Traductions de cette page?:

Outils pour utilisateurs

Outils du site


vie_privee:utiliser_les_serveurs_mail_outlook_microsoft_pas_conforme_au_rgpd





Utiliser les serveurs mails « Outlook » de Microsoft est-il conforme au RGPD ? Apparemment la réponse est NON !

Retour à l'accueil de la catégorie...

D’une manière plus générale, les outils et services web de Microsoft ne semble pas pouvoir répondre aux exigences du RGPD et ne sont dès lors pas conforme à la réglementation de l’UE ! La page du wiki intitulée « Utiliser les services de Microsoft est-il conforme au RGPD ? » vous apportera un éclairage assez complet sur la question…

Cette page aborde plus spécifiquement la question de l’utilisation des serveurs mails « Outlook » de Microsoft, lesquels sont utilisés par de nombreuses institutions et organisations pour gérer leurs boites mails dans un contexte professionnel. Il s’agit donc d’un exemple de « dérive » assez emblématique d’une forme d’illégalité « parfaitement assumée » (:!:) par de nombreux acteurs, qu’ils soient institutionnels, tels les services publics et les écoles, ou privés.

Question : « Accepteriez-vous que le facteur ouvre votre courrier et en réécrive une partie :?: »

Si, comme nous le pré-supposons, la réponse est NON, et dans le cas où vous, ou votre organisation, utilisez les services « Outlook » de Microsoft pour gérer votre boite mail, alors sachez que le « facteur Microsoft » peut se permettre de réécrire le contenu de vos mails ! Même si c’est fort probablement « à l’insu de votre plain gré »…

Cela nous semble tout simplement intolérable et, s’il n’est ici nullement question de jeter la pierre sur l’utilisateur qui n’en a très généralement pas conscience, il est par contre inexcusable que des organisations plus importantes comme des services publics, lorsqu’ils disposent un service informatique un tant soit peu compétent, acceptent une telle situation sans s’en préoccuper :!: D’autant que pour des services publics ou des écoles de l’enseignement obligatoire, il y a pourtant obligation de respecter le RGPD et même de prévoir une analyse d’impact avant toute utilisation d’une « nouvelle technologie » !…

Apparemment, il semble que cette « réécriture » du contenu des mails ne concernerait (?) que les « Comptes professionnels ou scolaires » et pas les « Comptes Microsoft personnels » avec lesquels ont peut obtenir une adresse mail du type @hotmail.com ou @outlook.com. S’agit-il d’une ‘fonctionnalité’ réservée aux services professionnels ? Mais cela ne réduit en rien le problème, que du contraire ! Car les organismes et institutions qui utilisent les services de Microsoft dans la cadre d’un contrat de type professionnel n’en sont pas pour autant exonérés de respecter le RGPD : ils sont bien les responsables de traitement des données personnelles et doivent impérativement veiller à ce que celui-ci soit exécuté selon des modalités en parfaite adéquation avec le respect de la réglementation européenne.

Quand le « facteur » Microsoft réécrit les URL !

Voici un exemple de réécriture des mails tels qu’il peut être constaté…
Dans la signature des mails que nous envoyons dans le cadre des activités d’Educode, se trouve généralement l’URL de ce wiki : https://wiki.educode.be.
Lorsque le mail est envoyé vers un destinataire dont la boite mail (professionnelle) est gérée par les serveurs Outlook de Microsoft, l’URL est réécrite sous cette forme :

https://eur01.safelinks.protection.outlook.com/?url=https%3A%2F%2Fwiki.educode.be%2F&data=05%7C01%7Cvth%40rtbf.be%7C9c608bdd258a46fd97e408dad2e28506%7C103cfb3e3dfd4a4483ce455a2d25db06%7C0%7C0%7C638054167579588358%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7C&sdata=2SeKn7NV3oxYd247A6eOh0%2Bb8so4xnb6s%2BMs3N0l1vw%3D&reserved=0

Ou encore sous cette forme très similaire MAIS avec quelques imperceptibles différences :!: :

https://eur01.safelinks.protection.outlook.com/?url=https%3A%2F%2Fwiki.educode.be%2F&data=05%7C01%7Cvth%40rtbf.be%7C9c608bdd258a46fd97e408dad2e28506%7C103cfb3e3dfd4a4483ce455a2d25db06%7C0%7C0%7C638054167579432132%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7C&sdata=0rvQN7eWqLDLBJ2El5RaeQZd1n5KWzkG5kJnbXCQX2E%3D&reserved=0

