La suite bureautique de Microsoft 365 est la plus utilisée dans le monde, notamment en France où elle est le plus plébiscitée chez les étudiants. Elle est très souvent offerte dans le cadre d’un cursus scolaire ou universitaire comme peut le proposer notre très chère université. Cependant, l’un de ses services, à savoir le Cloud de Microsoft est incontestablement le plus problématique puisqu’il est accusé de ne pas respecter la législation européenne ainsi que le RGPD en matière de protection des données personnelles. 

Pourquoi Microsoft 365 pose-t-il problème ? 

La Datenschutzkonferenz (DSK), qui est l’autorité allemande de protection des données au niveau fédéral, a constitué un groupe de travail allemand nommé « Watchdog Datenschutzkonferenz » en septembre 2020 afin de mettre le service Cloud de Microsoft 365 en conformité avec les lois nationales, le règlement général de la protection des données (RGPD), mais également avec la décision Schrems II de la Cour de justice de l’Union Européenne. Après deux ans de négociations avec Microsoft, les résultats du rapport ont ainsi été rendus le 25 novembre 2022 et ont relevé des efforts insuffisants aux motifs que Microsoft serait beaucoup trop flou dans ses formulations, malgré le fait qu’il ait apporté des modifications à ses contrats en septembre 2022. 

En effet, la DSK affirme que la firme de Mountain View démontrerait un manque de transparence et n’indiquerait pas suffisamment de quelle manière sont traitées et conservées les données des utilisateurs de Microsoft 365 sur le cloud ce qui, par conséquent, rendrait le traitement non évaluable. Un second problème est également relevé, à savoir le manque de clarté concernant le transfert des données personnelles des utilisateurs allemands et européens de Microsoft 365 sur le Cloud vers les États-Unis. Effectivement, le rapport a pu relever que le service ne pouvait fonctionner sans la nécessité de transférer les données vers le pays d’origine de l’entreprise, et qu’il était de plus impossible pour celle-ci de crypter les données. 

Ce problème juridique trouve sa source dans l’invalidation du Privacy Shield par la Cour de justice de l’Union Européenne (CJUE) le 16 juillet 2020 qui a impacté plus de 5 000 entreprises, dont les géants américains. D’ailleurs, des négociations seraient actuellement en cours entre Washington et Bruxelles afin de lui trouver un successeur, même si rien ne garantit que celui-ci sera, a contrario de son prédécesseur, validé par la même instance.  Pour rappel, le Privacy Shield était un accord qui reposait sur le partage de données du bouclier de protection des données entre l’Union Européenne et les États-Unis et sur lequel les entreprises américaines se reposaient jusqu’alors pour transférer des données européennes vers les États-Unis. La CJUE a annulé cet accord en considérant qu’il ne garantissait pas un droit de recours adéquat aux citoyens européens lorsque leurs données étaient collectées par l’Agence de sécurité nationale des États-Unis (NSA) et des autres services de renseignements américains. 

Qui est le véritable destinataire du rapport ? 

Cette question de conformité d’Office 365 touche particulièrement les enfants de moins de 13 ans utilisant les services de Microsoft dans les écoles allemandes. En effet, selon les dispositions du RGPD, seules les personnes âgées de 13 ans ou plus peuvent consentir à la collecte de leurs données, et pour les mineurs, seules les personnes ayant la responsabilité parentale peuvent donner le consentement nécessaire au traitement. Cependant, le rapport revendique le fait que l’utilisation de Microsoft 365 par les mineurs donnerait automatiquement à Microsoft “l’accès à des données non chiffrées et non pseudonymisées”. Par conséquent, l’utilisation de ce service a très fortement été déconseiller dans les écoles allemandes. 

