Ceci est une version HTML d'une pièce jointe à la demande d'accès à l'information 'Informations, estimations et évaluations concernant l'utilisation de Microsoft 365'.

Document public du CEPD sur 
Résultats de l’enquête d’initiative sur 
l’utilisation des produits et des 
services Microsoft par les institutions 
de l’UE 
2 juillet 2020 
Le contrôleur européen de la protection des données (CEPD) est l’autorité de 
contrôle indépendante instituée par l’article 52 du règlement (UE) 2018/1725 
qui est compétente pour: 
•  contrôler  et  assurer  l’application  des  dispositions  du  règlement (UE) 
2018/1725 et de tout autre acte de l’Union relatif à la protection des 
libertés et droits fondamentaux des personnes physiques à l’égard du 
traitement  des  données  à  caractère  personnel  par  les  institutions, 
organes et organismes de l’Union; 
•  conseiller  les  institutions  et  organes  de  l’UE  et  les  personnes 
concernées  sur  toutes  les  questions  relatives  au  traitement  des 
données à caractère personnel. 
À  cette  fin,  le  CEPD  remplit  ses  fonctions  conformément  à  l’article 57  du 
règlement (UE) 2018/1725 et exerce les pouvoirs qui lui sont conférés par 
l’article 58 de ce même règlement. 
Le  pouvoir  d’enquête  est  l’un  des  outils  mis  en  place  pour  contrôler  et 
garantir le respect du règlement (UE) 2018/1725. 
Le  présent  document  expose  les  questions  soulevées  par  l’enquête 
d’initiative du CEPD sur l’utilisation des produits et services Microsoft par les 
institutions, organes et organismes européens (ci-après les «institutions de 
l’UE»).  Ces  conclusions  et  recommandations  issues  de  l’enquête  sont 
susceptibles de présenter un intérêt non seulement pour les institutions de 

l’UE,  mais  plus  largement  pour  toutes  les  autorités  publiques  des  États 
membres de l’UE/EEE. 
Le CEPD a évalué la conformité de l’accord de licence entre Microsoft et les 
institutions  de  l’UE  avec  les  exigences  énoncées  dans  le 
règlement (UE) 2018/17251, qui définit les règles relatives à la protection des 
données dans les institutions, organes et organismes de l’UE, ainsi que les 
missions  et  compétences  du  contrôleur  européen  de  la  protection  des 
données (CEPD). 
Dans  l’intérêt  d’une  approche  cohérente  de  la  protection  des  données  à 
caractère personnel dans l’ensemble de l’Union et de la libre circulation de 
ces données au sein de l’Union, les législateurs ont aligné, dans la mesure du 
possible, le règlement (UE) 2018/1725 sur les règles en matière de protection 
des  données  énoncées  dans  le  règlement (UE) 2016/6792  («règlement 
général sur la protection des données»; ci-après le «RGPD»). Chaque fois que 
les dispositions du règlement (UE) 2018/1725 suivent les mêmes principes 
que  celles  du  RGPD,  ces  deux ensembles  de  dispositions  devraient, 
conformément  à  la  jurisprudence  de  la  Cour  de  justice  de  l’Union 
européenne, être interprétés de manière homogène, notamment en raison 
du  fait  que  le  régime  de  ce  règlement  devrait  être  compris  comme  étant 
équivalent au régime du RGPD. 
Le CEPD a formulé les principales conclusions suivantes dans son enquête 
sur l’utilisation des produits et services Microsoft par les institutions de l’UE. 
Premièrement, l’accord de licence entre Microsoft et les institutions de l’UE 
a permis à Microsoft de définir et de modifier les paramètres de ses activités 
de  traitement  effectuées  pour  le  compte  des  institutions  de  l’UE  et  les 
obligations contractuelles en matière de protection des données. Le pouvoir 
discrétionnaire dont Microsoft disposait constituait un droit étendu à agir en 
tant que responsable du traitement. Compte tenu du rôle des institutions de 
l’UE  en  tant  qu’institutions  de  service  public,  le  CEPD  n’a  pas  jugé  cette 
situation  judicieuse.  Le  CEPD  a  recommandé  aux  institutions  de  l’UE  de 
prendre  des  mesures  afin  de  conserver  leur  rôle  de  responsable  du 
traitement. 
Deuxièmement, les institutions de l’UE avaient besoin de mettre en place un 
accord  entre  le  responsable  du  traitement  et  le  sous-traitant  qui  soit 

conforme et complet ainsi que des instructions documentées des institutions 
de l’UE à l’intention des sous-traitants. Leur manque de contrôle sur les sous-
traitants  ultérieurs  que  Microsoft  utilisait  et  l’absence  de  droits  d’audit 
significatifs  posaient  également  des  problèmes  importants.  Le  CEPD  a 
formulé des recommandations sur la manière d’améliorer l’accord entre le 
responsable du traitement et le sous-traitant et a mis en place des contrôles 
d’audit solides. 
Troisièmement,  les  institutions  de  l’UE  ont  été  confrontées  à  un  certain 
nombre  de  questions  liées  concernant  la  localisation  des  données,  les 
transferts internationaux et le risque de divulgation illicite de données. Elles 
n’étaient pas en mesure de contrôler la localisation d’une grande partie des 
données  traitées  par  Microsoft.  Elles  n’ont  pas  non  plus  correctement 
contrôlé ce qui était transféré hors de l’UE/EEE ni de quelle manière se faisait 
le transfert. Les garanties adéquates faisaient aussi défaut pour la protection 
des données quittant l’UE/EEE. Les institutions de l’UE disposaient par ailleurs 
de peu de garanties pour défendre leurs privilèges et immunités et veiller à 
ce que Microsoft ne divulgue les données à caractère personnel que dans la 
mesure permise par le droit de l’UE. Le CEPD a formulé des recommandations 
afin d’aider les institutions de l’UE à s’attaquer à ces problèmes. 
Quatrièmement, le CEPD a examiné les mesures techniques mises en place 
par la Commission pour endiguer le flux de données à caractère personnel 
généré par les produits et services Microsoft et envoyé à cette société. Le 
CEPD a recommandé à toutes les institutions de l’UE d’effectuer des essais 
en  utilisant  une  approche  révisée  et  globale,  de  partager  entre  elles  les 
connaissances et les solutions techniques qu’elles ont mises au point pour 
empêcher que des flux non autorisés de données n’arrivent chez Microsoft 
et de s’informer mutuellement de toutes les questions liées à la protection 
des données qu’elles relèvent avec les produits ou services. 
Cinquièmement,  les  institutions  de  l’UE  n’avaient  pas  une  vision 
suffisamment claire de la nature, de la portée et des finalités du traitement 
ni des  risques pour les  personnes concernées pour pouvoir s’acquitter de 
leurs  obligations  de  transparence  à  l’égard  de  ces  personnes.  Le  CEPD  a 
recommandé que les institutions de l’UE recherchent la clarté et les garanties 
leur permettant de tenir les personnes concernées correctement informées. 

link to page 37 link to page 37 link to page 6 link to page 6 link to page 7 link to page 7 link to page 8 link to page 8 link to page 8 link to page 8 link to page 10 link to page 10 link to page 12 link to page 12 link to page 15 link to page 15 link to page 17 link to page 17 link to page 18 link to page 18 link to page 18 link to page 18 link to page 18 link to page 18 link to page 19 link to page 19 link to page 20 link to page 20 link to page 20 link to page 20 link to page 22 link to page 22 link to page 23 link to page 23 link to page 23 link to page 23 link to page 26 link to page 26 link to page 27 link to page 27 link to page 28 link to page 28 link to page 29 link to page 29 link to page 32 link to page 32 link to page 34 link to page 34 link to page 35 link to page 35 link to page 37 link to page 37 link to page 37 link to page 38 link to page 38 link to page 39 link to page 39 link to page 39 link to page 39 link to page 40 link to page 40 Table des matières 
•  1 Introduction  
o  1.1 Contexte 
o  1.2 Recommandations d’ordre général 
o  1.3 L’accord de licence interinstitutionnel (ILA) 
•  2 Microsoft en tant que responsable du traitement  
o  2.1 Droit d’apporter unilatéralement une modification 
o  2.2 Obligations limitées en matière de protection des données 
o  2.3 Limitation insuffisante de la finalité 
o  2.4 Conséquences 
o  2.5 Recommandations 
•  3 Accord entre le responsable du traitement et le sous-traitant  
o  3.1 Exhaustivité de l’accord  
▪  3.1.1 Évaluation 
▪  3.1.2 Recommandations 
o  3.2 Sous-traitants ultérieurs 
▪  3.2.1 Évaluation 
▪  3.2.2 Recommandations 
o  3.3 Droits d’audit  
▪  3.3.1 Évaluation 
▪  3.3.2 Recommandations 
•  4 Localisation, transferts et divulgation des données  
o  4.1 Localisation des données 
o  4.2 Transferts internationaux 
o  4.3 Divulgation non autorisée 
o  4.4 Conséquences 
o  4.5 Recommandations 
•  5 Mesures techniques 
o  5.1 Contexte 
o  5.2 Recommandations 
•  6 Transparence 
o  6.1 Recommandations 
•  7 Conclusion 
1 Introduction 

1.1 Contexte 
Le  présent  document  expose  les  questions  soulevées  par  l’enquête 
d’initiative du CEPD sur l’utilisation des produits et services Microsoft par les 
institutions, organes et organismes européens (ci-après les «institutions de 
l’UE»). Il présente les conclusions et les recommandations du CEPD découlant 
de l’enquête à partager avec un public plus large, en appliquant un niveau 
élevé de transparence3, tout en préservant la nécessaire confidentialité de 
certains  éléments  du  contrat  souscrit  par  les  institutions  de  l’UE  et  de 
l’enquête du CEPD. 
Les institutions de l’UE traitent une grande quantité de données à caractère 
personnel  grâce  à  des  produits  et  services  Microsoft.  Plus  de 
45 000 membres du personnel des institutions de l’UE, y compris le CEPD, 
sont des utilisateurs de ces produits et services. En outre, le personnel utilise 
des  produits  et  services  Microsoft  pour  traiter  les  données  à  caractère 
personnel de personnes qui ne font pas partie du personnel. 
L’enquête  du  CEPD  s’est  concentrée  sur  les  termes  de  l’accord 
interinstitutionnel de licence
 (ci-après l’«ILA») que les institutions de l’UE ont 
signé  avec  Microsoft  en 2018.  Le  CEPD  a  également  examiné  les  mesures 
techniques  que  la  Commission  européenne,  en  tant  que  plus  grande 
institution de l’UE chargée d’une grande variété de tâches, avait mises en 
œuvre et qui visaient les flux de données à caractère personnel dirigés vers 
Microsoft. 
Le CEPD a publié ses conclusions et ses recommandations aux institutions de 
l’UE après la clôture de son enquête en mars 2020. Le rapport du CEPD avait 
pour but de fournir aux institutions de l’UE une assistance prospective dans 
la  mise  en  conformité  de  leurs  dispositions  avec  la  législation  sur  la 
protection des données. En particulier, les conclusions et recommandations 
du  CEPD  visaient  à  soutenir  la  renégociation  de  l’ILA  et  du  contrat  des 
institutions  de  l’UE  ainsi  qu’à  mettre  en  œuvre  les  mesures  techniques  et 
organisationnelles solides qui devraient accompagner le contrat. 
Le traitement par les institutions de l’UE des données à caractère personnel 
et les compétences de surveillance et d’enquête du CEPD sont régis par le 
règlement (UE) 2018/17254. Le CEPD a évalué la conformité de l’ILA avec les 
exigences 
énoncées 
dans 
ce 
règlement. 
Bien 
que 
le 

règlement (UE) 2018/1725 soit un régime de protection des données adapté 
aux institutions de l’UE et distinct du règlement général sur la protection des 
données5 (le «RGPD») mieux connu, le chevauchement entre les dispositions 
du  règlement (UE) 2018/1725  et  celles  du  règlement  général  sur  la 
protection des données est conséquent. 
En  conséquence,  les  conclusions  et  les  recommandations  du  CEPD  sont 
susceptibles  de  présenter  un  intérêt  plus  large  que  pour  les  seules 
institutions de l’UE6. Non seulement la législation appliquée par le CEPD dans 
son  enquête  est  fondée  sur  les  mêmes  principes  et  partage  la  grande 
majorité  de  ses  dispositions  avec  le  RGPD,  mais  l’accord  signé  par  les 
institutions de l’UE repose sur des documents types de Microsoft relatifs aux 
licences en volume et est donc susceptible de présenter des similitudes avec 
les  accords  conclus  par  d’autres  organisations.  Les  conclusions  et 
recommandations du CEPD peuvent présenter un intérêt particulier pour les 
autorités publiques des États membres de l’UE. 
Elles sont probablement aussi pertinentes au-delà de la conclusion et de la 
mise en œuvre des accords de licence en volume pour les produits et services 
de Microsoft. Selon le CEPD, les organisations qui externalisent la fourniture 
ou l’exploitation de services numériques vers d’autres prestataires de services 
risquent de rencontrer des problèmes similaires. 
1.2 Recommandations d’ordre général 
Le  CEPD  a  recommandé  que  les  institutions  de  l’UE  réfléchissent  avec 
prudence  à  tout  achat  de  produits  et  services  de  Microsoft  ou  à  toute 
nouvelle utilisation de produits et services existants tant qu’elles n’ont pas 
analysé et mis en œuvre les recommandations qu’il préconise. Elles devraient 
solliciter  la  participation  de  leurs  délégués  à  la  protection  des  données 
lorsqu’elles décident de la manière de mettre en œuvre les recommandations 
du CEPD. Les institutions de l’UE devraient dûment intégrer la protection des 
données dans chaque procédure de passation de marché public spécifique 
en  matière  de  technologies  de  l’information  et  de  la  communication,  en 
précisant les mesures de sécurité et de protection des données à mettre en 
œuvre en ce qui concerne les produits et services particuliers faisant l’objet 
de la passation de marché. 

