétudes concernant le transfert de données personnelles vers les États-Unis à la suite des révélations faites en 2013 par l'ancien contractant des services de renseignement américains Edward Snowden sur la surveillance massive exercée par les États-Unis.

"La Commission n'a pas fourni les garanties appropriées pour s'assurer que les données personnelles transférées en dehors de l'UE/EEE bénéficient d'un niveau de protection essentiellement équivalent à celui garanti dans l'UE/EEE", a déclaré l'organisme de surveillance dans un communiqué.

L'EEE (Espace économique européen) se compose des 27 pays de l'UE, ainsi que de l'Islande, du Liechtenstein et de la Norvège.

"Dans son contrat avec Microsoft, la Commission n'a pas suffisamment spécifié quels types de données personnelles doivent être collectées et pour quelles finalités explicites et spécifiées lors de l'utilisation de Microsoft 365", a déclaré le CEPD.

Microsoft 365 est la suite de produits qui comprend les documents Word, les feuilles de calcul Excel, les présentations PowerPoint et les courriels Outlook.

L'autorité de protection des données a ordonné à la Commission de suspendre tous les flux de données résultant de l'utilisation de Microsoft 365 vers Microsoft et ses filiales et sous-traitants situés dans des pays en dehors de l'Europe qui ne sont pas couverts par une décision d'adéquation.

L'UE a actuellement des accords d'adéquation des données avec 16 pays, dont l'Argentine, le Japon, la Corée du Sud, la Suisse, la Grande-Bretagne et les États-Unis.

L'exécutif européen a également été invité à prendre des mesures pour s'assurer que son utilisation de Microsoft 365 est conforme aux règles en matière de protection de la vie privée. (Reportage de Foo Yun Chee, édition d'Helen Popper)