Traductions de cette page?:

Outils pour utilisateurs

Outils du site


vie_privee:utiliser_les_services_microsoft_pas_conforme_au_rgpd

Table des matières





Utiliser les services de Microsoft est-il conforme au RGPD ?

Retour à l'accueil de la catégorie...

Cela concerne TOUS les outils et services proposés par Microsoft,
tels MS 365, Teams, Skype, Outlook, LinkedIn, Github, etc

Cette page a pour objectif de lister une série d’informations et arguments qui démontrent en quoi il est aujourd’hui assez évident que l’utilisation des outils et services web proposés ‘gratuitement’ par les géants du net, les « GAFAM et consorts », et tout particulièrement les outils et plates-formes de Microsoft, ne sont pas adéquats dans le cadre du respect de la réglementation européenne qu’est le RGPD !

Or il faut constater (fin 2022), que les plates-formes de Microsoft, telles MS 365 et Teams, pour ne citer que ces deux outils, sont de plus en plus promues et utilisées dans le cadre des écoles et du secteur de l’éducation, tout particulièrement en Belgique francophone… N’y a-t-il pas là un manque de clairvoyance de la part des autorités de la Fédération Wallonie-Bruxelles et des Pouvoirs organisateurs de l’enseignement obligatoire ?

Remarques préliminaires

Le RGPD met explicitement en exergue la nécessité d’être vigilent lorsque le traitement des données concerne des données personnelles des enfants

Et donc a fortiori lorsqu’il s’agit de personnes mineures… À ce propos, lire les considérants suivants qui font partie de la longue liste de ceux-ci en introduction du texte du RGPD :

(38) Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel. Cette protection spécifique devrait, notamment, s’appliquer à l’utilisation de données à caractère personnel relatives aux enfants à des fins de marketing ou de création de profils de personnalité ou d’utilisateur et à la collecte de données à caractère personnel relatives aux enfants lors de l’utilisation de services proposés directement à un enfant. Le consentement du titulaire de la responsabilité parentale ne devrait pas être nécessaire dans le cadre de services de prévention ou de conseil proposés directement à un enfant.

(58) Le principe de transparence exige que toute information adressée au public ou à la personne concernée soit concise, aisément accessible et facile à comprendre, et formulée en des termes clairs et simples et, en outre, lorsqu’il y a lieu, illustrée à l’aide d’éléments visuels. Ces informations pourraient être fournies sous forme électronique, par exemple via un site internet lorsqu’elles s’adressent au public. Ceci vaut tout particulièrement dans des situations où la multiplication des acteurs et la complexité des technologies utilisées font en sorte qu’il est difficile pour la personne concernée de savoir et de comprendre si des données à caractère personnel la concernant sont collectées, par qui et à quelle fin, comme dans le cas de la publicité en ligne. Les enfants méritant une protection spécifique, toute information et communication, lorsque le traitement les concerne, devraient être rédigées en des termes clairs et simples que l'enfant peut aisément comprendre.

(75) Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d’entraîner des dommages physiques, matériels ou un préjudice moral, en particulier : lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important ; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel ; lorsque le traitement concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l’appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes ; lorsque des aspects personnels sont évalués, notamment dans le cadre de l’analyse ou de la prédiction d’éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d’utiliser des profils individuels ; lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants ; ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016


Et de la nécessité d’une étude d’impact préalable à tout traitement de données afin d’en évaluer les risques…

De même, les considérants suivant sont à prendre en compte par tout responsable du traitement des données :

(83) Afin de garantir la sécurité et de prévenir tout traitement effectué en violation du présent règlement, il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement et mette en œuvre des mesures pour les atténuer, telles que le chiffrement. Ces mesures devraient assurer un niveau de sécurité approprié, y compris la confidentialité, compte tenu de l’état des connaissances et des coûts de mise en œuvre par rapport aux risques et à la nature des données à caractère personnel à protéger. Dans le cadre de l’évaluation des risques pour la sécurité des données, il convient de prendre en compte les risques que présente le traitement de données à caractère personnel, tels que la destruction, la perte ou l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière ou l’accès non autorisé à de telles données, de manière accidentelle ou illicite, qui sont susceptibles d’entraîner des dommages physiques, matériels ou un préjudice moral.

(84) Afin de mieux garantir le respect du présent règlement lorsque les opérations de traitement sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement devrait assumer la responsabilité d’effectuer une analyse d’impact relative à la protection des données pour évaluer, en particulier, l’origine, la nature, la particularité et la gravité de ce risque. Il convient de tenir compte du résultat de cette analyse pour déterminer les mesures appropriées à prendre afin de démontrer que le traitement des données à caractère personnel respecte le présent règlement. Lorsqu’il ressort de l’analyse d’impact relative à la protection des données que les opérations de traitement des données comportent un risque élevé que le responsable du traitement ne peut atténuer en prenant des mesures appropriées compte tenu des techniques disponibles et des coûts liés à leur mise en œuvre, il convient que l’autorité de contrôle soit consultée avant que le traitement n’ait lieu.

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016


Pour ce qui est de la mise en œuvre de l’analyse d’impact, c’est l’article 35 du RGPD qui en spécifie les modalités. Et le premier paragraphe de l’article 35 a ici toute son importance ! En effet, au Danemark, dans « l’affaire des Chromebooks » que l’autorité danoise de protection des données a interdit d’utilisation dans les écoles de la municipalité d’Helsingør en juillet 2022, c’est notamment suite au constat d’une possible violation du RGPD – justement sur base de l’article 35, paragraphe 1. Potentielle violation qui avait déjà été soulevée par l’autorité de protection des données, en septembre 2021, lorsque cette dernière avait rendu une décision ordonnant à la municipalité d'Helsingør de procéder à une évaluation des risques liés au traitement par la municipalité des données à caractère personnel dans les écoles primaires.

Que dit le paragraphe 1 de l’article 35 du RGPD :

1. Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires.

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016


Ainsi, en septembre 2021, l’Autorité de protection des données « a considéré qu’il y avait des raisons d’émettre un avertissement à la municipalité d’Helsingør car l’utilisation des applications complémentaires de Google G-Suite sans effectuer une analyse d’impact sur la protection des données, comme l’exige l’article 35, paragraphe 1, du règlement, était susceptible de constituer une violation du RGPD ».

Or, en juillet 2022, suite à la demande faite à la municipalité de procéder à une étude d’impact, l’autorité danoise à finalement interdit l’utilisation des Chromebook avec la suite Google Workspace.

Citation traduite :

Sur la base des résultats de l’évaluation, l’autorité de protection des données a maintenant constaté que le traitement n’est pas conforme aux exigences du GDPR. Elle a conclu que les données pourraient être transférées vers des pays tiers (lire les États-Unis) sans le niveau de sécurité requis.

À la lumière de cette conclusion, la municipalité de Helsingør est suspendue de toute opération de traitement impliquant le transfert de données à caractère personnel vers les États-Unis. En outre, elle a reçu une interdiction générale de traitement avec Google Workspace.

L’Agence de protection des données a ajouté que ces décisions s’appliqueraient probablement à d’autres municipalités utilisant le même modèle de traitement.

Source : « Danish DPA bans Google Workspace for municipalities »


Il est important de noter ici que, déjà en juillet 2020, le CEPD (Contrôleur européen de la protection des données) avait égalment mené une enquête sur l’utilisation des produits et services Microsoft par les institutions européennes (voir plus bas dans le texte), et que dans ses conclusions, le CEPD soulignait le fait suivant (citation traduite) :

Le CEPD estime aussi que ces conclusions et recommandations sont susceptibles de présenter un intérêt plus large que celui des seules institutions de l’UE : elles peuvent présenter un intérêt particulier pour toutes les autorités publiques des États membres de l’UE/EEE. Elles sont également susceptibles d’être pertinentes au-delà de la conclusion et de la mise en œuvre d’accords de licence en volume pour les produits et services Microsoft. De l’avis du CEPD, les organisations qui externalisent la fourniture ou l’exploitation de services numériques auprès d’autres fournisseurs de services sont susceptibles de rencontrer des problèmes similaires.


Comme on le voit ci-dessus, même si c’est à lire « entre les lignes », le CEPD considérait déjà que, peu importe que l’on ait recours aux outils de Microsoft ou d’autres géants de la Tech tels Google, car les problèmes de conformité au RGPD seront très vraisemblablement de même nature !…

On peut donc raisonnablement penser qu’on ne sera pas complètement dans l’erreur si on considère que les reproches faits par l’autorité danoise de protection des données à l’encontre de Google en 2022 sont de même nature que ceux que l’on serait amené à faire dans le cas d’une analyse approfondie concernant la possible violation du RGPD lors d’une utilisation de produits similaires chez son concurrent Microsoft. On verra dans la suite du texte et des exemples cités que cela semble effectivement bien être le cas, et que d’autres autorités de protection des données, telle celle du Land allemand de Hesse en 2019, ont considérés que l’utilisation des outils de Microsoft n’était pas appropriée, car incompatible avec le respect de la réglementation de l’UE…

Liste de décisions et avis « critiques » de la part de différentes autorités (de protection des données)

Pour ne pas allonger cette page, la liste ci-dessous se concentre sur des décisions et avis ou Microsoft est clairement cité !

