par Zélie VINDIMIAN, étudiante du Master 2 Droit des communications électroniques
Au cœur des débats sur la souveraineté numérique, la récente décision de la Datenschutzbehörde (DSB) autrichienne vient raviver les tensions entre les exigences du Règlement général sur la protection des données (RGPD) et les pratiques des géants américains du numérique. Le régulateur autrichien dénonce un manque de transparence de la part de Microsoft et cette décision s’inscrit dans un contexte plus large, dans lequel les institutions européennes cherchent à assurer la protection des données face à l’extraterritorialité de la législation américaine.
Une décision exigeant l’accès des utilisateurs à leurs données personnelles
L’autorité autrichienne de protection des données, la Datenschutzbehörde (DSB), équivalente de notre CNIL française, a récemment ordonné à Microsoft d’accorder aux utilisateurs de Microsoft 365 Education, l’accès complet à leurs données personnelles. Cette décision « met en lumière le manque de transparence de Microsoft 365 Education et souligne sa non-conformité aux exigences du RGPD », a déclaré Felix Mikolasch, avocat au sein de l’association Noyb, une ONG de protection des utilisateurs dirigée par Max Schrems.
En effet, selon Noyb (None Of Your Business), Microsoft 365 Education installerait des cookies de suivi collectant illégalement des données de navigation à des fins publicitaires sans consentement explicite, une pratique qui affecterait des millions d’élèves et de professeurs à travers l’Europe. La plainte a été déposée en 2024 au nom d’une mineure soutenue par son père et reprochait la captation injustifiée de données des élèves et l’usage commercial qui en était fait.
Alors que l’École Polytechnique vient tout juste de suspendre son contrat avec Microsoft, notamment en raison de risques d’exposition au droit extraterritorial américain (Cloud Act), cette affaire pourrait jouer un rôle structurant au niveau européen dans les relations entre les établissements d’enseignement et les fournisseurs de technologies numériques.
La décision de la DSB porte en effet spécifiquement sur l’accès aux données des élèves utilisant l’offre Microsoft 365 Education.
Dans sa requête, l’ONG dénonçait une stratégie de transfert de responsabilité : « Microsoft a transféré toute la responsabilité du respect des lois sur la protection de la vie privée aux écoles et aux autorités nationales, qui n’ont que peu, voire aucun contrôle réel sur l’utilisation des données des élèves ».
Microsoft a réagi via un communiqué transmis à l’AFP, indiquant que l’entreprise étudierait la décision et déciderait « des prochaines étapes en temps voulu ».
Un manquement au Règlement général sur la protection des données
La DSB a estimé que Microsoft avait manqué aux obligations de l’article 15 du RGPD, qui impose un droit d’accès de la personne concernée, en ne fournissant pas un accès complet aux données du plaignant. L’autorité autrichienne impose notamment plusieurs obligations :
- Expliquer plus clairement ce que recouvrent les finalités dites « à des fins commerciales », telles que la modélisation commerciale ou « l’efficience énergétique » ;
- Indiquer les informations transmises à des tiers, tels que LinkedIn, OpenAI ou à la société de suivi Xandr.
La DSB a réclamé la fin de ce manquement et la suppression des données personnelles concernées.
Un rappel d’anciennes sanctions de Microsoft
Cette décision n’est pas sans rappeler les précédents manquements de ce géant numérique à la législation européenne. En effet, la société Microsoft Ireland Operations Ltd avait déjà été sanctionnée par la CNIL française le 19 décembre 2022, avec une amende de 60 millions d’euros, pour avoir mis en place un mécanisme de cookies non conforme sur le site Bing et en rendant la procédure de refus plus laborieuse que celle d’acceptation. La sanction s’appuyait notamment sur l’article 82 de la loi Informatique et Libertés, ainsi que sur les principes de l’article 4, 11) du RGPD.
Une astreinte de 60 000 euros par jour appliquée illustre la détermination des autorités françaises au regard de cette non-conformité persistante.
Une conciliation juridique difficile entre le droit américain d’accès aux données (Cloud Act) et le droit européen à la protection des données (RGPD)
Cette actualité s’ajoute une fois de plus à une longue série de décisions opposant la législation américaine des données personnelles à la législation européenne.
Le Cloud Act, (Clarifying Lawful Overseas Use of Data Act), autorise les autorités américaines à accéder aux données stockées par des entreprises américaines, quel que soit le lieu géographique de stockage. Microsoft Corporation et ses filiales, y compris Microsoft France, restent soumises à cette obligation légale américaine.
L’article 48 du RGPD vient donc se dresser face à cette extraterritorialité américaine. Ces dispositions ont pour finalité d’assurer la protection des données à caractère personnel traitées au sein de l’Union européenne contre toute ingérences résultant de législations de surveillance extraterritoriales, en particulier américaines. Le Comité européen de la protection des données (CEPD) a réaffirmé, dans ses lignes directrices de juin 2025, que l’article 48 du RGPD est véritablement un principe d’immunité des données européennes à l’égard du droit extra-européen.
Sources :
Décisions
- https://www.cnil.fr/sites/default/files/atoms/files/lettre_information_cnil_decembre_2022.html
- https://noyb.eu/sites/default/files/2025-10/Microsoft_Education_365_Bescheid_bk.pdf
Actualités
- https://www.lemondeinformatique.fr/actualites/lire-microsoft-365-education-traque-illegalement-les-donnees-des-eleves-98167.html
- https://actu.orange.fr/societe/high-tech/autriche-microsoft-somme-a-la-transparence-sur-les-donnees-CNT000002l93Jc.html
Analyse juridique
Institutions