La semaine dernière, le contrôleur a mis en ligne « ses conclusions et recommandations sur l’utilisation des produits et services Microsoft par les institutions de l’UE ». Plusieurs griefs sont détaillés.
« L’accord de licence entre Microsoft et les institutions de l’Union européenne a permis à Microsoft de définir et de modifier les paramètres de ses activités de traitement effectuées pour le compte des institutions », laissant ainsi le champ libre à Microsoft d’agir comme « un contrôleur ».
L’EDPS explique aussi que « les institutions de l’UE ont été confrontées à un certain nombre de problèmes liés à la localisation des données, aux transferts internationaux et au risque de fuite de données ».
Elles n’ont également « pas été en mesure de vérifier l’emplacement d’une grande partie des données traitées par Microsoft » ni ce qui a été transféré hors de l’Union. Elles ne disposaient que de « peu de garanties pour défendre leurs droits et veiller à ce que Microsoft ne divulgue des données à caractère personnel que dans la mesure où le droit de l’UE le permettait ».
D’autres points noirs sont évoqués dans le rapport, qui formule au passage des recommandations pour améliorer la situation.
