Résultats de l'enquête par les institutions européennes concernant l'utilisation des produits et services Microsoft (Outcome of own-initiative investigation into EU institutions’ use of Microsoft products and services) === [Document original](https://edps.europa.eu/sites/edp/files/publication/20-07-02_edps_paper_euis_microsoft_contract_investigation_en.pdf) --- Résumé Ces conclusions et recommandations peuvent présenter un intérêt particulier pour les autorités publiques des États membres de l’UE. - La limitation de la finalité de traitement n’était pas suffisamment spécifique et explicite. Microsoft agit donc en tant que responsable du traitement sans en avoir le droit. - Manque de contrôle sur les sous-traitants utilisés par Microsoft et l’absence de droits d’audit significatifs. La grande majorité du traitement des données à caractère personnel est en pratique effectuée par Microsoft Corporation et ses sous-traitants secondaires, et non par Microsoft Ireland et ses sous-traitants secondaires. - Les Clauses contractuelles types pour les transferts contresignées par Microsoft Corporation n’étaient pas conformes. Microsoft un droit unilatéral illimité de modifier tous les ensembles de clauses standards. - Microsoft et ses sous-traitants peuvent être confrontés à un conflit et estimer prudent de se conformer aux lois du pays tiers [les Etats-Unis] même si cela les met en infraction avec le droit européen. - Les institutions de l'UE n’ont pas été en mesure de contrôler l’emplacement d’une grande partie des données traitées par Microsoft. L’obligation de stocker des données dans l’UE ne s’appliquait qu’à un sous-ensemble de données fournies par l’utilisation de certains “services en ligne de base”. Les services Microsoft Azure Core, tels que Azure Active Directory ne pas permettent aux clients de configurer le déploiement dans l'UE. - Microsoft divulgue des données personnelles (y compris les données sur les clients, les données sur les administrateurs, les données de paiement et les données d’assistance) à des tiers, y compris les services répressifs ou d’autres agences gouvernementales. - Si les institutions de l’UE font appel à des sous-traitants ayant des liens avec les gouvernements de pays tiers, elles peuvent en fait choisir de renoncer aux protections offertes par le protocole et le règlement contre la divulgation non autorisée --- [TOC] # Sommaire Ce document présente les questions soulevées par l'enquête d'initiative du CEPD sur l'utilisation des produits et services Microsoft par les institutions, organes et organismes européens ("institutions de l'UE"). Ces conclusions et recommandations de l'enquête sont susceptibles de présenter un intérêt plus large que celui des seules institutions de l'UE : elles peuvent présenter un intérêt particulier pour toutes les autorités publiques des États membres de l'UE/EEE. Le CEPD a évalué la conformité de l'accord de licence entre Microsoft et les institutions de l'UE par rapport aux exigences énoncées dans le règlement (UE) 2018/1725 qui définit les règles de protection des données dans les institutions, organes et organismes de l'UE ainsi que les fonctions et les pouvoirs du Contrôleur européen de la protection des données (CEPD). Dans l'intérêt d'une approche cohérente de la protection des données personnelles dans toute l'Union, et de la libre circulation des données personnelles au sein de l'Union, les législateurs ont aligné le règlement (UE) 2018/1725 autant que possible sur les règles de protection des données du règlement (UE) 2016/679 ("Règlement général sur la protection des données" - RGD). Chaque fois que les dispositions du règlement (UE 2018/1725 suivent les mêmes principes que les dispositions du GDPR, ces deux ensembles de dispositions doivent, selon la jurisprudence de la Cour de justice de l'Union européenne, être interprétés de manière homogène, notamment parce que le régime de ce règlement doit être compris comme équivalent au régime du GDPR. Le CEPD a fait les principales constatations suivantes dans son enquête sur l'utilisation des produits et services Microsoft par les institutions européennes. Premièrement, l'accord de licence entre Microsoft et les institutions européennes a permis à Microsoft de définir et de modifier les paramètres de ses activités de traitement menées pour le compte des institutions européennes et les obligations contractuelles en matière de protection des données. Le pouvoir discrétionnaire dont disposait **Microsoft équivalait à un large droit pour Microsoft d'agir en tant que responsable du traitement**. Compte tenu du rôle des institutions de l'UE en tant qu'institutions de service public, le CEPD a estimé que cela n'était pas approprié. Le CEPD a recommandé aux institutions de l'UE d'agir de manière à conserver leur fonction de responsable de traitement. Deuxièmement, les institutions de l'UE devaient mettre en place un accord complet et conforme entre le responsable du traitement et le sous-traitant, ainsi que des instructions documentées des institutions de l'UE aux sous-traitants. **Leur manque de contrôle sur les sous-traitants utilisés par Microsoft et l'absence de droits d'audit significatifs** ont également posé des problèmes importants. Le CEPD a fait des recommandations sur la manière d'améliorer la convention entre le responsable du traitement et le sous-traitant et de mettre en place des contrôles d'audit solides. Troisièmement, les institutions européennes ont été confrontées à un certain nombre de problèmes liés à la localisation des données, à la et le risque de divulgation illicite de données. **Ils n'ont pas été en mesure de contrôler l'emplacement d'une grande partie des données traitées par Microsoft**. Ils n'ont pas non plus contrôlé correctement ce que a été transféré hors de l'UE/EEE et comment. Il y avait également un manque de garanties appropriées pour protéger les données qui ont quitté l'UE/EEE. **Les institutions de l'UE disposaient également de peu de garanties pour défendre leurs privilèges et immunités et s'assurer que Microsoft ne divulguerait les données à caractère personnel dans la mesure où la législation européenne le permet**. Le CEPD a fait des recommandations pour aider Les institutions de l'UE dans le traitement de ces questions. Quatrièmement, le CEPD a examiné les mesures techniques que la Commission avait mises en place pour endiguer le flux de données personnelles générées par les produits et services Microsoft et envoyées à Microsoft. Le CEPD a recommandé que toutes les institutions de l'UE effectuent des tests en utilisant une approche révisée et complète, partagent entre elles les connaissances et les solutions techniques qu'elles ont développées pour empêcher les **flux de données non autorisés vers Microsoft et s'informent mutuellement de tout problème de protection des données qu'elles identifient avec les produits ou services**. Cinquièmement, les institutions de l'UE n'ont pas été suffisamment claires quant à la nature, la portée et les objectifs du traitement et aux risques encourus par les personnes concernées pour pouvoir remplir leurs obligations de transparence envers ces dernières. Le CEPD a recommandé que les institutions de l'UE recherchent la **clarté et les garanties leur permettant de tenir les personnes concernées correctement informées**. # Introduction ## Contexte Ce document présente les questions soulevées par l'enquête d'initiative du CEPD sur l'utilisation des produits et services Microsoft par les institutions, organes et organismes européens ("institutions de l'UE"). Il présente les conclusions et les recommandations du CEPD à partager avec un public plus large, en appliquant un haut niveau de transparence, tout en préservant la confidentialité nécessaire de certains éléments du contrat des institutions européennes et de l'enquête du CEPD. Un grand nombre de données à caractère personnel sont traitées dans le cadre de l'utilisation par les institutions européennes des produits et services de Microsoft. Plus de 45 000 membres du personnel des institutions européennes, y compris le CEPD, sont des utilisateurs de ces produits et services. En outre, le personnel utilise les produits et services de Microsoft pour traiter les données personnelles de personnes qui ne font pas partie du personnel. L'enquête du CEPD s'est concentrée sur les termes de l'accord de licence interinstitutionnel ("ILA") que les institutions européennes ont signé avec Microsoft en 2018. Le CEPD a également examiné les mesures techniques que la Commission européenne, en tant que plus grande institution de l'UE avec une grande variété de tâches, a mis en œuvre et qui affectent le flux de données personnelles vers Microsoft. Le CEPD a publié ses conclusions et recommandations aux institutions de l'UE à la clôture de son enquête en mars 2020. **L'objectif du rapport du CEPD était de fournir aux institutions de l'UE une assistance prospective pour mettre leurs dispositions en conformité avec la législation sur la protection des données**. En particulier, les conclusions et les recommandations du CEPD ont été orientées vers le soutien à la renégociation du contrat de l'ILA et des institutions de l'UE et la mise en œuvre de mesures techniques et organisationnelles solides qui devraient accompagner le contrat. Le traitement des données à caractère personnel par les institutions de l'UE et les pouvoirs de contrôle et d'enquête du CEPD sont régis par le règlement (UE) 2018/1725. Le CEPD a évalué la conformité de l'ILA par rapport aux exigences énoncées dans ce règlement.Bien que le règlement (UE) 2018/1725 soit un régime de protection des données adapté aux institutions de l'UE et distinct du règlement général sur la protection des données ("GDPR") mieux connu, le chevauchement entre les dispositions du règlement (UE) 2018/1725 et celles du GDPR est important. En conséquence, les conclusions et recommandations du CEPD sont susceptibles de présenter un intérêt plus large que pour les institutions de l'UE. Non seulement la loi que le CEPD a appliquée dans son enquête est basée sur les mêmes principes et partage la grande majorité des dispositions avec la GDPR, mais l'accord signé par les institutions de l'UE est basé sur les documents standard de Microsoft pour les licences en volume et donc susceptible de présenter des similitudes avec les accords conclus par d'autres organisations. **Les conclusions et recommandations du CEPD peuvent présenter un intérêt particulier pour les autorités publiques des États membres de l'UE**. En conséquence, les conclusions et recommandations du CEPD sont susceptibles de présenter un intérêt plus large que pour les institutions de l'UE. Non seulement la loi que le CEPD a appliquée dans son enquête est basée sur les mêmes principes et partage la grande majorité des dispositions avec la GDPR, mais l'accord signé par les institutions de l'UE