C’est en tout cas le constat que nous pouvons faire lors de divers échanges mails effectués dans le cadre des activités d’Educode !
Et comme TOUTES les URL sont concernées, y compris les URL ‘cachées’ sous la forme de liens derrière une image ou un logo par exemple, cela explique que l’on puisse, sans s’en rendre compte, utiliser une de ces URL « piégées » lorsque, par exemple, on s’y réfère en allant la rechercher plus bas dans les réponses précédentes du fil de la discussion… Ce qui est fréquent car généralement les intervenants ne prennent pas la peine d’effacer les réponses précédentes avant de répondre pour la n-ième fois dans une discussion. Mais la question ‘écologique’ de l’allègement des mails lors des réponses successive est une autre histoire…

Il est par contre important de noter ici qu’il s’agit manifestement d’une forme de pistage extrêmement ciblé puisque la même URL au départ (https://wiki.educode.be) est ensuite réécrite différemment au cours des échanges de mails !

Pourquoi cette réécriture des URL est-elle un problème vis-à-vis du RGPD ?

Que se passe-t-il concrètement lorsqu’on ‘clique’ sur une telle URL ?

Lorsqu’un des correspondants utilise (clique sur) une telle URL réécrite par le serveur Outlook, plutôt que de se rendre directement sur le site web voulu ou ‘apparent’ (wiki.educode.be dans notre exemple), celui-ci est d’abord redirigé sur le serveur https://eur01.safelinks.protection.outlook.com/ (toujours dans notre exemple), serveur qui va ensuite, et après avoir décodé la suite de caractères ‘abscons’ présent dans l’URL, rediriger l’utilisateur vers le site sur lequel il pensait de rendre directement ! Mais comme cela va très vite sans rien afficher de particulier, l’utilisateur ne s’en rend généralement pas compte… La tromperie et d’autant plus manifeste lorsqu’il s’agit d’une URL réécrite MAIS cachée dans le code HTML comme c’est par exemple le cas avec la signature de membres du personnel de la radio de la RTBF, La 1ère

En effet, lors d’échanges mail avec des membres de l’équipe de l’émission « Tendance Première », nous avons constaté que l’URL https://www.rtbf.be/auvio/emissions/ qui apparaît dans la signature de leur mail était encodée en HTML sous cette forme :

<p class=3D"v1MsoNormal"><a href=3D"https://eur01.safelinks.protection.outlook.com/?url=3Dhttps%3A%2F%2Fwww.rtbf.be%2Fauvio%2Femissions%2Fdetail_tendances-premiere%3Fid%3D11090&amp;data=3D05%7C01%7Csve%40rtbf.be%7C0d6552a45900456b959708dad2130041%7C103cfb3e3dfd4a4483ce455a2d25db06%7C0%7C0%7C638053276297792116%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7C&amp;sdata=3DvnI08zkfuqz0krtCdNk%2Bwl3wEpZBEH3qlNihvZ4vEc0%3D&amp;reserved=3D0" target=3D"_blank" rel=3D"noopener noreferrer"><em><span style=3D"font-size: 9.0pt; mso-fareast-language: FR-BE;">https://www.rtbf.be/auvio/emissions/</span></em></a><span style=3D"font-size: 9.0pt; color: #3333ff; mso-fareast-language: FR-BE;"> </span></p>

Ce qui revient à dire que l’URL apparente (https://www.rtbf.be/auvio/emissions/) avait été remplacée par l’URL suivante :

https://eur01.safelinks.protection.outlook.com/?url=https%3A%2F%2Fwww.rtbf.be%2Fauvio%2Femissions%2Fdetail_tendances-premiere%3Fid%3D11090&data=05%7C01%7Csve%40rtbf.be%7C0d6552a45900456b959708dad2130041%7C103cfb3e3dfd4a4483ce455a2d25db06%7C0%7C0%7C638053276297792116%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7C&sdata=vnI08zkfuqz0krtCdNk%2Bwl3wEpZBEH3qlNihvZ4vEc0%3D&reserved=0

Tout aussi dommageable, l’URL qui se trouve sous l'image de la signature (logo RTBF de “La 1ère”) est :

https://eur01.safelinks.protection.outlook.com/?url=https%3A%2F%2Fwww.rtbf.be%2Flapremiere%3Fid%3D0160772_sac&data=05%7C01%7Csve%40rtbf.be%7C0d6552a45900456b959708dad2130041%7C103cfb3e3dfd4a4483ce455a2d25db06%7C0%7C0%7C638053276297948341%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7C&sdata=LasZ%2FYUlqyjvLupTbiSaDw8KneW1WfMAI10hv%2FVCG4k%3D&reserved=0

En quoi est-ce une possible infraction au RGPD ?

