Près de sept mois après l'ouverture de son enquête, le Contrôleur européen de la protection des données (CEPD) semble loin d'être rassuré par le niveau de protection des données personnelles garanti par les logiciels Microsoft utilisés par les institutions européennes. Lundi 21 octobre, il a réitéré ses inquiétudes.
Depuis le mois d'avril (EUROPE 12231/9), le CEPD enquête en effet sur la conformité des accords contractuels conclus entre Microsoft et les institutions européennes avec les règles européennes de protection des données.
« Bien que l'enquête soit toujours en cours, les résultats préliminaires révèlent de sérieuses inquiétudes quant à la conformité des clauses contractuelles pertinentes avec les règles de protection des données et quant au rôle de Microsoft en tant que sous-traitant pour les institutions européennes utilisant ses produits et services », a-t-il indiqué dans un communiqué.
Il estime néanmoins que l'accord conclu début mai entre le ministère néerlandais de la Justice et de la Sécurité et Microsoft sur les nouvelles conditions générales de confidentialité pour les postes de travail numériques du gouvernement néerlandais afin d'atténuer les risques identifiés constitue un « pas en avant positif ».
Le ministère néerlandais de la Justice et de la Sécurité était particulièrement inquiet de la collecte à grande échelle de données personnelles par Microsoft, sans en informer correctement ses utilisateurs, par l’intermédiaire d’Office.
L'accord en question prévoit notamment que Microsoft ne devrait pas traiter les données d'utilisation à des fins de profilage, d'analyse de données, d'études de marché ou encore de publicité. Il accorde par ailleurs des droits de vérification effectifs au gouvernement néerlandais.
Selon le CEPD, ces solutions devraient être étendues non seulement à tous les organismes publics et privés de l'UE, mais aussi aux particuliers. Les accords contractuels conclus avec Microsoft devraient aussi assurer le même niveau de protection dans tout l'Espace économique européen, a-t-il précisé.
Un porte-parole de Microsoft, cité par l'agence Reuters, aurait confirmé que l'entreprise annoncerait bientôt des modifications contractuelles pour les institutions européennes qui devraient répondre aux préoccupations soulevées par le CEPD. (Marion Fontana)