Selon le rapport du gendarme allemand des données, qui a été rédigé après deux ans de négociations avec Microsoft, la DSK affirme que le produit « reste en violation » du règlement général sur la protection des données (RGPD). Le groupe de travail 2020 a été constitué pour mettre le service cloud en conformité avec la décision Schrems II de la Cour de justice européenne et fait écho à des préoccupations européennes persistantes concernant la souveraineté des données cloud, la concurrence et les règles de confidentialité.
En vertu du RGPD, les enfants de moins de 13 ans ne peuvent pas consentir à la collecte de leurs données, tandis que le consentement peut être donné par les personnes ayant la responsabilité parentale pour les moins de 16 ans, mais pas moins de 13 ans. Lorsque les plateformes stockent des données sur les adultes, ces clients sont censés pouvoir demander la suppression de leurs enregistrements.
Le rapport ajoute : « De nombreux services inclus dans Microsoft 365 nécessitent que Microsoft accède aux données non chiffrées et non pseudonymisées ».
La firme de Mountain View n’indiquerait pas assez comment sont traitées et conservées les données des utilisateurs de Microsoft 365 sur le cloud. Le groupe de travail allemand estime qu’un avenant, publié en septembre 2022, n’a pas apporté « d’améliorations substantielles » sur ces points. De nombreux autres problèmes sont soulevés par les autorités allemandes, qui jugent notamment que le transfert des données personnelles des clients allemands et européens de Microsoft 365 sur le cloud vers les États-Unis n’est pas assez clair.
L'une des préoccupations du DSK se trouve sur des modifications apportées par Microsoft au niveau d'un « addendum sur la protection des données » en septembre 2022 qui, selon le DSK, contenait une « section conceptuellement modifiée à la suite des discussions avec le groupe de travail sur le traitement des données » des données de télémétrie et de diagnostic. La DSK poursuit en affirmant que seule la formulation avait changé, notant : « Cependant, Microsoft n'a apporté aucun ajustement au traitement réel », et que la loi américaine Clarifying Lawful Overseas Use of Data Act (CLOUD Act) du 2018 et FISA 702 prévoyaient « des droits d'accès disproportionnés pour les services secrets américains [ne fournissant]... aucune protection juridique judiciaire pour les citoyens de l'UE ».
Dans sa décision, la DSK a déclaré que « l'utilisation des données personnelles des utilisateurs (par exemple, les employés ou les étudiants) à des fins propres au fournisseur exclut l'utilisation d'un sous-traitant dans le secteur public (en particulier dans les écoles) ». Le gendarme des données a poursuivi en notant que la base juridique de « l'intérêt légitime » en vertu de l'article 6 du RGPD n'était donc pas pertinente.
En conclusion, le rapport DSK estime que la suite bureautique n'est donc pas adaptée à une utilisation conforme à la loi dans les écoles ou les autorités publiques en Allemagne, bien qu'elle n'affecte pas l'utilisation par les entreprises ou les consommateurs.
La réaction de Microsoft
Aujourd'hui, les autorités fédérales et étatiques indépendantes de protection des données (DSK) ont fait part de leurs inquiétudes quant à la compatibilité de Microsoft 365 (M365) avec les lois sur la protection des données en Allemagne et dans l'UE.
Nous ne partageons pas la position de DSK. Nous veillons à ce que nos produits M365 respectent non seulement, mais dépassent souvent, les lois strictes de l'UE en matière de protection des données. Nos clients en Allemagne et dans toute l'UE peuvent continuer à utiliser les produits M365 sans hésitation et de manière juridiquement sécurisée.
Les préoccupations exprimées par DSK ne répondent pas adéquatement aux changements que nous avons déjà apportés et découlent de plusieurs malentendus sur le fonctionnement de nos services et les actions que nous avons déjà prises. Nous pensons également que le rapport de DSK ne tient pas compte des changements juridiques importants qui offriront une meilleure protection de la vie privée pour le trafic de données entre l'UE et les États-Unis. Dans l'intérêt d'une plus grande transparence, nous apprécierions que le rapport complet soit publié avec les réponses et commentaires détaillés soumis au DSK de Microsoft, mais avec une rédaction appropriée.
Nous avons travaillé en étroite collaboration avec le DSK tout au long du processus d'examen et avons répondu aux préoccupations soulevées par plusieurs changements radicaux. Des exemples en sont une procédure de notification améliorée pour les changements de sous-traitants ultérieurs et des clarifications supplémentaires concernant le traitement des données personnelles par Microsoft pour les activités commerciales de Microsoft suscitées par la fourniture des Services aux clients. Microsoft a pleinement coopéré avec le DSK, et bien que nous ne soyons pas d'accord avec l'évaluation du DSK, nous aimerions répondre à toute préoccupation restante.
Nous prenons à cœur la demande de DSK pour plus de transparence. Bien que nos normes de transparence dépassent déjà celles de la plupart des autres fournisseurs de notre secteur, nous nous engageons à devenir encore meilleurs. En particulier, dans le cadre de notre projet de frontière européenne des données, nous fournirons une documentation supplémentaire sur les flux de données de nos clients et les finalités du traitement dans un souci de transparence. Nous fournirons également plus de transparence sur les emplacements et le traitement par les sous-traitants ultérieurs et les employés de Microsoft en dehors de l'UE.