Un problème récurrent en Allemagne 

Ce problème juridique n’est pas inconnu de l’Allemagne puisqu’une décision similaire avait déjà été prise quelques années auparavant. En effet, en juillet 2019, le commissaire de Hesse à la protection des données et à la liberté d’information avait déjà soulevé des obstacles avec les services de Microsoft 365, notamment concernant l’utilisation d’un fournisseur de Cloud américain permettant aux autorités américaines d’accéder aux données stockées dans un cloud européen. Par conséquent, ce dernier avait interdit l’utilisation de Microsoft 365 dans les écoles de tout l’État de Hesse et avait précisé que “ce qui est vrai pour Microsoft est également vrai pour les solutions cloud de Google et d’Apple”, ce qui signifie que presque tous les services des géants américains étaient susceptibles d’être concernés. Par conséquent, ce dernier avait estimé que le traitement des données par Microsoft était illégal et qu’il était impossible de remédier au problème en demandant le consentement aux représentants légaux car cela ne satisferait pas les droits de protection particuliers des enfants au visa de l’article 8 du RGPD. 

Des résultats jugés insuffisants ! 

Malgré les solutions que Microsoft a tenté de rapporter pour améliorer la situation, celles-ci ont été vaines puisqu’elles ont été jugées insuffisantes. En effet, Microsoft a dans un premier temps adopté des clauses contractuelles types de la commission européenne, clauses dont la légalité étaient déjà très critiquée dans l’arrêt Schrems II, mais il a également tenté d’expliquer avec plus de précision comment et à quelle fin il évaluait les données par le biais de l’addendum (avenant) sur la protection des données, publié le 15 septembre 2022. 

Par cet avenant, il a été jugé que Microsoft n’avait pas apporté « d’améliorations substantielles » sur ces points, et la DSK va même jusqu’à dire que seule la formulation avait changé. Elle a également déclaré que la loi américaine CLOUD Act de 2018 et FISA 702 prévoyaient « des droits d’accès disproportionnés pour les services secrets américains ne fournissant aucune protection juridique judiciaire pour les citoyens de l’UE ». Ainsi, le rapport estime que Microsoft 365 n’est donc pas adaptée à une utilisation conforme à la loi dans les écoles ou les autorités publiques en Allemagne, même si celle-ci n’affecte en rien l’utilisation qui peut en être faite par les entreprises ou les consommateurs.

Les efforts de Microsoft pour tenter de sauver les meubles !

Malgré tout, Microsoft reste persuadé qu’il est toujours possible que les écoles allemandes utilisent ses services de manière totalement conforme à la loi nationale et au RGPD. En effet, celui-ci affirme que ses produits “non seulement respectent, mais dépassent souvent, les lois strictes de l’UE en matière de protection des données”. Il a ainsi renvoyé la balle à l’autorité de protection des données allemande fédérale en lui reprochant de ne pas avoir assez pris en compte les modifications qu’elle avait déjà apportées à ses services. 

Pour montrer sa bonne foi, Microsoft s’engage a fournir une documentation supplémentaire sur les flux de données des clients, les finalités des traitements, les emplacements et les traitements effectués par les sous-traitants et les employés Microsoft en dehors de l’Union Européenne.

Microsoft s’est également engagé à localiser une partie des données de ses clients régionaux dans l’Union Européenne d’ici la fin de 2022. Cette volonté a fait l’objet de plusieurs critiques par certains experts qui ont considéré cette stratégie comme une résistance de Microsoft sur le fait qu’il n’y aurait aucune possibilité d’empêcher le transfert des données des citoyens européens vers les États-Unis. 

Enfin, Microsoft défend sa place en faisant une liste de ses services participant à une meilleure protection de la vie privée de ses utilisateurs, notamment avec Microsoft 365 Advanced Data Residency, destinée aux clients souhaitant un meilleur contrôle sur l’emplacement de leurs données, ou encore Microsoft Cloud for Sovereignty, basée sur le Microsoft Public Cloud et permettant de créer un produit sur-mesure pour les clients du secteur public tout en respectant les exigences légales en matière de souveraineté des données. De plus, Microsoft prend aussi en compte le cadre de confidentialité des données UE-États-Unis qui fournira aux clients une sécurité plus importante, ainsi qu’une plus grande clarté sur la protection des données lors du transfert transatlantique de données. Les États-Unis ont quant à eux modifié leurs lois relatives à la surveillance des données et pris de nouveaux engagements en matière de confidentialité avec la création d’un nouveau mécanisme de recours.