est basé sur les documents standard de Microsoft pour les licences en volume et donc susceptible de présenter des similitudes avec les accords conclus par d'autres organisations. Les conclusions et recommandations du CEPD peuvent présenter un intérêt particulier pour les autorités publiques des États membres de l'UE. Elles sont également susceptibles d'être pertinentes au-delà de la conclusion et de la mise en œuvre des accords de licences en volume pour les produits et services Microsoft. Selon le CEPD, les organisations qui sous-traitent la fourniture ou l'exploitation de services numériques à d'autres fournisseurs de services sont susceptibles de rencontrer des problèmes similaires. ## Recommandations générales Le CEPD a recommandé aux institutions européennes d'examiner attentivement tout achat de produits et services Microsoft ou toute nouvelle utilisation de produits et services existants jusqu'à ce qu'elles aient analysé et mis en œuvre les recommandations du CEPD. Elles devraient impliquer leurs délégués à la protection des données lorsqu'elles décident de la manière de mettre en œuvre les recommandations du CEPD. Les institutions européennes devraient intégrer la protection des données dans chaque procédure spécifique de passation de marchés publics dans le domaine des technologies de l'information et des communications, en précisant les mesures de sécurité et de protection des données à mettre en œuvre pour les produits et services particuliers qui sont acheté. Cela aidera les institutions de l'UE, dès le départ, à se procurer des produits et des services avec des mesures contractuelles et organisationnelles appropriées, des mesures techniques et de sécurité afin que le traitement des données à caractère personnel au moyen de ces outils soit conforme au règlement (UE) 2018/1725, en notamment avec le principe de la protection des données par conception et par défaut. ## Inter-Institutional Licence Agreement (ILA) L'ILA que le CEPD a examinée avait une structure complexe avec une multiplicité de documents imbriqués qui se complétaient et se modifiaient de diverses manières. Toutefois, l'ILA comportait globalement trois éléments principaux. - Le premier était un accord de licence général, qui reposait sur un certain nombre de documents de licence en volume standard pour lesquels les institutions européennes ont négocié une série de modifications sur mesure avec Microsoft. - Le deuxième volet comprenait plusieurs séries de conditions standard de Microsoft, qui ont été incorporées par référence dans l'accord-cadre. Dans le cadre de l'enquête du CEPD, les principaux ensembles de termes standard étaient les termes relatifs aux produits et les termes relatifs aux services en ligne. - Le troisième volet comprenait les documents par lesquels les différentes institutions de l'UE adhéraient à l'accord de licence et souscrivaient à un ensemble de produits et services Microsoft répondant le mieux à leurs besoins. Les termes de l'accord de licence n'étaient pas fixes. Les ensembles de conditions standard de Microsoft qui ont été incorporés par l'accord-cadre sont régulièrement modifiés par Microsoft, les nouvelles versions étant publiées sur son site web de licences en volume. **Par exemple, Microsoft publie chaque mois une nouvelle version des conditions des services en ligne**. **Déterminer quelles parties de quelle version d'un document standard s'appliquent à quels aspects d'un produit ou d'un service Microsoft donné peut être une affaire complexe**. Pour reprendre l'exemple des Online Services Terms, la version applicable de ce document varie pour chaque service en ligne, en fonction de la date à laquelle le client concerné a acheté ou renouvelé son abonnement à ce service pour la première fois. Toutefois, les conditions introduites dans les versions ultérieures des conditions des services en ligne pouvaient également s'appliquer aux nouvelles fonctionnalités et aux suppléments de logiciels connexes qui ne figuraient pas auparavant dans l'abonnement. Dans le cadre de l'enquête du CEPD, les dernières versions des documents standard que le CEPD a analysées sont celles de janvier 2020. Aux fins du présent document, le CEPD se réfère uniquement à ces versions. Toutefois, dans le cadre de l'enquête, le CEPD a également analysé un certain nombre de versions antérieures, qui étaient souvent rédigées en termes similaires et présentaient des problèmes de conformité similaires ou plus importants. Dans l'ensemble, les déclarations du CEPD concernant l'ILA, les documents non contractuels et le contexte factuel représentent la position jusqu'en mars 2020. # Microsoft comme responsable de traitement Selon le CEPD, le champ d'application et les termes de l'ILA ont eu pour conséquence que Microsoft a agi en tant que responsable du traitement de manière non transparente. Cela était dû à une combinaison de plusieurs aspects de l'ILA. Le CEPD examine trois questions clés à cet égard : 1. Le droit de Microsoft de modifier unilatéralement l'accord, 2. la portée limitée des obligations en matière de protection des données dans l'ILA, et 3. l'absence de finalités spécifiques et explicitement définies pour le traitement qui a eu lieu dans ce cadre. ## Droit de modification unilatérale L'ILA a permis à Microsoft de modifier unilatéralement les conditions de protection des données. Ce droit comportait deux aspects. Premièrement, l'**ILA accordait à Microsoft un droit illimité de modifier tous les ensembles de clauses standard qui y étaient incorporés par référence**. Il était possible pour Microsoft d'apporter des modifications importantes aux dispositions de **l'accord en matière de protection des données en modifiant un ensemble de clauses types qui y étaient incorporées**. En effet, les clauses standard ont comblé de nombreuses lacunes dans les accords-cadres négociés, de sorte qu'il était souvent nécessaire de s'y référer pour comprendre comment les clauses des accords-cadres seraient mises en œuvre. Les modifications apportées par Microsoft en janvier 2020 illustrent bien l'ampleur que peuvent avoir de tels amendements unilatéraux. Microsoft a déplacé un certain nombre de termes importants relatifs à la protection des données des Conditions des services en ligne vers un nouveau document standard, appelé l'Addendum sur la protection des données. Le contenu de ces termes de protection des données a également fait l'objet d'une révision substantielle. À la suite de ce changement, **il est devenu difficile de savoir si un corpus important de termes relatifs à la protection des données avait cessé de s'appliquer** à l'utilisation des produits et services Microsoft par les institutions européennes. Étant donné que l'addendum sur la protection des données n'existait pas au moment de la signature de l'ILA en 2018, seules les conditions relatives aux services en ligne ont été incorporées par référence dans l'ILA mais pas l'addendum sur la protection des données, qui a été récemment séparé. Au moment où le CEPD a conclu son enquête, il n'existait pas non plus de lien contractuel explicite entre l'addendum sur la protection des données et l'ILA, comme une déclaration dans les conditions des services en ligne selon laquelle l'addendum sur la protection des données faisait partie des conditions des services en ligne. Aux fins de son enquête d'initiative, le CEPD a supposé que l'addendum sur la protection des données s'appliquait effectivement dans le cadre de l'ILA. Le deuxième aspect du droit de modification unilatérale de Microsoft concernait l'ordre de préséance des différents documents contractuels. L'ILA contenait un certain nombre de dispositions concernant les documents qui prévalaient sur les autres. Certaines de ces dispositions étaient en conflit direct les unes avec les autres, ce qui nous amène à conclure que l'ordre de préséance précis était ambigu. Néanmoins, le CEPD a estimé qu'il existait un risque élevé que des documents standard tels que les conditions des services en ligne, les conditions des produits et, éventuellement, l'addendum sur la protection des données, l'emportent sur les conditions négociées de l'accord-cadre. Étant donné le droit de Microsoft de modifier ces documents standard à tout moment, **il y avait un risque élevé que Microsoft modifie unilatéralement l'ensemble des dispositions contractuelles de l'accord-cadre**, y compris tout accord entre les parties concernant le responsable du traitement. Dans l'ensemble, le CEPD a estimé qu'il y avait **un risque élevé que Microsoft puisse modifier**, par exemple, les finalités pour lesquelles elle traite des données à caractère personnel, la localisation des données et les règles régissant la divulgation et le transfert de données, sans que les institutions de l'UE aient un recours contractuel contre ces modifications. La décision d'apporter ou non ces modifications incombait à Microsoft. Ce niveau de discrétion va au-delà de ce qui peut être attribué à un sous-traitant ; il a effectivement fait de Microsoft un responsable du traitement. ## Obligations limitées en matière de protection des données La portée des principales obligations de Microsoft en matière de protection des données dans les documents ILA négociés était limitée à des types de traitement et des catégories de données spécifiques. Il y avait un risque que certaines activités de traitement des données dans le cadre de l'ILA ne relèvent pas du champ d'application des conditions négociées et bénéficient d'un niveau de protection inférieur déterminé uniquement par Microsoft. **Certaines catégories de données recueillies et utilisées par Microsoft à la suite de l'utilisation de ses produits et services par les institutions européennes ne relevaient pas du champ d'application des protections contractuelles**. L'analyse du CEPD suggère que quatre catégories de données personnelles ont bénéficié de niveaux de protection différents dans le cadre de l'ILA. La première catégorie de données à caractère personnel, la plus protégée, est celle des données fournies par l'utilisation de services dits en ligne. Ces services en ligne étaient essentiellement les services hébergés par Microsoft fournis au titre de l'ILA et comprenaient la composante en ligne des produits logiciels de Microsoft. Les données relevant de cette catégorie entraient dans le champ d'application des principales obligations négociées en matière de protection des données dans l'ILA et de l'addendum sur la protection des données. Une deuxième catégorie comprenait les données qui n'étaient pas fournies à Microsoft mais qui étaient recueillies par Microsoft lorsque les institutions de l'UE utilisaient les services en ligne. Le traitement de ces données était partiellement couvert par les conditions des services en ligne (et potentiellement, depuis sa création, par l'addendum sur la protection des données) et non par les principales