Depuis la mise en place du RGPD au 25 mai 2018, il ne passe pas un mois sans qu'un fournisseur cloud étranger se déclare en conformité avec ce réglement. Mais si en France ces acteurs multiplient les efforts pour éviter les sanctions, il n'en reste pas moins que des ajustements de politique de gestion des données personnelles au niveau européen sont également à faire. C'est justement le cas pour Microsoft, sous le coup d'une enquête entamée en avril dernier par le contrôleur européen de protection des données personnelles (European Data Protection Supervisor ou EDPS) veillant au respect de l'application du règlement (UE) 2018/1725. Ce dernier garantit que les institutions et organes de l’UE fournissent des informations transparentes et facilement accessibles sur la manière dont les données à caractère personnel sont utilisées et qu’ils prévoient des mécanismes clairs permettant aux personnes d’exercer leurs droits.
Les institutions de l'Union européenne s'appuient sur plusieurs produits et services Microsoft, impliquant le traitement de grandes quantités de données personnelles et nécessitant à la fois des sauvegardes contractuelles et des mesures d'atténuation des risques. Elles se doivent donc d'appliquer le réglement (UE) 2018/1725. Or, le ministère néerlandais de la justice et de la sécurité (Dutch MoJ) avaient émis fin 2018 un rapport d'évaluation montrant un risque de non conformité avec l'un des produits utilisés de Microsoft, Office ProPlus, à l'origine du déclenchement de la procédure par l'EDPS. « L'enquête déterminera par conséquent quels produits et services Microsoft sont actuellement utilisés par les institutions de l'UE et si les accords contractuels conclus entre Microsoft et les institutions de l'UE sont pleinement conformes aux règles de protection des données », avait indiqué en avril l'organisme européen de protection des données personnelles.
La réaction de Microsoft jugée positive de l'EDPS
Pour éviter d'être au pied du mur et sous le coup d'une nouvelle enquête à l'échelle européenne, Microsoft a donc pris les devants et clarifié ses responsabilités et les termes de ses contrats de services en ligne (OST ou Online Services Terms). « Dans la mise à jour des OST, nous préciserons que Microsoft agit en tant que responsable du traitement lorsque des données sont traitées pour des finalités administratives et opérationnelles spécifiques liées à la fourniture des Services en Ligne concernés par ce cadre contractuel, tels que Azure, Office 365, Dynamics et Intune », a précisé l'éditeur ce 18 novembre. « Ces traitements répondent à des finalités administratives ou opérationnelles telles que la gestion des comptes, l’établissement de rapports financiers, la lutte contre les cyberattaques sur tout produit ou service Microsoft et le respect de nos obligations légales ».
Suite à cette annonce, l'EDPS a réagi sur Twitter : « Nous nous félicitons du fait que Microsoft a mis à jour les clauses de confidentialité de ses termes de services en ligne pour les contrats cloud commerciaux, comme annoncé dans son billet de blog. Cela reflète une approche sérieuse de Microsoft des problèmes de confidentialité soulevés par l'EDPS. Nous sommes impatients d'évaluer les changements une fois que nous aurons plus de détails sur cette question ». L'éditeur prévoit de faire évoluer la totalité de ses dernières dispositions contractuelles pour tous ses clients du secteur public et des entreprises au niveau mondial. Mais cela nécessitera un petit délais, d'ici début 2020.