Mais il y a bien d’autres avis et décisons qui concernent plus spécifiquement les outils de Google et il faut savoir que les arguments ‘négatifs’ concernant Google sont généralement de même nature, pour ne pas dire quasiment identiques. On peut donc aussi se référer aux décisions concernant le non respect du RGPD lors de l’utilisation des outils de Google afin de trouver des arguments pour s’opposer à l’utilisation des outils de Microsoft, tant dans les écoles que dans toutes les autres institutions et organisations.

09/07/2019 – Land de Hesse (Allemagne)

« Prise de position du délégué de Hesse à la protection des données et à la liberté d’information sur l’utilisation de Microsoft Office 365 dans les écoles de Hesse » – Der Hessische Beauftragte für Datenschutz und Informationsfreiheit – Titre original : « Stellungnahme des Hessischen Beauftragten für Datenschutz und Informationsfreiheit zum Einsatz von Microsoft Office 365 in hessischen Schulen » [de]

Citation (traduite) :

L’utilisation de Microsoft Office 365 dans les écoles n’est pas autorisée par la législation sur la protection des données dans la mesure où les écoles stockent des données personnelles dans le cloud européen.

[…] 2. Pourquoi l’utilisation d’Office 365 dans le nuage est actuellement interdite

L’utilisation d’applications en nuage [dans le cloud] par les écoles ne pose généralement pas de problème en matière de protection des données. De nombreuses écoles de Hesse utilisent déjà des solutions en nuage. Qu’il s’agisse par exemple de la plateforme d’apprentissage ou du livre de classe électronique, les écoles peuvent utiliser des applications numériques en conformité avec la protection des données, dans la mesure où la sécurité du traitement des données et la participation des élèves sont garanties. La situation juridique est différente pour Office 365 en tant que solution cloud. Depuis des années, les autorités de surveillance sont en discussion avec Microsoft. L’aspect décisif est de savoir si l’école, en tant qu’institution publique, peut stocker des données personnelles (d’enfants) dans un cloud (européen) exposé, par exemple, à un accès éventuel des autorités américaines. Les institutions publiques en Allemagne ont une responsabilité particulière en ce qui concerne la licéité et la traçabilité du traitement des données à caractère personnel. La souveraineté numérique du traitement des données par l’État doit également être garantie. À cela s’ajoute un autre problème, sur lequel l’Office fédéral de la sécurité des technologies de l’information a attiré l’attention du public à l’automne 2018. L’utilisation du système d’exploitation Windows 10 entraîne la transmission d’une multitude de données de télémétrie à Microsoft, dont le contenu n’a pas été définitivement clarifié malgré des demandes répétées auprès de Microsoft. De telles données sont également transmises lors de l’utilisation d’Office 365.

3. L’école peut-elle résoudre le problème à l’aide du consentement ?

Jusqu’à présent, l’école dépend du consentement des personnes concernées dans la mesure où un traitement numérique des données à caractère personnel a lieu dans ou par l’école. La question de savoir si le consentement des personnes concernées justifie le traitement numérique et personnel des données dans certaines situations peut être laissée en suspens. Dans le contexte de l’utilisation d’Office 365 dans le cloud, le consentement n’offre en tout cas aucune solution, car la sécurité et la traçabilité des processus de traitement des données ne sont pas garanties. Par conséquent, le traitement des données n’est pas autorisé. La tentative d’obtenir une solution acceptable par une déclaration de consentement des parents ne tiendrait pas non plus suffisamment compte des droits de protection particuliers des enfants, par exemple selon l’article 8 du règlement général sur la protection des données (RGPD). Le consentement des parents ne résout donc pas le problème.

[…] 5. Autres solutions cloud de Google et Apple, par exemple

Ce qui est valable pour Microsoft l’est également pour les solutions cloud de Google et Apple. Jusqu’à présent, les solutions cloud de ces fournisseurs n’ont pas non plus été présentées de manière transparente et compréhensible. C’est pourquoi, ici aussi, il n’est actuellement pas possible de présenter aux écoles une utilisation conforme à la protection des données.


Lire aussi à ce propos cet article en français : « L’Allemagne interdit Windows 10 et Office 365 dans les écoles (GNT) » – 20/07/2019

L’Allemagne n’est pas particulièrement tendre avec les sociétés américaines qui s’octroient des passe-droits avec sa législation, surtout sur le terrain de la vie privée. Et c’est ainsi que Windows 10 et Office 365 viennent d’être bannis des écoles.
L’équivalent de la CNIL en Allemagne a récemment émis une ordonnance visant à interdire l'utilisation de Windows 10 et Office 365 dans les écoles du pays. Les deux logiciels de Microsoft ne se conformeraient ainsi pas au RGPD et ne sont ainsi plus les bienvenus dans les établissements scolaires.


23/05/2020 – CNIL (France)

« La CNIL appelle à un encadrement des services numériques dans l’éducation »

En 2020, l’autorité de protection des données française, la CNIL, rappelait le monde de l’éducation – en l’occurrence le Ministère de l’Éducation Nationale (!) – à la plus grande vigilance, et l’enjoignait à n’utiliser que des services numériques compatibles avec le RGPD :

Le développement des offres de services numériques dans l’éducation, proposés en particulier par les grands fournisseurs du web, conduit la CNIL à appeler l’attention du Ministère de l’Education Nationale, sur la nécessité de garantir de façon effective et contraignante la protection des données personnelles traitées dans le cadre de ces services. …

Elle appelle donc les responsables éducatifs, enseignants et les collectivités territoriales à être vigilants et à ne recourir qu’à des services numériques respectant ces règles et principes.


02/07/2020 – Contrôleur européen de la protection des données

« Outcome of own-initiative investigation into EU institutions’ use of Microsoft products and services » – Public Paper [en] – CEPD (Contrôleur européen de la protection des données) – Titre traduit : « Résultats de l’enquête d’initiative sur l’utilisation des produits et services Microsoft par les institutions européennes »

Que retenir des conclusions du CEPD ? Citation traduite :

Le CEPD conseille aux organisations de ne pas envisager d’engager un sous-traitant (ou sous-contractants) qui n’est pas disposé à fournir des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement satisfasse aux exigences des règles de l’UE en matière de protection des données et assure la protection des droits des personnes concernées. Pour se conformer au principe de la protection des données dès la conception et par défaut, les organisations devraient vérifier à la fois lors de la planification du traitement et pendant le traitement, si aucune autre solution logicielle alternative ne permet des garanties de confidentialité plus élevées.

Concernant le contrôle de la localisation des données, les transferts internationaux et les divulgations de données, à moyen terme, si les institutions de l’UE souhaitaient maintenir les protections accordées par le règlement (UE) 2018/1725 contre la divulgation non autorisée, elles devraient sérieusement envisager :

  • premièrement, de veiller à ce que les données traitées en leur nom soient situées dans l’UE/EEE, et
  • deuxièmement, n’utiliser que des prestataires de services qui ne sont pas soumis à des lois de pays tiers contradictoires à portée extraterritoriale.

Le CEPD reconnaît que la ligne de conduite recommandée aux institutions de l’UE peut sembler un défi de taille pour de nombreux clients, sinon pour la plupart, de licences en volume de Microsoft.

Le CEPD estime aussi que ces conclusions et recommandations sont susceptibles de présenter un intérêt plus large que celui des seules institutions de l’UE : elles peuvent présenter un intérêt particulier pour toutes les autorités publiques des États membres de l'UE/EEE. Elles sont également susceptibles d'être pertinentes au-delà de la conclusion et de la mise en œuvre d’accords de licence en volume pour les produits et services Microsoft. De l’avis du CEPD, les organisations qui externalisent la fourniture ou l’exploitation de services numériques auprès d’autres fournisseurs de services sont susceptibles de rencontrer des problèmes similaires.


