Les fonctionnaires de la Commission s'inquiètent d'une dépendance à Microsoft
Selon des documents internes consultés par Euractiv, les fonctionnaires de la Commission européenne craignent que leur forte dépendance à l’égard de Microsoft constitue une violation des règles de l’Union européenne (UE) en matière de protection données.
BRUXELLES – Selon des documents internes consultés par Euractiv, les fonctionnaires de la Commission européenne craignent que leur forte dépendance à l’égard de Microsoft ne constitue une violation des règles de l’Union européenne (UE) en matière de protection des données.
Ces documents viennent contredire les déclarations publiques de l’exécutif, alors que l’utilisation par la Commission de Microsoft365 comme espace de travail numérique avait déjà soulevé des inquiétudes en matière de sécurité et de vie privée.
Le Contrôleur européen de la protection des données (CEPD), principal organe habilité à surveiller l’utilisation de Microsoft par la Commission, a ordonné à l’institution européenne d’explorer des solutions moins intrusives que celles proposées par le géant américain.
Peu de mesures semblent cependant avoir été prises en ce sens.
L’affaire offre un exemple frappant du fossé qui sépare le désir d’autonomie de l’Europe dans des domaines sensibles comme l’informatique, et la réalité de sa dépendance à l’égard de la technologie américaine.
« Il n’y a pas d’offres crédibles connues de la part de fournisseurs européens », peut-on lire dans un document interne de la Commission, consulté par Euractiv.
Les autorités françaises, en particulier, ont exprimé leur préoccupation quant aux « risques potentiels associés à l’utilisation de solutions basées aux États-Unis », ajoute la note.
Dans un autre rapport récent de la Direction générale des services numériques (DG DIGIT) examiné par Euractiv, le malaise au sujet d’« un pouvoir excessif entre les mains de quelques entreprises non européennes, les risques associés à un fournisseur unique [hausses de prix, difficultés de migration], et la perte potentielle de compétences internes » est longuement évoqué — des menaces que la Commission n’a pas encore reconnues publiquement.
Le rapport décrit également, de manière très positive, les initiatives des États membres visant à développer des alternatives à Microsoft, mais conclut seulement que la DG DIGIT « prévoit » de les évaluer en interne en tant que « complément possible » pour des mesures « à petite échelle » avec une « portée très restreinte ».
Concernant les projets d’évaluation interne, la Commission a indiqué qu’elle suivait de près l’utilisation des logiciels libres dans l’UE et qu’elle se décrivait comme une « adepte des logiciels libres ».
« Cependant, à ce stade, aucune alternative fonctionnellement équivalente à une plateforme comme Microsoft365 n’a été identifiée », a déclaré Thomas Regnier, porte-parole de la Commission.
Microsoft s’est refusé à tout commentaire, se référant à la Commission, tout en rappelant que c’est l’institution européenne qui était soumise à une enquête du CEPD.
La Commission n’a qu’un contrôle limité sur les données sensibles et confidentielles du logiciel Microsoft. Sans alternative, elle n’aurait que peu d’influence pour empêcher la multinationale américaine de fixer le prix qu’elle souhaite dans les négociations contractuelles en cours — et qui ont déjà pris du retard.
« Les parties ne convergent toujours pas sur le contenu ou le prix », et « si les négociations ne sont pas finalisées d’ici février, nous aurons des problèmes », peut-on lire dans un résumé du sous-groupe « Cloud » et « Digital Workplace » de l’Interinstitutional Committee for Digital Transformation (ICDT) lors du Conseil du 21 novembre dernier.
La Commission contre le CEPD
En mars 2024, le CEPD avait ordonné à la Commission de revoir le contrat signé avec Microsoft, afin de mettre ses pratiques en conformité avec le règlement sur la protection des données par les institutions européennes (EUDPR).
Selon le CEPD, le contrat ne prévoit pas de garanties suffisantes pour empêcher la divulgation non autorisée de données à caractère personnel, ou les transferts illégaux de données vers des pays dont la législation en matière de protection de la vie privée est faible.
La Commission avait répondu en introduisant un recours contre le CEPD, qualifiant l’ordonnance d’« interprétation et d’application erronées » du EUDPR.
Le 6 décembre — trois jours avant l’entrée en vigueur de la décision —, la Commission a envoyé au CEPD un rapport et des documents justificatifs pour démontrer qu’elle se conformait à la décision.