obligations négociées de l'accord-cadre. Une troisième catégorie de données était constituée par les données que Microsoft obtenait lorsque les institutions de l'UE utilisaient ses services dits professionnels. Ces données étaient couvertes par un ensemble distinct et plus léger de conditions de protection des données annexées à l'addendum sur la protection des données. Ces données n'entraient pas non plus dans le champ d'application des principales obligations négociées dans le cadre de l'accord-cadre. **Microsoft a traité des données dans les trois premières catégories non seulement en tant que sous-traitant mais aussi en tant que responsable de traitement. Lorsqu'elle agissait en tant que responsable du traitement, la déclaration de confidentialité de Microsoft s'appliquait en plus des documents contractuels**. Une quatrième catégorie de données existait. Ces données étaient à la fois fournies à Microsoft et recueillies par cette dernière lorsque les institutions européennes utilisaient des produits et des logiciels que Microsoft ne considérait pas comme des services en ligne. Le traitement des données de cette catégorie n'a pas fait l'objet de contrôles contractuels significatifs. Elles ont été traitées par Microsoft en tant que responsable du traitement et sont couvertes par la déclaration de confidentialité de Microsoft. Les données de diagnostic de toutes les versions de Windows et de la suite de productivité Office (y compris la version Office 2016) entrent dans cette catégorie. Les données de diagnostic des applications de la suite de productivité Office 365 ProPlus installées localement (par exemple Word, Excel, PowerPoint) qui ne sont pas des services en ligne entrent également potentiellement dans cette catégorie. Dans l'ensemble, il y a eu un manque de transparence concernant les contrôles contractuels, le cas échéant, appliqués aux différentes catégories de données traitées par Microsoft dans le cadre de l'ILA. **Le CEPD n'a pas été en mesure de délimiter avec précision les différentes catégories sur la base des documents contractuels**. **Étant donné la nature interconnectée des produits, des services en ligne et des services professionnels de Microsoft, il n'était pas non plus clair si les données relevant de la catégorie la plus protégée pouvaient passer dans une catégorie moins protégée**, ou inversement. Selon le CEPD, les institutions européennes n'ont que peu ou pas de contrôle contractuel sur les données personnelles collectées par Microsoft auprès des utilisateurs ou sur ce que Microsoft peut faire avec ces données, à moins qu'elles n'aient été fournies via des services en ligne et qu'il soit certain qu'elles restent dans cette catégorie. Comme indiqué dans la section précédente, Microsoft a également conservé le droit de modifier unilatéralement une grande partie, voire la totalité, des contrôles. Microsoft a donc conservé un large pouvoir discrétionnaire à cet égard. Lorsque la portée des obligations d'un sous-traitant en matière de protection des données n'est pas claire, cela peut créer un risque que le sous-traitant décide d'agir en tant que responsable du traitement pour une partie de toutes les données qu'il traite à la suite de la relation commerciale. Dans le cas de l'ILA, le manque de clarté concernant la portée des obligations de Microsoft en matière de protection des données nous a conduit à constater un risque élevé qu'il puisse agir en tant que responsable du traitement pour toutes les données traitées dans le cadre de l'ILA. ## Limitation insuffisante de la finalité De l'avis du CEPD, **la limitation de la finalité dans l'ILA n'était pas suffisamment spécifique et explicite. Cela a créé un risque de décalage entre la limitation de la finalité que les institutions européennes pensaient avoir imposée à Microsoft en vertu de l'ILA et le traitement que Microsoft considérait comme autorisé en vertu de cet accord**. Cela a créé un risque de décalage entre la limitation de la finalité que les institutions européennes pensaient avoir imposée à Microsoft en vertu de l'ILA et le traitement que Microsoft considérait comme autorisé en vertu de cet accord. La déclaration d'objectif la plus explicite dans les documents de l'ILA pour les activités de Microsoft en tant que sous-traitant était de "fournir le produit ou les services professionnels". L'éventail des opérations de traitement que cela pouvait englober était potentiellement vaste. Dans le contexte d'un accord détaillé et complexe entre des opérateurs sophistiqués touchant un grand nombre de personnes concernées, tel que l'ILA, il est approprié que la spécification des finalités autorisées pour le traitement laisse peu de doutes quant à ce qui est et n'est pas inclus dans la finalité. La description devrait également être complète, permettant au client et aux autorités de contrôle de comprendre les risques du traitement, et de permettre l'explication de ces risques aux personnes concernées. De l'avis du CEPD, la déclaration de la finalité dans l'ILA laisse beaucoup trop de place à l'interprétation. L'addendum sur la protection des données a permis de clarifier ce qui peut et ne peut pas relever de la "fourniture" d'un service. Il définit ce qu'il faut entendre par "fournir" un service en ligne ou professionnel, dresse une liste de finalités qui sont interdites sauf instruction contraire du client et reconnaît explicitement une série de finalités lorsque Microsoft a l'intention d'agir en tant que responsable du traitement. Sa publication en janvier 2020 a représenté un changement significatif vers une plus grande transparence dans la documentation contractuelle des opérations de traitement de Microsoft, et a donc été bien accueillie. Elle ne constituait cependant pas la réponse complète : comme expliqué, elle ne couvrait pas une grande partie du traitement. Il n'était pas non plus clair si elle s'appliquait dans le contexte de l'ILA ou non. En outre, un certain nombre de difficultés subsistent quant à la clarté de la limitation de la finalité. Par exemple, l'addendum sur la protection des données inclut "l'offre d'expériences personnalisées aux utilisateurs" dans la définition de ce que signifie "fournir" un service en ligne. Cela était en contradiction directe avec l'interdiction par défaut du "profilage de l'utilisateur", ce qui a soulevé la question de savoir dans quelle mesure Microsoft interprétait le "profilage de l'utilisateur" de manière étroite. La "fourniture d'un service en ligne" a également été définie en des termes suffisamment vagues pour laisser les questions suivantes sans réponse. Premièrement, la définition était suffisamment large pour inclure l'analyse des données. Par conséquent, il n'était pas clair si le traitement à des fins telles que l'apprentissage automatique de la formation ou les systèmes d'intelligence artificielle était autorisé. Deuxièmement, il n'était pas clair si la fourniture d'un service en ligne ou professionnel particulier incluait uniquement le "dépannage", la "fourniture de capacités fonctionnelles" et l'"amélioration continue" pour ce service ou également pour d'autres ou tous les services en ligne ou professionnels respectivement. Troisièmement, l'"amélioration continue" d'un service a été décrite comme comprenant "l'amélioration de la productivité de l'utilisateur" et de l'"efficacité" de l'utilisateur. La définition de la productivité et de l'efficacité n'est pas claire. Un autre exemple de flou dans la limitation de la finalité, dans l'addendum sur la protection des données, est l'interdiction par défaut qu'il impose au traitement "à des fins publicitaires ou à des fins commerciales similaires". Ces termes n'ont pas été expliqués. Cela était significatif, car Microsoft avait indiqué en 2018 qu'elle n'envisageait pas de faire des recommandations ciblées aux clients pour des produits qu'ils n'utilisent pas ou auxquels ils ne souscrivent pas comme relevant de la publicité ou d'une finalité commerciale similaire. Si Microsoft maintient toujours cette interprétation, elle pourrait considérer que ce traitement relève de la finalité autorisée. L'addendum sur la protection des données a également accordé à Microsoft le droit d'agir en tant que responsable du traitement pour ses "opérations commerciales légitimes", qui ont été définies pour couvrir six finalités. La nature déclarée des six finalités suggérait un chevauchement important avec ce qui pourrait, selon le RPGD, être considéré comme des intérêts légitimes poursuivis par le responsable du traitement. La formulation large et vague ne permettait pas de savoir clairement dans quelle mesure ces finalités étaient nécessaires à la fourniture de services en ligne et de services professionnels. À tout le moins, on peut se demander pourquoi les données à caractère personnel des institutions européennes pourraient être nécessaires pour décider des primes du personnel de Microsoft. Comme expliqué dans la sous-section suivante, **le CEPD a estimé que le traitement par Microsoft en tant que responsable du traitement, notamment pour ses propres intérêts légitimes, n'était pas approprié dans le cadre de l'utilisation par les institutions européennes des produits et services de Microsoft au titre de l'ILA**. ## Conséquences Selon le CEPD, **l'un des aspects les plus préoccupants de l'ILA réside dans le fait que le niveau de discrétion accordé à Microsoft était largement implicite** : l'analyse du CEPD s'est largement fondée sur l'identification des lacunes dans la rédaction du contrat et sur la mise en évidence des conséquences du fait de laisser des lacunes ou des incertitudes dans le contexte particulier. Le CEPD est parvenu à la conclusion que l'ILA accordait à Microsoft des droits de **modification unilatérale** d'une grande portée, malgré la disposition expresse contraire dans les documents négociés. L'analyse par le CEPD de la discrétion accordée à Microsoft par les limitations de la portée de certaines clauses contractuelles reposait sur l'identification des types de traitement qui pourraient ne pas être couverts, en tout ou en partie. Les préoccupations du CEPD concernant les limitations de la finalité dans l'ILA étaient motivées par l'idée que si un contractant est chargé par un responsable du traitement de traiter des données pour des finalités **vaguement définies, cela crée un risque que le contractant définisse plus ou moins ces finalités pour lui-même**. **Un pouvoir discrétionnaire implicite de portée ambiguë et des finalités vaguement définies permettent en fait à un sous-traitant d'agir en tant que responsable du traitement d'une manière qui peut rester entièrement cachée à une organisation qui se procure ses services**. Dans un contrat impliquant un traitement à grande échelle ou un autre traitement à haut risque, cela expose les personnes concernées de manière significative. Cela pourrait conduire à ce qu'un grand