Voir la page du wiki relative à cette question pour plus de détails : « Le Contrôleur européen de la protection des données (CEPD) recale les accords de licence avec Microsoft »


16/07/2020 – Arrêt de le CJUE (dit Schrems II)

« La Cour invalide la décision 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis »Communiqué de presse n° 91/20 de la Cour de justice de l’Union européenne [PDF]

À noter dans le communiqué de presse de la CJUE :

Selon la Cour, les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers ce pays tiers, et que la Commission a évaluées dans la décision 2016/1250, ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire. En se fondant sur les constatations figurant dans cette décision, la Cour relève que, pour certains programmes de surveillance, ladite réglementation ne fait ressortir d’aucune manière l’existence de limitations à l’habilitation qu’elle comporte pour la mise en œuvre de ces programmes, pas plus que l’existence de garanties pour des personnes non américaines potentiellement visées. La Cour ajoute que, si la même réglementation prévoit des exigences que les autorités américaines doivent respecter, lors de la mise en œuvre des programmes de surveillance concernés, elle ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux.

Le texte intégral de l’arrêt de la CJUE est publié sur le site CURIA le jour du prononcé.
Voir aussi la page du wiki relative à cette question : « La Cour de justice de l’Union européenne (CJUE) invalide le « Privacy Shield » ! »


24/07/2020 – FAQ du CEPD conernant l’arrêt Schrems II

« Foire aux questions sur l’arrêt rendu par la Cour de justice de l’Union européenne dans l’affaire C-311/18 – Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems »Version PDF de la FAQ – Comité Européen de la Protection des Données (CEPD)

Voir les commentaires sur la page « La Cour de justice de l’Union européenne (CJUE) invalide le « Privacy Shield » ! » du wiki pour plus de détails à propos de cette FAQ, notamment les questions 4 et 5.

En résumé :

Les transferts effectués sur la base du cadre juridique du « Privacy Shield » sont illégaux. Si vous souhaitez continuer à transférer des données vers les États-Unis, vous devez vérifier que vous êtes en mesure de le faire conformément [à la réglementation].

Et concernant l’utilisation des « clauses contractuelles types » avec un importateur de données basé aux États-Unis, les recommandations du CEPD sont les suivantes :

La Cour a conclu que le droit des États-Unis (c.-à-d. l'article 702 du FISA et l'EO 12333) ne garantit pas un niveau de protection substantiellement équivalent.
La possibilité de transférer ou non des données à caractère personnel sur la base de clauses contractuelles types dépendra du résultat de votre évaluation, en tenant compte des circonstances des transferts, et des mesures supplémentaires que vous pourriez mettre en place. Les mesures supplémentaires ainsi que les clauses contractuelles types émergeant d’une analyse au cas par cas des circonstances relatives au transfert doivent assurer que le droit des États-Unis n’affecte pas le niveau de protection adéquat qu’elles garantissent.
Si vous en arrivez à la conclusion que, compte tenu des circonstances du transfert et des éventuelles mesures supplémentaires, les garanties appropriées ne seraient pas garanties, vous êtes tenu de suspendre ou de mettre fin au transfert de données à caractère personnel. Toutefois, si vous avez l’intention de continuer à transférer des données malgré cette conclusion, vous devez en informer l’autorité de contrôle dont vous relevez.


27/05/2021 – CNIL (France)

21/09/2021 – Direction interministérielle du numérique (France)

25/04/2022 – LfDI Baden-Württemberg (Allemagne)

« Utilisation de MS 365 dans les écoles » – Le Commissaire à la protection des données et à la liberté d’information du Land de Baden-Württemberg (Der Landesbeauftragte für den Datenschutz und Informationsfreiheit Baden-Württemberg) – Titre original : « Nutzung von MS 365 an Schulen »

Voici la traduction du communiqué de presse du LfDI :

Le LfDI attend des écoles qu’elles proposent aux élèves, d’ici les vacances d’été 2022, des alternatives au service cloud MS 365 pour le fonctionnement de l’école.

À partir de l’année scolaire prochaine, l’utilisation de MS 365 dans les écoles devra être arrêtée ou son fonctionnement conforme à la protection des données devra être clairement démontré par les écoles responsables.

Le commissaire à la protection des données et à la liberté d’information du Land de Baden-Württemberg, Stefan Brink, contactera prochainement les écoles qu’il connaît et qui utilisent le service de cloud computing Microsoft 365 (MS 365) ou MS Teams du fournisseur Microsoft, les informera de son évaluation juridique de l’utilisation de ce service en ligne et leur demandera un calendrier contraignant pour le passage à des alternatives. En guise de transition jusqu’aux vacances d’été 2022, le Médiateur national s’attend à ce que des alternatives soient proposées aux enseignants et aux élèves.

Le médiateur du Land s’adressera à environ 40 écoles et examinera individuellement chaque cas concret. Lors de la recherche d’alternatives, le défenseur du Land ne se contente pas de conseiller les écoles, mais œuvre également, en collaboration avec le ministère de l’Éducation, pour qu’elles puissent utiliser des alternatives adaptées à leurs besoins.

Auparavant, le LfDI a accompagné et conseillé le ministère de l’Éducation du Baden-Württemberg pendant une longue période dans le cadre d’une procédure intensive et étendue concernant l’utilisation éventuelle de MS 365 dans les écoles. Pour une exploitation pilote entre l’automne 2020 et le printemps 2021, le ministère de la Culture a choisi, en collaboration avec les prestataires de services concernés et des représentants de haut niveau de Microsoft, une configuration de MS 365 limitée sur le plan fonctionnel et aussi conforme que possible à la protection des données.

Les fonctions de MS 365 particulièrement problématiques du point de vue de la protection des données ont été désactivées ou, dans la mesure du possible, désactivées, par exemple la collecte de données de télémétrie et de diagnostic. En outre, des fonctions de sécurité supplémentaires ont été mises en œuvre et des comptes ont été attribués uniquement aux enseignants et non aux élèves.

En avril 2021, le LfDI a informé le ministère de la Culture de l’évaluation de ce projet pilote du point de vue de la protection des données et a recommandé de ne pas utiliser la version testée de MS 365 dans les écoles en raison des risques élevés en matière de protection des données, ainsi que de promouvoir des solutions alternatives. Dans le cadre du projet pilote, il n’a pas été possible de trouver une solution conforme à la protection des données, malgré un examen approfondi et une collaboration avec les parties concernées. Le ministère de la Culture a ensuite annoncé qu’il miserait à l’avenir sur une plateforme éducative numérique conforme à la protection des données.

L’avis du LfDI et les résultats de l’examen sont disponibles publiquement depuis un certain temps. Ces informations, ainsi que d’autres sur le projet pilote et l’introduction d’une plateforme éducative numérique conforme à la protection des données, sont accessibles au public (par exemple via https://www.baden-wuerttemberg.datenschutz.de/empfehlung-lfdi-online/, d’autres informations et un résumé sous https://www.baden-wuerttemberg.datenschutz.de/ms-365-schulen-hinweise-weiteres-vorgehen).

Le médiateur national fait remarquer qu’il existe désormais d’autres outils numériques qui ont déjà été largement utilisés sur une longue période et qui continuent à être utilisés avec succès : Moodle ou itslearning, qui sont proposés aux écoles par le ministère sans frais supplémentaires, peuvent être utilisés comme système de gestion de l’apprentissage. Le système de conférence en ligne BigBlueButton est intégré, ce qui permet d’organiser des vidéoconférences.

Les écoles qui estiment que leur utilisation et leur configuration de MS 365 répondent aux exigences légales et qui souhaitent continuer à utiliser le service de cloud computing doivent maintenant justifier la manière dont elles entendent garantir un fonctionnement conforme à la protection des données et le démontrer clairement conformément à leur obligation de rendre des comptes en vertu de l’article 5, paragraphe 2, du RGPD.

En complément, le Commissaire à la protection des données du Land de Baden-Württemberg a également publié un article intitulé « Indications du LfDI sur l’utilisation de Microsoft 365 par les écoles ». – Titre original : « Hinweise des LfDI zur Nutzung von Microsoft 365 durch Schulen » – 25/04/2022

Cet article apporte beaucoup d’informations intéressantes sur les motivations qui ont conduit le Commissaire à la protection des données à prendre la décision d’une “quasi-interdiction” de l’utilisation du service cloud MS 365 dans les écoles…

Une traduction française de l’ensemble des documents publiés le 25/04/2022 par le Commissaire à la protection des données et à la liberté d’information du Land de Baden-Württemberg est disponible ICI.

En lien avec l'information ci-dessus, lire aussi l’article « Pour l’éducation : Les solutions conformes à la protection des données sont l’avenir, pas Microsoft », également traduit depuis l’allemand et disponible sur notre wiki.


