La Commission européenne critiquée pour son utilisation de Microsoft 365

La Commission européenne fait actuellement l’objet d’une virulente polémique en lien avec la protection des données. Le motif de la critique : son utilisation de Microsoft 365 pour ses processus internes de communication et de collaboration. Cette utilisation est illégale et constitue une infraction à l’encontre du règlement général sur la protection des données (RGPD), comme le constate le Contrôleur européen de la protection des données (CEPD). Dans son rapport, il démontre en effet que les normes élevées de protection des données valant pour les institutions, organes et autres services de l’Union européenne ne sont pas respectées si la Commission fait appel à Microsoft 365.

L’article 4 du RGPD définit en son paragraphe 7 que la Commission est considérée comme la responsable du traitement des données à caractère personnel. Celui-ci doit se faire de manière licite et transparente, comme prévu à l’article 5. Les droits des personnes concernées doivent en outre être observés. Néanmoins, la Commission européenne n’a pas suffisamment précisé dans son contrat avec Microsoft quels types de données à caractère personnel peuvent être collectés dans le cadre de M365 et à quelles fins. Point le plus critique : elle ne peut garantir un niveau de protection adéquat pour les données transférées vers des pays tiers. En tant que responsable du traitement des données, la Commission est tenue de veiller à ce que les données à caractère personnel relevant de sa compétence bénéficient d’une protection comparable qu’elles soient traitées par un fournisseur tel que Microsoft au sein de l’Espace économique européen ou en dehors de ses frontières.

Des incidents de sécurité répétés chez Microsoft

Les infractions au RGPD ne sont pas le seul point d’achoppement au regard de l’utilisation de Microsoft 365. C’est que le géant américain du logiciel a connu divers incidents de sécurité graves par le passé. Ainsi, les données à caractère personnel de dizaines de milliers de clients de Microsoft ont été rendues publiques en 2022 suite à des cyberattaques. Mais c’est en 2023 que l’entreprise a été frappée par la pire des catastrophes : des pirates informatiques se sont emparés d’une clé de signature permettant de créer des autorisations d’accès pour Outlook.com et Outlook Web Access. En mars de cette année, le groupe de hackers « Midnight Blizzard » a même quotidiennement réussi à accéder aux systèmes Microsoft sans autorisation. L’éditeur de logiciels ne parvient manifestement pas à garantir une protection efficace. Dans ce contexte, on comprend difficilement que la Commission européenne ne démorde pas de M365.

Une honte pour la protection des données en Europe

Si on peut au moins se féliciter d’une chose, c’est que le Contrôleur européen de la protection des données exige de la Commission européenne qu’elle utilise Microsoft 365 de manière conforme au RGPD. La Commission devra d’une part veiller à ce que le traitement des données à caractère personnel collectées se fasse à des finalités considérées comme bien définies et suffisantes. Elle devra d’autre part mettre en place des mesures destinées à garantir le niveau de protection des données. Pour ce faire, les systèmes existants devront être minutieusement contrôlés. Il se peut qu’elle doive se tourner vers d’autres solutions en adéquation les normes de protection des données requises. Néanmoins, cette affaire assombrit le tableau et préoccupe. Si même la Commission européenne n’est pas en mesure de respecter le RGPD alors qu’elle est responsable de sa surveillance et de sa mise en œuvre, quel avenir a donc la protection des données en Europe ?

L’utilisation de logiciels Microsoft : une menace pour la souveraineté numérique

La controverse autour de l’utilisation de Microsoft 365 par la Commission montre bien à quel point il est capital de renforcer la protection des données. Les services cloud tels que Microsoft 365 présentent d’ailleurs un autre risque : celui de la perte de la souveraineté numérique européenne. Alors que notre dépendance vis-à-vis d’entreprises technologiques étrangères se creuse, ce sont notre sécurité numérique et notre autonomie qui sont en jeu. Toutefois, l’UE ne respecte pas ce principe de souveraineté numérique alors même qu’elle l’a érigé en principe. C’est en tous cas ce que montrent ces développements récents. S’il existe certes des initiatives visant à promouvoir les entreprises européennes dans le domaine des technologies, celles-ci n’ont pas encore vraiment porté leurs fruits. Les prestataires américains et chinois du type Google, Amazon, Facebook et Alibaba continuent à dominer le marché européen et collectent gaiement des masses de données d’utilisateurs européens. Même le projet de cloud européen Gaia-X ne se fait pas sans les géants américains. L’Europe s’enfonce de plus en plus dans la dépendance et perd ce faisant toute capacité à défendre ses intérêts numériques. Détricoter un processus qui a cours depuis des décennies ne sera sans doute pas une mince affaire, puisqu’il a mené à une utilisation exclusive de solutions logicielles non européennes et au démantèlement de nos compétences en la matière. Pourtant, les entreprises et administrations ont la possibilité d’éviter d’amplifier encore cette dépendance. C’est que passer au cloud sans scénario de sortie ou utiliser des services d’IA sans véritable réflexion préalable, c’est courir des risques immenses.

Les logiciels installés sur site : une solution pour l’indépendance et la protection des données

Multiplier l’utilisation des solutions installées sur site offre une possibilité de regagner le contrôle sur ses logiciels et ses données. En achetant les logiciels plutôt que de les louer sous forme de services cloud, les entreprises et collectivités peuvent mieux veiller au respect de leurs politiques de sécurité et du RGPD. Acheter les logiciels Microsoft d’occasion permet également de faire d’importantes économies. Il faut savoir que les versions les plus récentes sont généralement elles aussi disponibles sur le marché secondaire. Ainsi, les entreprises comme les administrations peuvent consacrer davantage de ressources financières à d’autres projets clés tout en réduisant leur dépendance numérique.