Une autre victoire pour la protection des données en Europe: Microsoft a annoncé des modifications des contrats de cloud professionnel suite aux préoccupations en matière de protection de la vie privée soulevées par les autorités de protection des données de l’Union européenne.
Les modifications apportées aux conditions de contact s’appliqueront globalement et à tous ses clients commerciaux – qu’il s’agisse d’une entité du secteur public ou privé, d’une grande ou d’une petite entreprise, a-t-il déclaré aujourd’hui.
Les nouvelles dispositions contractuelles seront proposées à tous les clients du secteur public et des entreprises au début de 2020, ajoute le communiqué.
En octobre, le responsable de la protection des données en Europe a averti que les résultats préliminaires d’une enquête sur les conditions contractuelles applicables aux services en cloud de Microsoft avaient suscité de vives inquiétudes quant au respect des règles de protection des données de l’UE et au rôle du géant de la technologie en tant que processeur de données pour les institutions de l’UE.
Dans son blog sur les politiques européennes, Julie Brill, vice-présidente de Microsoft pour la confidentialité et les affaires réglementaires dans le monde, annonce la mise à jour des dispositions relatives à la confidentialité dans les conditions de services en ligne (OST) de ses contrats de cloud professionnel – dire que les modifications ont été apportées à la suite des «commentaires de nos clients».
«Les modifications que nous apportons offriront plus de transparence à nos clients en ce qui concerne le traitement des données dans le cloud de Microsoft», écrit-elle.
Elle a également déclaré que les modifications reflétaient celles élaborées par Microsoft en consultation avec le ministère néerlandais de la Justice et de la Sécurité – comprenant à la fois des clauses contractuelles modifiées et des sauvegardes et paramètres techniques – après que ce dernier eut effectué une évaluation des risques de l’OST de Microsoft plus tôt cette année et soulevé des préoccupations.
Plus précisément, Microsoft accepte de plus grandes responsabilités en matière de protection des données pour les traitements supplémentaires nécessaires à la fourniture de services d’entreprise, tels que la gestion de compte et les rapports financiers, par Brill:
- Grâce à la mise à jour OST que nous annonçons aujourd’hui, nous augmenterons nos responsabilités en matière de protection des données pour un sous-ensemble de traitements que Microsoft effectue lorsque nous fournissons des services d’entreprise. Dans la mise à jour OST, nous préciserons que Microsoft assume le rôle de contrôleur de données lorsque nous traitons des données à des fins administratives et opérationnelles spécifiées, afin de fournir les services cloud couverts par ce cadre contractuel, tels que Azure, Office 365, Dynamics et Intune. Ce sous-ensemble de traitement de données sert à des fins administratives ou opérationnelles telles que la gestion des comptes, la création de rapports financiers, la lutte contre les cyberattaques sur tout produit ou service Microsoft et le respect de nos obligations légales.
Actuellement, Microsoft se définit comme un processeur de données plutôt que comme un contrôleur de données pour ces fonctions administratives et opérationnelles pouvant être liées à la fourniture de services cloud commerciaux, tels que sa plate-forme Azure.
Cependant, dans le cadre général de la protection des données en Europe, le responsable du traitement des données a les obligations les plus larges en matière de traitement des données à caractère personnel – en vertu de l’article 5 du RPGD pour la légalité, l’équité et la sécurité des données traitées – et donc aussi un plus grand risque juridique s’il ne remplissait pas la norme.
Ainsi, d’un point de vue réglementaire, la structure actuelle des contrats commerciaux de Microsoft présente un risque pour les institutions européennes que les données des utilisateurs soient traitées selon un niveau de protection juridique inférieur à celui qui est mérité.
Le passage annoncé d’un processeur de données à un contrôleur devrait placer la barre plus haut pour les objectifs associés que Microsoft peut également fournir aux clients commerciaux de ses services cloud.
Pour ce dernier objectif, Microsoft indique qu’il restera le processeur de données, ainsi que pour améliorer et traiter les bogues ou autres problèmes liés au service, assurer la sécurité des services et maintenir les services à jour.
En août, une conférence organisée conjointement par le superviseur de la protection des données de l’UE et le ministère néerlandais a réuni les clients européens des géants du cloud pour travailler à une réponse commune aux risques réglementaires liés à la fourniture de logiciels dans le cloud.
Plus tôt cette année, le ministère néerlandais a obtenu des modifications contractuelles ainsi que des sauvegardes et paramètres techniques dans les contrats modifiés passés avec Microsoft.
«Les seules différences substantielles entre les conditions mises à jour [qui seront déployées à l’échelle mondiale pour tous les clients du cloud commercial] concernent les modifications spécifiques au client demandées par le MOJ néerlandais, qui ont dû être adaptées à la base de clients mondiale plus large», écrit Brill.
Le blog de Microsoft souligne également d’autres modifications mondiales liées à la confidentialité qui, selon ses dires, ont été apportées à la suite des réactions du ministère de la Justice néerlandais et d’autres, notamment: la mise en place de nouveaux outils de confidentialité pour les principaux services; modifications spécifiques apportées à Office 365 ProPlus; et une transparence accrue concernant l’utilisation des données de diagnostic.