Cela aidera d’emblée les institutions de l’UE à acquérir des produits et des 
services  pour  lesquels  les  mesures  contractuelles  et  d’autres  mesures 
techniques, organisationnelles et de sécurité sont appropriées, de manière à 
ce que le traitement des données à caractère personnel par l’intermédiaire 
de ces outils soit conforme au règlement (UE) 2018/1725, en particulier aux 
principes de protection des données dès la conception et de protection des 
données par défaut7. 
1.3 L’accord de licence interinstitutionnel (ILA) 
L’ILA examiné par le CEPD avait une structure complexe avec une multiplicité 
de documents interdépendants se complétant et se modifiant mutuellement 
de différentes manières. 
Toutefois, dans les grandes lignes, l’ILA comportait trois volets principaux. Le 
premier  est  un  accord-cadre,  fondé  sur  un  certain  nombre  de documents 
types de licence en volume pour lesquels les institutions de l’UE ont négocié 
un ensemble de modifications sur mesure avec Microsoft. Le deuxième volet 
comprend  plusieurs  séries  de  conditions  types  de  Microsoft,  qui  ont  été 
intégrées dans l’accord-cadre par référence. Dans le cadre de l’enquête du 
CEPD,  les  ensembles  de  conditions  types  les  plus  importants  étaient  les 
conditions  relatives  aux  produits  et  les  conditions  relatives  aux  services  en 
ligne
. Le troisième volet comprend les documents par lesquels les différentes 
institutions  de  l’UE  ont  adhéré  à  l’accord  de  licence  et  ont  souscrit  à  un 
ensemble de produits et de services de Microsoft répondant le mieux à leurs 
besoins. 
Les  conditions  prévues  à  l’ILA  n’étaient  pas  définitives.  Les  ensembles  de 
conditions types de Microsoft qui ont été intégrées dans l’accord-cadre sont 
modifiées régulièrement par Microsoft, de nouvelles versions étant publiées 
sur  son  site  web  relatif  aux  licences  en  volume8.  Par  exemple,  Microsoft 
publie  tous  les  mois  une  nouvelle  version  de  ses  conditions  relatives  aux 
services en ligne. 
Cela peut être une entreprise complexe que de déterminer quelles parties de 
quelle version d’un document type concernent tel ou tel aspect d’un produit 
ou d’un service donné de Microsoft. Pour reprendre l’exemple des conditions 
relatives aux services en ligne, la version applicable de ce document a varié, 
pour  chaque  service  en  ligne,  en  fonction  de  la  date  à  laquelle  le  client 

concerné a acheté pour la première fois ou renouvelé un abonnement à ce 
service9. Toutefois, les conditions introduites dans les versions ultérieures des 
conditions relatives aux services en ligne pouvaient également s’appliquer à 
de nouvelles fonctionnalités et aux compléments de logiciels connexes qui 
ne figuraient pas précédemment dans l’abonnement10. 
Dans  le  cadre  de  l’enquête  réalisée  par  le  CEPD,  la  dernière  version  des 
documents types qu’il a analysée était celle de janvier 202011. Aux fins du 
présent document, le CEPD ne fait référence qu’à cette version. Au cours de 
l’enquête, cependant, le CEPD a également analysé un certain nombre de 
versions  antérieures12,  qui  étaient  souvent  rédigées  dans  des  termes 
similaires et présentaient des problèmes comparables ou plus importants de 
conformité aux dispositions. Dans l’ensemble, les constatations faites par le 
CEPD  à  propos  de  l’ILA,  des  documents  non  contractuels  et  du  contexte 
factuel traduisent sa position jusqu’en mars 2020. 
2 Microsoft en tant que responsable du 
traitement 

Selon le CEPD, la portée et les conditions énoncées dans l’ILA ont abouti à 
ce que Microsoft intervienne en tant que responsable du traitement selon 
des  méthodes  qui  n’étaient  pas  transparentes.  Cela  s’explique  par  la 
combinaison  de  plusieurs  aspects  de  l’ILA.  Le  CEPD  examine  trois points 
essentiels à cet égard: 
1.  le droit de Microsoft d’apporter unilatéralement une modification; 
2.  le champ d’application limité des obligations en matière de protection 
des données dans l’ILA; et 
3.  l’absence  de  finalités  spécifiques  et  expressément  définies  pour  le 
traitement qui intervenait en vertu de cet accord. 
2.1 
Droit 
d’apporter 
unilatéralement 
une 
modification 
L’ILA  a  permis  à  Microsoft  de  modifier  unilatéralement  les  conditions 
relatives à la protection des données. Ce droit comportait deux aspects. 

Premièrement, l’ILA conférait à Microsoft un droit illimité de modifier tous 
les ensembles de conditions types qui y avaient été incorporés par référence. 
Microsoft  a  pu  modifier  radicalement  les  conditions  prévues  dans  l’ILA 
concernant  la  protection  des  données  en  amendant  un  ensemble  de 
conditions types qui y sont incorporées. La raison en est que les conditions 
types comblaient de nombreuses lacunes des accords-cadres négociés, de 
sorte  qu’il  était  souvent  nécessaire  de  se  référer  à  ces  conditions  pour 
comprendre  comment  celles  contenues  dans  les  accords-cadres  seraient 
mises en œuvre. 
Les modifications apportées par Microsoft en janvier 2020 illustrent à quel 
point de telles modifications unilatérales peuvent être radicales. Microsoft a 
repris  plusieurs  conditions  importantes  en  matière  de  protection  des 
données présentes dans les conditions relatives aux services en ligne et les a 
introduites dans un nouveau document type, dénommé «addendum sur la 
protection  des  données».  Le  contenu  de  ces  conditions  relatives  à  la 
protection des données a également fait l’objet d’une révision substantielle. 
À la suite de cette modification, il est devenu difficile de déterminer si un 
grand  nombre  de  conditions  relatives  à  la  protection  des  données 
s’appliquaient encore à l’utilisation que les institutions de l’UE avaient des 
produits et des services de Microsoft. Étant donné que l’addendum sur la 
protection des données n’existait  pas au  moment de la signature  de l’ILA 
en 2018, seules les conditions relatives aux services en ligne ont été intégrées 
par  référence  dans  l’ILA,  mais  pas  ce  nouvel  addendum  distinct  sur  la 
protection des données. Au moment où le CEPD concluait son enquête, il 
n’existait pas non plus de lien contractuel explicite entre l’addendum sur la 
protection des données et l’ILA, par exemple une déclaration figurant dans 
les conditions relatives aux services en ligne selon laquelle l’addendum sur la 
protection  des  données  ferait  partie  de  ces  conditions.  Aux  fins  de  son 
enquête d’initiative, le CEPD a supposé que l’addendum sur la protection des 
données s’appliquait effectivement dans le contexte de l’ILA. 
Le  second  aspect  du  droit  de  modification  unilatérale  de  Microsoft 
concernait la hiérarchie des différents documents contractuels. L’ILA contient 
un certain nombre de dispositions indiquant quels documents l’emportent. 
Certaines de ces dispositions étaient directement en conflit entre elles, ce qui 
nous  a  amené  à  conclure  que  la  hiérarchie  exacte  des  documents  était 

ambiguë. Néanmoins, de l’avis du CEPD, un risque élevé demeurait que des 
documents types, tels que les conditions relatives aux services en ligne, les 
conditions  relatives  aux  produits  et  potentiellement  l’addendum  sur  la 
protection  des  données,  l’emportent  sur  les  conditions  négociées  de 
l’accord-cadre.  Compte  tenu  du  droit  de  Microsoft  de  modifier  à  tout 
moment  ces  documents  types,  cela  représentait  un  risque  élevé  que 
Microsoft  puisse  modifier  unilatéralement  l’ensemble  de  la  suite 
contractuelle  de  l’ILA,  y  compris  tout  accord  entre  le  responsable  du 
traitement et le sous-traitant conclu entre les parties. 
D’une manière générale, le CEPD a estimé qu’il existait un risque élevé que 
la société Microsoft puisse modifier, par exemple, les finalités pour lesquelles 
elle traitait des données à caractère personnel, la localisation des données et 
les règles concernant leur divulgation et leur transfert, sans aucun recours 
contractuel par les institutions  de l’UE contre  ces modifications. Microsoft 
détenait  le  pouvoir  discrétionnaire  de  procéder  ou  non  à  de  telles 
modifications. 
Ce pouvoir discrétionnaire va au-delà de ce qui peut être confié à un sous-
traitant; il faisait de facto de Microsoft un responsable du traitement13. 
2.2  Obligations  limitées  en  matière  de  protection 
des données 

Le champ d’application des principales obligations de Microsoft en matière 
de protection des données dans les documents négociés de l’ILA était limité 
à certains types de traitements et catégories de données. Il existait un risque 
que certaines activités de traitement de données réalisées au titre de l’ILA ne 
tombent  pas  dans  le  champ  d’application  des  conditions  négociées  et 
bénéficient  d’un  niveau  de  protection  inférieur  déterminé  par  Microsoft 
uniquement.  Certaines  catégories  de  données  collectées  et  exploitées  par 
Microsoft suite à l’utilisation par les institutions de l’UE de ses produits et 
services se situaient purement et simplement hors du cadre des protections 
contractuelles. 
L’analyse  faite  par  le  CEPD  suggère  que,  d’une  manière  générale, 
quatre catégories  de  données  à  caractère  personnel  bénéficiaient  de 
différents niveaux de protection au titre de l’ILA. La première catégorie de 

données  à  caractère  personnel,  la  plus  protégée,  est  celle  des  données 
fournies par l’utilisation de services en ligne. Les services en ligne étaient, en 
substance, les services hébergés par Microsoft fournis dans le cadre de l’ILA 
et comprenaient la composante en ligne de produits logiciels Microsoft. Les 
données  appartenant  à  cette  catégorie  relevaient  du  champ  d’application 
des principales obligations négociées en matière de protection des données 
dans l’ILA et de l’addendum sur la protection des données. 
Une deuxième catégorie comprenait des données qui n’étaient pas fournies 
à la société Microsoft mais recueillies par elle lorsque les institutions de l’UE 
utilisaient les services en ligne. Le traitement de ces données était en partie 
couvert par les conditions relatives aux services en ligne (et potentiellement, 
depuis sa création, par l’addendum sur la protection des données) et non par 
les principales obligations négociées figurant dans l’accord-cadre. 
Une  troisième  catégorie  de  données  consiste  en  celles  que  Microsoft 
obtenait lorsque les institutions de l’UE utilisaient ses services professionnels
Cette  catégorie  a  fait  l’objet  d’un  ensemble  distinct  et  allégé  de  clauses 
relatives à la protection des données, annexé à l’addendum sur la protection 
des  données.  Elle  sortait  également  du  cadre  des  principales  obligations 
négociées figurant dans l’accord-cadre. 
Microsoft a traité les données des trois premières catégories non seulement 
en tant que sous-traitant mais aussi en tant que responsable du traitement14. 
Lorsque  Microsoft  intervenait  en  tant  que  responsable  du  traitement,  sa 
déclaration  de  confidentialité  s’appliquait  en  plus  des  documents 
contractuels. 
Il existait une quatrième catégorie de données. Celles-ci étaient tant fournies 
à la société Microsoft que recueillies par elle lorsque les institutions de l’UE 
utilisaient  des  produits  et  des  logiciels  que  Microsoft  ne  considérait  pas 
comme des services en ligne. Le traitement des données de cette catégorie 
se situait hors du cadre du moindre contrôle contractuel sérieux. Les données 
étaient  traitées  par  Microsoft  en  tant  que  responsable  du  traitement  et 
couvertes par sa déclaration de confidentialité. Les données diagnostiques 
de toutes les versions de Windows et de la suite bureautique Microsoft Office 
(y  compris  Office 2016)  relevaient  de  cette  catégorie.  Les  données 
diagnostiques provenant des applications de la suite bureautique Office 365 

ProPlus (par exemple Word, Excel, PowerPoint), qui n’étaient pas des services 
en ligne, relevaient aussi potentiellement de cette catégorie. 
Dans l’ensemble, il y avait un manque de transparence sur le point de savoir 
quels  contrôles contractuels, le cas échéant, s’appliquaient aux différentes 
catégories de données traitées par Microsoft dans le cadre de l’ILA. Le CEPD 
n’était pas en mesure de délimiter précisément les différentes catégories en 
se fondant sur les documents contractuels. 
Étant donné la nature interconnectée des produits, des services en ligne et 
des  services  professionnels  de  Microsoft,  il  n’apparaissait  pas  non  plus 
clairement s’il était possible que les données relevant de la catégorie la plus 
protégée migrent dans une catégorie moins protégée, ou inversement. 
Selon  le  CEPD,  les  institutions  de  l’UE  avaient  peu  ou  pas  de  contrôle 
contractuel sur les données à caractère personnel collectées par Microsoft 
auprès  des  utilisateurs  ou  sur  ce  que  Microsoft  pouvait  faire  avec  ces 
données, à moins qu’elles n’aient été fournies par l’intermédiaire de services 
en ligne et qu’il soit certain qu’elles resteraient dans cette catégorie. Comme 
indiqué dans la section précédente, Microsoft gardait également le droit de 
modifier  unilatéralement  de  nombreuses  restrictions  ou  potentiellement 
toutes.  Microsoft  conservait  donc  un  large  pouvoir  discrétionnaire  à  cet 
égard. 
Lorsque le champ d’application des obligations d’un sous-traitant en matière 
de  protection  des  données  ne  ressort  pas  clairement,  cela  peut  créer  un 
risque  que  ce  sous-traitant  décide  d’agir  comme  un  responsable  du 
traitement pour une partie de toutes les données qu’il traite du fait de la 
relation commerciale. Dans le cas de l’ILA, le manque de clarté concernant le 
champ d’application des obligations de la société Microsoft en matière de 
protection  des  données  nous  a  amené  à  constater  l’existence  d’un  risque 
élevé qu’elle puisse agir en tant que responsable du traitement pour toutes 
les données traitées au titre de l’ILA. 
2.3 Limitation insuffisante de la finalité 
Le  CEPD  estime  que  la  limitation  de  la  finalité  dans  l’ILA  n’était  pas 
suffisamment précise ni explicite. Cela a créé un risque d’inadéquation entre 
la limitation de la finalité que les institutions de l’UE estimaient avoir imposée 