15/11/2022 – Ministère de l’Éducation nationale (France)

Quand le ministère de l’Éducation nationale (France) répond à une question parlementaire député Philippe Latombe à propos de la concurrence déloyale que représenterait l’offre gratuite de Microsoft Office 365, la réponse est :

Le ministère a ainsi demandé d’arrêter tout déploiement ou extension de cette solution ainsi que celle de Google, qui seraient contraires au RGPD.
[…]

Les collectivités territoriales peuvent ainsi fournir des solutions d’environnement numérique de travail (ENT) aux établissements qui offrent des fonctionnalités de communication et de collaboration respectant les principes du RGPD et de souveraineté numérique, permettant ainsi de se passer des offres collaboratives états-uniennes non immunes au droit extra-territorial.

Voir par exemple cet article sur numerama :
« L’Éducation nationale confirme qu’il faut se passer d’Office 365 et de Google Éducation »
Ou celui-ci sur Developpez.com (plus complet) :
« L’Éducation nationale confirme la fin des offres gratuites Office365 et Google Workspace dans les écoles en raison du non-respect du RGPD »
Ou encore sur SiecleDigital.fr :
« Le ministre de l’Éducation nationale ne veut pas de Microsoft Office 365 ni de Google Workspace »

Voir aussi un extrait vidéo de l’entretien d’Audran Le Baron, directeur de la DNE (Direction du numérique pour l’Éducation – France) lors du salon « Educ@tech Expo » qui s’est tenu à Paris du 30 novembre au 2 décembre 2022. Il y aborde la question des usages des suites Google ou Microsoft dans l’éducation. La réponse d’Audran Le Baron : « Non immunes au droit extra-européen, les solutions de cloud opérées directement par des acteurs états-uniens ne sont pas compatibles aujourd’hui avec le RGPD et donc ne peuvent pas emporter la confiance des utilisateurs. Et c’est pourquoi on doit privilégier des offres de services qui soient souveraines et permettent une pleine compatibilité avec les règlements de protection des données. »


24/11/2022 – Conférence sur la protection des données « Services en ligne de Microsoft » (Allemagne)

Pendant près de 2 ans, un groupe de travail au sein duquel se trouvaient plusieurs autorités de protection des données de différents landers allemands, ainsi que des représentants de Microsoft, a travaillé « afin d’obtenir en temps utile des améliorations conformes à la protection des données ainsi que des adaptations aux critères mis en évidence par la décision Schrems II de la CJUE concernant les transferts vers des pays tiers pour la pratique d’application des organismes publics et non publics ». Le « résumé de l’évaluation de l’accord actuel sur le traitement des données à caractère personnel » a été rendu public le 24/11/2022 et est disponible sur le site datenschutzkonferenz-online.de. [de]

Que retenir à la lecture de ce document ?

1) L’objectif

L’objectif de ce groupe de travail était d’entamer des discussions avec Microsoft afin d’obtenir des améliorations concernant la protection des données à caractère personnel.

2) Un travail conséquent impliquant Microsoft au plus haut niveau

Le groupe de travail a longuement travaillé – 14 vidéoconférences de plusieurs heures ont eu lieu – avec comme interlocuteurs divers représentants de Microsoft, dont un membre de la direction Microsoft Deutschland GmbH ainsi que des interlocuteurs de Microsoft Corporation (USA). Du côté des autorités de protection des données allemandes, ce ne sont pas moins que les représentants (des landers) suivants qui participaient à ce groupe de travail : Brandebourg et BayLDA [Bayern] (tous deux à la tête), BfDI [Autorité fédérale], Bade-Wurtemberg, Berlin, Hesse, Mecklembourg-Poméranie occidentale, Saxe, Sarre et Schleswig-Holstein.

3) Ce qui a été évalué ?

Les évaluations effectuées se fondent sur « l’Avenant relatif à la protection des données pour les produits et services de Microsoft », y compris la dernière version de celui-ci qui date du 15 septembre 2022. Et que l’évaluation se base sur la situation factuelle et juridique existante à la date de clôture du rapport, le 10 octobre 2022.

4) Une évaluation centrée sur certains aspects juridiques du RGPD

Le rapport du groupe de travail contient une évaluation limitée uniquement à certaines exigences juridiques du RGPD, mais pas une évaluation complète du service en nuage Microsoft 365 du point de vue de la protection des données. Ainsi qu’essentiellement une enquête limitée aux six lacunes contractuelles identifiées par le groupe de travail « Administration 2020 ». Mais que par ailleurs il ne contient aucune enquête technique indépendante menée par le groupe de travail et donc aucun examen des flux de données et des traitements qui ont effectivement lieu…

Et enfin, remarque importante :

Le rapport n’offre donc pas d’analyse définitive et ne peut ni exclure ni anticiper d’autres constatations prudentielles. Cela vaut en particulier pour les enquêtes déjà menées par les différentes autorités de surveillance, qui énumèrent en partie des lacunes indépendantes1). Avant de finaliser son rapport, le groupe de travail a donné à Microsoft la possibilité de présenter des observations, a examiné ces réactions et en a tenu compte dans ses évaluations finales.

Source (traduction) : « AG DSK „Microsoft-Onlinedienste“ » [de] – « Untersuchungsauftrag, Verfahren und Untersuchungsgegenstand », pages 2 & 3

5) Le résultat en (très) résumé

Parmi les « principaux résultats » mis en avant dans le résumé du rapport final (au point 2), on soulignera le paragraphe suivant :

Microsoft a présenté en septembre 2022 une mise à jour de son « Addendum à la protection des données pour les produits et services de Microsoft » (en anglais : « Microsoft Products and Services Data Protection Addendum (DPA) »). Cette nouvelle version apporte surtout des modifications dans le domaine de la formulation contractuelle de la responsabilité de Microsoft dans le cadre du traitement « à des fins commerciales légitimes », peut être considérée comme le résultat des discussions et répond ainsi à une partie des critiques du groupe de travail « Administration ». Dans l’ensemble, le groupe de travail n’a pu obtenir que des améliorations mineures sur les points critiques mentionnés par l'AK Administration.

Source (traduction) : « AG DSK „Microsoft-Onlinedienste“ » [de] – « Wesentliche Ergebnisse », page 3

6) Le résultat plus en détail sur les points analysés

Pour les 7 points du « Résumé détaillé des améliorations obtenues » (au point 3 du document), le constat qui s’impose est, de façon résumée mais sans être caricaturale : « peut mieux faire » et « n’offre pas de garanties suffisantes », notamment suite au « flou juridique et technique » savamment entretenu par Microsoft…

À titre d’exemples, on peut souligner les remarques suivantes :

6.1) Responsabilité propre de Microsoft dans le cadre des traitements « à des fins commerciales légitimes »

En ce qui concerne la responsabilité propre de Microsoft dans le cadre des traitements « à des fins commerciales légitimes », le groupe de travail a certes pu obtenir des modifications de la structure contractuelle. Malgré les différences d’appréciation des autorités de surveillance européennes quant à la conformité avec la protection des données des traitements de données contractuels à des fins propres au sous-traitant, ces modifications contractuelles n’apportent pas d'améliorations substantielles du point de vue du groupe de travail. […]

Un examen plus approfondi de la réorganisation contractuelle montre, du point de vue du groupe de travail, que Microsoft poursuit les approches de base du modèle de réglementation actuel, à savoir se faire accorder des droits insuffisamment délimités pour certains traitements et pour des traitements peu concrétisés des données à caractère personnel traitées. Il n’y a toujours pas de clarté sur la nature exacte des données à caractère personnel qui sont traitées dans le cadre de ce que Microsoft appelle les finalités commerciales « légitimes » ou maintenant les « activités commerciales ».

De même, il n’est pas clair sur quelle base juridique s’effectue le transfert des données à caractère personnel traitées en sous-traitance sous la responsabilité de Microsoft pour le traitement ultérieur aux fins de Microsoft, y compris les obligations de preuve étendues qui y sont liées. Il en va de même pour les données telles que les données de télémétrie et de diagnostic que Microsoft, à la connaissance du groupe de travail, collecte à grande échelle et en principe à des fins égoïstes.

Source (traduction) : « AG DSK „Microsoft-Onlinedienste“ » [de] – « Eigene Verantwortlichkeit Microsofts im Rahmen der Verarbeitung „für legitime Geschäftszwecke“ (jetzt: „Geschäftstätigkeiten“) », page 4

6.2) Obligation de donner des instructions, divulgation des données traitées, respect des obligations légales, CLOUD Act, FISA 702

Le dernier avenant relatif à la protection des données datant de septembre 2022 contient des modifications des dispositions actuelles qui régissent la divulgation des données fournies à Microsoft en tant que sous-traitant dans le cadre de ses propres objectifs commerciaux « pour satisfaire à des obligations légales ». Les modifications contiennent certes de nouvelles formulations, mais les pouvoirs restent en fin de compte similaires.
[…]
Il ressort de l’enquête du groupe de travail que Microsoft se réserve également par contrat des divulgations étendues qui, si elles étaient mises en œuvre, ne répondraient pas aux exigences fixées par l’article 48 du RGPD.

