L'autorité allemande de protection des données (DSK pour Datenschutzkonferenz) a fait part de ses inquiétudes quant à la compatibilité de Microsoft 365 avec les lois sur la protection des données en Allemagne et dans l'Union européenne au sens large. Microsoft avait pourtant apporté des modifications en septembre 2022 à ses contrats. Toutefois, la DSK estime qu'ils sont insuffisants, notant que Microsoft est trop floue dans ses formulations.Selon le rapport du gendarme allemand des données, qui a été rédigé après deux ans de négociations avec Microsoft, la DSK affirme que le produit « reste en violation » du règlement général sur la protection des données (RGPD). Le groupe de travail 2020 a été constitué pour mettre le service cloud en conformité avec la décision Schrems II de la Cour de justice européenne et fait écho à des préoccupations européennes persistantes concernant la souveraineté des données cloud, la concurrence et les règles de confidentialité.
En vertu du RGPD, les enfants de moins de 13 ans ne peuvent pas consentir à la collecte de leurs données, tandis que le consentement peut être donné par les personnes ayant la responsabilité parentale pour les moins de 16 ans, mais pas moins de 13 ans. Lorsque les plateformes stockent des données sur les adultes, ces clients sont censés pouvoir demander la suppression de leurs enregistrements.
Le rapport ajoute : « De nombreux services inclus dans Microsoft 365 nécessitent que Microsoft accède aux données non chiffrées et non pseudonymisées ».
La firme de Mountain View n’indiquerait pas assez comment sont traitées et conservées les données des utilisateurs de Microsoft 365 sur le cloud. Le groupe de travail allemand estime qu’un avenant, publié en septembre 2022, n’a pas apporté « d’améliorations substantielles » sur ces points. De nombreux autres problèmes sont soulevés par les autorités allemandes, qui jugent notamment que le transfert des données personnelles des clients allemands et européens de Microsoft 365 sur le cloud vers les États-Unis n’est pas assez clair.
L'une des préoccupations du DSK se trouve sur des modifications apportées par Microsoft au niveau d'un « addendum sur la protection des données » en septembre 2022 qui, selon le DSK, contenait une « section conceptuellement modifiée à la suite des discussions avec le groupe de travail sur le traitement des données » des données de télémétrie et de diagnostic. La DSK poursuit en affirmant que seule la formulation avait changé, notant : « Cependant, Microsoft n'a apporté aucun ajustement au traitement réel », et que la loi américaine Clarifying Lawful Overseas Use of Data Act (CLOUD Act) du 2018 et FISA 702 prévoyaient « des droits d'accès disproportionnés pour les services secrets américains [ne fournissant]... aucune protection juridique judiciaire pour les citoyens de l'UE ».
Dans sa décision, la DSK a déclaré que « l'utilisation des données personnelles des utilisateurs (par exemple, les employés ou les étudiants) à des fins propres au fournisseur exclut l'utilisation d'un sous-traitant dans le secteur public (en particulier dans les écoles) ». Le gendarme des données a poursuivi en notant que la base juridique de « l'intérêt légitime » en vertu de l'article 6 du RGPD n'était donc pas pertinente.
En conclusion, le rapport DSK estime que la suite bureautique n'est donc pas adaptée à une utilisation conforme à la loi dans les écoles ou les autorités publiques en Allemagne, bien qu'elle n'affecte pas l'utilisation par les entreprises ou les consommateurs.
La réaction de Microsoft
Aujourd'hui, les autorités fédérales et étatiques indépendantes de protection des données (DSK) ont fait part de leurs inquiétudes quant à la compatibilité de Microsoft 365 (M365) avec les lois sur la protection des données en Allemagne et dans l'UE.
Nous ne partageons pas la position de DSK. Nous veillons à ce que nos produits M365 respectent non seulement, mais dépassent souvent, les lois strictes de l'UE en matière de protection des données. Nos clients en Allemagne et dans toute l'UE peuvent continuer à utiliser les produits M365 sans hésitation et de manière juridiquement sécurisée.
Les préoccupations exprimées par DSK ne répondent pas adéquatement aux changements que nous avons déjà apportés et découlent de plusieurs malentendus sur le fonctionnement de nos services et les actions que nous avons déjà prises. Nous pensons également que le rapport de DSK ne tient pas compte des changements juridiques importants qui offriront une meilleure protection de la vie privée pour le trafic de données entre l'UE et les États-Unis. Dans l'intérêt...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par byrautor