nombre de données à caractère personnel soient traitées selon des modalités déterminées par le contractant, plutôt que selon les instructions de l'organisation adjudicatrice. Dans la mesure où le contractant agit en tant que responsable du traitement, la capacité de l'organisation adjudicatrice à demander des comptes au contractant pour ses activités de traitement sera très limitée. Si un organisme public achète des services à un contractant et lui accorde le pouvoir discrétionnaire d'agir en tant que responsable de traitement dans le cadre du RGPD, cela crée un risque supplémentaire qui est propre au mandat d'intérêt public de cet organisme. En vertu du RGPD, le traitement peut être effectué légalement dans la poursuite des intérêts légitimes d'un responsable du traitement. Comme expliqué, l'addendum sur la protection des données permet à Microsoft de procéder à un traitement en tant que responsable du traitement qui semble relever de ce motif. Toutefois, le RPGD ne permet pas que le traitement fondé sur les intérêts légitimes d'un responsable du traitement soit effectué par les autorités publiques dans l'exercice de leurs missions. Il n'existe pas non plus de motifs d'intérêt légitime pour le traitement par les institutions de l'UE au titre du règlement (UE) 2018/1725. Le considérant 25 et l'article 6 du règlement (UE) 2018/1725 [voir également le considérant 50 et l'article 6, paragraphe 4, du GDPR] suggèrent que lorsque les institutions de l'UE utilisent des produits et services informatiques pour exécuter des missions d'intérêt public qui leur sont confiées par le droit de l'UE, tout traitement effectué pour d'autres missions et finalités doit être compatible avec les missions et les rôles des institutions de l'UE. Lorsque les institutions de l'UE agissent en tant que responsables du traitement, elles doivent vérifier si les finalités pour lesquelles un autre traitement ou un traitement ultérieur est effectué sont compatibles en vertu de l'article 6 du règlement (UE) 2018/1725 [voir également l'article 6, paragraphe 4, du GDPR]. Les autorités publiques peuvent souhaiter examiner si, à la lumière des missions qu'elles accomplissent dans l'intérêt public, elles jugent approprié qu'un contractant devienne responsable du traitement - voire responsable conjoint - des données à caractère personnel du personnel et des citoyens simplement en raison de la nécessité pour l'autorité d'externaliser l'informatique pour exécuter ses missions. **Dans son enquête, le CEPD a constaté un risque que les protections conçues pour le contexte d'intérêt public dans lequel les données à caractère personnel sont confiées aux institutions européennes soient contournées par le biais du processus d'externalisation**. ## Recommandations Selon le CEPD, les risques associés à l'exercice du contrôle par Microsoft l'emportent sur les avantages qu'un tel arrangement pourrait offrir aux institutions européennes. Le CEPD a recommandé aux institutions de l'UE de prendre les mesures suivantes - Chaque institution européenne devrait agir en tant que responsable de traitement unique en ce qui concerne son utilisation des produits et services Microsoft dans l'accomplissement de tâches d'intérêt public ou dans l'exercice de l'autorité officielle. - L'accord de licence-cadre devrait prévoir un ordre de préséance non ambigu des documents contractuels. - Les modifications que les institutions européennes ont négociées concernant les conditions standard de Microsoft devraient figurer dans le document contractuel le plus important. Il devrait en être de même pour toutes les dispositions nécessaires pour se conformer au règlement (UE) 2018/1725. - **Il ne devrait être possible de modifier les dispositions de l'ILA relatives à la protection des données que d'un commun accord**. - **Le champ d'application des dispositions de l'ILA relatives à la protection des données devrait être élargi pour couvrir toutes les données personnelles non seulement fournies à Microsoft mais aussi générées par Microsoft, suite à l'utilisation par les institutions européennes de tous les produits et services de Microsoft**. - Les institutions européennes devraient négocier un ensemble de finalités spécifiques, explicites et exhaustives pour couvrir tous les types de données personnelles impliquées dans leur utilisation des produits et services Microsoft. Les finalités devraient être limitées à celles qui sont nécessaires pour que les institutions de l'UE puissent utiliser ces produits et services. Les autres finalités devraient être expressément interdites. # L'accord responsable de traitement/sous-traitants ## Exhaustivité de l'accord ### Évaluation Selon le CEPD, si les institutions européennes devaient rester les seuls responsables du traitement des données à caractère personnel traitées dans le cadre de l'ILA, leur accord entre le responsable du traitement et Microsoft devait être considérablement renforcé. Nombre des éléments nécessaires étaient soit insuffisamment mis en œuvre, soit absents. Les exigences d'un accord conforme entre le responsable du traitement et le sous-traitant sont énoncées à l'article 29 du règlement (UE) 2018/1725 [voir également l'article 28 du GDPR]. Elles imprègnent l'ensemble du présent document. L'article 29, paragraphe 3, du règlement (UE) 2018/1725 exige que la convention entre le responsable du traitement et le sous-traitant soit "contraignante pour le sous-traitant à l'égard du responsable du traitement". **Il n'y a donc pas de place pour qu'un sous-traitant dispose d'un droit illimité de modification unilatérale dans une convention entre le responsable du traitement et le sous-traitant. Un sous-traitant ne doit traiter que sur la base d'instructions documentées du responsable du traitement**. L'article 29, paragraphe 3, du règlement (UE) 2018/1725 exige que la convention entre le responsable du traitement et le sous-traitant définisse "le type de données à caractère personnel et les catégories de personnes concernées ainsi que les obligations et les droits du responsable du traitement". L'analyse du CEPD avait conclu qu'il n'était pas clair quels contrôles contractuels, le cas échéant, s'appliquaient aux différentes catégories de données traitées par Microsoft dans le cadre de l'ILA. **Comme le CEPD l'a vu, bien que Microsoft ait des obligations et des droits attribuables à un responsable du traitement en vertu de l'ILA, ceux-ci n'étaient généralement pas expressément énoncés**. Par conséquent, les obligations et les droits des institutions européennes en tant que responsables du traitement n'ont pas été pleinement énoncés. Les documents négociés dans le cadre de l'ILA ne mentionnaient pas les catégories de personnes concernées, alors qu'elles étaient mentionnées dans l'addendum relatif à la protection des données. L'article 29, paragraphe 3, du règlement (UE) 2018/1725 exige également que le contrat entre le responsable du traitement et le sous-traitant définisse "l'objet du traitement [...], ainsi que la nature et la finalité de celui-ci". L'analyse par le CEPD de la limitation de la finalité du contrat a montré que cela était fait avec une précision insuffisante. Dans cette section, le CEPD se concentre sur deux autres manquements clés au respect de l'article 29 du règlement (UE) 2018/1725 : premièrement, **le manque de contrôle accordé aux institutions européennes sur l'utilisation des sous-traitants secondaires par Microsoft** ; et deuxièmement, **l'absence de droits d'audit effectifs accordés aux institutions européennes** ### Recommandations Le CEPD a recommandé aux institutions européennes de prendre les mesures suivantes. - Élaborer un accord global entre le responsable du traitement et le sous-traitant qui comprenne les rôles et responsabilités du sous-traitant et du responsable du traitement, l'objet, la durée et la nature du traitement, les types de données à caractère personnel concernées, les catégories de personnes concernées, les obligations et les droits des responsables du traitement et des sous-traitants. - Les types de données à caractère personnel et les catégories de personnes concernées doivent être spécifiés de manière aussi détaillée que possible afin de garantir le respect des principes de base, tels que la minimisation des données, les limitations de la finalité et la licéité du traitement. - **Les instructions documentées des institutions de l'UE au titre de l'ILA devraient par exemple porter sur les types de données pouvant être traitées, les personnes autorisées à accéder aux données, les modalités et le lieu de stockage des données, les mesures de sécurité en place, l'autorisation ou non des transferts vers des pays tiers et, dans l'affirmative, les destinataires, les pays et les conditions**. Des instructions doivent être incluses dans le contrat et, en ce qui concerne les instructions complémentaires, les modèles et procédures nécessaires doivent être convenus et annexés au contrat. ## Sous-traitants ### Évaluation Les responsables du traitement sont tenus de n'autoriser le traitement en leur nom que par des sous-traitants offrant des garanties suffisantes qu'ils prendront des mesures pour protéger les personnes concernées. En tant que sous-traitant, Microsoft n'est autorisé à engager un sous-traitant secondaire que sur la base d'une autorisation écrite préalable du responsable du traitement. Si elle le fait sur la base d'une autorisation écrite générale, elle doit donner au responsable du traitement une possibilité réelle d'approuver une liste de sous-traitants secondaires au moment de la signature de l'autorisation générale et une possibilité réelle de s'opposer à toute modification ultérieure des sous-traitants secondaires qu'elle engage. En tant que sous-traitant, Microsoft doit également transférer contractuellement à ses sous-traitants secondaires les obligations en matière de protection des données qui lui incombent en vertu de l'accord de licence. Parmi les obligations à transmettre figurent les engagements de Microsoft à mettre en œuvre les mesures techniques et organisationnelles que le responsable du traitement juge nécessaires. Compte tenu du devoir de responsabilité des responsables du traitement, ceux-ci doivent être en mesure de démontrer qu'ils l'ont fait. Les dispositions du règlement (UE) 2018/1725 (et du GDPR) sur les sous-traitants secondaires visent à donner le contrôle aux responsables du traitement, afin qu'ils puissent respecter leurs obligations en matière de protection des personnes concernées. **Selon le CEPD, l'ILA ne permet pas aux institutions de l'UE d'exercer un contrôle sur les sous-traitants secondaires que Microsoft engage. Il présentait donc un risque pour les personnes concernées**. L'absence de contrôle des institutions européennes est apparue dans les trois éléments suivants. Premièrement, les termes négociés de l'accord-cadre en matière de protection