L'impact de la violation de données de Microsoft sur les utilisateurs de l'UE
Comment l’utilisation de Microsoft 365 par l’UE a-t-elle enfreint les règles de protection des données ?
Un aperçu détaillé de la manière dont l'Union européenne utilise Microsoft 365 a révélé que la Commission avait violé les lignes directrices du groupe en matière de protection des données en utilisant ce logiciel basé sur le cloud.
Aujourd'hui, le Contrôleur européen de la protection des données (CEPD) a partagé ses conclusions dans un communiqué de presse, déclarant que la Commission a violé « plusieurs règles importantes en matière de protection des données lors de l'utilisation de Microsoft 365 ».
Wojciech Wiewiorowski, le responsable des données, a expliqué : « La Commission n'a pas clairement décrit quels types de données personnelles seraient collectées et pour quelles raisons spécifiques lors de l'utilisation de Microsoft 365. » Il a également noté que les violations commises par la Commission en tant que responsable du traitement des données incluent la manière dont les données personnelles sont traitées et transférées en son nom.
Le CEPD a fixé à la Commission un délai d'ici le 9 décembre 2024 pour résoudre les problèmes de conformité constatés, à condition que la Commission continue d'utiliser la suite cloud de Microsoft.
Microsoft et la Commission ont été invités à donner leur avis sur les conclusions du CEPD, mais ni l'un ni l'autre n'avaient répondu au moment de la rédaction du présent rapport.
Le régulateur, chargé de garantir que les institutions européennes respectent les règles de protection des données, a commencé à enquêter sur l'utilisation par la Commission de Microsoft 365 et d'autres services cloud américains en mai 2021.
La préoccupation concerne la manière dont Microsoft gère les données utilisateur de son service cloud. Les régulateurs de l’UE tirent la sonnette d’alarme depuis plusieurs années, en particulier sur les raisons juridiques pour lesquelles Microsoft dit utiliser les données, le langage peu clair dans ses contrats et l'absence de mesures techniques pour garantir que les données ne sont utilisées que pour fournir et maintenir le service.
Lorsque le CEPD a commencé à enquêter sur cette affaire, il n'existait pas d'accord sur le transfert de données entre l'Union européenne et les États-Unis, contrairement à l'accord UE-États-Unis. Le Privacy Shield avait été invalidé en juillet 2020.
Un nouvel accord sur les transferts transatlantiques de données a finalement été conclu et est entré en vigueur trois ans plus tard, en juillet 2023. Cependant, pendant la majeure partie du temps où le CEPD enquêtait sur la manière dont la Commission utilisait Microsoft 365, il n'y avait toujours pas d'accord sur la gestion des données. Cela est inquiétant car l’utilisation de Microsoft 365 signifie souvent que les données sont renvoyées vers les serveurs Microsoft aux États-Unis.
Le CEPD a constaté que la Commission n'avait pas assuré une protection suffisante pour les données exportées, ce qui signifie que le niveau de protection de ces données n'était pas équivalent à celui dont elles bénéficieraient dans l'UE.
En conséquence, le contrôleur des données a ordonné à la Commission d'arrêter tous les transferts de données provenant de votre utilisation de Microsoft 365 vers Microsoft et ses partenaires dans des pays en dehors de l'UE/EEE qui ne disposent pas d'une décision d'adéquation de l'UE pour les transferts de données, avec un délai . fixé au 9 décembre.
En outre, la Commission a été invitée à réaliser un exercice de cartographie pour clarifier quelles données personnelles sont envoyées à quels destinataires dans d'autres pays, pour quelles raisons et quelles garanties sont en place, y compris tout transfert ultérieur. Vous devez également vous assurer que tout transfert de données vers des pays tiers sans décision d'adéquation n'a lieu que pour des tâches nécessaires relevant des responsabilités du responsable du traitement.
Dans un contexte plus large, le CEPD a demandé à la Commission de mettre à jour ses contrats avec Microsoft afin de garantir qu'ils incluent toutes les clauses juridiques, étapes organisationnelles et mesures techniques requises. Il s'agit de garantir que les données personnelles ne sont collectées que pour des raisons claires et spécifiques, et que ces raisons sont bien définies en termes de manière dont les données sont traitées.
Selon l'ordonnance, Microsoft et ses filiales ou sous-traitants ne peuvent traiter les données que sur la base d'instructions claires de la Commission. Si le traitement a lieu dans la région, il doit respecter les lois de l'UE ou des États membres. Si cela a lieu en dehors de la région, les données doivent être traitées conformément aux lois d'un pays tiers offrant des niveaux de protection similaires.
Les contrats doivent également stipuler que les données ne peuvent être utilisées pour aucune raison autre que la finalité initiale pour laquelle elles ont été collectées.
