Le Contrôleur européen de la protection des données (CEPD) a adressé un blâme à l'agence Frontex pour une violation du règlement sur la protection des données applicable aux institutions, offices, organes et agences de l'Union, a rapporté le 12 avril l’institution dans un communiqué.
Le CEPD a constaté que Frontex a transféré tous ses services « vers le cloud sans évaluation exhaustive et en temps opportun des risques liés à la protection des données et sans identification des mesures d'atténuation appropriées ou des garanties pertinentes pour le traitement ».
Le CEPD a ouvert une enquête en 2020 après que le patron de Frontex avait informé le CEPD que l’agence allait transférer tous ses services vers le cloud en plusieurs étapes progressives.
Frontex n'a « réussi à démontrer la nécessité des services en nuage prévus, car elle n'a pas montré que la solution choisie ("Microsoft 365") était le résultat d'un processus approfondi par lequel l'existence de produits et services alternatifs conformes à la protection des données et répondant aux besoins spécifiques de Frontex a été évaluée ».
En outre, « Frontex n'a pas démontré qu'elle a limité la collecte de données à caractère personnel par Microsoft à ce qui est nécessaire ». Frontex a donc enfreint le principe de responsabilité et ses obligations en tant que responsable du traitement, ainsi que les exigences de la protection des données par conception et par défaut.
Lien vers la décision : https://aeur.eu/f/186 (Solenn Paulic)