des données contenaient ce qui semblait être une autorisation générale d'engager des sous-traitants secondaires. Cependant, comme beaucoup d'obligations en matière de protection des données prévues par l'ILA, il ne s'appliquait qu'aux données personnelles fournies par l'utilisation des services en ligne. **Le CEPD n'a vu aucune autorisation en place couvrant les autres catégories de données traitées par Microsoft, en vertu de l'ILA**. Deuxièmement, le CEPD a cru comprendre que, dans la pratique, les informations fournies aux institutions européennes sur les nouveaux sous-traitants secondaires comprenaient le nom du sous-traitant secondaire, le type général de service qu'il fournissait et le pays où il était établi. Le CEPD a estimé que ces informations n'étaient pas suffisantes. Selon le CEPD, pour qu'un système d'autorisation générale puisse donner aux institutions de l'UE une possibilité réelle de s'opposer à de nouveaux sous-traitants secondaires, **il faudrait également que les institutions de l'UE sachent quels types de traitement doivent être confiés aux sous-traitants secondaires potentiels, pour quels produits et services spécifiques, et quelles sont les garanties en matière de protection des données et les mesures de sécurité en place**. Sans ces informations, les institutions de l'UE ne pourraient pas montrer aux sous-traitants en question pourquoi elles ont raison de les approuver et ne pourraient donc pas être tenues responsables de leur décision. Troisièmement, si les institutions de l'UE n'approuvaient pas un nouveau sous-traitant, leur seul recours en vertu des conditions négociées de l'ADI était de résilier leur abonnement au service en ligne concerné. **Si le service en ligne concerné faisait partie d'une suite, le seul recours des institutions européennes était de résilier leur abonnement pour l'ensemble de la suite**. Ce recours contractuel risquait d'être dénué de sens dans la pratique. De l'avis du CEPD, **les institutions européennes risquaient de se retrouver sans alternative réaliste à l'utilisation d'un service ou d'une suite Microsoft concerné si elles désapprouvaient un nouveau sous-traitant. Dans de telles circonstances, elles n'auraient effectivement pas leur mot à dire sur le choix du sous-traitant**. Selon le CEPD, il est essentiel que les institutions européennes soient en mesure de refuser l'approbation d'un sous-traitant donné si elles ont des raisons de croire qu'il présente un risque pour la conformité. Cela pourrait être le cas si, par exemple, les audits révélaient des problèmes de conformité concernant ce sous-traitant secondaire. En effet, il est probable que tout responsable du traitement externalisant un traitement à grande échelle ou un autre traitement à haut risque devra être en mesure de donner une approbation valable des sous-traitants secondaires utilisés par le contractant si ce responsable du traitement doit respecter ses propres obligations de conformité. ### Recommandations Le CEPD a recommandé aux institutions européennes de prendre les mesures suivantes. - Évaluer les risques que présentent pour les personnes concernées les sous-traitants actuellement utilisés par Microsoft. - Veiller à ce que l'utilisation de sous-traitants secondaires pour toutes les données à caractère personnel traitées par Microsoft en vertu de l'ILA (et tout changement de sous-traitant secondaire) soit soumise à une autorisation écrite préalable. - Introduire dans l'ILA l'obligation pour Microsoft de fournir des informations complètes, d'une part, sur les sous-traitants secondaires utilisés pour chaque produit ou service fourni aux institutions européennes et pour chaque activité de traitement et catégorie de données à caractère personnel et, d'autre part, sur les garanties de protection des données et les mesures de sécurité (c'est-à-dire les mesures techniques et organisationnelles) mises en place pour chaque sous-traitant secondaire. Cela devrait inclure l'obligation pour Microsoft de fournir sur demande les parties pertinentes de son contrat avec un sous-traitant particulier. - **Introduire des garanties dans l'accord de licence international afin de s'assurer qu'une autorisation préalable est donnée librement pour chaque sous-traitant engagé par Microsoft**. Les institutions de l'UE devraient pouvoir refuser d'autoriser un sous-traitant particulier sans subir de perte de service de ce fait. ## Droits d'audit ### Évaluation En vertu de l'article 29, paragraphe 3, point h), du règlement (UE) 2018/1725 [voir également l'article 28, paragraphe 3, point h), du GDPR], une convention entre le responsable du traitement et le sous-traitant doit contenir deux obligations pour le sous-traitant. Premièrement, le sous-traitant doit mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect de l'ensemble de l'article 29 du règlement (UE) 2018/1725. Deuxièmement, le sous-traitant doit se soumettre aux audits et inspections du responsable du traitement. Ces obligations sont cumulatives : par conséquent, le sous-traitant doit se conformer à toute demande raisonnable relevant de l'une ou l'autre de ces obligations. Elles doivent également être transmises contractuellement à tout sous-traitant secondaire. À la lumière de l'obligation de rendre des comptes qui incombe au responsable du traitement en vertu de l'article 26 du règlement (UE) 2018/1725 [voir également l'article 24 du RPDG], le détail et la portée des droits d'audit prévus dans le contrat doivent refléter "la nature, la portée, le contexte et les finalités du traitement ainsi que les risques [...] pour les droits et libertés des personnes physiques". Compte tenu de la grande quantité de données traitées en raison de l'utilisation par les institutions européennes des produits et services de Microsoft, du grand nombre de personnes concernées et du manque de clarté quant à la nature exacte du traitement, au lieu, à la manière et aux finalités, les circonstances dans lesquelles le CEPD a mené son enquête ont amené les institutions européennes à mettre en œuvre des dispositions d'audit solides et efficaces. Ces dispositions devaient constituer un ensemble d'instructions claires, contraignantes et détaillées des institutions européennes à Microsoft en ce qui concerne la conduite des audits. En vertu de l'article 29, paragraphe 3, deuxième alinéa, du règlement (UE) 2018/1725, le sous-traitant est également tenu d'informer immédiatement le responsable du traitement s'il estime qu'une instruction enfreint le règlement ou la législation de l'UE ou d'un État membre en matière de protection des données. Compte tenu des obligations de conformité du sous-traitant, cela équivaut à une obligation pour le sous-traitant d'être proactif en informant le responsable du traitement s'il constate un problème de conformité avec une instruction qu'il reçoit du responsable du traitement. Les termes négociés de l'accord interinstitutionnel reproduisent le libellé des obligations légales prévues à l'article 29, paragraphe 3, du règlement (UE) n° 2018/1725 qui vient d'être cité. Elles ne fournissent aucun détail sur ce que les institutions de l'UE peuvent attendre de Microsoft pour les remplir. Quelques détails supplémentaires ont été fournis dans l'Addendum sur la protection des données. Le CEPD a appris que Microsoft prendrait des dispositions pour que des audits de sécurité soient effectués au moins une fois par an par des auditeurs de sécurité externes sélectionnés et payés par Microsoft. **Les textes n'expliquaient pas dans quelle mesure ces audits de sécurité couvriraient le respect de la protection des données**. Il s'agissait d'une omission importante : il est possible d'obtenir de bons résultats lors d'un audit de sécurité tout en échouant à un audit de protection des données en raison d'un manque de transparence, d'un traitement ultérieur illégal ou d'autres problèmes de protection des données. **Ils n'ont pas non plus confirmé si les audits de sécurité couvriraient toutes les activités de traitement relevant du champ d'application des conditions des services en ligne ou seulement certaines d'entre elles**, ou s'ils couvriraient également les traitements ne relevant pas du champ d'application des conditions des services en ligne. Ils n'ont pas expliqué si les sous-traitants secondaires étaient couverts. Les données relatives aux services professionnels semblent avoir été exclues du champ d'application des audits de sécurité, ainsi qu'un certain nombre de services en ligne. Dans l'ensemble, les dispositions relatives à l'audit figurant dans l'addendum sur la protection des données suggèrent également que les propres audits de sécurité de Microsoft constituent la base de référence pour assurer la "conformité de l'audit". De l'avis du CEPD, il s'agissait là d'une hypothèse erronée. Les audits de protection des données, qui évaluent le respect des obligations imposées par le règlement (UE) 2018/1725, ont une portée plus large et appliquent des normes différentes aux audits de sécurité. En outre, **les audits mandatés par Microsoft lui-même avec une portée (limitée) de son choix ne pourraient jamais équivaloir aux droits d'audit effectifs des responsables du traitement** prévus par le règlement (UE) 2018/1725. En effet, l'article 29, paragraphe 3, point h), du règlement (UE) 2018/1725 impose à Microsoft l'obligation contractuelle d'autoriser les audits "réalisés par le responsable du traitement" ou "mandatés par le responsable du traitement". L'addendum relatif à la protection des données contenait un engagement de Microsoft de "répondre rapidement" à toute instruction d'audit supplémentaire, "dans la mesure où les exigences du client en matière d'audit [...] ne peuvent raisonnablement être satisfaites par les rapports d'audit, la documentation ou les informations de conformité que Microsoft met généralement à la disposition de ses clients". Le CEPD a reconnu deux problèmes liés à cette rédaction. Premièrement, les informations fournies par Microsoft et les auditeurs mandatés par Microsoft pourraient fournir aux institutions européennes un certain niveau d'assurance. **Mais cela ne pourrait pas remplacer la capacité des institutions européennes à rassembler et à vérifier les preuves des déclarations de Microsoft elles-mêmes. Les informations fournies par Microsoft et ses auditeurs ne constituent donc pas un moyen de "satisfaire raisonnablement"** aux exigences des institutions européennes en matière d'audit. Elles constituaient plutôt un moyen pour les institutions européennes d'identifier les domaines sur lesquels elles devaient concentrer leurs contrôles. Deuxièmement, il ne suffisait pas que Microsoft "réponde" rapidement aux instructions d'audit des institutions européennes. Une réponse pourrait être un refus d'autoriser un audit des institutions de l'UE dont la portée chevauche celle de ses propres audits. Ce pouvoir discrétionnaire appartient