Le CEPD a noté que la Commission n'avait pas respecté la règle de la « limitation des finalités », qui constitue un élément clé des règles en matière de protection des données. Ils n'ont pas clairement identifié quelles données personnelles étaient collectées dans le cadre de l'accord de licence avec Microsoft Irlande, ce qui les a empêchés de garantir que les données étaient clairement définies et spécifiques.
En outre, l'UE n'a pas donné d'instructions claires à Microsoft sur la manière de traiter les données, n'a pas limité le traitement conformément à ces instructions et n'a pas vérifié si l'utilisation ultérieure des données par Microsoft était conforme à la finalité initiale pour laquelle elles avaient été collectées. . Ce ne sont là que quelques-unes des violations des règles observées par le CEPD.
Dans un communiqué, Wiewiorowski a souligné :
Il est essentiel que les institutions, organes et organismes de l'UE veillent à ce que tout traitement de données personnelles, que ce soit à l'intérieur ou à l'extérieur de l'UE/EEE et en particulier dans les services cloud, suive des mesures strictes de protection des données. Cela est essentiel pour protéger les informations des individus, comme l'exige le règlement (UE) 2018/1725, chaque fois que leurs données sont traitées par ou pour le compte d'une UE.
Ces dernières années, Microsoft a pris des mesures pour répondre aux préoccupations croissantes liées aux réglementations européennes concernant les transferts de données. Ils ont lancé une initiative visant à conserver les données localisées, en particulier pour les clients cloud de la région, appelée « Plafond de données de l'UE pour le cloud Microsoft ». Malgré cela, cette configuration technique est toujours en cours de mise en œuvre.
Microsoft a indiqué que certaines données continueront d'être utilisées en dehors de l'UE, même si l'annonce est prévue d'ici la fin de l'année. Ils doivent examiner attentivement pourquoi. Ils ont déclaré lors d'une conférence de presse qu'ils étaient confiants dans leur capacité à respecter les lois pratiques et juridiques sur la protection des données.
Ils ont également déclaré avoir apporté « un certain nombre d’améliorations » à leur contrat avec le CEPD tout au long de l’enquête. Il y a des questions. La Commission a confirmé qu'elle était prête à mettre en œuvre les recommandations du CEPD et a souligné que la protection des données constituait sa priorité absolue.
"La Commission s'engage à garantir que votre utilisation de Microsoft M365 respecte les règles de protection des données, et cet engagement s'étend à tous les autres logiciels que vous achetez", ont-ils mentionné. Ils ont ajouté : « Le 11 décembre 2018, de nouvelles règles en matière de protection des données pour les institutions et organes de l’UE sont entrées en vigueur. La Commission travaille dur pour établir des cadres solides et sûrs pour travailler avec les partenaires internationaux. Ces normes guident tous nos processus et contrats. , y compris ceux avec des sociétés comme Microsoft.
Si la Commission a publiquement souligné son engagement à respecter les exigences légales, elle a également exprimé sa préoccupation quant au fait que "Suivre la décision du CEPD pourrait avoir un impact négatif sur le niveau actuel des services informatiques mobiles et intégrés."
«Cette situation pourrait affecter non seulement Microsoft mais aussi d'autres services informatiques commerciaux. Cependant, nous devons examiner attentivement les résultats des décisions et les raisons qui les sous-tendent. "Nous ne pouvons pas faire de commentaires supplémentaires tant que notre analyse n'est pas terminée.", ont-ils ajouté.
Windows OEM ou Retail : lequel vous convient le mieux ?
Lorsque vous choisissez entre les fenêtres OEM et Retail, tenez compte de vos besoins :
OEM (Original Equipment Manufacturer) – Généralement préinstallé sur les nouveaux PC et lié au matériel sur lequel il a été activé pour la première fois. Il est généralement moins cher mais manque de transférabilité vers un autre appareil.
Vente au détail : acheté séparément et offre la flexibilité de transférer la licence vers un nouveau PC si nécessaire. Il inclut également le support complet de Microsoft.
Si vous envisagez de mettre à niveau fréquemment votre matériel ou si vous avez besoin de l’assistance de Microsoft, Retail est la meilleure option. Pour une option économique dans un seul appareil, l'OEM convient.
11 conseils éprouvés pour optimiser Windows XNUMX pour de meilleures performances
Windows Actualizar
Désactiver les programmes de démarrage
Désinstallez les logiciels inutiles
Ajuster les paramètres d'alimentation
Nettoyer l'espace disque
Défragmenter votre disque dur
Gérer les effets visuels
Désactiver les applications d'arrière-plan
Optimiser le stockageUtiliser l'utilitaire de résolution des problèmes de performances