Questionné sur la situation, le porte-parole de la Commission a réitéré que le « déploiement de Microsoft365 est conforme aux exigences du [EUDPR] et que cela a été suffisamment démontré au cours de l’enquête du CEPD ».
Le CEPD examine actuellement les documents, mais a confirmé dans un communiqué de presse publié le 10 décembre que « la décision du 8 mars 2024 reste pleinement applicable ».
Si le CEPD n’est responsable que du contrôle de la confidentialité des données, le manque de vérification souligné par l’autorité indépendante quant à l’usage de Microsoft par la Commission relève plus largement des questions fondamentales de sécurité.
Pas d’organe similaire au CEPD pour la cybersécurité
Selon les règles de l’UE, les documents ou réunions hautement classifiés ne doivent pas être traités par Microsoft365.
Pourtant, selon le témoignage d’un fonctionnaire d’une institution européenne à Euractiv, sous couvert d’anonymat, l’absence d’alternatives souveraines et sécurisées conduit à classer les documents comme moins sensibles qu’ils ne le sont, afin de permettre l’utilisation de Microsoft.
Aucune agence spécifique ne peut réprimander la Commission pour son manque de cybersécurité, comme le fait le CEPD en ce qui concerne le traitement des données personnelles.
L’organe doté d’un mandat comparable serait le Service de cybersécurité pour les institutions, organes et organismes de l’Union (CERT-EU), qui « recueille, gère, analyse et partage avec les parties des informations sur les menaces, les vulnérabilités et les incidents relatifs aux infrastructures de TIC non classifiées ».
Toutefois, il peut s’avérer difficile pour le CERT-EU de dénoncer publiquement les pratiques actuelles, étant donné qu’il est lui-même hébergé administrativement et financièrement au sein de la DG DIGIT.
Ce n’est pas non plus le rôle d’une agence, qui est censée soutenir les institutions, et non les évaluer.
Moins de surveillance à l’avenir ?
En plus de l’affaire Microsoft, le CEPD a récemment statué que la Commission avait illégalement traité des données sensibles en ciblant des utilisateurs de gauche sur X afin d’influencer les opinions sur un règlement controversé sur les contrôles de chat en 2023.
La manière dont le CEPD se positionnera à l’avenir n’est pas encore claire. Wojciech Wiewiórowski, responsable du CEPD jusqu’au 5 décembre dernier, pourrait ne pas être réélu puisqu’il fait face à trois candidats : l’actuel chef des flux internationaux de données et de la protection à la Direction générale de la justice et des consommateurs (DG JUST) Bruno Gencarelli, l’ancien vice-président de l’Autorité française de protection des données (DPA) François Pellegrini, et la présidente de la Commission de la protection des données au CERN Anna Pouliou.
Trois personnes ayant suivi le processus ont fait remarquer à Euractiv que, si Bruno Gencarelli est élu, ce dernier devrait être plus favorable à la Commission — étant issu d’une structure chargée d’examiner les pratiques actuelles de la Commission.
Si le CEPD s’aligne sur la Commission, il se rapprochera du Comité européen de protection des données (EPDB), ce qui est loin d’être anodin pour guider l’application du règlement général sur la protection des données (RGPD) dans l’UE.
Cela pourrait être utile dans des cas comme le récent avis sur l’utilisation des données personnelles dans la formation à l’intelligence artificielle (IA). Plusieurs parties prenantes ont expliqué à Euractiv que la Commission avait clairement signalé avant la publication qu’elle souhaitait une interprétation indulgente.
Le nouveau CEPD devra être approuvé conjointement par le Conseil et le Parlement, dirigé par la commission des libertés civiles, de la justice et des affaires intérieures (LIBE).
Le Conseil interrogera les quatre candidats le 15 janvier tandis que l’audition de la commission LIBE est prévue le lendemain — ainsi qu’un vote sur leur préférence.
L’utilisation de Microsoft sera certainement un sujet brûlant lors de ces entretiens.
Le Parlement et les États membres étant également clients de Microsoft, l’élection pourrait se jouer sur la priorité accordée par les membres du Conseil et de la commission LIBE à la protection de la vie privée et à la sécurité, ou au fait de ne pas avoir à modifier leurs systèmes informatiques.
[Édité par Alice Bergoënd et Sarah N’tsia]
