Le comité des autorités de protection des données allemandes a entamé des discussions avec Microsoft afin d’obtenir de cette dernière qu’elle améliore la conformité de ses services Microsoft 365 au RGPD.
Le 22 septembre 2020, le comité fédéral des autorités de contrôles allemande (la « DSK ») a monté un groupe de travail chargé d’entamer des discussions avec Microsoft afin d’obtenir des améliorations quant à la conformité des services Microsoft 365 aux exigences du RGPD et de la décision Schrems II.
A l’issues de plusieurs entretiens entre Microsoft et le groupe de travail, les constatations, recensées dans un document publié le 24 novembre 2022, ont été les suivantes :
- Les finalités de traitement et les catégories de données personnelles traitées ne sont pas suffisamment décrites dans le cadre contractuel de Microsoft. Le groupe de travail suggère, sur ce point, d’utiliser l’annexe des clauses contractuelles types « article 28 » de la Commission européenne, ou encore d’intégrer au contrat le registre des activités de traitement du responsable du traitement.
- Le cadre contractuel de Microsoft ne distingue pas non plus suffisamment les traitements réalisés par Microsoft en qualité de sous-traitant et ceux réalisés en qualité de responsable du traitement, notamment « à des fins commerciales légitimes » ou bien à des fins de diagnostic, ni sur quelles bases légales se fondent ces traitements.
- Le cadre contractuel permet également à Microsoft de communiquer les données du responsable du traitement à des tiers, de façon plus large que ce qui est prévu par le RGPD, potentiellement en violation des articles 28 et 48 du RGPD.
- En cas de changement de sous-traitant, Microsoft envoi une information générale indiquant que des modifications sont prévues à ce sujet, sans préciser lesquelles. En comparaison, les clauses contractuelles types « article 28 » prévoient une information plus détaillée, incluant le nom, l’adresse et la personne de contact du sous-traitant ultérieur, ainsi qu’une description du traitement concerné.
- Le cadre contractuel, qui demeure non-exhaustif quant aux pays vers lesquels les données personnelles sont transférées, prévoit néanmoins la possibilité, pour Microsoft, de transférer des données à caractère personnel vers les Etats-Unis, en utilisant les clauses contractuelles types.
Il résulte des entretiens entre Microsoft et le groupe de travail qu’il n’est pas possible d’utiliser Microsoft 365 sans transférer de données personnelles vers les Etats-Unis. Par ailleurs, dans le cadre de ce transfert, les données restent lisibles par le destinataire, de sorte que ce transfert n’est pas conforme aux exigences de l’arrêt Schrems II.
Le DSK n’a pas précisé quelles suites il entendait donner à ce dossier.
Source : ici