• Home
  • Data regulation
  • Microsoft 365 interdit dans les écoles allemandes pour des raisons de confidentialité

Microsoft 365 interdit dans les écoles allemandes pour des raisons de confidentialité

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email

Les autorités fédérales allemandes chargées de la protection des données ont interdit l’utilisation de Microsoft Office 365 dans les écoles en raison de problèmes de confidentialité liés à l’utilisation de fournisseurs américains de services en cloud.

La Conférence allemande sur la protection des données (DSK) – qui se compose de l’autorité fédérale allemande de protection des données et de 16 régulateurs étatiques – a déclaré que, compte tenu du manque de transparence autour de la façon dont Microsoft collecte et traite les données personnelles, ainsi que du potentiel d’accès à ces données par des tiers, l’utilisation d’Office 365 n’est pas juridiquement conforme au Règlement général sur la protection des données (RGPD).

« Microsoft ne divulgue pas entièrement les opérations de traitement qui ont lieu en détail. En outre, Microsoft n’indique pas complètement quels traitements sont effectués pour le compte du client ou quels traitements sont effectués pour ses propres besoins », indique un rapport du groupe de travail DSK qui s’est penché sur la question.

« Les documents contractuels ne sont pas précis à cet égard et ne permettent pas d’évaluer de manière concluante les traitements, qui peuvent même être étendus, y compris pour les propres besoins de l’entreprise ».

Cela signifie essentiellement que, en raison du manque de transparence, il est impossible pour les régulateurs d’évaluer de l’extérieur exactement quelles informations Microsoft collecte, et comment l’entreprise utilise ces données, ce qui rend leur utilisation illégale en vertu du RGPD.

Le rapport ajoute que les discussions du groupe de travail avec Microsoft ont confirmé qu’il n’était pas possible d’utiliser Microsoft 365 sans transférer des données personnelles aux États-Unis.

En juillet 2020, la Cour de justice de l’Union européenne (CJUE) a invalidé l’accord de partage de données EU-US Privacy Shield, qui, selon la Cour, ne garantissait pas aux citoyens européens un droit de recours adéquat lorsque des données sont collectées par l’Agence nationale de sécurité américaine (NSA) et d’autres services de renseignement américains.

Bien que Microsoft ait accepté avec le groupe de travail d’apporter un certain nombre de modifications à ses systèmes, notamment en adoptant certaines des directives de la Commission européenne et en exposant plus en détail la manière dont elle traite les données, ces changements ont été jugés insuffisants par la DSK. 

Microsoft soutient toutefois qu’il est toujours possible pour les écoles allemandes d’utiliser Office 365 de manière conforme à la loi et que ses produits « non seulement respectent, mais dépassent souvent, les strictes lois européennes sur la protection des données ».

Selon l’entreprise, les préoccupations de la DSK ne tiennent pas suffisamment compte des changements que l’entreprise a déjà apportés à ses systèmes et découlent de plusieurs malentendus sur le fonctionnement de ses services.

Commentant les conclusions de la DSK, Matthias Pfau, fondateur du service de messagerie chiffrée Tutanota, a déclaré qu’il était « incroyable » que les services de cloud basés aux États-Unis continuent de piétiner les droits des données européennes plus de quatre ans après l’introduction du RGPD en mai 2018.

« De toute évidence, les grandes entreprises américaines supportent toutes les plaintes et aussi les sanctions parce que le modèle commercial – ‘utilisez mon service et j’utiliserai vos données’ – est extrêmement lucratif pour elles. Au lieu de compter sur la coopération volontaire, il faut tirer des conséquences beaucoup plus sévères ici ; par exemple, en utilisant des systèmes complètement différents ».

Évaluez votre niveau
de conformité

En quelques clics,
lancez sans engagement
et en toute conformité un
audit flash !

Pour recevoir votre audit flash gratuit et sans engagement, merci de bien vouloir remplir ce formulaire :