Source (traduction) : « AG DSK „Microsoft-Onlinedienste“ » [de] – « Weisungsbindung, Offenlegung verarbeiteter Daten, Erfüllung rechtlicher Verpflichtungen, CLOUD Act, FISA 702 », page 5

6.3 Suppression et restitution des données à caractère personnel

Microsoft a expliqué au groupe de travail les différents processus d’effacement. À l'exception du cas particulier du traitement des données faisant l’objet d’une demande à des fins de « cyberdéfense », les explications fournies montrent que même les traitements effectués à des fins commerciales par Microsoft ne devraient pas prolonger les délais d’effacement des données à caractère personnel. En outre, la refonte de « l’avenant relatif à la protection des données » a également entraîné des modifications en matière d’effacement, qui sont toutefois également sources d’ambiguïté et de contradictions.

Selon l’évaluation du groupe de travail, la conception de l’obligation de restitution et d’effacement ne satisfait pas dans tous les cas aux exigences légales de l’article 28, paragraphe 3, alinéa 1, phrase 2, lettre g du RGPD. Les responsables peuvent, en raison du manque de clarté des dispositions, manquer à leur obligation de rendre compte conformément à l’article 5, paragraphe 2, en liaison avec l’article 5, paragraphe 3, de la directive. L’article 5, paragraphe 1, point a) du RGPD n'est pas respecté.

Source (traduction) : « AG DSK „Microsoft-Onlinedienste“ » [de] – « Löschung und Rückgabe personenbezogener Daten », page 6

6.4) Transferts de données vers des pays tiers

C’est un point important et que nous traduisons et citons ici intégralement. Il s’agit du point 3.7 du document.

« L’avenant relatif à la protection des données » de septembre 2022 prévoit que le client « charge Microsoft (…) de transférer (…) des données à caractère personnel vers les États-Unis d’Amérique ou tout autre pays dans lequel Microsoft ou ses sous-traitants exercent leurs activités ». Les clauses contractuelles types de la Commission européenne de 2021, mises en œuvre par Microsoft, s’appliquent ensuite à tous les transferts de données, notamment à caractère personnel.

Les entretiens du groupe de travail avec Microsoft ont confirmé, conformément aux dispositions contractuelles, que les données à caractère personnel sont en tout cas transmises aux États-Unis lors de l’utilisation de Microsoft 365. L’utilisation de Microsoft 365 sans transfert de données personnelles vers les États-Unis n’est pas possible. À partir de décembre 2022, Microsoft prévoit de proposer à tous les clients de l’UE de stocker et de traiter les données clients, les données d’assistance et les autres données personnelles des clients dans l’UE (« EU Data Boundary »), c’est-à-dire pas sans exception et pas pour certaines mesures de sécurité informatique.

Pour les États-Unis, la CJUE a constaté dans « Schrems II » que les lois FISA 702 et E.O. 12333 prévoient des droits d’accès disproportionnés pour les services secrets américains et que les citoyens de l’UE ne disposent d’aucune protection juridique. Pour pallier les insuffisances de la FISA 702 en matière de droits fondamentaux, telles qu’identifiées par la CJUE et mesurées à l’aune de l’UE, il serait nécessaire de prendre des mesures qui empêchent ou rendent inefficace l’accès des autorités américaines – et donc de Microsoft – aux données à caractère personnel. De nombreux services inclus dans Microsoft 365 nécessitent un accès de Microsoft aux données non cryptées et non pseudonymisées. La possibilité évidente de crypter les données traitées n’est régulièrement pas possible, par exemple lorsque les données doivent être affichées dans le navigateur. Microsoft a donc régulièrement la possibilité de lire les données en clair, ne serait-ce que pour remplir ses obligations contractuelles. Il s’agit donc d’une manifestation classique du cas d’utilisation 6 de l’annexe 2 des recommandations 01/2020 du Comité européen de la protection des données. Pour ce cas d’utilisation, les autorités de contrôle n’ont pas encore réussi à identifier des mesures de protection complémentaires qui pourraient conduire à la légalité de l'exportation des données.

Les mesures prévues actuellement par Microsoft dans la section “Lieu des données dormantes” pour le stockage des données (data at rest) n'entraînent pas l'exclusion du transfert et ne justifient pas de mesures de protection suffisantes. Pour les traitements ultérieurs (autres que le stockage), la section « Transferts de données et lieu » (« Data Transfers and Location ») ne contient aucune déclaration sur la localisation des données. Les mesures promises par Microsoft dans « l'Addendum aux mesures de protection supplémentaires » ne sont pas non plus de nature à pallier les insuffisances du droit américain en matière de droits fondamentaux, mesurées à l’aune du droit de l’UE. En outre, Microsoft se réserve contractuellement le droit de procéder à des divulgations étendues qui, si elles étaient mises en œuvre, ne répondraient pas aux exigences fixées par l’article 48 du RGPD.

Pour les transferts de données à caractère personnel vers des pays tiers autres que les États-Unis, il manque déjà une base d’évaluation.

La future délocalisation du traitement des données dans l’UE, déjà annoncée par Microsoft, semble utile dans ce contexte, mais doit également être observée et évaluée lors de la mise en œuvre à la lumière d’éventuelles dispositions légales à effet extraterritorial.

Le présent rapport ne tient pas compte de la question de savoir si et dans quelle mesure l’Executive Order « Enhancing Safeguards for United States Signals Intelligence Activities » présenté le 7 octobre 2022 par le président américain Biden et le procureur général Garland, ainsi que les ordonnances d’accompagnement du ministère américain de la Justice, ont modifié les conditions du droit américain déterminantes pour l’évaluation des transferts vers des pays tiers, étant donné que les étapes d’exécution de la mise en œuvre de ces réglementations ne sont pas encore franchies.

Source (traduction) : « AG DSK „Microsoft-Onlinedienste“ » [de] – « Datenübermittlungen in Drittstaaten », pages 7 & 8


Au final, quelles conclusions tirer de ce document ?

Une lecture attentive et « détachée » – c’est-à-dire en prenant le recul nécessaire –, ne pourrait que fort logiquement amener à la question suivante : « Pourquoi faire simple quand on peut faire compliqué ? »… Pourquoi « se compliquer la vie » à vouloir mettre l’utilisation d’outils tels MS 365 ou Teams en adéquation avec le RGPD :?: Quand manifestement cela s’avère être un travail de Sisyphe ? (Voir notamment le point « 02/07/2020 – Contrôleur européen de la protection des données » ci-dessus.)
En effet, lorsqu’on fait le lien entre cette analyse effectuée par les autorités de protection des données allemandes et le document « Cloud Act Memo » (voir ci-dessous) commandé par le Ministère de la Justice et de la sécurité des Pays-Bas, on ne peut qu’arriver à la conclusion suivante : toute utilisation des outils et services web proposés par Microsoft (ou Google) est actuellement rigoureusement incompatible avec le RGPD. Ce qui sera vraisemblablement encore le cas jusqu’à ce que les États-Unis adoptent une législation comparable à celle de l’UE avec le RGPD, et qui soit dès lors parfaitement compatible avec celui-ci (!), soit une législation qui mettra encore fort probablement beaucoup de temps à voir le jour, si seulement elle arrive dans un avenir pas trop lointain…

Aussi, sauf à vouloir se complaire dans la « facilité apparente » que présente l’utilisation des outils de Microsoft, il serait probablement plus rationnel, et moins gaspilleur de temps (?), de se diriger résolument vers des outils alternatifs, comme le préconisait d’ailleurs déjà le CEPD en juillet 2020 !…

Ce ne sont pas les alternatives qui manquent, notamment avec les logiciels libres, il faut juste prendre la décision de commencer à les utiliser, d’en soutenir le développement, et de les promouvoir au sein de nos écoles, institutions et organisations. Il faudra également montrer aux décideurs politiques que c’est possible de travailler avec des outils numériques plus éthiques que ceux des GAFAM et consorts, et surtout les convaincre d’y affecter les moyens jusqu’ici réservés a l’achat de licences, ce qui ne sera probablement pas la partie la plus reposante…

En Belgique, une question fondamentale que l’on est en droit de se poser, quel que soit le niveau de pouvoir concerné – fédéral, régional, communautaire, provincial ou communal –, est probablement la suivante :

Qu’est-ce qui justifie que l’on fasse une interprétation du RGPD aussi « complaisante » vis-à-vis des Big Techs états-uniennes ?