à  Microsoft  dans  le  cadre  de  l’ILA  et  le  traitement  que  cette  société 
considérait comme autorisé en vertu de cet accord. 
La  formulation  la  plus  explicite  dans  les  documents  de  l’ILA  relative  à  la 
finalité des activités de Microsoft en tant que sous-traitant était de «fournir 
des produits ou des services professionnels». La gamme de traitements que 
cela pouvait comprendre était potentiellement vaste. 
Dans  le  contexte  d’un  accord  complexe  et  détaillé,  tel  que  l’ILA,  entre 
opérateurs avertis intéressant un grand nombre de personnes concernées, il 
importe que les finalités autorisées pour le traitement des données soient 
spécifiées pour que ne subsiste aucun doute quant à ce qui est et n’est pas 
inclus  dans  la  finalité15.  La  description  devrait  également  être  exhaustive, 
permettant aux autorités clientes et aux autorités de contrôle de comprendre 
les risques liés au traitement et de donner l’explication de ces risques aux 
personnes  concernées.  Le  CEPD  estime  que  la  formulation  de  la  finalité 
figurant dans l’ILA laisse trop de place à l’interprétation. 
L’addendum sur la protection des données a permis de clarifier quelque peu 
ce qui pourrait et ne pourrait pas relever de la «fourniture» d’un service. Il a 
défini  ce  que  recouvrait  l’expression  «fournir»  un  service  en  ligne  ou 
professionnel, a créé une liste de finalités interdites, à moins que le client 
n’en  dispose  autrement,  et  a  explicitement  reconnu  une  série  de  finalités 
lorsque Microsoft entendait agir en qualité de responsable du traitement. Sa 
publication en janvier 2020 a représenté une réorientation importante vers 
une  plus  grande  transparence  dans  la  documentation  contractuelle  des 
opérations de traitement de Microsoft et a donc été la bienvenue. 
Cela  n’était  cependant  pas  le  mot  de  la  fin:  ainsi  qu’il  a  été  expliqué, 
l’addendum  ne  couvrait  pas  une  grande  partie  du  traitement.  Il  était 
également difficile de savoir s’il s’appliquait ou non dans le contexte de l’ILA. 
En  outre,  un  certain  nombre  de  difficultés  subsistaient  en  lien  avec  la 
précision de la limitation de la finalité. Par exemple, l’addendum relatif à la 
protection  des  données  comportait  la  mention  «fournir  des  expériences 
utilisateur personnalisées» dans le cadre de la définition de ce que signifiait 
«fournir»  un  service  en  ligne16.  Cela  était  en  contradiction  directe  avec 
l’interdiction  par  défaut  du  «profilage  des  utilisateurs»17,  soulevant  une 

question  sur  l’étroitesse  de  l’interprétation  que  donne  Microsoft  du 
«profilage des utilisateurs». 
La «fourniture d’un service en ligne» a également été définie en des termes 
assez  vagues  pour  laisser  les  questions  suivantes  sans  réponse18. 
Premièrement, la définition était suffisamment vaste pour inclure l’analyse 
des données. Il était donc difficile de savoir si le traitement à des fins telles 
que les systèmes de formation automatique ou d’intelligence artificielle était 
autorisé. Deuxièmement, il était difficile de déterminer si la fourniture d’un 
service en ligne ou professionnel donné ne comprenait que le «dépannage», 
la  «fourniture  de  capacités  fonctionnelles»  et  l’«amélioration  continue» 
concernant ce service ou également concernant d’autres services ou tous les 
services  en  ligne  ou  professionnels  respectivement.  Troisièmement, 
l’«amélioration  continue»  d’un  service  a  été  décrite  comme  incluant 
«l’amélioration de la productivité des utilisateurs» et de son «efficacité». La 
productivité et l’efficacité n’étaient pas clairement définies. 
Un  autre  exemple  de  l’imprécision  en  matière  de  limitation  de  la  finalité 
prévalant dans l’addendum sur la protection des données était l’interdiction 
par défaut qu’il imposait pour le traitement «à des fins de publicité ou à des 
fins commerciales similaires»19. Ces termes n’étaient pas expliqués. Cela était 
significatif,  puisque  la  société  Microsoft  avait  indiqué  en 2018  qu’elle 
considérait que le fait de présenter aux clients des recommandations internes 
aux applications ciblées pour des produits qu’ils n’utilisent pas ou auxquels 
ils  ne  s’abonnent  pas  ne  relevait  pas  de  la  publicité  ou  d’une  finalité 
commerciale  similaire20.  Si  Microsoft  maintient  cette  interprétation,  elle 
pourrait considérer que ce traitement s’inscrit dans la finalité autorisée. 
L’addendum sur la protection des données a également accordé à Microsoft 
le droit d’agir en tant que responsable du traitement en ce qui concerne ses 
«besoins professionnels légitimes», qui étaient définis de manière à couvrir 
six finalités21.  La  nature  déclarée  des  six finalités  suggérait  un 
chevauchement important avec ce qui pourrait être considéré en vertu du 
RGPD comme étant des intérêts légitimes poursuivis par le responsable du 
traitement. Il était difficile de comprendre, à partir de la formulation large et 
vague, dans quelle mesure ces finalités étaient nécessaires à la fourniture des 
services en ligne et des services professionnels. À tout le moins, on pouvait 
se  demander  en  quoi  des  données  à  caractère  personnel  provenant  des 
institutions  de  l’UE  pourraient  être  nécessaires  pour  décider  de  primes 

destinées au personnel de Microsoft. Comme expliqué dans la sous-section 
suivante, le CEPD a estimé que le traitement effectué par Microsoft en tant 
que  responsable  du  traitement,  en  particulier  pour  ses  propres  intérêts 
légitimes,  n’était  pas approprié  dans  le  contexte  de l’utilisation qu’ont  les 
institutions de l’UE des produits et services de Microsoft dans le cadre de 
l’ILA. 
2.4 Conséquences 
Selon le CEPD, l’un des aspects les plus inquiétants de l’ILA est que le degré 
de  pouvoir  discrétionnaire  accordé  à  Microsoft  était  largement  implicite: 
l’analyse du CEPD se fondait en grande partie sur la constatation de lacunes 
dans la formulation contractuelle et sur les conséquences découlant du fait 
de laisser des lacunes ou des incertitudes dans ce contexte particulier. 
Le CEPD est parvenu à la conclusion que l’ILA a accordé à Microsoft des droits 
étendus en matière de modification unilatérale, en dépit d’une disposition 
expresse contraire dans les documents négociés. L’analyse par le CEPD du 
pouvoir discrétionnaire accordé à Microsoft du fait de limitations portant sur 
le  champ  d’application  de  certaines  conditions  contractuelles  repose  sur 
l’énumération des types de traitement qui pourraient ne pas être couverts, 
en tout ou en partie. 
L’élément  moteur  des  préoccupations  du  CEPD  en  ce  qui  concerne  les 
limitations de la finalité dans l’ILA était l’idée selon laquelle, si un contractant 
est chargé, par un responsable du traitement, de traiter des données à des 
fins vaguement définies, cela crée un risque que le contractant définisse lui-
même, dans une plus ou moins large mesure, ces finalités. 
Un pouvoir discrétionnaire implicite, de portée ambiguë et avec des finalités 
vaguement  définies,  confère  effectivement  à  un  sous-traitant  une 
autorisation d’agir en tant que responsable du traitement d’une manière qui 
peut rester entièrement cachée à une organisation qui fait l’acquisition de 
ses services. 
Dans un contrat impliquant un traitement à grande échelle ou autrement à 
haut risque, cela expose de manière significative les personnes concernées. 
Il  pourrait  en  résulter  qu’une  grande  quantité  de  données  à  caractère 
personnel soient traitées selon les manières déterminées par le contractant, 

plutôt  que  selon  les  instructions  de  l’organisation  acquéreuse.  Dans  la 
mesure où le contractant agit en qualité de responsable du traitement, la 
capacité de l’organisation acquéreuse à lui demander des comptes sur ses 
activités de traitement sera très limitée. 
Si  une  organisation  publique  achète  les  services  d’un  contractant  et  lui 
accorde  le  pouvoir  discrétionnaire  d’agir  en  tant  que  responsable  du 
traitement en vertu du RGPD, elle génère un risque supplémentaire qui est 
spécifique  au  mandat d’intérêt  général  de  cette  organisation.  En  vertu  du 
RGPD, le traitement peut être effectué de manière licite dans le respect des 
intérêts  légitimes  du  responsable  du  traitement.  Comme  expliqué, 
l’addendum sur la protection des données permet à Microsoft d’effectuer le 
traitement en tant que responsable du traitement, ce qui semblerait rentrer 
dans ce cadre. Toutefois, le RGPD ne permet pas que le traitement fondé sur 
l’intérêt légitime d’un responsable du traitement soit réalisé par les autorités 
publiques dans l’exercice de leurs fonctions. Un traitement par les institutions 
de  l’UE  au  titre  du  règlement (UE) 2018/1725  ne  présente  pas  non  plus 
d'intérêt 
légitime. 
Le 
considérant 25 
et 
l’article 6 
du 
règlement (UE) 2018/1725  [voir  également  le  considérant 50  et  l’article 6, 
paragraphe 4,  du  RGPD
]  indiquent  que  lorsque  les  institutions  de  l’UE 
utilisent  des  produits  et  services  informatiques  pour  exécuter  des  tâches 
d’intérêt général qui leur sont confiées par le droit de l’UE, tout traitement 
destiné à des tâches et des finalités autres devrait être compatible avec les 
missions et les rôles des institutions de l’UE. Lorsque les institutions de l’UE 
agissent en qualité de responsables du traitement, elles doivent vérifier si les 
finalités pour lesquelles d’autres traitements ou un traitement ultérieur sont 
effectués 
sont 
compatibles 
au 
titre 
de 
l’article 6 
du 
règlement (UE) 2018/1725  [voir  également  l’article 6,  paragraphe 4,  du 
RGPD
]. 
Les  pouvoirs  publics  peuvent  désirer  examiner  si,  à  la  lumière  des  tâches 
qu’ils  accomplissent  dans  l’intérêt  public,  ils  jugent  opportun  qu’un 
contractant  devienne  un  responsable  du  traitement -  ou  même  un 
responsable conjoint du traitement - des données à caractère personnel des 
agents  du  personnel  et  des  citoyens  du  seul  fait  de  la  nécessité,  pour 
l’autorité  concernée,  d’externaliser  ses  tâches  informatiques.  Dans  son 
enquête,  le  CEPD  a  constaté  l’existence  d’un  risque  que  les  protections 
conçues  pour  le  contexte  d’intérêt  général,  dans  lequel  des  données  à 

caractère  personnel  ont  été  confiées  aux  institutions  de  l’UE,  soient 
contournées par le biais du processus d’externalisation. 
2.5 Recommandations 
Du point de vue du CEPD, les risques présentés par la situation dans laquelle 
Microsoft  avait  la  responsabilité  du  traitement  l’emportaient  sur  les 
avantages qu’un tel dispositif pouvait offrir aux institutions de l’UE. La ligne 
d’action que le CEPD a recommandée aux institutions de l’UE comportait ce 
qui suit. 
•  Chaque institution de l’UE devrait être seule responsable du traitement 
pour son utilisation des produits et services de Microsoft lorsqu’elle 
accomplit  des  tâches  d’intérêt  général  ou  relevant  de  l’exercice  de 
l’autorité publique. 
•  L’accord-cadre  devrait  prévoir  une  hiérarchie  claire  des  documents 
contractuels. 
•  Les modifications négociées apportées par les institutions de l’UE aux 
conditions générales de Microsoft devraient figurer dans le document 
contractuel  de  plus  haut  rang.  Il  en  va  de  même  pour  toutes  les 
dispositions 
nécessaires 
pour 
la 
conformité 
au 
règlement (UE) 2018/1725. 
•  Ce  n’est  que  d’un  commun  accord  qu’il  devrait  être  possible  de 
modifier les dispositions de l’ILA intéressant la protection des données. 
•  La  portée  des  dispositions  de  l’ILA  qui  concernent  la  protection  des 
données  devrait  être  étendue  à  toutes  les  données  à  caractère 
personnel  non  seulement  fournies  à  Microsoft  mais  également 
générées par Microsoft, du fait de l’utilisation par les institutions de 
l’UE de tous les produits et services de Microsoft. 
•  Les institutions de l’UE devraient négocier un ensemble précis, explicite 
et  exhaustif  de  finalités  pour  couvrir  tous  les  types  de  données  à 
caractère  personnel  liés  à  leur  utilisation  de  produits  et  services  de 
Microsoft. Il convient de limiter les finalités à celles qui sont nécessaires 
pour que les institutions de l’UE utilisent ces produits et services. Il y a 
lieu d’interdire expressément d’autres finalités. 