à un responsable de traitement. Dans l'ensemble, **les droits d'audit des institutions de l'UE prévus par l'ILA n'étaient pas suffisamment solides compte tenu des risques posés par le traitement**. Il y avait également un manque de détails sur la manière dont Microsoft devait remplir son obligation de permettre et de contribuer aux audits. Enfin, leur portée était trop limitée. **Les institutions de l'UE risquaient de ne pas pouvoir tenir Microsoft responsable et, par conséquent, de ne pas pouvoir s'acquitter de leur propre obligation de rendre des comptes**. Le CEPD a apprécié qu'un fournisseur de services à grande échelle veuille éviter un nombre ingérable d'audits différents menés par des clients différents. Mais le règlement (UE) 2018/1725 est clair : les responsables de traitement doivent pouvoir auditer les sous-traitants et leurs sous-traitants. Le CEPD a également estimé qu'il devrait être possible d'organiser des audits qui satisfassent plusieurs clients à la fois. ### Recommandations Le CEPD a fait les recommandations suivantes aux institutions de l'UE. - **L'ILA devrait être modifié afin de prévoir des droits d'audit détaillés, efficaces et applicables pour le responsable du traitement et pour le CEPD**. - L'ILA devrait également exiger que Microsoft mette à la disposition des institutions européennes toutes les informations nécessaires pour démontrer la conformité avec l'article 29 du règlement (UE) 2018/1725. Selon le CEPD, les dispositions contractuelles devraient couvrir les informations sur le fonctionnement des systèmes utilisés, l'accès aux données et les destinataires, les sous-traitants secondaires, les mesures de sécurité, la conservation des données à caractère personnel, la localisation des données, les transferts de données à caractère personnel ou tout autre traitement ultérieur des données à caractère personnel. Microsoft devrait également être tenu d'informer les institutions de l'UE s'il a apporté des modifications substantielles qui sont pertinentes du point de vue de la protection des données, afin d'inciter les institutions de l'UE à accéder aux informations sur ces modifications et à les évaluer. - L'ILA devrait inclure des dispositions détaillant la manière dont Microsoft doit appliquer en pratique ses ,obligations au titre de l'article 29, paragraphe 3, deuxième alinéa, du règlement (UE) 2018/1725. - En tant que responsables de traitement, les institutions de l'UE doivent établir un programme d'audit consistant en des audits réguliers réalisés par leur équipe d'audit interne ou externe. La portée et la fréquence des audits devraient refléter l'ampleur du traitement et les risques pour les personnes concernées. - Les audits menés dans le cadre de l'ILA devraient permettre de recueillir des preuves factuelles du respect par Microsoft de ses obligations. - Les résultats d'audit significatifs devraient être communiqués aux niveaux de gestion appropriés au sein des institutions de l'UE. Les résultats devraient permettre aux institutions de l'UE d'identifier et d'agir sur tout problème de conformité. Ils devraient également être fournis au CEPD à sa demande. # Localisation, transfert et divulgation des données L'enquête du CEPD a révélé que les institutions européennes n'étaient pas en mesure de **contrôler la localisation d'une grande partie des données traitées par Microsoft. Elles n'avaient pas non plus le contrôle total sur ce qui était transféré hors de l'UE/EEE. Il y avait également un manque de garanties appropriées pour protéger les données qui ont quitté l'UE/EEE. Cela a eu un impact pratique négatif sur la capacité des institutions de l'UE à tenir Microsoft pour responsable**. Les institutions de l'UE avaient également peu de garanties qu'elles étaient en mesure de défendre les privilèges et immunités qui leur étaient accordés en vertu du traité sur le fonctionnement de l'Union européenne ("TFUE"), et que Microsoft ne divulguerait des données personnelles que dans la mesure où la législation de l'UE le permettait. Dans cette section, le CEPD examine successivement les questions de la localisation des données, des transferts internationaux et de la divulgation, qui se recoupent. ## Localisation des données Au moment où le CEPD a clôturé son enquête en mars 2020, le lieu (de stockage) de (certaines) données était spécifié dans les conditions des services en ligne. Selon les conditions des services en ligne, **l'obligation de stocker des données dans l'UE ne s'appliquait qu'à un sous-ensemble de données fournies par l'utilisation de certains "services en ligne de base"**. Les services en ligne de base comprenaient les services Microsoft Office 365 et certains services Microsoft Azure. Pour les services Office 365, Microsoft s'est engagé à ne stocker que le contenu de la boîte aux lettres Exchange Online, le contenu du site SharePoint Online et les fichiers téléchargés sur OneDrive for Business dans l'UE. Les données fournies par l'utilisation d'autres services Office 365 ne semblaient pas couvertes, pas plus que les informations sur l'identité des utilisateurs ou les métadonnées. **Pour les services Microsoft Azure Core, tels que Azure Active Directory (utilisé pour la gestion des identités des utilisateurs dans les services Microsoft Online), les conditions des services en ligne le prévoyaient expressément que : "Certains services peuvent ne pas permettre au client de configurer le déploiement dans [l'UE/EEE] ou en dehors des États-Unis et peuvent stocker des sauvegardes dans d'autres endroits"**. L'addendum relatif à la protection des données précise également que "[e]xcepté comme décrit ailleurs dans le DPA, **les données des clients et les données personnelles que Microsoft traite pour le compte du client peuvent être transférées, stockées et traitées aux États-Unis ou dans tout autre pays dans lequel Microsoft ou ses sous-traitants opèrent"**. L'obligation de stocker les données dans l'UE/EEE ne s'applique donc qu'à un sous-ensemble des données traitées par Microsoft lorsqu'il fournit des "services en ligne de base". Le lieu de stockage des données ne faisant pas partie de ce sous-ensemble n'était pas clair, tout comme le lieu de stockage des données transférées en dehors de l'UE/EEE. Les termes négociés de l'accord-cadre ont permis de localiser les données collectées par Microsoft à l'endroit choisi par l'entreprise. Dans la mesure où Microsoft recueillait des données personnelles sur les produits et services en tant que responsable du traitement, **la déclaration de confidentialité de Microsoft n'était pas contraignante**. Les institutions de l'UE n'étaient donc pas libres de décider où stocker leurs données. Elles n'étaient pas non plus libres de décider des transferts en dehors de l'UE/EEE. **Selon le CEPD, les dispositions de l'ILA et la déclaration de confidentialité de Microsoft ne permettaient même pas aux institutions de l'UE d'identifier l'emplacement de tous les différents types de données à caractère personnel traitées dans le cadre de ces dispositions**. ## Transferts internationaux Lorsque des transferts internationaux vers des pays tiers ou des organisations internationales sont nécessaires, ils ne devraient être effectués que dans le strict respect des règles de transfert applicables et après une évaluation documentée des risques pour les droits et libertés des personnes concernées. Il appartient aux responsables du traitement de décider d'autoriser ou non un transfert. Le CEPD a cru comprendre que les institutions européennes avaient signé l'ILA avec Microsoft Irlande. Le CEPD a également estimé que dans le cadre de l'ILA, toutes les garanties mises en place conformément aux règles internationales de transfert étaient jusqu'à présent contractuelles. À la connaissance du CEPD, le groupe Microsoft n'avait pas mis en place de règles d'entreprise contraignantes autorisées en vertu de la RGPD ou des instruments qui l'ont précédée. En vertu de l'addendum relatif à la protection des données, en exécutant l'ADI, les institutions de l'UE étaient également réputées avoir exécuté un ensemble de clauses contractuelles types ("SCC") pour les transferts internationaux de données, avec Microsoft Corporation. En conséquence, les institutions de l'UE avaient à la fois une relation directe avec un sous-traitant basé dans l'UE (Microsoft Irlande) qui pouvait effectuer des transferts internationaux à ses sous-traitants secondaires, et une relation directe avec Microsoft Corporation en tant que sous-traitant non basé dans l'UE/EEE qui pouvait également effectuer des transferts internationaux ultérieurs à ses sous-traitants secondaires. **Le CEPD a cru comprendre que la grande majorité du traitement des données à caractère personnel était en pratique effectuée par Microsoft Corporation et ses sous-traitants secondaires, et non par Microsoft Ireland et ses sous-traitants secondaires**. Compte tenu de cette matrice contractuelle, les institutions de l'UE avaient besoin des deux niveaux de garanties contractuelles suivants. Premièrement, elles devaient donner des instructions à Microsoft Ireland et à Microsoft Corporation dans l'ILA sur la mesure dans laquelle les données à caractère personnel pouvaient être transférées hors de l'UE/EEE, dans quelles conditions et avec quelles garanties. Ces instructions devaient être reprises dans les SCC pour les transferts signés par les institutions de l'UE avec Microsoft Corporation. À la lumière de ce scénario, il faudrait il convient d'utiliser les SCC adoptées en vertu de l'article 48, paragraphe 2, point b) ou c), du règlement (UE) 2018/172545 entre les institutions de l'UE et Microsoft Corporation. Toutefois, étant donné qu'il n'existe pas encore de tels centres, les institutions de l'UE pourraient, à titre de mesure provisoire, recourir aux dispositions des centres de surveillance du trafic telles que celles adoptées en vertu de la décision 2010/87/UE de la Commission, sous réserve de l'autorisation du CEPD au titre de l'article 48, paragraphe 3, point a), du règlement (UE) 2018/1725. La position au titre de l'ILA était différente, dans la mesure où elle présentait, selon le CEPD, les points suivants. Tout d'abord, comme expliqué dans la sous-section précédente sur la localisation des données, les instructions prévues par l'ILA concernant les données à caractère personnel que Microsoft pouvait transférer en dehors de l'UE/EEE, le moment et les fins de ce transfert, étaient limitées dans leur portée et faibles. Deuxièmement, les instructions des institutions de l'UE sur les garanties auxquelles ces transferts devaient être soumis manquaient de précision. L'accord-cadre négocié engageait essentiellement Microsoft à respecter ses obligations légales et ne donnait pas plus de détails sur la manière dont elles devaient être mises en œuvre. Troisièmement, il n'était pas clair si les instructions des institutions européennes