Alors que nos grands voisins, tels la France et l’Allemagne, semblent aujourd’hui adopter une attitude beaucoup plus stricte et s’engagent a priori résolument vers une interdiction de l’utilisation des outils des GAFAM, et de ceux de Google et Microsoft en particulier, pour des secteurs importants comme celui de l’éducation…
Est-ce un manque de courage politique ?
L’absence d’une Autorité de protection des données (APD) qui soit réellement indépendante, forte et efficace ?
Le RGPD, en tant que réglementation européenne, ne s’applique-t-il pas de la même manière dans tous les pays membres de l’UE ?
Est-il possible et légitime en Belgique, d’en faire une interprétation différente de celle qui est faite en France, en Allemagne, ou au Danemark, pour ne citer que ces trois pays ?

Documents pertinents

16/08/2022 – Cloud Act Memo (Pays-Bas)

Cloud Act Memo – Application of the CLOUD Act to EU Entities – Publié par le Nationaal Cyber Security Centrum (NL) / Ministerie van Justitie en Veiligheid (Ministère de la Justice et de la sécurité) – Auteurs : Greenberg Traurig LLP | Gretchen Ramos, Andrea Maciejewski and Herald Jongen

Les conclusions de ce document d’analyse des implications de la législation américaine « Cloud Act » sur les entités européennes, apporte des informations particulièrement relevantes qui corrobore différentes décisions et/ou avis que diverses autorités de protection des données européenne avaient déjà prisent par le passé.

Voici la traduction des conclusions de ce document :

Les entités de l’UE peuvent tomber sous le coup de la loi CLOUD [Cloud Act], même si elles sont situées en dehors des États-Unis. Pour qu’une entité de l’UE puisse éviter complètement d’être soumise à la loi CLOUD, elle doit traiter les données en utilisant une entité non américaine qui, soit :
a) n’a pas de relation d’entreprise avec une société présente aux États-Unis (telle qu’une filiale américaine) et n’a pas de contacts suffisants avec les États-Unis pour qu’il soit raisonnable pour les États-Unis d’affirmer leur juridiction sur l’entité européenne/l’entité non américaine (ce qui inclut le fait de ne pas vendre de produits ou de services à des clients aux États-Unis) ; ou
b) si elle a une relation d’entreprise avec une société basée aux États-Unis, la société américaine ne doit pas avoir la possession, la garde ou le contrôle des données qui sont stockées dans l’UE.

En aucun cas, l’entité de l’UE ne peut avoir une société mère américaine, car la société mère serait considérée comme ayant la possession ou le contrôle des données de sa filiale. En outre, il est conseillé de ne pas employer de ressortissants américains ayant accès aux données pertinentes.

Articles divers avec des informations relevantes

20/07/2019

« L’Allemagne interdit Windows 10 et Office 365 dans les écoles » – crashdebug.fr

L’Allemagne n’est pas particulièrement tendre avec les sociétés américaines qui s’octroient des passe-droits avec sa législation, surtout sur le terrain de la vie privée. Et c’est ainsi que Windows 10 et Office 365 viennent d’être bannis des écoles.

L’équivalent de la CNIL en Allemagne a récemment émis une ordonnance visant à interdire l’utilisation de Windows 10 et Office 365 dans les écoles du pays. Les deux logiciels de Microsoft ne se conformeraient ainsi pas au RGPD et ne sont ainsi plus les bienvenus dans les établissements scolaires.

La DHBDI (Der Hessische Beauftragte für Datenschutz und Informationsfreiheit), soit la CNIL de la région du länder de Hesse a ainsi déclaré illégale l’utilisation des deux logiciels dans les écoles, estimant ainsi qu’il était urgent de protéger les enfants. Cette décision n’est pour l’instant pas étendue aux administrations du pays.

Le fait que les données stockées dans le Cloud par Office 365 puissent être consultées depuis les USA constitue ainsi une violation des lois allemandes. Une situation difficile pour Microsoft puisque même les données stockées en Europe peuvent être consultées à distance depuis les USA.

Windows 10 pour sa part se montre assez bavard et multiplie les communications avec les serveurs de Microsoft même quand la télémétrie est définie au minimum…

L’Allemagne préconise ainsi un retour à d’anciennes versions de Windows et à une version locale d’Office, à moins que Microsoft ne propose des versions adaptées de ses propres logiciels.

D’ailleurs, la décision allemande soulève la question d'une application de cette interdiction à l’échelle européenne : le RGPD est une loi européenne et en conséquence, Microsoft se doit de le respecter dans chaque pays de l'Union européenne.


07/07/2020

La plupart des services de visioconférence ne sont pas conformes au RGPD
Teams, Zoom, Meet… Les grandes marques de visioconférence épinglées par une autorité de protection des données personnelles allemande.

Les services de visioconférence se sont révélés fort pratiques durant cette crise de coronavirus, mais sont-ils conformes à la protection européenne de données personnelles ? La réponse est non, a estimé l’autorité de protection des données personnelles de Berlin. Celle-ci a analysé les conditions d’utilisation de 17 services professionnels. Seuls cinq ont trouvé grâce à ses yeux et obtenu un « feu vert » dans leur tableau : Wire, Tixeo, sichere-videokonferenz.de, Jitsi-Netways et Werk21. Les grandes marques – telles que Microsoft Teams, Google Meet, Skype ou Zoom – ont récolté un « feu rouge » signalisant des contrats de traitement de données non conformes aux textes de loi.

Dans les conditions de Microsoft Teams, l’autorité a noté des « contradictions », un « manque de clarté » et des « exportations de données illicites ». Celles de Zoom et de Google Meet ne respecteraient pas, entre autres, le droit à l’effacement des données. Au final, l’autorité recommande aux entreprises de ne pas utiliser ces services et de se restreindre aux cinq services qui respectent les règles, du moins formellement.

Gilbert Kallenborn – 01net – 07/07/2020


15/10/2020

« L’autorité française de protection des données déclare qu’elle ne peut pas confier des données personnelles européennes à de grandes entreprises américaines du secteur de l’internet, même si elles les conservent dans l’UE » – Titre original : « French data protection authority says it can’t trust top US Internet companies with EU personal data – even if they keep it in the EU » – Glyn Moody – Privacy News Online – Voir la traduction française sur le wiki

28/05/2021

13/05/2022

« Protection des données : Microsoft 365 interdit dans les écoles du Bade-Wurtemberg. Des alternatives adéquates existent ! » – Titre original : « Data protection: Microsoft 365 banned in Baden-Württemberg’s schools. Suitable alternatives exist! » [en] – Nextcloud.com

Citation (traduite) :

Le secteur de l’éducation a dû procéder à de nombreux ajustements au cours des dernières années en raison de la pandémie de covid-19, des nouvelles réglementations RGPD et des méthodes plus innovantes pour l’enseignement et l’apprentissage en général.

Le passage à l’apprentissage en ligne a ses avantages, mais il s’accompagne de ses propres obstacles et boucles à franchir. L’un des principaux est de s’assurer que les programmes utilisés sont conformes aux exigences en matière de données et de confidentialité.

Entre l’automne 2020 et le printemps 2021, l’État du Bade-Wurtemberg en Allemagne, qui s’est appuyé sur les produits Microsoft 365, a lancé une opération pilote pour tester les configurations et les normes de protection des données de 365, en raison de certaines plaintes d’écoles concernant la conformité des données. Même après avoir éliminé certaines fonctionnalités et mis en place une sécurité supplémentaire, le test pilote n’a pas réussi à fournir une solution conforme aux données pour les enseignants, les élèves et les parents.

« En particulier dans le cas de plaintes spécifiques, que nous continuerons à examiner, je voudrais d’abord chercher des solutions possibles avec les écoles. Dans le même temps, nous voulons renforcer la compétence en matière de protection des données dans les écoles. » – Stefan Brink

Depuis lors, et conformément aux revendications des militants de la protection des données et aux avertissements des associations éducatives, le ministère de la Culture, Sandra Boser, et le commissaire d’État à la protection des données, Stefan Brink, ont proposé un plan pour s’éloigner de Microsoft et se tourner vers d’autres solutions adéquate en matière protection des données, comme Moodle et BigBlueButton, par exemple.


27/06/2022

« Rhénanie-Palatinat : les écoles ne peuvent plus utiliser le logiciel Microsoft Teams » – Titre original : « Rheinland-Pfalz: Schulen dürfen Microsoft-Software Teams nicht mehr nutzen » [de] – De Tobias Knaack avec du matériel de la dpa

Citation intégrale (traduction) :

La tolérance pour l’utilisation de MS Teams dans les écoles de Rhénanie-Palatinat prend fin. L’utilisation du logiciel était depuis longtemps une épine dans le pied des défenseurs de la protection des données.