3  Accord  entre  le  responsable  du 
traitement et le sous-traitant 

3.1 Exhaustivité de l’accord 
3.1.1 Évaluation 
Selon  le  CEPD,  si  les  institutions  de  l’UE  devaient  demeurer  les  seules 
responsables du traitement des données à caractère personnel traitées au 
titre de l’ILA, leur accord responsable du traitement/sous-traitant signé avec 
Microsoft devait être considérablement renforcé. Bon nombre des éléments 
nécessaires soit ont été mal mis en œuvre, soit sont absents. 
Les exigences relatives à un accord responsable du traitement/sous-traitant 
conforme sont énoncées à l’article 29 du règlement (UE) 2018/1725 [voir 
également  l’article 28  du  RGPD
].  Elles  sont  omniprésentes  dans  le  présent 
document.  L’article 29,  paragraphe 3,  du  règlement (UE) 2018/1725  exige 
que  l’accord  entre  le  responsable  du  traitement  et  le  sous-traitant  «lie  le 
sous-traitant à l’égard du responsable du traitement»22. Il n’y a donc pas lieu 
qu’un sous-traitant dispose d’un droit illimité de modification unilatérale aux 
termes d’un accord entre le responsable du traitement et lui-même. Un sous-
traitant  ne  devrait  procéder  au  traitement  que  sur  la  base  d’instructions 
documentées fournies par le responsable du traitement. 
L’article 29, paragraphe 3, du règlement (UE) 2018/1725 exige que l’accord 
entre  le  responsable  du  traitement  et  le  sous-traitant  indique  «le  type  de 
données à caractère personnel et les catégories de personnes concernées, 
ainsi  que  les  obligations  et  les  droits  du  responsable  du  traitement.»23 
L’analyse du CEPD avait conclu qu’il était difficile de savoir quels contrôles 
contractuels,  s’il  en  existait,  s’appliquaient  aux  différentes  catégories  de 
données traitées par Microsoft dans le cadre de l’ILA. Comme l’a montré le 
CEPD, bien que Microsoft ait eu des obligations et des droits caractéristiques 
d’un  responsable  du  traitement  en  vertu  de  l’ILA,  ces  derniers  n’étaient 
généralement pas expressément mentionnés. Par suite, les obligations et les 
droits  des  institutions  de  l’UE  en  tant  que  responsables  du  traitement 
n’étaient  pas  entièrement  définis.  Les  documents  négociés  de  l’ILA  ne 
faisaient nulle mention des catégories de personnes concernées, bien que 

ces dernières aient été mentionnées dans l’addendum sur la protection des 
données. 
L’article 29,  paragraphe 3,  du  règlement (UE) 2018/1725  exige  également 
que l’accord entre le responsable du traitement et le sous-traitant définisse 
«l’objet [...], la nature et la finalité du traitement»24. L’analyse par le CEPD de 
la limitation des finalités contractuelles a montré que cela a été fait avec une 
précision insuffisante. 
Dans cette section, le CEPD s’intéresse surtout à deux autres points essentiels 
de non-respect de l’article 29 du règlement (UE) 2018/1725: premièrement, 
le défaut de contrôle accordé aux institutions de l’UE sur l’utilisation de sous-
traitants  ultérieurs  par  Microsoft  et,  deuxièmement,  l’absence  de  droits 
d’audit efficaces accordés à ces mêmes institutions. 
3.1.2 Recommandations 
Le CEPD a recommandé que les institutions de l’UE prennent les mesures 
suivantes. 
•  Établir  un  accord  global  entre  responsable  du  traitement  et  sous-
traitant qui comporte les rôles et les responsabilités du sous-traitant et 
du  responsable  du  traitement,  l’objet,  la  durée  et  la  nature  du 
traitement, les types de données à caractère personnel concernés, les 
catégories de personnes concernées, les obligations et les droits des 
responsables du traitement et des sous-traitants. 
•  Les  types  de  données  à  caractère  personnel  et  les  catégories  de 
personnes  concernées  devraient  être  précisés  aussi  exactement  que 
possible afin de garantir le respect des principes de base, tels que la 
minimisation des données, les limitations des finalités et la licéité du 
traitement. 
•  Les instructions  documentées  fournies  par  les  institutions  de  l’UE au 
titre  de  l’ILA  devraient  couvrir,  par  exemple,  les  types  de  données 
pouvant être traitées, les personnes pouvant avoir accès aux données, 
la  manière  et  l’endroit  où  celles-ci  sont  stockées,  les  mesures  de 
sécurité mises en place, la question de savoir si les transferts vers des 
pays tiers sont autorisés et, dans l’affirmative, vers quels destinataires, 
vers quels pays et dans quelles conditions. Les instructions doivent être 

incluses dans le contrat et, en ce qui concerne les autres instructions, il 
importe de s’accorder sur les modèles et procédures nécessaires et de 
les annexer au contrat. 
3.2 Sous-traitants ultérieurs 
3.2.1 Évaluation 
Les responsables du traitement sont tenus de permettre que le traitement 
soit  effectué  pour  leur  compte  uniquement  par  des  sous-traitants  qui 
présentent des garanties suffisantes quant à la mise en œuvre de mesures 
pour la protection des droits des personnes concernées25. En tant que sous-
traitant,  la  société  Microsoft  n’est  pas  autorisée  à  recruter  un  autre  sous-
traitant sans l’autorisation écrite préalable du responsable du traitement26. Si 
elle  engage  un  autre  sous-traitant  alors  qu’elle  ne  dispose  que  d’une 
autorisation écrite générale, elle doit donner au responsable du traitement 
une possibilité réelle d’approuver une liste de sous-traitants au moment de 
la signature de l’autorisation générale et une possibilité réelle d’émettre des 
objections à l’encontre de toute modification ultérieure portant sur les sous-
traitants qu’elle engage27. 
En tant que sous-traitant, Microsoft doit également transmettre par contrat 
à  ses  sous-traitants  les  mêmes  obligations  en  matière  de  protection  des 
données dans le cadre de l’accord de licence28. Parmi les obligations devant 
être transmises se trouvent les engagements pris par Microsoft quant à la 
mise  en  œuvre  des  mesures  techniques  et  organisationnelles  que  le 
responsable du traitement estime nécessaires29. Eu égard aux obligations de 
rendre  compte  incombant  aux  responsables  du  traitement30,  ceux-ci 
devraient être en mesure de démontrer que Microsoft s’est conformée à ses 
engagements. 
L’intention qui sous-tend les dispositions du règlement (UE) 2018/1725 (et 
du  RGPD)  concernant  les  sous-traitants  ultérieurs  consiste  à  mettre  les 
responsables du traitement en mesure d’exercer leur contrôle, de sorte qu’ils 
puissent  s’acquitter  de  leurs  obligations  de  protection  des  droits  des 
personnes concernées. Selon le CEPD, l’ILA ne permettait pas aux institutions 
de l’UE  d’exercer  un  contrôle  sur  les  sous-traitants  ultérieurs  engagés  par 
Microsoft. Il présentait donc un risque pour les personnes concernées. 

L’absence de contrôle de la part des institutions de l’Union était manifeste 
au regard des trois éléments suivants. 
Premièrement,  les  conditions  négociées  en  matière  de  protection  des 
données figurant dans l’accord-cadre contenaient ce qui semblait être une 
autorisation  générale  d’engager  des  sous-traitants  ultérieurs.  Toutefois,  à 
l’instar de nombreuses obligations en matière de protection des données au 
titre  de  l’ILA,  elle  ne  s’appliquait  qu’aux  données  à  caractère  personnel 
fournies par l’utilisation des services en ligne. Le CEPD n’a constaté aucune 
autorisation  en  place  pour  les  autres  catégories  de  données  traitées  par 
Microsoft, en vertu de l’ILA. 
Deuxièmement, selon le CEPD, dans la pratique, les informations fournies aux 
institutions de l’UE sur les nouveaux sous-traitants ultérieurs comprenaient 
le nom du sous-traitant ultérieur, le type général de service qu’il fournissait 
et  le  pays  de  son  siège  social31.  Le  CEPD  n’a  pas  jugé  ces  informations 
suffisantes. De l’avis du CEPD, pour qu’un système d’autorisation générale 
offre aux institutions de l’UE une possibilité réelle d’exprimer des objections 
à l’encontre de nouveaux sous-traitants ultérieurs, ces institutions devraient 
également  savoir  quels  types  de  traitements  les  sous-traitants  potentiels 
devaient  se  voir  confier,  en  rapport  avec  quels  produits  et  services 
spécifiques, avec quelles garanties pour la protection des données et quelles 
mesures de sécurité en place. Sans ces informations, les institutions de l’UE 
ne pouvaient pas démontrer pourquoi elles avaient raison d’agréer les sous-
traitants en question et ne pouvaient donc être tenues de rendre compte de 
leur décision. 
Troisièmement,  si  les  institutions  de  l’UE  n’approuvaient  pas  un  nouveau 
sous-traitant  ultérieur,  leur  seul  recours  dans  les  conditions  négociées  de 
l’ILA était de mettre fin à leur abonnement au service en ligne concerné. Si le 
service  en  ligne  concerné  faisait  partie  d’une  suite,  le  seul  recours  des 
institutions de l’UE était la résiliation de leur abonnement pour l’ensemble 
de la suite. 
Cette  solution  contractuelle  risquait  d’être  sans  effet  dans  la  pratique.  Le 
CEPD estime qu’il existait un risque que les institutions de l’UE se trouvent 
sans  alternative  réaliste  à  l’utilisation  du  service  ou  de  la  suite  Microsoft 
concernés si elles exprimaient des objections concernant un nouveau sous-

traitant ultérieur. Dans de telles circonstances, elles n’auraient effectivement 
pas le moindre mot à dire sur le choix du sous-traitant ultérieur. 
Selon le CEPD, il était essentiel que les institutions de l’UE soient en mesure 
de refuser un sous-traitant ultérieur si elles avaient des raisons de penser 
qu’il présentait un risque sur le plan de la conformité. Tel pourrait être le cas 
si, par exemple, les audits révélaient des problèmes de conformité chez ce 
sous-traitant. 
En  effet,  il  est  probable  que  tout  responsable  qui  sous-traite  de  vastes 
opérations de traitement ou un autre type de traitement à haut risque devra 
être  en  mesure  de  donner  un  agrément  significatif  aux  sous-traitants 
ultérieurs qui seront utilisés par le contractant s’il veut respecter ses propres 
obligations de conformité. 
3.2.2 Recommandations 
Le CEPD a recommandé que les institutions de l’UE prennent les mesures 
suivantes. 
•  Évaluer  les  risques  pour  les  personnes  concernées  générés  par  les 
sous-traitants ultérieurs actuellement utilisés par Microsoft. 
•  Veiller à ce que le recours à des sous-traitants ultérieurs pour toutes 
les données à caractère personnel traitées par Microsoft en vertu de 
l’ILA (et tout changement de sous-traitant ultérieur) soit soumis à une 
autorisation écrite préalable. 
•  Introduire  dans  l’ILA  l’obligation  pour  Microsoft  de  fournir  des 
informations complètes, premièrement, sur les sous-traitants ultérieurs 
qui  ont  été  utilisés  pour  chaque  produit  ou  service  fourni  aux 
institutions  de  l’UE et  pour  chaque  activité  de  traitement  et  chaque 
catégorie de données à caractère personnel; et deuxièmement, sur les 
mesures de sécurité et les mesures visant à la protection des données 
(à savoir, des mesures techniques et organisationnelles) mises en place 
concernant  chaque  sous-traitant  ultérieur.  Cela  devrait  inclure 
l’obligation,  pour  Microsoft,  de  fournir,  sur  demande,  les  parties 
pertinentes de son contrat avec un sous-traitant ultérieur donné. 

•  Introduire des garanties dans l’ILA pour faire en sorte que l’autorisation 
préalable  soit  accordée  librement  en  ce  qui  concerne  chaque  sous-
traitant engagé par Microsoft. Les institutions de l’UE devraient être en 
mesure de refuser un sous-traitant ultérieur particulier sans subir de 
baisse de service de ce fait. 
3.3 Droits d’audit 
3.3.1 Évaluation 
Conformément 
à 
l’article 29, 
paragraphe 3, 
point h), 
du 
règlement (UE) 2018/1725  [voir  également  l’article 28,  paragraphe 3, 
point h), du RGPD
], un accord entre le responsable du traitement et le sous-
traitant  doit  contenir  deux obligations  à  la  charge  du  sous-traitant. 
Premièrement, le sous-traitant doit mettre à la disposition du responsable du 
traitement toutes les informations nécessaires pour démontrer le respect de 
l’ensemble  de  l’article 29  du  règlement (UE) 2018/1725.  Deuxièmement,  le 
sous-traitant doit se soumettre aux audits et aux inspections du responsable 
du traitement. Ces obligations sont cumulatives: en conséquence, le sous-
traitant doit accéder à toute demande raisonnable relevant de l’une ou l’autre 
de ces obligations. Elles doivent également être imposées par contrat aux 
sous-traitants ultérieurs32. 
Compte tenu de l’obligation de rendre compte incombant au responsable 
du traitement en vertu de l’article 26 du règlement (UE) 2018/1725 [voir 
également  l’article 24  du  RGPD
],  le  détail  et  la  portée  des  droits  d’audit 
prévus dans le contrat devraient refléter «la nature, la portée, le contexte et 
les finalités du traitement ainsi que les risques [...] pour les droits et libertés 
des personnes physiques». Compte tenu de la grande quantité de données 
traitées du fait de l’utilisation des produits et des services Microsoft par les 
institutions  de  l’UE,  du  grand  nombre  de  personnes  concernées  et  du 
manque de clarté concernant ce qui, exactement, a été traité, où, comment 
et  à  quelles  fins,  les  circonstances  dans  lesquelles  le  CEPD  a  mené  son 
enquête  commandaient  aux  institutions  de  l’UE  de  mettre  en  œuvre  des 
dispositions  d’audit  solides  et  efficaces.  Ces  dispositions  devaient  être  un 
ensemble  d’instructions  claires,  contraignantes  et  détaillées  fournies  à 
Microsoft par les institutions de l’UE concernant la réalisation des audits. 