Nos efforts pour protéger la vie privée de nos clients sont à la pointe du marché. Nous offrons une variété d'outils et de solutions qui donnent à nos clients mondiaux plus de contrôle sur leurs données, tels que :
- Microsoft 365 Advanced Data Residency : cette offre est destinée aux clients qui souhaitent un contrôle plus précis sur l'emplacement de leurs données M365 et étend nos engagements au stockage des données client au repos ;
- Limite des données de l'UE : cette mesure complète les obligations locales de stockage et de traitement existantes et va au-delà de ce qui est requis par la loi. Cela réduira considérablement le flux de données de l'UE vers d'autres pays. Cela permettra aux clients du secteur public et des entreprises de l'UE et de l'ensemble de l'Association européenne de libre-échange de traiter et de stocker les données des clients dans la région ;
- Microsoft Cloud for Sovereignty : cette offre est basée sur le Microsoft Public Cloud et permet de créer un produit sur mesure pour les clients du secteur public tout en respectant les exigences légales en matière de souveraineté des données.
Microsoft prend également en charge le cadre de confidentialité des données UE-États-Unis, qui fournira à nos clients une sécurité juridique importante et une plus grande clarté sur la protection des données lors du transfert transatlantique de données. Les États-Unis ont modifié leurs lois relatives à la surveillance des données, pris de nouveaux engagements importants en matière de confidentialité et créé un nouveau mécanisme de recours. Nous attendons avec impatience une décision d'adéquation positive de la Commission européenne dans le cadre du RGPD en 2023.
D'autres avis
Matthias Pfau, fondateur du service de messagerie chiffré Tutanota, a donné son avis sur la décision : « Il est incroyable que les services en ligne américains continuent de piétiner le RGPD européen plus de quatre ans après son adoption... Au lieu de s'appuyer sur la coopération volontaire, beaucoup des conséquences plus dures doivent être tirées ici ; par exemple, en utilisant des systèmes complètement différents. Linux avec Open Office est une très bonne alternative vers laquelle les écoles et les autorités devraient basculer immédiatement ».
Des décisions similaires ont déjà été prises ailleurs en France
Le mois dernier, le ministre français de l'Éducation nationale et de la Jeunesse a fait écho à ces préoccupations, affirmant que les versions gratuites de Microsoft Office 365 et de Google Workspace ne devraient pas être utilisées dans les écoles.
Tout est parti d'une question de Philippe Latombe, député MODEM, qui a alerté le ministre de l'Éducation nationale et de la Jeunesse sur la gratuité d'Office 365 pour les élèves et les enseignants. En effet, comme l'annonce le site de Microsoft, « les élèves et les enseignants des établissements admissibles peuvent s'abonner gratuitement à Microsoft Office 365, qui intègre Word, Excel, PowerPoint, OneNote et maintenant Microsoft Teams, ainsi que de nombreux autres outils pour la classe ».
De prime abord, la proposition peut sembler attrayante puisqu'elle promet un seul lieu pour l'organisation, l'accès à tout moment, en tout lieu et à partir de n'importe quel appareil. Cependant, pour le député, cette offre gratuite s'apparente à une forme ultime de dumping et à de la concurrence déloyale. Il semble par ailleurs qu'aucun appel d'offres n'ait eu lieu. Il lui a demandé s'il peut lui indiquer ce qu'il compte faire face à de telles pratiques commerciales qui, si elles peuvent paraître séduisantes au consommateur, pénalisent fortement les autres acteurs économiques, posent un problème grave de souveraineté, en raison de la localisation des données personnelles sur un cloud américain et de l'extraterritorialité du droit américain et donnent aux très nombreux enseignants qui y sont hostiles l'impression d'une administration vendue à Microsoft.
Voici la réponse du ministère à ce sujet :
S'agissant de l'emploi de la solution Microsoft Office 365, le ministère de l'Éducation nationale et de la Jeunesse a informé en octobre 2021 les recteurs de région académique et d'académie de la doctrine « cloud au centre », de la position de la Dinum et de l'avis de la CNIL sur ce sujet.
Le ministère a ainsi demandé d'arrêter tout déploiement ou extension de cette solution ainsi que celle de Google, qui seraient contraires au RGPD. Il convient enfin de rappeler que le code de l'éducation prévoit que les collectivités territoriales de rattachement des établissements scolaires assurent « l'équipement et le fonctionnement » et qu'à ce titre, « l'acquisition et la maintenance des infrastructures et des équipements, dont les matériels informatiques et les logiciels prévus pour leur mise en service, nécessaires à l'enseignement et aux échanges entre les membres de la communauté éducative sont à [leur] charge ».
Les collectivités territoriales peuvent ainsi fournir des solutions d'environnement numérique de travail (ENT) aux établissements qui offrent des fonctionnalités de communication et de collaboration respectant les principes du RGPD et de souveraineté numérique, permettant ainsi de se passer des offres collaboratives états-uniennes non immunes au droit extraterritorial.
Sources : DSK , Microsoft
Et vous ?
Que pensez-vous de cette décision ?