La pandémie Corona a soulevé des questions de communication non seulement dans les entreprises, mais aussi dans les écoles – et dans le cas de ces dernières, encore plus sur les outils qui peuvent être utilisés pour transmettre des connaissances et enseigner lorsque la présence en classe n'est pas possible. Il existe de nombreux fournisseurs, mais en raison de doutes sur la protection des données, les écoles de Rhénanie-Palatinat ne pourront plus utiliser le logiciel Teams de Microsoft pour les vidéoconférences à partir de l'année scolaire prochaine.

Le ministère de l’Éducation part du principe que toutes les écoles renonceront alors à l’utilisation de Teams, peut-on lire dans la réponse à une question du groupe parlementaire CDU au Landtag. C’est ce que rapporte l’agence de presse dpa. Actuellement, 228 des 1600 écoles de Rhénanie-Palatinat utilisent encore MS Teams. Selon le ministère de l’Éducation, 604 écoles participent déjà au campus scolaire RLP qui sera introduit en 2021.

« La situation juridique n’a pas changé depuis deux ans », déclare le responsable de la protection des données du Land, Dieter Kugelmann, à propos de l’utilisation de MS Teams. « On ne voit pas d’engagements concrets de Microsoft qui rendraient possibles de nouvelles réflexions ».

Jusqu’à présent, il y avait eu un report en raison de la pandémie et de l'introduction du campus scolaire de Rhénanie-Palatinat. Mais maintenant, les écoles qui utilisent encore MS Teams doivent également passer à d’autres systèmes, comme l’offre open source Big Blue Button (BBB) recommandée par le Land et associée au campus scolaire – comme le font déjà la plupart des écoles. « Elles ne font certainement pas un moins bon enseignement ».

MS Teams : transfert de données vers les États-Unis

La pierre d’achoppement est le transfert de données vers les États-Unis – avec des solutions cloud comme Teams et le package plus complet MS Office 365, les données des utilisateurs sont transférées. « À cela s’ajoute le fait que le RGPD accorde une importance particulière à la protection des données à caractère personnel des enfants », explique Kugelmann. La CJUE subordonne le transfert autorisé de données à caractère personnel vers des États situés en dehors de l’UE à la condition qu’un niveau de protection des données comparable à celui de l’UE y soit garanti. Selon l’avis juridique de la CJUE, ce n’est pas le cas aux États-Unis.

L’attitude du ministère et du responsable régional de la protection des données est critiquée par le groupe parlementaire CDU. Contrairement à des systèmes comme le BBB, MS Teams a fait ses preuves à l'époque de la scolarisation à domicile et de l'enseignement alterné, explique Jenny Groß, porte-parole pour la politique de l'éducation.

Recherche d’une utilisation conforme à la protection des données des fournisseurs extra-européens

Il reste à voir si, à moyen terme, il existe des possibilités conformes à la protection des données pour l’utilisation scolaire de logiciels de fournisseurs extra-européens, indique-t-on auprès du responsable de la protection des données du Land. Kugelmann se montre détendu : « L’exemple du district de la Südliche Weinstraße, dans lequel les écoles sont passées à des solutions open source gratuites, montre que l’enseignement numérique peut également fonctionner sans l’utilisation de produits logiciels commerciaux ».

Que nous apprend la « Déclaration de confidentialité » de Microsoft ?

Elle est à lire (intégralement !) sur cette page web :
https://privacy.microsoft.com/fr-fr/privacystatement
⇒ Attention à bien « Développer tout » via le lien en haut à gauche :!:

Il convient d’abord noter que cette Déclaration de confidentialité est pour le moins ‘conséquente’ et que sa lecture intégrale suppose que l’on y consacre un bon bout de temps ! Si l’on se base sur la version de mars 2022, elle compte ± 44 200 mots, soit plus de trois heures de lecture à raison de 240 mots minute !…

Voici quelques articles qui font état du problème général concernant la lecture des CGU…

https://web.developpez.com/actu/329894/97-pourcent-des-adultes-ne-lisent-pas-les-conditions-generales-des-plateformes-en-ligne-car-elles-sont-trop-longues-et-la-plupart-des-informations-sont-presentees-dans-un-jargon-juridique-complique/

https://www.developpez.com/actu/246231/La-plupart-des-termes-et-conditions-d-utilisation-des-sites-sont-incomprehensibles-pour-des-adultes-d-apres-une-etude/

https://www.developpez.com/actu/310826/Les-conditions-generales-d-utilisation-de-13-applications-les-plus-populaires-prendraient-17-heures-pour-toutes-les-lire-rapporte-Thinkmoney-apres-avoir-analyse-ces-conditions/

https://www.visualcapitalist.com/terms-of-service-visualizing-the-length-of-internet-agreements/

Pour en revenir plus concrètement au CGU de Microsoft, un premier tour du côté de « tosdr » nous livrera quelques informations.
Lire aussi cet article ⇒ https://francoischarlet.ch/2014/pour-ceux-qui-ne-lisent-pas-les-conditions-generales-voici-tosdr-org/

Pays de stockage et de traitement des données personnelles

Les données personnelles recueillies par Microsoft peuvent être stockées et traitées dans votre région, aux États-Unis et dans tout autre pays dans lequel Microsoft, ses filiales ou fournisseurs de services sont implantés. Microsoft Corporation exploite d’importants centres de données en Afrique du Sud, en Allemagne, en Australie, en Autriche, au Brésil, au Canada, en Corée, aux États-Unis, en Finlande, en France, à Hong Kong (R.A.S.), en Inde, en Irlande, au Japon, au Luxembourg, en Malaisie, aux Pays-Bas, au Royaume-Uni et à Singapour. En règle générale, le lieu de stockage principal des données se situe dans la région du client ou aux États-Unis, une sauvegarde étant par ailleurs souvent stockée dans un centre de données situé dans une autre région. Les emplacements de stockage sont choisis de manière à assurer un fonctionnement efficace, à optimiser les performances et à créer des redondances afin de protéger les données en cas de panne ou de problème autre. Nous prenons des mesures pour traiter les données que nous recueillons conformément à la présente Déclaration de confidentialité en fonction des dispositions de cette déclaration et les exigences de la loi en vigueur.

Nous transférons des données personnelles issues de l’Espace économique européen, du Royaume-Uni et de Suisse vers d’autres pays, dont certains n’ont pas encore été reconnus par la Commission européenne comme offrant un niveau de protection adéquat des données. Par exemple, leurs lois peuvent ne pas vous garantir les mêmes droits, ou il est possible qu’il n’y ait pas d’autorité de contrôle en matière de protection des données personnelles capable de traiter vos plaintes. Lorsque nous nous impliquons dans de tels transferts, nous utilisons une variété de mécanismes juridiques, notamment des contrats tels que les clauses contractuelles standard publiées par la Commission Européenne sous la Décision d’application de la Commission 2021/914 pour contribuer à la protection de vos droits et permettre à ces protections de circuler avec vos données. Pour en savoir plus sur les décisions d’adéquation de la Commission européenne quant au niveau de protection des données personnelles dans les pays où Microsoft traite ce type de données, consultez cet article sur le site web de la Commission européenne.

Extrait de la version de septembre 2022 (Déclaration de confidentialité Microsoft)


Commentaire : On le voit avec le court extrait ci-dessus, la Déclaration de confidentialité de Microsoft est sans ambiguïté quant à la localisation des données : elles sont susceptibles d’être stockées à divers endroits dans le monde, y compris en dehors de l’UE et/ou aux USA !
La question est donc de savoir si ces transferts de données personnelles vers des pays tiers en l’absence de décisions d’adéquation de l’UE, ce qui est les cas des USA, « bénéficieront d’un niveau de protection essentiellement équivalent » à celui offert dans l’UE par le RGPD ?
À ce propos, voir le document suivant :
« Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE » – edpb / European Data Protection Board – Version française (Version 2.0 / Adoptées le 18 juin 2021)

Compte Microsoft

Remarque : Cette partie de la « Déclaration de confidentialité Microsoft » concernant les Comptes Microsoft et que nous reproduisons ici dans son intégralité est importante, car elle régit la manière dont Microsoft gère la confidentialité des données lors de l’utilisation d’un compte ouvert chez Microsoft. Or l’accès aux différents services tels Outlook ou MS 365 est bien entendu conditionné par l’ouverture d’un compte ! Concernant les écoles, nous vous invitons à bien lire en détail les paragraphes se reportant à l’utilisation des « Comptes professionnels ou scolaires ».