En  vertu  de  l’article 29,  paragraphe 3,  deuxième  alinéa,  du 
règlement (UE) 2018/1725, une obligation supplémentaire imposée au sous-
traitant est d’informer immédiatement le responsable du traitement si, selon 
lui, une instruction constitue une violation du règlement ou de la législation 
de l’UE ou des État membres en matière de protection des données33. Eu 
égard  aux  obligations  de  conformité  du  sous-traitant,  il  s’agit  là  d’une 
obligation  qui  lui  est  faite  d’informer  le  responsable  du  traitement  de 
manière  proactive  s’il  détecte  un  problème  de  conformité  avec  les 
instructions qu’il reçoit de celui-ci. 
Les  conditions  négociées  figurant  dans  l’ILA  reproduisaient  le  libellé  des 
obligations  statutaires  au  titre  de  l’article 29,  paragraphe 3,  du 
règlement (UE) 2018/1725, qui viennent d’être citées34. Elles ne fournissaient 
aucun  détail  sur  ce  que  les  institutions  de  l’UE  pouvaient  attendre  de 
Microsoft pour les respecter. 
Quelques précisions supplémentaires ont été fournies dans l’addendum sur 
la protection des données. Le CEPD a appris que Microsoft veillerait à ce que 
les  audits  de  sécurité  soient  réalisés  au  moins  une fois  par  an  par  des 
auditeurs de sécurité externes sélectionnés et payés par Microsoft. 
Les  textes  n’expliquaient  pas  dans  quelle  mesure  ces  audits  de  sécurité 
porteraient sur le respect de la protection des données. Cette omission était 
significative:  il  est  possible  d’obtenir  d’excellents  résultats  à  un  audit  de 
sécurité tout en échouant à un audit sur la protection des données en raison 
d’un manque de transparence, d’un traitement ultérieur illicite ou d’autres 
problèmes relatifs à la protection des données. 
Les textes ne confirmaient pas non plus si les audits de sécurité couvriraient 
toutes  les  activités  de  traitement  relevant  du  champ  d’application  des 
conditions  relatives  aux  services  en  ligne  ou  seulement  certaines,  ou 
couvriraient également le traitement en dehors du champ d’application des 
conditions relatives aux services en ligne. Ils n’expliquaient pas si les sous-
traitants  ultérieurs  étaient  couverts.  Les  données  sur  les  services 
professionnels  semblaient  exclues  du  champ  d’application  des  audits  de 
sécurité35, conjointement avec un certain nombre de services en ligne36. 
Lues dans leur ensemble, les dispositions en matière d’audit figurant dans 
l’addendum sur la protection des données ont également suggéré que les 

audits de sécurité propres à Microsoft constituaient le point de départ pour 
parvenir à un «respect des audits»37. 
Le CEPD estime qu’il s’agit là d’une hypothèse erronée. Les audits relatifs à 
la protection des données, qui évaluent le respect des obligations imposées 
par le règlement (UE) 2018/1725, ont un champ d’application plus large et 
appliquent des normes différentes de celles des audits de sécurité. En outre, 
les audits commandés par la société Microsoft elle-même avec une portée 
(limitée) de son choix ne pourraient jamais équivaloir aux droits d’audit réels 
des responsables du traitement prévus par le règlement (UE) 2018/1725. En 
effet,  l’article 29,  paragraphe 3,  point h),  du  règlement (UE) 2018/1725 
impose  à  Microsoft  une  obligation  contractuelle  d’autoriser  les  audits 
«[réalisés] par le responsable du traitement» ou «[un autre auditeur] qu’il a 
mandaté»38. 
L’addendum  sur  la  protection  des  données  contenait  un  engagement  de 
Microsoft  à  «répondre  rapidement»  aux  instructions  d’audit 
supplémentaires, «[d]ans la mesure où les exigences d’audit du client [...] ne 
peuvent  raisonnablement  pas  être  satisfaites  par  les  rapports  d’audit,  la 
documentation  ou  les  informations  de  conformité  que  Microsoft  met 
généralement à la disposition de ses clients»39. 
Le CEPD a décelé deux problèmes en lien avec ce libellé. Premièrement, les 
informations fournies par Microsoft et les auditeurs mandatés par Microsoft 
pourraient fournir aux institutions de l’UE un certain niveau d’assurance. Mais 
elles ne sauraient se substituer à la capacité des institutions de l’UE à recueillir 
et à vérifier les preuves relatives aux déclarations mêmes de Microsoft. Les 
informations fournies par Microsoft et par ses auditeurs n’étaient donc pas 
un moyen par lequel les exigences en matière d’audit propres aux institutions 
de l’UE pouvaient être «raisonnablement satisfaites». Elles étaient plutôt un 
moyen par lequel les institutions de l’UE pouvaient déterminer les domaines 
sur lesquels concentrer leurs contrôles. 
Deuxièmement, il ne suffisait pas que Microsoft «réponde» rapidement aux 
instructions  données  par  les  institutions  de  l’UE  concernant  les  audits. 
Refuser à ces institutions de réaliser un audit dont le champ d’application 
recoupe  celui  de  ses  propres  audits  pouvait  constituer  une  réponse.  Ce 
pouvoir  discrétionnaire  appartient  comme  il  se  doit  à  un  responsable  du 
traitement. 

Dans l’ensemble, les droits d’audit des institutions de l’UE au titre de l’ILA 
n’étaient pas suffisamment solides compte tenu des risques présentés par le 
traitement. Il existait également un manque de précision manifeste quant à 
la manière dont Microsoft devait remplir son obligation de permettre et de 
contribuer aux audits. Enfin, le champ d’application de ces droits était trop 
étroit. Les institutions de l’UE risquaient d’être incapables de demander des 
comptes à Microsoft et, par conséquent, incapables de s’acquitter de leur 
propre obligation de rendre des comptes. 
Le  CEPD  comprend  qu’un  fournisseur  de  services  à  très  grande  échelle 
souhaiterait éviter de se  retrouver  avec  un  nombre  impossible  à maîtriser 
d’audits  différents  réalisés  par  des  clients  différents.  Toutefois,  le 
règlement (UE) 2018/1725 est clair: les responsables du traitement doivent 
être en mesure d’auditer les sous-traitants et les sous-traitants ultérieurs. Le 
CEPD a également estimé qu’il devrait être possible d’organiser des audits 
qui satisfassent plusieurs clients en même temps. 
3.3.2 Recommandations 
Le CEPD a formulé les recommandations ci-après aux institutions de l’UE. 
•  Il  convient  de  modifier  l’ILA  afin  de  donner  au  responsable  du 
traitement  et  au  CEPD  des  droits  d’audit  détaillés,  efficaces  et 
applicables. 
•  L’ILA devrait également exiger de la société Microsoft qu’elle mette à 
la  disposition  des  institutions  de  l’UE  toutes  les  informations 
nécessaires  pour  démontrer  son  respect  de  l’article 29  du 
règlement (UE) 2018/1725.  Les  dispositions  contractuelles  devraient, 
de  l’avis  du  CEPD,  couvrir  les  informations  concernant  le 
fonctionnement  des  systèmes  utilisés,  l’accès  aux  données  et  aux 
destinataires, les sous-traitants ultérieurs, les mesures de sécurité, la 
conservation  des  données  à  caractère  personnel,  la  localisation  des 
données, les transferts de données à caractère personnel ou tout autre 
traitement  ultérieur  des  données  à  caractère  personnel.  Lorsque 
Microsoft  apporte  des  modifications  substantielles  qui  sont 
pertinentes du point de vue de la protection des données, elle devrait 
également être tenue de notifier les institutions de l’UE de manière à 

les  inciter  à  consulter  et  à  évaluer  les  informations  relatives  à  ces 
modifications. 
•  L’ILA  devrait  comprendre  des  dispositions  précisant  la  manière  dont 
Microsoft doit appliquer en pratique les obligations qui lui incombent 
en  vertu  de  l’article 29,  paragraphe 3,  deuxième  alinéa,  du 
règlement (UE) 2018/1725. 
•  En  tant  que  responsables  du  traitement,  les  institutions  de  l’UE 
devraient  mettre  en  place  un  programme  d’audit  consistant  en  des 
contrôles réguliers réalisés par leur équipe d’audit interne ou externe. 
La  portée  et  la  fréquence  des  audits  devraient  refléter  l’ampleur  du 
traitement et les risques pour les personnes concernées. 
•  Les audits réalisés dans le cadre de l’ILA devraient recueillir des preuves 
factuelles du respect par Microsoft des obligations qui lui incombent. 
•  Les  résultats  d’audit  significatifs  devraient  être  communiqués  aux 
niveaux appropriés de la hiérarchie au sein des institutions de l’UE. Les 
résultats devraient permettre à celles-ci de mettre en évidence et de 
donner  suite  aux  éventuels  problèmes  de  conformité.  Ils  devraient 
également être fournis au CEPD à sa demande. 
4 Localisation, transferts et divulgation 
des données 

L’enquête  du  CEPD  a  montré  que  les  institutions  de  l’UE  n’étaient  pas  en 
mesure de contrôler la localisation d’une grande partie des données traitées 
par Microsoft. Elles n’avaient pas non plus un contrôle total sur les données 
qui étaient transférées hors de l’UE/EEE et sur la manière dont le transfert 
était  effectué.  Les  garanties  adéquates  faisaient  aussi  défaut  pour  la 
protection des données quittant l’UE/EEE. Cette situation a eu une incidence 
négative concrète sur la capacité des institutions  de l’UE à  demander des 
comptes à Microsoft. 
Les institutions de l’UE avaient également peu de garanties qu’elles étaient 
en mesure de défendre les privilèges et immunités qui leur étaient accordés 
en vertu du traité sur le fonctionnement de l’Union européenne («TFUE») et 
que Microsoft ne divulguerait des données à caractère personnel que dans 
la mesure où le droit de l’Union l’y autorisait. 

Dans  cette  section,  le  CEPD  examine  tour  à  tour  les  problèmes  qui  se 
recoupent  concernant  la  localisation  des  données,  les  transferts 
internationaux et la communication des informations. 
4.1 Localisation des données 
Au moment où le CEPD a clôturé son enquête en mars 2020, l’emplacement 
(de  stockage)  de  (certaines)  données  était  précisé  dans  les  conditions 
relatives aux Services en ligne40. Aux termes desdites conditions, l’obligation 
de stocker les données dans l’UE ne s’appliquait qu’à un sous-ensemble des 
données fournies par l’utilisation de certains «services en ligne Core». 
Ces  services  en  ligne  Core  incluaient  les  services  Microsoft  Office 365  et 
certains services Microsoft Azure.41 Microsoft s’est engagée à conserver dans 
l’UE  une  partie  seulement  des  données  fournies  par  l’utilisation  de  ces 
services. Pour les services de l’Office 365, Microsoft s’est engagée à stocker 
dans l’UE uniquement le contenu de la boîte aux lettres Exchange Online, le 
contenu du site SharePoint Online et les fichiers téléchargés vers OneDrive 
for  Business
.  Les  données  fournies  par  l’utilisation  d’autres  services  de 
l’Office 365  n’étaient  pas  concernées,  pas  plus  que  les  informations  sur 
l’identité  des  utilisateurs  ou  les  métadonnées.  Pour  les  services  de  base 
Microsoft  Azure,  comme  Azure  Active  Directory  (utilisé  pour  la  gestion  de 
l’identité  des  utilisateurs  dans  les  services  en  ligne  de  Microsoft),  les 
conditions  relatives  aux  services  en  ligne  prévoyaient  expressément  que: 
«certains  services  sont  susceptibles  de  ne  pas  permettre  au  client  de 
configurer le déploiement dans [l’UE/l’EEE] ou en dehors des États-Unis et 
stocker des copies de sauvegarde à d’autres emplacements.»42 
L’addendum sur la protection des données précisait également que «[s]auf 
dans les conditions prévues dans les Conditions du DPA, les données client 
et les données à caractère personnel que Microsoft traite pour le compte du 
client peuvent être transférées, stockées et traitées aux États-Unis ou dans 
tout  autre  pays  dans  lequel  Microsoft  ou  ses  sous-traitants  ultérieurs 
opèrent»43. 
L’obligation de stocker des données dans l’UE/EEE ne s’appliquait donc qu’à 
un sous-ensemble des données traitées par Microsoft lorsqu’elle fournissait 
des «services en ligne Core». L’emplacement de stockage des données ne 

relevant pas de ce sous-ensemble n’était pas clairement indiqué, tout comme 
l’emplacement des données qui étaient transférées hors de l’UE/EEE. 
Les conditions négociées dans l’accord-cadre permettaient que les données 
recueillies par la société Microsoft soient situées en tout lieu choisi par elle. 
Dans  la  mesure  où  la  société  collectait,  en  tant  que  responsable  du 
traitement,  des  données  à  caractère  personnel  à  partir  de  produits  et 
services,  la  déclaration  de  confidentialité  de  Microsoft  n’était  pas 
contraignante44. 
Les institutions de l’UE n’étaient donc pas libres de décider de l’endroit où 
stocker  leurs  données.  Elles  n’étaient  pas  non  plus  libres  de  décider  de 
procéder à des transferts hors de l’UE/EEE. Selon le CEPD, les dispositions 
prévues  dans  l’ILA  et  la  déclaration  de  confidentialité  de  Microsoft  ne 
permettaient  même  pas  aux  institutions  de  l’UE  de  déterminer 
l’emplacement de tous les différents types de données à caractère personnel 
traitées en vertu de ces dispositions. 
4.2 Transferts internationaux 
Lorsque  des  transferts  internationaux  vers  des  pays  tiers  ou  à  des 
organisations internationales sont nécessaires, ils ne devraient être effectués 
que dans le strict respect des règles applicables en matière de transfert45 et 
à la suite d’une évaluation documentée des risques qu’ils présentent pour les 
droits et libertés des personnes concernées. Il incombe aux responsables du 
traitement de décider s’ils autorisent ou non un transfert. 
Selon  le  CEPD,  les  institutions  de  l’UE  avaient  signé  l’ILA  avec  Microsoft 
Irlande.  Toujours  selon  le  CEPD,  dans  le  cadre  de  l’ILA,  les  garanties  qui 
avaient  été  mises  en  place  conformément  aux  règles  internationales  en 
matière  de  transfert  avaient  jusqu’à  présent  été  contractuelles.  À  la 
connaissance  du  CEPD,  le  groupe  Microsoft  n’avait  pas  adopté  de  règles 
d’entreprise  contraignantes  en  vigueur  qui  soient  autorisées  en  vertu  du 
RGPD ou des instruments précédents. 
En vertu de l’addendum sur la protection des données, en signant l’ILA, les 
institutions  de  l’UE  sont  réputées  avoir  également  signé  un  ensemble  de 
clauses  contractuelles  types  («CCT»)  pour  les  transferts  internationaux  de 

