Deux ans après l'ouverture d'une enquête par le Contrôleur européen de la protection des données (CEPD), la Commission européenne s'est mise en conformité avec le règlement 2018/1725, encadrant la protection des données au sein des institutions européennes, dans son usage de Microsoft 365.
Cette décision est le fruit d'une enquête qui a débuté en mai 2021, menée par le Contrôleur européen de la protection des données, autorité indépendante chargée de veiller à ce que les institutions de l'Union européenne respectent les règles sur la protection des données personnelles.
De multiples violations contestées
Cette procédure visait à examiner si les conditions dans lesquelles la Commission européenne utilisait la suite bureautique Microsoft 365 respectaient les obligations du règlement 2018/1725. L'enquête s'était soldée par une décision rendue en mars 2024 constatant plusieurs infractions au texte, notamment sur la limitation des finalités, les transferts internationaux de données et les divulgations non autorisées.
L'exécutif européen avait été enjoint à prendre des mesures correctives strictes pour se mettre en conformité. Le 11 juillet dernier, le CEPD a finalement conclu que les manquements avaient été corrigés.
Dans le détail, sur le plan de la limitation des finalités, la Commission a précisé les catégories de données personnelles traitées ainsi que leurs finalités. Elle a procédé à une actualisation "des mesures contractuelles, techniques et organisationnelles" en vertu desquelles les données ne peuvent être utilisées qu’à des fins d’intérêt public.
De plus, les destinataires et les motifs de transferts de données vers des pays tiers ont été déterminés avec précision, détaille l'avis du CEPD. La Commission limite désormais ces transferts aux pays bénéficiant d'une décision d'adéquation ou les autorise sous dérogation en cas d'intérêt public majeur. Microsoft et ses sous-traitants ont reçu des instructions contraignantes pour s'y conformer.
Toute demande de divulgation doit être notifiée à la Commission
Autre modification : de nouvelles clauses contractuelles exigent que toute demande de divulgation de données personnelles à Microsoft soit notifiée à la Commission européenne, sauf exception prévue par le droit de l'UE ou des Etats membres. En dehors de l'UE, cette obligation s'applique à condition que la législation locale offre un niveau de protection "essentiellement équivalent".
A noter que la Commission a transmis ce guide aux autres institutions européennes contractualisant avec Microsoft pour qu'elles puissent se mettre en conformité. Dans ce cadre, le CEPD les invite à mener "des évaluations similaires". Cependant, la procédure s'est concentrée sur des dispositions spécifiques du règlement européen. Autrement dit, sa clôture n'implique pas que le CEPD ait évalué ou confirmé la conformité globale de la Commission avec d'autres dispositions du règlement qui ne faisaient pas partie de cet examen.
Une décision qui pourrait faire jurisprudence
Ces conclusions pourraient également intéresser les entités du secteur public et du secteur privé qui utilisent Microsoft 365 et qui voudraient renforcer leur conformité réglementaire tout en réduisant leur exposition aux risques juridiques liés à la protection des données.
Du côté des collectivités, les choix sont en train d'évoluer. En France, la commune de Ville-la-Grand, en Haute-Savoie, a remplacé Microsoft 365 par Hexagone, une suite bureautique soutenue par France 2030. Au Danemark, Copenhague et Aarhus – les deux principales collectivités du pays – tournent également le dos à la suite bureautique de l'hyperscaler pour des raisons de coûts et d'indépendance technologique.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
