L’autorité de protection des données de l’UE a déclaré lundi qu’elle avait révélé de « graves inquiétudes » sur la manière dont les données des citoyens sont traitées dans le cadre de contrats entre Microsoft et les agences de l’UE.
En avril, le contrôleur européen de la protection des données (CEPD) a ouvert une enquête afin de déterminer si les contrats de Microsoft avec des institutions de l’UE, telles que la Commission européenne, étaient pleinement conformes à la réglementation RGPD sur la protection des données introduite l’année dernière.
Ces agences sous-traitent le traitement de grandes quantités de données à caractère personnel de citoyens à des groupes de logiciels et de services tels que Microsoft, qui sont considérés comme des «processeurs de données» au sens du RGPD.
En tant que « responsables du traitement de données », les agences de l’UE restent elles-mêmes responsables en vertu de la législation sur la protection des données et sont tenues de veiller à la conformité de leurs accords avec les responsables du traitement.
Conformité au RGPD
« Bien que l’enquête soit toujours en cours, les résultats préliminaires révèlent de graves préoccupations concernant la conformité des clauses contractuelles pertinentes avec les règles de protection des données et le rôle de Microsoft en tant que processeur pour les institutions européennes utilisant ses produits et services », a déclaré le CEPD.
Il a cité les évaluations des risques effectuées par le ministère néerlandais de la Justice et de la Sécurité, indiquant que des problèmes similaires se posent aux autorités publiques des États membres.
Le CEPD a cité des conditions modifiées, des garanties techniques et des paramètres convenus entre le ministère néerlandais et Microsoft, indiquant qu’il existait une «marge d’amélioration significative» dans les contrats entre les administrations publiques et les fournisseurs de logiciels et de services en ligne.
L’autorité de protection des données a déclaré qu’elle souhaitait que des accords similaires soient mis en place pour d’autres organismes publics et privés de l’Union européenne, ainsi que pour des particuliers de la région.
Il a mis en place un forum visant à «reprendre le contrôle» des services et produits informatiques en créant collectivement des contrats standard au lieu d’accepter les conditions générales fournies par les fournisseurs.
Un contrat unique pour l’UE ?
« Le CEPD encourage toutes les parties concernées à rejoindre le forum et à nous aider à définir des conditions contractuelles équitables pour l’administration publique », a déclaré l’agence.
L’accord néerlandais avec Microsoft est un «pas en avant positif» et devrait s’appliquer à tous les consommateurs et aux autorités publiques de la région, a déclaré Wojciech Wiewiórowski , assistant du CEPD .
Microsoft a déclaré être « déterminé » à aider ses clients à se conformer au RGPD et aux autres lois applicables.
« Nous sommes en discussion avec nos clients des institutions européennes et nous annoncerons bientôt des modifications contractuelles qui répondront à des préoccupations telles que celles soulevées par le CEPD », a déclaré la société dans un communiqué.
Lire l’article original de sur Silicon.co.uk