données, avec Microsoft Corporation46. En conséquence, les institutions de 
l’UE avaient à la fois une relation directe avec un sous-traitant établi dans 
l’UE (Microsoft Irlande) qui pouvait effectuer des transferts internationaux à 
ses sous-traitants et une relation directe avec Microsoft Corporation en tant 
que sous-traitant établi hors de l’UE/EEE qui pouvait également effectuer des 
transferts internationaux vers ses sous-traitants ultérieurs. Selon le CEPD, la 
grande majorité du traitement des données à caractère personnel était en 
pratique effectué par Microsoft Corporation et ses sous-traitants ultérieurs, 
et non par Microsoft Irlande et ses sous-traitants ultérieurs. 
Compte tenu de cette matrice contractuelle, les institutions de l’UE avaient 
besoin des deux niveaux de garanties contractuelles suivants. Premièrement, 
il fallait qu’elles donnent, dans l'ILA, des instructions à Microsoft Irlande et à 
Microsoft Corporation sur le point de savoir dans quelle mesure, dans quelles 
conditions  et  sous  réserve  de  quelles  garanties  des  données  à  caractère 
personnel pouvaient être transférées hors de l’UE/EEE. Ces conditions et ces 
garanties  devaient  se  retrouver  dans  les  clauses  contractuelles  types 
concernant les transferts signées par les institutions de l’UE avec Microsoft 
Corporation. Compte tenu de ce scénario, il serait approprié d’utiliser les CCT 
adoptées  en  vertu  de  l’article 48,  paragraphe 2,  point b)  ou c),  du 
règlement (UE) 2018/172547  entre  les  institutions  de  l’UE  et  Microsoft 
Corporation. Toutefois, étant donné qu’il n’existe pas encore de CCT de ce 
genre, les institutions de l’UE pourraient, à titre de mesure provisoire, utiliser 
les  dispositions  des  CCT  telles  que  celles  adoptées  en  vertu  de  la 
décision 2010/87/UE  de  la  Commission,  sous  réserve  de  l’autorisation  du 
CEPD 
en 
vertu 
de 
l’article 48, 
paragraphe 3, 
point a), 
du 
règlement (UE) 2018/1725. 
La position dans le cadre de l’ILA était différente, dans la mesure où, selon le 
CEPD, les problèmes suivants se posaient. 
Premièrement, comme expliqué dans la sous-section précédente relative à la 
localisation des données, les instructions figurant dans l’ILA sur les données 
à caractère personnel que Microsoft pouvait transférer hors de l’UE/EEE, à 
quel moment et avec quelles finalités, étaient limitées en termes de champ 
d’application et insuffisantes. 
Deuxièmement,  les  instructions  des  institutions  européennes  sur  les 
garanties qui devaient régir ces transferts manquaient de précision. L’accord-

cadre  négocié  engageait,  pour  l’essentiel,  Microsoft  à  respecter  ses 
obligations  statutaires  et  ne donnait aucune  précision  quant  à  la manière 
dont il convenait de les mettre en œuvre. 
Troisièmement, il n’était pas certain que les instructions des institutions de 
l’UE  figurant  dans  les  documents  négociés  de  l’ILA  étaient  censées  lier 
Microsoft  Corporation  de  même  que  Microsoft  Irlande.  Microsoft 
Corporation  n’était  pas  expressément  liée  et,  à  la  connaissance  du  CEPD, 
n’était  pas  signataire  de  ces  documents.  Compte  tenu  de  la  matrice 
contractuelle, le CEPD a estimé qu’il était nécessaire que les instructions des 
institutions de l’UE soient, sans ambiguïté aucune, contraignantes pour les 
deux entités. 
Quatrièmement, les CCT concernant les transferts, que Microsoft Corporation 
a  contresignées,  n’étaient  pas  conformes.  Les  préoccupations  du  CEPD 
étaient les suivantes. 
Les responsables du traitement souhaitant utiliser les CCT concernant 
les  transferts  adoptées  par  la  Commission  européenne  (telles  que  les 
clauses  types  adoptées  au  titre  de  la  décision 2010/87/UE  de  la 
Commission)  doivent  compléter  les  annexes
  afin  de  préciser  l’objet,  la 
durée, la nature et la finalité du traitement, le type de données à caractère 
personnel et les catégories de personnes concernées, ainsi que les mesures 
de sécurité à appliquer aux données transférées48. Le contenu des annexes 
devrait  être  adapté  à  chaque  produit  et  service  concerné  et  à  chaque 
destinataire (y compris les sous-traitants ultérieurs)
. Alors seulement la 
description faite peut correspondre à la relation spécifique entre responsable 
du traitement et sous-traitant concernée. 
Dans sa mise en œuvre standard de ces CCT pour les transferts, Microsoft a 
prérempli  la  description  du  traitement  dans  les  annexes49.  Les  listes  des 
personnes concernées et des catégories de données étaient génériques et 
rédigées dans les grandes lignes, dans la mesure où elles étaient conçues 
pour  être  les  mêmes  pour  n'importe  quel  client.  En  fonction  des  besoins 
opérationnels  de  chaque  institution  de  l’UE,  il  se  peut  que  certaines 
catégories  ne  soient  pas  valables  ou  que  d’autres  relèvent  du  fourre-tout 
constitué  par  la  formule  «[t]oute  autre  donnée  à  caractère  personnel».  La 
formulation des annexes visait à surmonter le caractère générique des listes 
en  indiquant  que  «[l]e  client  peut  choisir  d’inclure,  dans  les  données  à 

caractère personnel, des données de l’une des catégories suivantes [types de 
personnes concernées/catégories de données] dans les données clients». Or, 
cela allait à l’encontre de l’objectif visant à décrire clairement la portée du 
transfert. 
Étant  donné  que  les  CCT  pour  les  transferts  devaient  être  spécifiques  à 
chaque  relation entre responsable du traitement et sous-traitant,  il n’était 
pas  non  plus  approprié  qu’elles  soient  négociées  (ou  imposées  par 
Microsoft) au moment de leur intégration dans un accord-cadre intéressant 
un grand nombre d’institutions de l’UE. 
Chaque  responsable  du  traitement  devrait  être  en  mesure  de  préciser  le 
traitement  considéré  dans  les  CCT  pour  les  transferts  qu’il  conclut  avec 
Microsoft Corporation. Une option de mise en conformité consisterait en un 
ensemble  de  clauses  comprenant  un  système  de  cases  à  cocher  dans  les 
annexes, que les différents responsables du traitement devraient compléter 
et contresigner. 
Comme  pour  beaucoup  d’autres  engagements  prévus  dans  l’ILA,  ces  CCT 
pour les transferts ne s’appliquent qu’aux données fournies par l’utilisation 
de services en ligne. Le CEPD n’avait pas connaissance de l’existence d’un 
mécanisme  contractuel  correspondant  pour  les  produits  et  services  qui 
n’étaient pas des services en ligne, ou pour les données collectées et traitées 
par Microsoft en tant que responsable du traitement. De l’avis du CEPD, si 
ces données devaient être simplement traitées ou transférées, elles devaient 
être réglementées dans le cadre de l’ILA. Les instructions des institutions de 
l’UE  à  ce  niveau  devaient  ensuite  figurer  dans  les  CCT  pour  les  transferts 
signées  avec  Microsoft  Corporation  et  dans  toute  nouvelle  CCT  que 
Microsoft Corporation concluait avec des sous-traitants ultérieurs au sujet de 
transferts qui leur étaient destinés. 
Enfin,  étant  donné  que  les  CCT  n’étaient  conformes  que  si  les  parties 
n’avaient apporté aucun changement à ces conditions (autre que le fait de 
remplir  les  annexes),  elles  devaient  prévaloir  sur  d’autres  conditions 
contractuelles  dans  la  hiérarchie  des  documents  contractuels  de  l’ILA.  Ce 
point n’était pas certain, compte tenu du caractère ambigu de la hiérarchie 
établie dans d’autres documents contractuels composant l’ILA. 
4.3 Divulgation non autorisée 

Le  protocole  nº 7  du  traité  sur  le  fonctionnement  de  l’Union  européenne 
prévoit l’inviolabilité des biens, des avoirs, des archives, des communications 
et des documents de l’UE. Il ressort du protocole nº 7 qu’un sous-traitant 
engagé par des institutions de l’UE doit uniquement divulguer des données 
à caractère personnel qu’il traite pour le compte des institutions de l’UE s’il 
en  informe  l’institution  de  l’UE  concernée  et  obtient  son  accord,  ou  s’il  a 
l’autorisation de la Cour de justice50. Les institutions de l’Union ne perdent 
pas le bénéfice de la protection offerte par le protocole simplement parce 
qu’elles dépendent d’un prestataire externe pour certains services. 
L’article 49  du  règlement (UE) 2018/1725  [voir  également  l’article 48  du 
RGPD
]  dispose  que  toute  décision  d’une  juridiction  ou  d’une  autorité 
administrative d’un pays tiers exigeant la divulgation de données à caractère 
personnel ne peut être [...] rendue exécutoire [...] qu’à la condition qu’elle soit 
fondée sur un accord international auquel l’UE est partie51. 
L’article 4, paragraphe 1, point f), du règlement (UE) 2018/1725 impose aux 
institutions de l’UE de garantir l’intégrité et la confidentialité des données à 
caractère personnel traitées pour leur compte52. 
Ces  obligations  juridiques  s’accompagnaient difficilement  des  dispositions 
de  l’ILA  sur  la  divulgation.  L’addendum  sur  la  protection  des  données 
permettait à Microsoft de répondre positivement aux demandes d’accès aux 
données lorsqu’elle estimait qu’elle était juridiquement tenue de le faire53. 
Microsoft  n’aurait  même  pas  informé  les  clients  d’une  demande  en  cas 
d’«interdiction légale».54. Bien sûr, l’addendum sur la protection des données 
ne couvrait qu’un sous-ensemble de données à caractère personnel traitées 
au titre de l’ILA. À la connaissance du CEPD, aucun engagement contractuel 
n’a été pris concernant des divulgations portant sur des données à caractère 
personnel ne relevant pas de ce sous-ensemble. 
Compte tenu de l’analyse effectuée par le CEPD, selon laquelle Microsoft a 
conservé un pouvoir discrétionnaire pour traiter des données en tant que 
responsable  du  traitement,  une  partie  au  moins  de  ces  données  risquait 
d’être régie par les politiques de Microsoft mentionnées dans sa déclaration 
de  confidentialité.  Cela  a  permis  à  Microsoft  de  divulguer  des  données  à 
caractère  personnel  (y  compris  les  données  clients,  les  données 
administrateurs, les données de paiement et les données de support) à des 
tiers, notamment aux services répressifs ou à d’autres organismes publics55. 

Le protocole nº 7 et le règlement (UE) 2018/1725 protègent les institutions 
de l’Union des demandes de divulgation que des sous-traitants qu’elles ont 
engagés pourraient recevoir des gouvernements des États membres de l’UE. 
Il est possible que le protocole et le règlement ne puissent pas protéger les 
institutions  de  l’UE  contre  les  demandes  de  divulgation  émanant  de 
gouvernements  de  pays  tiers  et  de  sous-traitants  relevant  de  leur 
compétence.  En  fonction  des  lois  de  ce  pays  tiers  et  de  leur  portée 
extraterritoriale, ces sous-traitants peuvent être confrontés à un conflit de 
lois et juger prudent de se conformer aux lois du pays tiers, même si cela les 
met en position d’enfreindre les lois de l’Union. 
Par  conséquent,  si  les  institutions  de  l’UE  font  appel  à  des  sous-traitants 
ayant des liens avec les gouvernements de pays tiers, elles peuvent, dans la 
pratique, en venir à faire le choix de renoncer aux protections offertes par le 
protocole et le règlement contre la divulgation non autorisée. 
4.4 Conséquences 
Compte tenu de la situation prévalant en vertu de l’ILA et des circonstances 
de  la  relation  entre  les  institutions  de  l’UE  et  Microsoft,  les  difficultés 
pratiques suivantes se sont posées. 
Si les données à caractère personnel des utilisateurs des institutions de l’UE 
et d’autres personnes concernées étaient localisées et traitées en dehors de 
l’UE/EEE, il devenait beaucoup plus difficile pour les institutions de l’UE de 
mettre  en  place  des  mesures  efficaces  pour  garantir  le  respect  du 
règlement (UE) 2018/1725  et  vérifier  leur  respect  des  dispositions  en  tant 
que responsables du traitement. 
Un  manque  d’information  et  de  contrôle  sur  les  données  en  transit  était 
également  préoccupant.  Les  flux  transfrontières  de  données  à  caractère 
personnel  s’accompagnent  d’un  risque  de  rupture  dans  la  continuité  du 
niveau de protection assuré au sein de l’UE56. Sans une image précise des 
pays par lesquels les données sont susceptibles de transiter, il devient très 
difficile pour les institutions de l’UE d’évaluer quelles garanties techniques, 
organisationnelles,  sécuritaires  et  contractuelles  elles  doivent  mettre  en 
œuvre  avant  l’ouverture  d’un  transfert.  Par  conséquent,  elles  risquent  de 
compromettre leur mise en œuvre des principes régissant la protection des 
données  (par  exemple,  la  minimisation  des  données,  la  limitation  des 