Qu’en est-il de la France ?

Ces mesures font suite à la question posée par Philippe Latombe, député MODEM, qui a alerté le ministre de l’Éducation nationale et de la Jeunesse sur la gratuité de Microsoft 365, et plus largement d’Office 365, pour les élèves et enseignants. En effet, selon Microsoft : « Les élèves et les enseignants des établissements admissibles peuvent s’abonner gratuitement à Microsoft Office 365, qui intègre Word, Excel, PowerPoint, OneNote et maintenant Microsoft Teams […] ». Ici, le député fait remarquer que si en premier lieu, l’offre peut sembler correcte et attrayante, celle-ci est en réalité une forme de dumping et de concurrence déloyale car cela pénaliserait très fortement les autres acteurs économiques de ce même marché. 

En réponse à cette problématique, le ministère a demandé l’arrêt de la circulation de l’offre de Microsoft, mais également de celle de Google car elles seraient toutes les deux contraires au RGPD. Il parait opportun de rappeler que le code de l’éducation prévoit que les collectivités territoriales peuvent fournir des solutions d’environnement numérique de travail (ENT) aux établissements qui offrent des fonctionnalités de communication et de collaboration, tout en respectant les principes du RGPD et de souveraineté numérique afin de pouvoir faire abstraction des « offres » proposées par les géants américains. 

Ainsi, même si la France montre clairement sa position, aucune décision française n’a déclaré la non-conformité de Microsoft 365. Cependant, si cela venait à arriver, les risques pour Microsoft seraient doubles. D’une part, il risquerait une sanction administrative d’un montant pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel, d’autre part, l’entreprise verrait sa réputation être endommagée, ce qui entrainerait notamment une perte de confiance de ses clients.

De possibles alternatives à l’utilisation des services Microsoft 365 

Matthias Pfau, fondateur du service de messagerie cryptée Tutanota, donne des alternatives aux services que proposent Microsoft. Il a ainsi déclaré qu’il était :

« incroyable que les services en ligne américains continuent de piétiner le RGPD européen plus de quatre ans après son adoption… Au lieu de s’appuyer sur la coopération volontaire, beaucoup des conséquences plus dures doivent être tirées ici ; par exemple, en utilisant des systèmes complètement différents. Linux avec Open Office est une très bonne alternative vers laquelle les écoles et les autorités devraient basculer immédiatement ».

Matthias Pfau

---

Source : 

• https://siecledigital.fr/2022/11/30/un-rapport-allemand-estime-que-microsoft-365-sur-le-cloud-nest-pas-conforme-au-rgpd/

• https://www.tomsguide.fr/microsoft-ne-respecte-pas-la-rgpd-et-risque-de-gros-problemes-avec-les-autorites/

• https://office.developpez.com/actu/339056/L-Allemagne-dit-non-a-l-offre-Microsoft-365-dans-ses-ecoles-estimant-qu-elle-n-est-pas-conforme-au-RGPD-en-raison-de-problemes-de-confidentialite/

• https://www.dpo-partage.fr/non-conformite-doffice-365/

• https://tutanota.com/fr/blog/posts/microsoft-office-365-email-alternative

• https://fr.techtribune.net/comment/un-groupe-de-surveillance-allemand-rapporte-que-microsoft-365-viole-les-protections-du-consentement-des-enfants-du-rgpd/526072/

• https://itdaily.fr/nouvelles/business/microsoft-365-viole-le-gdpr-selon-le-controleur-allemand-de-la-vie-privee/

• https://lesactualites.news/technologie-et-science/microsoft-365-interdit-dans-les-ecoles-allemandes-pour-des-raisons-de-confidentialite/