Le Contrôleur européen de la protection des données (EDPS) a clôturé sa procédure d’enquête sur l’usage de Microsoft 365 par la Commission européenne au mois de juillet. Après plus de trois ans d’échanges et de mesures correctives, le Contrôleur confirme que les services Microsoft sont désormais utilisés dans le respect du Règlement (UE) 2018/1725, qui est le cadre équivalent du RGPD pour les institutions européennes.
“Le CEPD salue l’approche proactive de la Commission dans son rôle de pouvoir adjudicateur principal pour aider les autres institutions de l’UE. Le CEPD appelle les autres institutions de l’UE qui envisagent ou utilisent déjà les services Microsoft 365 à réaliser des évaluations similaires et à mettre en œuvre des mesures techniques et organisationnelles comparables à celles adoptées par la Commission. Ces mesures sont nécessaires pour garantir le respect du Règlement (UE) 2018/1725″, se satisfait Wojciech Wiewiórowski, Contrôleur.
Depuis 2021, le Contrôleur menait une enquête sur l’utilisation de Microsoft 365 par la Commission européenne. Le 8 mars 2024, des violations avaient été constatées : manque de clarté sur les finalités, transferts hors UE non encadrés, divulgations possibles sans garanties suffisantes.
“Le CEPD a estimé que les infractions constatées ont été corrigées et a donc clos sa procédure d’exécution”, explique le Contrôleur. Ainsi, les solutions Microsoft sont conformes car “la Commission a explicitement spécifié les types de données personnelles traitées et les finalités du traitement dans le cadre de son utilisation de Microsoft 365. Grâce à des mesures contractuelles, techniques et organisationnelles actualisées, elle a veillé à ce que Microsoft et ses sous-traitants traitent les données uniquement sur la base d’instructions documentées et uniquement à des fins spécifiques d’intérêt public”.
La Commission a également veillé à ce que les traitements ultérieurs soient effectués, au sein de l’Espace économique européen (EEE), conformément au droit de l’UE ou des États membres, ou, en dehors de l’EEE, conformément au droit des pays tiers garantissant un niveau de protection essentiellement équivalent à celui de l’EEE.
Par ailleurs, des dérogations strictes sont émises. Microsoft est tenu de respecter des instructions contraignantes.
Enfin, “des dispositions contractuelles supplémentaires garantissent que seul le droit de l’UE ou des États membres peut exiger que Microsoft ou ses sous-traitants omettent de notifier à la Commission les demandes de divulgation de données à caractère personnel traitées dans le cadre de l’utilisation de Microsoft 365 par la Commission au sein de l’EEE, ou qu’ils divulguent ces données. Pour les données traitées en dehors de l’EEE, la même obligation peut être imposée par le droit d’un pays tiers, à condition qu’il offre une protection essentiellement équivalente. Ces dispositions complètent les mesures techniques et organisationnelles existantes mises en œuvre par la Commission et Microsoft pour les données à caractère personnel traitées au sein et en dehors de l’EEE”.
Un cadre juridique solide ?
Le 3 septembre 2025, le Tribunal de l’Union européenne a confirmé le cadre juridique des transferts de données et la garantie de niveau équivalent de protection des US, rejoignant ainsi la décision du Contrôleur. La Cour de justice considère que les institutions américaines spécialisées sont indépendantes pour répondre aux exigences du droit européen.
“En effet, la DPRC a été instituée en tant qu’organe de contrôle indépendant du CLPO et plusieurs garanties ont été prévues dans l’Executive Order 14086 pour que les décisions du CLPO puissent être réexaminées et, le cas échéant, réformées de manière indépendante et impartiale par la DPRC“. Pour rappel, le Conseil d’Etat français avait considéré une violation du cadre d’équivalence comme très faible.
Il convient de rappeler que le Foreign Intelligence Surveillance Act (Fisa) et le Clarifying Lawful Overseas Use of Data (Cloud) Act permettent au gouvernement des US d’exiger aux sociétés assujetties à la loi américaine la communication des données qu’elles stockent, sur simple autorisation d’un juge. La Chine et l’Inde ont par ailleurs adopté des législations similaires.
Le 10 juin dernier, le directeur des affaires publiques et juridiques de Microsoft France, invité par la commission d’enquête du Sénat à garantir que les données des citoyens français hébergées par Microsoft ne seront jamais transmises à des autorités étrangères sans l’accord des autorités françaises, avait répondu : “Non, je ne peux pas le garantir“.