finalités) ainsi que la confidentialité et la sécurité des données transmises. 
Cependant, l’avocat général Saugmandsgaard Øe a récemment souligné la 
nécessité  pour  les  responsables  du  traitement  d’assurer  la  protection  des 
données à  caractère personnel, non seulement après  leur arrivée  dans  un 
pays tiers, mais après que le transfert a été initié, et donc y compris au cours 
de la phase de transit57. 
Une fois que des données à caractère personnel se trouvent en dehors de 
l’UE/EEE, en l’absence d’une décision d’adéquation couvrant le pays tiers de 
destination  ou  de  garanties  appropriées,  les  personnes  concernées 
pourraient également éprouver des difficultés à exercer leurs droits. Dans ces 
conditions,  les  droits  des  personnes  concernées,  le  droit  de  se  plaindre 
auprès d’une autorité de contrôle indépendante, le droit de demander un 
recours  juridictionnel  et  le  droit  de  demander  réparation,  pourraient  être 
concernés. 
La Cour a itérativement jugé qu’un contrôle efficace expressément exigé par 
l’article 8, paragraphe 3, de la Charte, effectué par une autorité indépendante 
de  protection  des  données  est  un  élément  essentiel  de  la  protection  des 
données à caractère personnel58. 
Microsoft  et  ses  sous-traitants  ultérieurs  risquaient  donc  de  ne  pas  être 
suffisamment tenus de rendre compte de leur traitement au titre de l’ILA. 
Si les données n’étaient pas traitées dans l’UE/EEE, les institutions de l’UE 
risquaient également d’avoir de grandes difficultés à faire appliquer le droit 
de l’UE pour empêcher leur divulgation. En particulier, si les données étaient 
situées dans un pays tiers, les autorités compétentes du territoire [pouvaient] 
solliciter l’accès aux données dans le contexte d’une mesure d’application de 
leur législation publique ou en matière de rétention de données59. 
Dans ce  contexte,  le CEPD  recommande que le traitement des  données à 
caractère personnel confié par les institutions de l’UE à Microsoft ait lieu, en 
règle générale, au sein de l’UE/EEE. 
4.5 Recommandations 
Le CEPD a recommandé ce qui suit aux institutions de l’UE. 

•  L’ILA devrait comporter des dispositions présentant de façon détaillée, 
pour chaque produit et service fourni par Microsoft en vertu de cet 
accord,  la  localisation  des  données  collectées  et  traitées  lorsque  les 
institutions de l’UE ont utilisé ce produit ou service spécifique. 
•  L’ILA  devrait  explicitement  exiger  que  Microsoft  mette  en  œuvre  les 
garanties contractuelles, organisationnelles et en matière de sécurité 
appropriées  en  cas  de  transfert  international  de  données.  En 
particulier, l’ILA devrait exiger de Microsoft qu’elle mette en place des 
mesures  de  sécurité  solides  pour  couvrir  les  données  en  cours  de 
transport. 
•  Tout  recours  aux  CCT  pour  les  transferts  devrait  être  conforme  à  la 
législation de l’Union en vigueur. 
•  L’ILA devrait interdire à Microsoft (et à ses sous-traitants ultérieurs) de 
communiquer  des  données  à  caractère  personnel  aux  autorités  des 
États  membres,  aux  autorités  de  pays  tiers,  aux  organisations 
internationales ou à d’autres tiers, à moins que le droit de l’Union ou 
le droit des États membres ne l’autorise expressément dans la mesure 
où  les  conditions  prévues  par  le  droit  de  l’Union  pour  une  telle 
divulgation sont remplies. 
•  L’ILA devrait exiger de Microsoft qu’elle informe les institutions de l’UE 
concernées de toute demande d’accès aux données reçue par elle ou 
ses sous-traitants, immédiatement à réception de la demande. En règle 
générale, Microsoft devrait rediriger ces demandes vers l’institution de 
l’UE  concernée  et  solliciter  ses  instructions.  En  tout  état  de  cause, 
Microsoft devrait contester les demandes d’accès, épuisant toutes les 
voies de recours disponibles. La divulgation de données par Microsoft 
ou les sous-traitants ultérieurs ne devrait pas être autorisée sans que 
l’institution de l’UE concernée ait au préalable été notifiée, ait donné 
son accord et ses consignes et que les garanties appropriées soient en 
place. Si une institution de l’UE choisit de ne pas divulguer les données, 
celles-ci ne devraient être divulguées que sur ordonnance de la Cour 
de justice de l’Union européenne. 
•  Outre  l’obligation  de  notification  incombant  à  Microsoft  concernant 
les demandes d’accès aux données, les institutions de l’UE devraient 
lui demander une fois par an de fournir les informations sur la question 
de savoir si des données des institutions de l’UE ont été divulguées et, 

le  cas  échéant,  quelles  mesures,  par  suite,  ont  été  prises.  Les 
responsables  du  traitement  et  leurs  délégués  à  la  protection  des 
données  pertinents  devraient  évaluer  les  informations  reçues.  Les 
institutions  de  l’UE  devraient  alors  prendre  toutes  les  mesures 
supplémentaires nécessaires pour garantir le respect de l’interdiction 
contractuelle  de  divulgation,  des  procédures  de  notification  et  des 
garanties convenues. 
•  À  moins  que  les  recommandations  du  CEPD  concernant  les  sous-
traitants  ultérieurs,  la  localisation  des  données,  les  transferts 
internationaux  et  la  divulgation  non  autorisée  n’aient  été  mises  en 
œuvre, l’ILA devrait exiger que tout traitement de données à caractère 
personnel confié à Microsoft ou à ses sous-traitants par les institutions 
de l’UE ait lieu, en règle générale, au sein de l’UE/EEE. Cette exigence 
devrait couvrir le traitement aux fins de la sauvegarde des données, de 
la continuité des activités et de la réalisation d’opérations à distance. 
•  À  moyen  terme,  si  les  institutions  de  l’UE  souhaitaient  maintenir  les 
protections prévues par le protocole nº 7 du TFUE et le règlement (UE) 
2018/1725  contre  toute  divulgation  non  autorisée,  elles  devraient 
sérieusement envisager: 
o  premièrement, de veiller à ce que les données traitées pour leur 
compte soient situées dans l’UE/EEE; et 
o  deuxièmement, de n’utiliser que des prestataires de services qui 
ne sont pas assujettis aux lois de pays tiers incompatibles ayant 
une portée extraterritoriale. 
5 Mesures techniques 
5.1 Contexte 
En 2016, la Commission a mis en évidence une question de sécurité et de 
protection  des  données  que  posait  la  collecte  par  Microsoft  de  données 
diagnostiques  à  partir  de  ses  logiciels.  Les  logiciels  concernés  étaient 
principalement Office Pro Plus 2016 et Windows 10 Enterprise. Ces logiciels 
n’offraient  pas de moyens intégrés  permettant  aux  institutions  de  l’UE  de 
gérer ou de stopper complètement les flux de données diagnostiques vers 
Microsoft. 

Les travaux de la Commission visant à détecter et à atténuer les problèmes 
liés  à  la  sécurité  et  à  la  protection  des  données  posées  par  les  logiciels 
Microsoft illustraient le fait que, sur un plan technique (donc pas seulement 
contractuel), l’approche de Microsoft pour fournir ses produits et ses services 
n’était pas pleinement conforme aux principes de la protection des données 
dès la conception et par défaut60. 
Les responsables du traitement sont tenus de mettre en œuvre des mesures 
techniques et organisationnelles pour s’assurer de la protection des données 
dès  la conception  et  par  défaut  et  de  respecter  leur  obligation de  rendre 
compte61. Le CEPD a publié des lignes directrices à l’intention des institutions 
de l’UE afin de les aider dans ce sens62. 
D’une  manière  générale,  le  CEPD  recommande  que  les  responsables  du 
traitement évaluent également la nécessité d’apprécier les risques liés à la 
protection des données lorsqu’ils envisagent d’utiliser des produits ou des 
services offerts par des prestataires tiers, qui traiteront de grandes quantités 
de données à caractère personnel. 
5.2 Recommandations 
Dans  le  contexte  particulier  de  l’ILA  et  des  produits  et  services  que  les 
institutions de l’UE utilisaient au moment de l’enquête, le CEPD a émis les 
recommandations suivantes. 
•  En suivant une approche globale et documentée, toutes les institutions 
de l’UE devraient effectuer des tests pour vérifier le flux de données à 
caractère personnel vers Microsoft à partir de ses produits et services 
actuels et futurs. Cette approche devrait notamment: 
o  couvrir  les  modes  d’utilisation  normaux  de  leurs  utilisateurs 
impliquant les produits et services de Microsoft à tester; 
o  analyser  tout  flux  sortant  des  ordinateurs  de  l’utilisateur  et 
toutes  ses  destinations  de  manière  à  distinguer  les  flux  de 
données circulant depuis les logiciels Microsoft vers les serveurs 
de Microsoft ou de ses sous-traitants. 
•  Les institutions de l’UE devraient également surveiller les mises à jour 
des produits de Microsoft et prendre contact avec la société en vue de 

leur  configuration  afin  d’éliminer  tout  transfert  illicite  de  données  à 
caractère personnel. 
•  Lorsqu’une institution de l’UE négocie l’acquisition de produits ou de 
services  logiciels  pour  le  compte  d’autres  institutions  de  l’UE, 
l’institution  de  l’UE  réalisant  la  négociation  devrait  informer  l’autre 
institution de l’UE de tout problème de protection des données qu’elle 
décèle avec les produits ou services. 
•  Les  institutions  de  l’UE  devraient  partager  entre  elles  l’expertise 
technique  et  les  solutions  afin  d’éliminer  tout  transfert  illicite  de 
données à caractère personnel à Microsoft. 
•  Lorsque  les  institutions  de  l’UE  ont  prévu  d’utiliser  des  produits  et 
services  de  Microsoft  qu’elles  n’utilisaient  pas  encore  (tels  que 
Microsoft Office 365 ou les services en nuage Microsoft Azure), elles 
devraient procéder à des évaluations approfondies des risques liés à la 
protection des données que présentent ces produits et services avant 
de les déployer. 
6 Transparence 
L’abondance des documents contractuels, les chevauchements et les conflits 
de  clauses,  l’absence  de  hiérarchie  claire  et  les  mises  à  jour  mensuelles 
rendent, à tout le moins, difficile pour les institutions, organes et organismes 
de l’UE de s’acquitter de leurs obligations d’information envers les personnes 
concernées,  comme  l’exige  l’article 4,  paragraphe 1,  point a),  du 
règlement (UE) 2018/1725
  [voir  également  l’article 5,  paragraphe 1, 
point a), du RGPD
]. 
6.1 Recommandations 
Dans  le  contexte  particulier  de  la  transparence  à  l’égard  des  personnes 
concernées,  qui  permet  à  celles-ci  d’exercer  leurs  droits  en  matière  de 
protection  des  données  et  d’autres  droits,  le  CEPD  a  émis  les 
recommandations suivantes. 
•  Obtenir un niveau d’assurance suffisant en ce qui concerne l’objet et la 
durée  du  traitement,  la  nature  et  les  finalités  du  traitement,  les 

catégories  de  données  à  caractère  personnel  et  de  personnes 
concernées,  et  les  risques  pour  les  personnes  concernées  afin  de 
permettre aux institutions de l’UE de s’acquitter de leurs obligations de 
transparence. 
•  Établir une notice relative à la protection des données dans le cadre 
des  informations  devant  être  fournies  aux  personnes  concernées 
conformément aux articles 15 et 16 du règlement (UE) 2018/1725. 
7 Conclusion 
Le CEPD recommande aux organisations de ne pas envisager d’engager un 
sous-traitant (ou sous-traitant ultérieur) qui n’est pas disposé à fournir des 
garanties  suffisantes  pour  mettre  en  œuvre  des  mesures  techniques  et 
organisationnelles appropriées de manière à ce que le traitement réponde 
aux exigences des règles de l’UE en matière de protection des données et 
garantisse  la  protection  des  droits  des  personnes  concernées.  Afin  de 
respecter le principe de la protection des données dès la conception et par 
défaut, les organisations devraient vérifier, tant au moment de la planification 
du traitement que de sa mise en œuvre, si aucune autre solution logicielle ne 
permet de renforcer les garanties en matière de protection de la vie privée. 
Le CEPD reconnaît que la ligne de conduite recommandée aux institutions 
de l’UE peut représenter une tâche difficile pour bon nombre, voire pour la 
plupart, des clients de Microsoft en matière de licences en volume. 
Les  responsables  du  traitement  dans  les  institutions  de  l’UE  craignaient 
certainement  qu’un  prestataire  de  services  hyper-échelle  ne  considère  les 
modifications  contractuelles,  telles  que  celles  que  le  CEPD  préconisait, 
comme étant soit contraires au bon sens commercial soit irréalisables ou les 
deux.  Le CEPD  a  constaté  que  Microsoft  s’est  montrée,  dans  une certaine 
mesure, prête à accepter certaines solutions pour répondre aux besoins des 
institutions de l’UE en matière de conformité. 
Lorsqu’un contractant est véritablement attaché à la protection des données, 
il  apparaît  tout  à  fait  possible  de  renforcer  la  protection  des  personnes 
concernées  d’une  manière  qui  soit  commercialement  acceptable  et  qui 
puisse admettre de nombreux clients en même temps. 

Par conséquent, le CEPD exhorte les responsables du traitement à ne pas se 
décourager  à  la  perspective  de  négocier  avec  un  sous-traitant  des 
instructions qu’ils jugent nécessaires pour protéger les droits et les libertés 
des  personnes  concernées,  même  lorsqu’ils  sont  face  à  un  partenaire 
commercial d’une envergure considérable. 
 