Si l’on se réfère à des décisions telle celle d’un tribunal allemand qui a statué en janvier 2022 sur le fait que l’utilisation des polices de caractère de Google était illégal au regard du RGPD, on peut dès lors considérer que l’éventuel transfert de l’adresse IP du correspondant avec lequel un détenteur d’une boite mail gérée par Microsoft correspond, lorsque ce correspondant utilise (clique sur) une URL réécrite par le serveur Outlook, constitue une infraction au RGPD par le fait de ce transfert d’adresse IP à Microsoft. Et le fait même de pister le détenteur de la boite mail on l’obligeant à passer par les serveurs de Microsoft AVANT d’être renvoyé vers le site web, constitue déjà une chose intolérable qui est manifestement une infraction au RGPD dans la mesure où, jusqu’à preuve du contraire, il n’est nulle part fait mention de ce fait dans la (très) longue « Déclaration de confidentialité Microsoft » ! Pas plus qu’il n’est fait mention du sort réservé aux données collectées à cette occasion d’ailleurs !…

En effet, une adresse IP doit être considérée comme une donnée de nature privée qu’il convient de « protéger » de manière adéquate au regard du RGPD (Art. 4) : cela est maintenant bien établi, notamment par la CNIL (l’Autorité de protection de données française) lors d’une décision du 10/02/2022 concernant Google Analytics (voir ci-dessous).

Que dit la décision du tribunal allemand en janvier 2022 (traduction) :

Les adresses IP dynamiques constituent des données personnelles pour l’exploitant d’un site web, car il dispose des moyens juridiques abstraits qui pourraient raisonnablement être utilisés pour faire déterminer la personne en question à partir des adresses IP stockées avec l’aide de tiers, à savoir l’autorité compétente et le fournisseur d’accès à Internet (suite BGH VI ZR 135/13).

L’utilisation de services de polices de caractères tels que Google Fonts ne peut pas être fondée sur l’art. 6 (1) p.1 point f) RGPD, puisque l'utilisation des polices est également possible sans connexion des visiteurs aux serveurs de Google.

Il n’y a aucune obligation pour le visiteur de « crypter » son adresse IP (ce qui signifie vraisemblablement la déguiser, par exemple en utilisant un VPN).

La divulgation de l’adresse IP de l’utilisateur de la manière susmentionnée et l’empiétement sur le droit général de la personnalité qui en découle sont si importants au regard de la perte de contrôle d’une donnée personnelle au profit de Google, une société connue pour collecter des données sur ses utilisateurs, et de la gêne individuelle ressentie par l’utilisateur de ce fait, qu’une demande de dommages et intérêts est justifiée.

Quelques articles sur le sujet

« Un tribunal allemand condamne l’intégration de Google Fonts dans un site » ⇒ https://arobasenet.com/2022/01/un-tribunal-allemand-condamne-de-google-fonts.html

Source ⇒ « German Court Rules Websites Embedding Google Fonts Violates GDPR » ⇒ https://thehackernews.com/2022/01/german-court-rules-websites-embedding.html

« Un tribunal allemand condamne l’intégration de Google Fonts dans un site » ⇒ https://www.zindex.fr/un-tribunal-allemand-condamne-lintegration-de-google-fonts-dans-un-site/ [source ⇒ https://arobasenet.com/2022/01/un-tribunal-allemand-condamne-de-google-fonts.html]

« Un site Web condamné à une amende par un tribunal allemand pour avoir divulgué l'adresse IP d’un visiteur via Google Fonts, le propriétaire du site risque une peine de prison en cas de récidive » ⇒ https://web.developpez.com/actu/330644/Un-site-Web-condamne-a-une-amende-par-un-tribunal-allemand-pour-avoir-divulgue-l-adresse-IP-d-un-visiteur-via-Google-Fonts-le-proprietaire-du-site-risque-une-peine-de-prison-en-cas-de-recidive/

Une situation similaire à celle de « Google Analytics » ?