dans les documents négociés de l'ILA étaient destinées à lier Microsoft Corporation ainsi que Microsoft Irlande. Microsoft Corporation n'était pas expressément liée et, à la connaissance du CEPD, n'était pas signataire de ces documents. À la lumière de la matrice contractuelle, le CEPD a estimé qu'il était nécessaire que les instructions des institutions de l'UE lient sans ambiguïté les deux entités. Quatrièmement, **les SCC pour les transferts contresignées par Microsoft Corporation n'étaient pas conformes**. Les préoccupations du CEPD étaient les suivantes. Les responsables du traitement souhaitant utiliser les codes de sécurité pour les transferts adoptés par la Commission européenne (tels que les SCC adoptés en vertu de la décision 2010/87/UE de la Commission) doivent compléter les annexes pour préciser avec précision l'objet, la durée, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, ainsi que les mesures de sécurité à appliquer aux données qui sont transférées. Le contenu des annexes doit être adapté à chaque produit et service concerné et à chaque destinataire (y compris les sous-traitants). Ce n'est qu'à cette condition que la description peut correspondre à la relation spécifique entre le responsable du traitement et le sous-traitant concerné. Dans sa mise en œuvre standard de ces SCC pour les transferts, Microsoft a pré-rempli la description du traitement dans les annexes. Les listes des personnes concernées et des catégories de données étaient génériques et rédigées de manière générale, car elles étaient conçues pour être identiques pour tous les clients. En fonction des besoins opérationnels de chaque institution européenne, il se peut que certaines catégories ne s'appliquent pas ou que certaines entrent dans la catégorie fourre-tout des "autres données à caractère personnel". Le libellé des annexes visait à surmonter la nature générique des listes en indiquant que "l'utilisateur peut choisir d'inclure des données à caractère personnel provenant de l'une des [catégories/types de personnes concernées] suivantes dans les données relatives aux clients". Pourtant, cela va à l'encontre de l'objectif consistant à décrire clairement l'étendue du transfert. Étant donné que les **SCC pour les transferts devraient être spécifiques** à chaque relation responsable de traitement/sous-traitants, il était également inapproprié qu'ils soient négociés (ou imposés par Microsoft) au niveau de l'incorporation dans un accord-cadre couvrant un grand nombre d'institutions européennes. Chaque responsable du traitement devrait pouvoir spécifier le traitement en question dans tout SCC pour les transferts qu'il conclut avec Microsoft Corporation. Une option pour se mettre en conformité serait un ensemble de clauses comprenant un système de cases à cocher dans les annexes, à remplir et à contresigner par chaque responsable de traitement. Comme pour de nombreux autres engagements de l'ILA, ces SCC de transfert ne s'appliquaient qu'aux données fournies par l'utilisation de services en ligne. Le CEPD n'avait pas connaissance de l'existence d'un mécanisme contractuel correspondant pour les produits et services qui n'étaient pas des services en ligne, ni des données collectées et traitées par Microsoft en tant que responsable du traitement. Selon le CEPD, si de telles données devaient être traitées ou transférées, elles devaient être réglementées au niveau de l'ILA. Les instructions des institutions européennes à ce niveau devaient alors être reflétées dans les éventuels SCC pour les transferts signé avec Microsoft Corporation et dans tous les autres SCC que Microsoft Corporation a conclus avec des sous-traitants concernant les transferts qui leur sont faits. Enfin, étant donné que les SCC n'étaient conformes que si les parties n'apportaient aucune modification à ces conditions (autre que de remplir les annexes), les SCC devaient prévaloir sur les autres conditions contractuelles dans la hiérarchie contractuelle de l'ILA. **Cela n'était pas certain étant donné l'ordre de préséance ambigu établi dans d'autres documents contractuels formant l'ADI**. ## Divulgation non autorisée Le protocole n° 7 du TFUE prévoit l'inviolabilité des biens, avoirs, archives, communications et documents de l'UE. Il découle du protocole n° 7 qu'un sous-traitant engagé par les institutions de l'UE ne doit divulguer les données à caractère personnel qu'il traite pour le compte des institutions de l'UE que s'il en informe l'institution concernée et obtient son accord, ou avec l'autorisation de la Cour de justice. L'article 49 du règlement (UE) 2018/1725 [voir également l'article 48 du RPDG] dispose que les décisions administratives ou judiciaires de pays tiers de divulguer des données à caractère personnel ne doivent être exécutées que si elles sont fondées sur un accord international auquel l'UE est partie. L'article 4, paragraphe 1, point f), du règlement (UE) 2018/1725 impose aux institutions de l'UE de garantir l'intégrité et la confidentialité des données à caractère personnel traitées pour leur compte. **Ces obligations légales s'accordent mal avec les dispositions de l'ILA sur la divulgation. L'addendum sur la protection des données permettait à Microsoft de répondre positivement aux demandes d'accès aux données lorsqu'elle estimait avoir une obligation légale de le faire**. Microsoft n'informait même pas ses clients d'une demande si "la loi l'interdisait " .Pour autant que le CEPD le sache, il n'y avait aucun engagement contractuel concernant les divulgations qui couvraient des données à caractère personnel ne faisant pas partie de ce sous-ensemble. À la lumière de l'analyse du CEPD selon laquelle Microsoft a conservé un pouvoir discrétionnaire dans le traitement des données en tant que responsable du traitement, au moins une partie de ces données était susceptible d'être soumise aux politiques de Microsoft mentionnées dans la déclaration de Microsoft sur la vie privée. **Cela a permis à Microsoft de divulguer des données personnelles (y compris les données sur les clients, les données sur les administrateurs, les données de paiement et les données d'assistance) à des tiers, y compris les services répressifs ou d'autres agences gouvernementales**. Pour autant que le CEPD le sache, il n'y avait aucun engagement contractuel concernant les divulgations qui couvraient des données à caractère personnel ne faisant pas partie de ce sous-ensemble. À la lumière de l'analyse du CEPD selon laquelle Microsoft a conservé un pouvoir discrétionnaire dans le traitement des données en tant que responsable du traitement, au moins une partie de ces données était susceptible d'être soumise aux politiques de Microsoft mentionnées dans la déclaration de Microsoft sur la vie privée. Cela a permis à Microsoft de divulguer des données personnelles (y compris les données sur les clients, les données sur les administrateurs, les données de paiement et les données d'assistance) à des tiers, y compris les services répressifs ou d'autres agences gouvernementales. Le protocole n° 7 et le règlement (UE) 2018/1725 protègent les institutions de l'UE contre les demandes de divulgation que les sous-traitants engagés par elles peuvent recevoir des gouvernements des États membres de l'UE. **Le protocole et le règlement ne protègent pas nécessairement les institutions de l'UE contre les demandes de divulgation émanant de gouvernements de pays tiers et de sous-traitants relevant de leur juridiction**. **En fonction des lois de ce pays tiers et de leur portée extraterritoriale, ces sous-traitants peuvent être confrontés à un conflit et estimer prudent de se conformer aux lois du pays tiers même si cela les met en infraction avec le droit européen**. **Par conséquent, si les institutions de l'UE font appel à des sous-traitants ayant des liens avec les gouvernements de pays tiers, elles peuvent en fait choisir de renoncer aux protections offertes par le protocole et le règlement contre la divulgation non autorisée**. ## Conséquences À la lumière de la position adoptée dans le cadre de l'ILA et des circonstances des relations des institutions européennes avec Microsoft, les difficultés pratiques suivantes se sont présentées. Si les données à caractère personnel des utilisateurs des institutions de l'UE et d'autres personnes concernées étaient situées et traitées en dehors de l'UE/EEE, **il devenait beaucoup plus difficile pour les institutions de l'UE de mettre en place des mesures efficaces pour assurer le respect du règlement (UE) 2018/1725 et de vérifier le respect de celui-ci en leur qualité de responsables du traitement**. **Le manque d'information et de contrôle sur les données en transit était également préoccupant**. Les flux transfrontaliers de données à caractère personnel menacent la continuité du niveau de protection garanti dans l'UE. Sans une image précise des pays par lesquels les données sont susceptibles de transiter, **il devient très difficile pour les institutions de l'UE d'évaluer les garanties techniques, organisationnelles, sécuritaires et contractuelles qu'elles doivent mettre en œuvre avant qu'un transfert ne soit initié**. Elles risquent donc de compromettre leur mise en œuvre des principes de protection des données (par exemple, la minimisation des données, la limitation des finalités) ainsi que la confidentialité et la sécurité des données qui sont transmises. Pourtant, l'avocat général Saugmandsgaard Øe a récemment souligné la nécessité pour les responsables du traitement d'assurer la protection des données à caractère personnel, non seulement après leur arrivée dans un pays tiers, mais aussi après le début du transfert, donc aussi pendant le transit. Une fois que les données à caractère personnel se trouvent en dehors de l'UE/EEE, en l'absence d'une décision d'adéquation couvrant le pays tiers de destination ou de garanties appropriées, les personnes concernées peuvent également éprouver des difficultés à exercer leurs droits. **Dans ces circonstances, les droits des personnes concernées, le droit de porter plainte auprès d'une autorité de contrôle indépendante, le droit de demander un recours judiciaire et le droit de demander une indemnisation pourraient tous être affectés**. La Cour a déclaré à plusieurs reprises qu'un contrôle effectif, explicitement requis par l'article 8, paragraphe 3, de la Charte, par une autorité indépendante de protection des données est une composante essentielle de la protection des données à caractère personnel. Microsoft et ses sous-traitants risquent donc de ne pas être tenus suffisamment responsables du traitement en vertu de l'ILA. Si les données n'étaient pas traitées dans l'UE/EEE, il risquait également de devenir très difficile pour les institutions de l'UE d'appliquer le droit européen pour empêcher leur divulgation. **En particulier, si les données étaient situées dans un pays tiers, les autorités