1.  ↩ Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 
23 octobre 2018  relatif  à  la  protection  des  personnes  physiques  à 
l’égard  du  traitement  des  données  à  caractère  personnel  par  les 
institutions, organes et organismes de l’Union et à la libre circulation 
de  ces  données,  et  abrogeant  le  règlement (CE)  nº 45/2001  et  la 
décision nº 1247/2002/CE, JO L 295 du 23.10.2018, p. 60.↩ 
2.  Règlement (UE)  2016/679  du  Parlement  européen  et  du  Conseil  du 
27 avril 2016 relatif à la protection des personnes physiques à l’égard 
du  traitement  des  données  à  caractère  personnel  et  à  la  libre 
circulation  de  ces  données,  et  abrogeant  la  directive 95/46/CE 
(règlement  général  sur  la  protection  des  données),  JO L 119  du 
4.5.2016, p. 1.↩ 
3.  Le CEPD respecte ce niveau élevé de transparence en vue de mieux 
faire  connaître  les  questions  liées  à  la  protection  des  données,  en 
favorisant une compréhension commune des règles de protection des 
données  et  le  développement  de  la  culture  de  la  protection  des 
données dans l’ensemble de l’UE/EEE. Un niveau élevé de transparence 
est  généralement  recommandé  par  le  Médiateur  européen  pour  les 
institutions de l’UE en ce qui concerne la mise en œuvre proactive du 
règlement (CE) nº 1049/2001  et  la  responsabilité  du  processus 
décisionnel de l’UE.↩ 
4.  Règlement (UE) 2018/1725.↩ 
5.  RGPD.↩ 
6.  Le rôle et les compétences du CEPD concernent uniquement le respect 
du règlement (UE) 2018/1725 et non du RGPD. Afin d’aider les lecteurs, 
lorsque  le  présent  document  fait  référence  à  des  dispositions 
spécifiques  du  règlement (UE) 2018/1725,  les  références  aux 
dispositions correspondantes du RGPD ont été ajoutées.↩ 
7.  Règlement (UE) 2018/1725, considérant 48 et article 25.↩ 

8.  «Conditions  d’octroi  de  la  licence  et  documentation»  (Contrats  de 
licence en volume de Microsoft) <https://aka.ms/licensingdocs>.↩ 
9.  Microsoft,  «Introduction»,  Conditions  relatives  aux  services  en  ligne 
<https://aka.ms/ost>,  partie  «Conditions  du  DPA  et  mises  à  jour 
applicables»;  Microsoft,  «Introduction»,  Addendum  sur  la  protection 
des  données
  <https://aka.ms/dpa>,  partie  «Conditions  du  DPA  et 
mises à jour applicables».↩ 
10. Idem.↩ 
11. Au  moment  de  la  rédaction  du  présent  document  (mai 2020),  la 
dernière version de l’addendum sur la protection des données était celle 
de janvier 2020.↩ 
12. Les  versions  antérieures  et  postérieures  à  janvier 2020  peuvent 
présenter un intérêt pour les institutions de l’UE.↩ 
13. Règlement (UE) 2018/1725, article 29, paragraphe 10; RGPD, article 28, 
paragraphe 10.↩ 
14. Microsoft, «Conditions de protection des données»,  Addendum sur la 
protection  des  données  <https://aka.ms/dpa>,  sous-partie  «Rôles  et 
responsabilités  du  sous-traitant  et  du  responsable  du  traitement»; 
Microsoft,  «Annexe 1»,  Addendum  sur  la  protection  des  données 
<https://aka.ms/dpa>, sous-partie «Rôles et responsabilités du sous-
traitant et du responsable du traitement».↩ 
15. «Avis 03/2013  sur  la  limitation  des  finalités»  (Groupe  de  travail 
«Article 29»,  2012)  p. 15  et 16  <https://ec.europa.eu/justice/article-
29/documentation/opinion-
recommendation/files/2013/wp203_en.pdf>; 

«Lignes 
directrices 2/2019 sur le traitement des données à caractère personnel 
au titre de l’article 6, paragraphe 1, point b), du RGPD dans le cadre de 
la fourniture de services en ligne aux personnes concernées» (Comité 
européen 
de 
la 
protection 
des 
données 2019) 
p. 6 
et 7<https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelin
es-art_6-1-b-adopted_after_public_consultation_fr.pdf’>.
↩ 
16. Microsoft, «Conditions de protection des données dans l’addendum 
sur la protection des données» (note 14), sous-partie «Traitement pour 
fournir au client les services professionnels».↩ 
17. Idem.↩ 

18. Idem.↩ 
19. Idem.↩ 
20. Privacy Company, «DPIA Diagnostic Data in Microsoft Office Proplus» 
[Ministry of Justice and Security for the benefit of SLM Rijk (Strategic 
Vendor  Management  Microsoft  Dutch  Government),  2018]  p. 37. 
<https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/rap
porten/2018/11/07/data-protection-impact-assessment-op-
microsoft-office/DPIA+Microsoft+Office+2016+and+365+-
+20191105.pdf>.
↩ 
21. Microsoft, «Conditions de protection des données dans l’addendum 
sur la protection des données» (note 14), sous-partie «Traitement pour 
les besoins professionnels légitimes de Microsoft».↩ 
22. RGPD, article 28, paragraphe 3.↩ 
23. Idem, article 28, paragraphe 3.↩ 
24. Idem, article 28, paragraphe 3.↩ 
25. Règlement (UE) 2018/1725, article 29, paragraphe 1; RGPD, article 28, 
paragraphe 1.↩ 
26. Règlement (UE) 2018/1725, article 29, paragraphe 2; RGPD, article 28, 
paragraphe 2.↩ 
27. Règlement (UE) 2018/1725,  article 29,  paragraphe 2;  article 28, 
paragraphe 2  du  RGPD;  dans  ce  contexte  également,  il  convient  de 
citer  l’«avis 14/2019  sur  le  projet  de  clauses  contractuelles  types 
présenté  par  l’autorité  de  contrôle  du  Danemark  (article 28, 
paragraphe 8,  du  RGPD)»  (Comité  européen  de  la  protection  des 
données, 
2019), 
paragraphe 29. 
<https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_opinion_20
1914_dk_scc_fr.pdf>.
↩ 
28. Règlement (UE) 2018/1725, article 29, paragraphe 4; RGPD, article 28, 
paragraphe 4.↩ 
29. Règlement (UE) 2018/1725, article 29, paragraphe 4; RGPD, article 28, 
paragraphe 4.↩ 
30. Règlement (UE) 2018/1725, article 26; RGPD, article 24.↩ 

31. La  conception  du  CEPD  repose  sur  les  informations  disponibles  sur: 
«Trust  Center»  (Microsoft)  https://www.microsoft.com/fr-ww/trust-
center>.
↩ 
32. Règlement (UE) 2018/1725, article 29, paragraphe 4; RGPD, article 28, 
paragraphe 4.↩ 
33. Voir également l’article 28, paragraphe 3, point 2, du RGPD.↩ 
34. Voir également l’article 28, paragraphe 3, du RGPD.↩ 
35. Voir la section intitulée «Champ d’application» de l’addendum sur la 
protection des données, qui exclut les services en ligne mentionnés en 
son  annexe 1    (à  savoir  les  services  professionnels)  du  champ 
d’application dudit addendum. Voir également la sous-partie «Champ 
d’application» de la section «Conditions de protection des données» 
dans les versions 2019 des conditions relatives aux services en ligne.↩ 
36. Voir «Annexe 1» dans les Conditions relatives aux services en ligne. Voir 
également  la  sous-partie  «Champ  d’application»  de  la  section 
«Conditions de protection des données» dans les versions 2019 des 
Conditions relatives aux services en ligne.↩ 
37. Voir Microsoft, «Conditions de protection des données de l’addendum 
sur  la  protection  des  données»  (note 14),  sous-partie  «Respect  des 
audits», lue dans son ensemble.↩ 
38. Voir également l’article 28, paragraphe 3, point h), du RGPD.↩ 
39. Microsoft, «Conditions de protection des données de l’addendum sur 
la  protection  des  données»  (note 14),  sous-partie  «Respect  des 
audits».↩ 
40. Microsoft,  «Annexe 1»,  Conditions  relatives  aux  services  en  ligne 
<https://aka.ms/ost>  partie  «Emplacement  des  données  client  au 
repos pour les services en ligne Core».↩ 
41. Idem.↩ 
42. Idem.↩ 
43. Microsoft, «Conditions de protection des données de l’addendum sur 
la  protection  des  données»  (note 14),  partie  «Transferts  et 
emplacement des données», sous-partie «Transferts des données».↩ 

44. «Déclaration de confidentialité» ( Microsoft< https://aka.ms/privacy>, 
partie  «Où  nous  conservons  et  traitons  les  données  à  caractère 
personnel».↩ 
45. Règlement (UE) 2018/1725,  chapitre V,  en  particulier  article 46; 
chapitre V et notamment article 44, du RGPD.↩ 
46. Microsoft,  «Annexe 2»,  «Addendum  sur  la  protection  des  données» 
<https://aka.ms/dpa>.↩ 
47. Voir également article 46, paragraphe 2, points c) et d), du RGPD.↩ 
48. «Lettre à Microsoft concernant une nouvelle version de l’accord sur le 
traitement des données issues de services en ligne Microsoft dans le 
cadre de l’addendum sur l’inscription des entreprises et son annexe I» 
(Groupe 
de 
travail 
«Article 29», 
2014) 

https://ec.europa.eu/justice/article-29/documentation/other-
document/files/2014/20140402_microsoft.pdf>.
↩ 
49. Microsoft,  «Addendum  sur  la  protection  des  données  Annexe 2» 
(note 46) annexes 1 et 2.↩ 
50. Voir,  à  cet  égard,  les  «Lignes  directrices  sur  l’utilisation  des  services 
d’informatique  en  nuage  par  les  institutions  et  organes  de  l’Union 
européenne» 
(CEPD 2018), 
paragraphe 60. 
<https://edps.europa.eu/sites/edp/files/publication/18-03-
16_cloud_computing_guidelines_fr.pdf>.
↩ 
51. «Réponse  conjointe  à  la  commission  LIBE  concernant  l’incidence  du 
Cloud  Act  américain  sur  le  cadre  juridique  européen  en  matière  de 
protection  des  données  à  caractère  personnel»  (EDPB; 
CEPD 2019).<https://edpb.europa.eu/our-work-tools/our-
documents/letters/edpb-edps-joint-response-libe-committee-
impact-us-cloud-act_en>.
↩ 
52. Voir également l’article 5, paragraphe 1, point f) du RGPD.↩ 
53. Microsoft, «Conditions de protection des données de l’addendum sur 
la  protection  des  données»  (note 14),  «Divulgation  des  données 
traitées».↩ 
54. Idem,  «Divulgation  des  données  traitées»  ou  «Divulgation  des 
données  client  ou  des  données  à  caractère  personnel»  dans  les 
versions antérieures à 2020.↩ 

55. «Déclaration  de  confidentialité»  (note 44),  partie  «Raisons  pour 
lesquelles  nous  partageons  vos  données  personnelles»,  «Où  nous 
stockons et traitons les données» et «Skype - sociétés partenaires». Les 
données  susceptibles  d’être  divulguées  comprennent  les  «données 
clients», les «données d’administrateur», les «données de paiement» 
et les «données de support».↩ 
56. Conclusions  de  l’avocat  général  Saugmandsgaard  Øe  présentées  le 
19 décembre 2019  dans  l’affaire C-311/18,  Data  Protection 
Commissioner/Facebook  Ireland  Limited  et  Maximillian  Schrems, 
EU:C:2019:1145, [2018] JO C 249/21, points 1 et 204.↩ 
57. Idem, points 234 à 237.↩ 
58. Arrêt de la Cour du 16 octobre 2012, Commission/Autriche, C-614/10, 
EU:C:2012:631, JO C 72/13, point 37; arrêt de la Cour du 8 avril 2014 
dans  les  affaires  jointes  Digital  Rights  Ireland Ltd/Ministère  de  la 
marine,  des  ressources  naturelles  et  autres  et  Kärntner 
Landesregierung  et  autres,  C-293/12–C-594/12,    EU:C:2014:238, 
point 68;  arrêt  de  la  Cour  du  6 octobre 2015,  Maximillian 
Schrems/Data  Protection  Commissioner,  C-362/14,  EU:C:2015:650, 
point 41.↩ 
59. «Lignes directrices sur l’utilisation de services d’informatique en nuage 
par  les  institutions  et  les  organes  de  l’Union  européenne»,  «Lignes 
directrices du CEPD sur l’informatique en nuage» (n 50), point 63.↩ 
60. Règlement (UE) 2018/1725, article 27; RGPD, article 25.↩ 
61. Règlement (UE) 2018/1725, articles 26 et 27; RGPD, articles 24 et 25.↩ 
62. Lignes directrices sur la protection des données à caractère personnel 
pour  la  gouvernance  informatique  et  la  gestion  informatique  des 
institutions 
européennes 
(CEPD 2018). 
<https://edps.europa.eu/sites/edp/files/publication/it_governance_m
anagement_fr.pdf>;  
«Lignes  directrices  sur  l’utilisation  des  services 
d’informatique en nuage par les institutions et les organes de l’Union 
européenne»,  «Lignes  directrices  du  CEPD  pour  l’informatique  en 
nuage» (note 50).↩ 
Impression 
Luxembourg: Office des publications de l’Union européenne, 2020 

© Union européenne, 2020 
Reproduction autorisée, moyennant mention de la source. 
ISBN 978-92-9242-
QT-03-20-457-
PDF 
doi:10.2804/14519
567-8 
 
EN-N 
ISBN 978-92-9242-
QT-03-20-457-
EPUB 
doi:10.2804/215182
565-4 
 
EN-E 
ISBN 978-92-9242-
QT-03-20-457-
HTML 
doi:10.2804/300986
566-1 
 
EN-Q