Le problème est également du même ordre que l’affaire de « Google Analytics » qui est reconnu comme étant illégal ! Ce qui est le cas suite à des décisions rendues en Autriche et en France :

Sur la question de l’adresse IP, la décision de la CNIL du 10/02/2022 nous donne des précisions intéressantes :

III. Sur la qualification de données à caractère personnel

Il convient d’établir que les données collectées dans le cadre de la fonctionnalité Google Analytics et transférées aux États-Unis d’Amérique constituent des données à caractère personnel.

L’article 4.1 du RGPD définit une donnée à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Il doit être relevé que des identifiants en ligne, tels que les adresses IP ou les informations stockées dans les cookies peuvent être utilisées comme moyens pour identifier un utilisateur, en particulier lorsqu’elles sont combinées avec d’autres types d’informations similaires. Ceci est illustré par le considérant 30 du RGPD qui prévoit qu’un identifiant en ligne associé à une personne physique, tel qu’une adresse IP ou un témoin de connexion, peut « laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes ».

Par ailleurs, […] dans le cadre de l’utilisation de Google Analytics, et dans certaines conditions de paramétrage du compte Google, Google est informé qu’un utilisateur connecté à son compte Google a visité un site en particulier. Des données à caractère personnel relatives à ce compte sont dès lors collectées.

Par conséquent, il doit être considéré que les données en cause doivent être considérées comme des données à caractère personnel au sens de l’article 4 du RGPD.

Décision de la CNIL (PDF) du 10/02/2022 – Voir pages 3, 4 et 5 du PDF

Commentaire : Tout comme dans le cas Google Analytics ci-dessus, ou dès lors qu’un utilisateur est connecté sur un compte Google et que son adresse IP est transmise à Google, la CNIL considère qu’il est possible pour Google d’identifier précisément l’utilisateur et de collecter des données tout aussi précises sur sa navigation – les URL des sites et pages web qu’il visite –, on peut considérer que, si un utilisateur dispose d’un compte Microsoft et y est connecté – ce qui sera très fréquemment le cas dans la situation où il utilise une version récente de l’OS Windows avec un compte utilisateur géré par Microsoft –, et qu’il est amené à utiliser une URL réécrite par les serveurs Outlook, ce qui implique que son adresse IP sera transmise à Microsoft – ainsi que les détails de sa navigation sur le web (URL, heure précise) –, Microsoft sera en mesure de collecter des données à caractère personnel au sens de l’article 4 du RGPD :!:

Accepter les conditions de Microsoft ?

Ce que l’on accepte (ou pas ?) quand on ouvre un compte chez Microsoft afin de disposer d’une boite mail…

Capture d’écran réalisée le 11/12/2022 lors de la connexion à un compte « Microsoft personnel » afin d’accéder à la messagerie Outlook…

Traduction :

Nous et divers tiers traitons les données pour : stocker et ou accéder aux informations sur votre appareil, développer et améliorer les produits, personnaliser les annonces et le contenu, mesurer les annonces et le contenu, déduire des informations sur l’audience, obtenir des données de géolocalisation précises et identifier les utilisateurs par le biais de la numérisation des appareils. Certains tiers peuvent traiter vos données sur la base de leur intérêt légitime. Vous pouvez exercer votre droit de consentement ou d’opposition à tout moment en sélectionnant le lien Gérer les préférences ci-dessous, ou via les paramètres d’Outlook. En cliquant sur le bouton Accepter, vous acceptez l’utilisation de ces technologies et le traitement de vos données à ces fins lorsque vous utilisez Outlook.

Source : Capture d’écran réalisée le 11/12/2022 lors de la connexion à un compte « Microsoft personnel » afin d’accéder à la messagerie Outlook…

Le lien « Privacy Statment » renvoie à la « Déclaration de confidentialité Microsoft »… À ce propos, lire les commentaires sur la page du wiki intitulée « Utiliser les services de Microsoft est-il conforme au RGPD ? ».

FIXME La suite de cette page doit encore être ajoutée sur le wiki :!: Merci pour votre patience…

vie_privee/utiliser_les_serveurs_mail_outlook_microsoft_pas_conforme_au_rgpd.txt · Dernière modification : 2022/12/21 11:53 de Un utilisateur non connecté