compétentes de ce pays pourraient demander l'accès aux données dans le cadre d'une action répressive ou en vertu de la législation sur la conservation des données**. Dans ce contexte, la préférence du CEPD est que, en règle générale, le traitement des données personnelles confiées par les institutions européennes à Microsoft ait lieu dans l'UE/EEE. ## Recommandations Le CEPD a fait les recommandations suivantes aux institutions de l'UE. - L'ILA devrait inclure des dispositions détaillant, pour chaque produit et service Microsoft fourni dans le cadre de l'ILA, la localisation des données collectées et traitées lorsque les institutions de l'UE utilisent ce produit ou service spécifique. - **L'ILA devrait explicitement exiger de Microsoft qu'il mette en place des garanties contractuelles, organisationnelles et de sécurité appropriées en cas de transferts internationaux de données. En particulier, l'ILA devrait exiger de Microsoft qu'il mette en place des mesures de sécurité solides pour couvrir les données en transit**. - Toute utilisation des SSC pour les transferts devrait être conforme à la législation de l'Union applicable. - **L'ILA devrait interdire à Microsoft (et aux sous-traitants secondaires) de divulguer des données à caractère personnel aux autorités des États membres, aux autorités de pays tiers, aux organisations internationales ou à d'autres tiers**, sauf si cela a été expressément autorisé par le droit de l'Union, ou par le droit des États membres dans la mesure où les conditions prévues par le droit de l'Union pour une telle divulgation étaient remplies. - L'ILA devrait exiger que Microsoft informe les institutions européennes concernées de toute demande d'accès à des données reçue par Microsoft ou les sous-traitants secondaires, dès réception de la demande. En règle générale, Microsoft devrait rediriger les demandes vers l'institution européenne concernée et solliciter ses instructions. En tout état de cause, Microsoft devrait contester les demandes d'accès, en épuisant tous les recours juridiques disponibles. **Aucune divulgation de données par Microsoft ou par des sous-traitants secondaires ne devrait être autorisée sans notification, accord et instruction préalables de l'institution européenne concernée et sans que des garanties appropriées soient mises en place**. Si une institution de l'UE choisit de ne pas divulguer des données, celles-ci ne devraient être divulguées que sur ordre de la Cour de justice européenne. - En plus d'exiger que les demandes d'accès aux données soient notifiées à Microsoft, les institutions de l'UE devraient demander à Microsoft, une fois par an, des informations pour savoir si des données des institutions de l'UE ont été divulguées et, dans l'affirmative, quelles mesures ont été prises en conséquence. Les responsables du traitement des données concernés et leurs délégués à la protection des données doivent évaluer les informations reçues. Les institutions européennes devraient ensuite prendre toute autre mesure nécessaire pour garantir que l'interdiction contractuelle de divulgation, les procédures de notification et les garanties convenues soient respectées. - À moins que les recommandations du CEPD concernant les sous-traitants secondaires, la localisation des données, les transferts internationaux et la divulgation non autorisée n'aient été mises en œuvre, l'ILA devrait exiger que tout traitement de données à caractère personnel confié à Microsoft ou à ses sous-traitants secondaires par les institutions européennes ait lieu en règle générale au sein de l'UE/EEE. Cette exigence devrait couvrir le traitement à des fins de sauvegarde des données, de continuité des activités et d'exécution d'opérations à distance. - À moyen terme, si les institutions de l'UE souhaitent maintenir les protections offertes par le protocole n° 7 du TFUE et le règlement (UE) 2018/1725 contre la divulgation non autorisée, elles devraient sérieusement envisager de le faire : - premièrement, de s'assurer que les données traitées pour leur compte se trouvent dans l'UE/EEE, et - **deuxièmement, n'utiliser que des prestataires de services qui ne sont pas soumis à des lois de pays tiers en conflit avec la portée extraterritoriale**. # Mesures techniques ## Contexte En 2016, la Commission a identifié un problème de sécurité et de protection des données posé par la collecte de données de diagnostic par Microsoft à partir de ses logiciels. Les logiciels concernés étaient principalement Office Pro Plus 2016 et Windows 10 Enterprise. **Ce logiciel n'offrait pas de moyens intégrés permettant aux institutions européennes de gérer ou d'arrêter complètement les flux de données de diagnostic vers Microsoft**. Le travail de la Commission pour détecter et atténuer les problèmes de sécurité et de protection des données posés par les logiciels de Microsoft a illustré le fait qu'au niveau technique (donc pas seulement contractuel), l'approche adoptée par Microsoft pour fournir ses produits et services **n'était pas entièrement conforme aux principes de protection des données par conception et par défaut**. Les responsables du traitement sont tenus de mettre en œuvre des mesures techniques et organisationnelles pour assurer la protection des données par conception et par défaut et de respecter leur obligation de rendre des comptes. Le CEPD a publié des lignes directrices à l'intention des institutions européennes pour les aider dans cette tâche. D'une manière générale, le CEPD recommande que les responsables du traitement évaluent également la nécessité d'une évaluation des risques en matière de protection des données lorsqu'ils envisagent d'utiliser des produits ou des services offerts par des fournisseurs tiers, qui traitera de grandes quantités de données à caractère personnel. ## Recommandations Dans le contexte particulier de l'ILA et des produits et services que les institutions européennes utilisaient au moment de l'enquête, le CEPD a émis les recommandations suivantes. - Toutes les institutions de l'UE devraient effectuer des tests pour vérifier le flux de données personnelles vers Microsoft à partir de ses produits et services actuels et futurs, en suivant une approche complète et documentée. Cette approche devrait, en particulier : - couvrir les habitudes d'utilisation normales de leurs utilisateurs concernant les produits et services Microsoft à tester ; - analyser l'ensemble du trafic sortant des ordinateurs des utilisateurs et toutes ses destinations afin de distinguer les flux de données des logiciels Microsoft vers les serveurs Microsoft ou ses sous-traitants. - Les institutions européennes doivent également surveiller les mises à jour des produits Microsoft et se mettre en rapport avec la société pour leur configuration afin d'éliminer tout transfert illégal de données à caractère personnel. - Lorsqu'une institution de l'UE négocie l'achat de produits ou de services logiciels au nom d'autres institutions de l'UE, l'institution de l'UE qui négocie doit informer l'autre institution de l'UE de tout problème de protection des données qu'elle identifie avec les produits ou services. - Les institutions de l'UE devraient partager entre elles l'expertise technique et les solutions pour éliminer tout transfert illégal de données à caractère personnel à Microsoft. - Lorsque les institutions de l'UE prévoient d'utiliser des produits et services Microsoft qu'elles n'utilisent pas encore (tels que Microsoft Office 365 ou les services de cloud Microsoft Azure), elles devraient procéder à des évaluations complètes des risques que présentent ces produits et services en matière de protection des données avant de les déployer. # Transparence L'abondance des documents contractuels, les chevauchements et les conflits de conditions qu'ils contiennent, l'absence d'un ordre de préséance clair et les mises à jour mensuelles des termes en font, à tout le moins, les institutions, organes et organismes de l'UE ont du mal à s'acquitter de leurs obligations en matière d'information aux personnes concernées, conformément à l'article 4, paragraphe 1, point a), du règlement (UE) n° 2018/1725 [voir aussi l'article 5(1)(a) du GDPR]. ## Recommandations Dans le contexte particulier de la transparence envers la personne concernée, qui lui permet d'exercer ses droits en matière de protection des données et autres, le CEPD a émis les recommandations suivantes. - Obtenir un niveau d'assurance suffisant quant à l'objet et la durée du traitement, la nature, la portée et les finalités du traitement, les catégories de données à caractère personnel et de personnes concernées et les risques encourus par les personnes concernées pour permettre aux institutions de l'UE de remplir leurs obligations de transparence. - Préparer une note sur la protection des données dans le cadre des informations à mettre à la disposition des personnes concernées conformément aux articles 15 et 16 du règlement (UE) 2018/1725. # Conclusion Le CEPD conseille aux organisations de ne pas envisager de faire appel à un sous-traitant (ou sous-traitant ultérieur) qui ne serait pas disposé à fournir des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées de telle sorte que le traitement réponde aux exigences des règles de l'UE en matière de protection des données et garantisse la protection des droits des personnes concernées. Pour respecter le principe de la protection des données à la conception et par défaut, les organisations doivent vérifier, tant au moment où le traitement est prévu que pendant le traitement, si aucune autre solution logicielle alternative ne permet de garantir une meilleure protection de la vie privée. Le CEPD reconnaît que la ligne de conduite recommandée aux institutions de l'UE peut sembler une tâche difficile pour un grand nombre, sinon la plupart, des clients de Microsoft qui utilisent des licences en volume. Les responsables du traitement des institutions européennes craignaient certainement qu'un fournisseur de services à grande échelle accepte des modifications contractuelles telles que celles préconisées par le CEPD, qui seraient soit contraires au sens commercial, soit peu pratiques, ou les deux. Le CEPD a constaté que Microsoft s'est montré, dans une certaine mesure, prêt à envisager certaines solutions pour répondre aux besoins des institutions européennes en matière de conformité. Lorsqu'un contractant s'engage à protéger les données, il semble possible de renforcer la protection des personnes concernées d'une manière qui soit commercialement acceptable et qui puisse satisfaire de nombreux clients à la fois. Le CEPD encourage donc les responsables du traitement à ne pas se décourager à l'idée de négocier avec un sous-traitant les instructions qu'ils jugent nécessaires pour protéger les droits et libertés des personnes concernées, même lorsqu'ils sont confrontés à un partenaire commercial d'une taille considérable.