Grâce à un compte Microsoft, vous pouvez vous connecter aux produits Microsoft, ainsi qu’à ceux de partenaires choisis de Microsoft. Les données personnelles associées à votre compte Microsoft comprennent des identifiants, un nom et des coordonnées, les données de paiement, les données sur l’appareil et l’utilisation, vos contacts, des informations sur vos activités, ainsi que vos centres d’intérêt et vos favoris. La connexion à votre compte Microsoft permet de bénéficier d’une personnalisation, d’expériences similaires dans tous les produits et sur tous les appareils, d’utiliser le stockage des données dans le cloud, d’effectuer des paiements à l’aide des moyens de paiement enregistrés sur votre compte Microsoft et d’activer d’autres fonctionnalités. Il existe trois types de compte Microsoft :

  • Lorsque vous créez votre propre compte Microsoft lié à votre adresse e-mail personnelle, nous appelons ce compte un compte Microsoft personnel.
  • Lorsque vous ou votre organisation (par exemple, un employeur ou votre établissement scolaire) créez votre compte Microsoft lié à l'adresse e-mail qui vous a été fournie par cette organisation, nous appelons ce compte un compte professionnel ou scolaire.
  • Lorsque vous ou votre fournisseur de services (par exemple, un fournisseur de services internet ou câblés) créez votre compte Microsoft lié à votre adresse e-mail avec le domaine de votre fournisseur de services, nous appelons ce compte un compte tiers.

Comptes Microsoft personnels. Les données associées à votre compte Microsoft personnel et l’utilisation de ces données dépendent de la façon dont vous utilisez le compte.

  • Création de votre compte Microsoft. Lorsque vous créez un compte Microsoft personnel, il vous sera demandé de fournir certaines données personnelles, et nous attribuerons un numéro d’identifiant unique pour identifier votre compte et les informations associées. Alors que certains produits, comme ceux impliquant un paiement, nécessitent un nom réel, vous pouvez vous connecter à d'autres produits Microsoft et les utiliser sans donner votre vrai nom. Certaines données que vous fournissez, comme votre nom d’affichage, votre adresse e-mail et votre numéro de téléphone, peuvent être utilisées pour aider d’autres personnes à vous trouver et établir des relations avec vous au sein des produits Microsoft. Par exemple, les personnes qui connaissent votre nom d’affichage, votre adresse e-mail ou votre numéro de téléphone peuvent utiliser ces informations pour vous rechercher sur Skype ou Microsoft Teams pour un usage personnel et vous inviter à communiquer avec eux. Notez que si vous utilisez une adresse e-mail professionnelle ou scolaire pour créer un compte Microsoft personnel, votre employeur ou votre établissement scolaire peut accéder à vos données. Dans certains cas, vous devez remplacer l’adresse e-mail par une adresse e-mail personnelle afin de continuer à accéder à des produits grand public (par exemple, le réseau Xbox).
  • Connexion à un compte Microsoft. Lorsque vous vous connectez à votre compte Microsoft, nous créons un registre de votre connexion, qui comporte la date et l’heure, les informations sur le produit auquel vous vous êtes connecté, votre nom de connexion, le numéro unique attribué à votre compte, un identifiant unique attribué à votre appareil, votre adresse IP, votre système d’exploitation et la version de votre navigateur.
  • Connexion à des produits Microsoft. La connexion à votre compte vous permet de bénéficier d’une personnalisation optimisée et d’expériences homogènes et similaires dans tous les produits et sur tous les appareils, d’accéder au stockage des données dans le cloud et d’en faire usage, d’effectuer des paiements à l’aide des moyens de paiement enregistrés sur votre compte Microsoft et d’activer d’autres fonctionnalités et paramètres optimisés. Lorsque vous vous connectez à votre compte, vous restez connecté jusqu’à ce que vous vous déconnectiez. Si vous ajoutez votre compte Microsoft à un appareil Windows (version 8 ou supérieure), Windows vous connectera automatiquement aux produits qui utilisent le compte Microsoft lorsque vous accédez à ces produits sur cet appareil. Lorsque vous êtes connecté, certains produits affichent votre nom ou nom d’utilisateur et votre photo de profil (si vous en avez ajouté une à votre profil) dans le cadre de votre utilisation des produits Microsoft, notamment pour vos communications, interactions sociales et commentaires publics.
  • Se connecter à des produits tiers. Si vous vous connectez à un produit tiers avec votre compte Microsoft, vous allez partager des données avec le tiers conformément à la politique de confidentialité de celui-ci. Le tiers recevra également le numéro de version attribué à votre compte (un nouveau numéro de version est attribué à chaque fois que vous modifiez vos données de connexion), ainsi que des informations indiquant si votre compte a été désactivé. Si vous avez partagé vos données de profil, le tiers peut afficher votre nom, votre nom d’utilisateur et votre photo de profil (si vous en avez ajouté une à votre profil) lorsque vous êtes connecté à ce produit tiers. Si vous choisissez d’effectuer un paiement à un marchand tiers à l’aide de votre compte Microsoft, Microsoft transmettra au tiers ou à ses fournisseurs (par exemple, les fournisseurs de services de traitement des paiements) les informations enregistrées dans votre compte Microsoft nécessaires pour le traitement de votre paiement et l’exécution de votre commande (nom, numéro de carte de crédit, adresses de facturation et de livraison, et coordonnées pertinentes). Le tiers peut utiliser ou partager les données qu’il reçoit lorsque vous vous connectez ou effectuez un achat en application de ses propres pratiques et politiques. Lisez attentivement la déclaration de confidentialité de chaque produit auquel vous vous connectez et de chaque marchand auprès duquel vous effectuez un achat afin de déterminer comment seront utilisées les données recueillies.

Comptes professionnels ou scolaires. Les données associées à un compte professionnel ou scolaire sont généralement utilisées et recueillies de la même manière que des données associées à un compte Microsoft personnel.

Si votre employeur ou établissement scolaire utilise Azure Active Directory (AAD) pour gérer le compte qu’il vous fournit, vous pouvez utiliser votre compte professionnel ou scolaire pour vous connecter à des produits Microsoft (tels que Microsoft 365 et Office 365) ou des produits tiers fournis par votre organisation. Si votre organisation l’exige, vous devrez également fournir un numéro de téléphone ou une autre adresse e-mail pour une vérification de sécurité supplémentaire. De plus, si votre organisation l'autorise, vous pouvez également utiliser votre compte professionnel ou scolaire pour vous connecter à des produits Microsoft ou tiers que vous achetez pour vous.

Notez que si vous vous connectez aux produits Microsoft avec un compte professionnel ou scolaire :

  • Le propriétaire du domaine associé à votre adresse e-mail peut contrôler et administrer votre compte, accéder à vos données et les traiter, notamment les contenus de vos communications et de vos fichiers, ainsi que les données stockées dans les produits fournis par votre organisation et dans ceux acquis par vous-même.
  • Votre utilisation des produits est soumise aux politiques de votre organisation, le cas échéant. Vous devez à la fois tenir compte des politiques de votre organisation et savoir si vous souhaitez que votre organisation accède à vos données avant de choisir d’utiliser votre compte professionnel ou scolaire pour vous connecter aux produits que vous avez acquis pour vous.
  • Si vous perdez l’accès à votre compte professionnel ou scolaire (en cas de changement d’employeur, par exemple), vous risquez de perdre l’accès aux produits acquis pour votre propre compte, y compris au contenu qui leur est associé, si vous avez utilisé votre compte professionnel ou scolaire pour vous connecter à ces produits.
  • Microsoft n’est pas responsable des pratiques de confidentialité ou de sécurité de votre organisation, qui peuvent différer de celles de Microsoft.
  • Si votre organisation gère votre utilisation des produits Microsoft, veuillez envoyer vos demandes concernant la confidentialité, notamment les demandes d'exercer vos droits concernant vos données, à votre administrateur. Consultez également la section Information destiné aux utilisateurs finaux de la présente déclaration de confidentialité.
  • Si vous ne savez pas si votre compte est un compte professionnel ou scolaire, veuillez contacter votre organisation.

Comptes tiers. Les données associées à un compte Microsoft tiers sont généralement utilisées et recueillies de la même manière que des données associées à un compte Microsoft personnel. Votre fournisseur de services contrôle votre compte, notamment la possibilité d’accéder ou de supprimer votre compte. Lisez attentivement les conditions fournies par le tiers pour comprendre ce qu’il peut faire avec votre compte.

Extrait de la version de mars 2022 (Déclaration de confidentialité Microsoft)


Commentaire : Il est important de remarquer que dans le cas de l’utilisation des « Comptes professionnels ou scolaires », Microsoft vous renvoie vers votre organisation pour « vos demandes concernant la confidentialité, notamment les demandes d’exercer vos droits concernant vos données ». Et d’attirer votre attention sur le fait que « Microsoft n’est pas responsable des pratiques de confidentialité ou de sécurité de votre organisation, qui peuvent différer de celles de Microsoft »…
Il faut donc comprendre ici que c’est bien l’école qui est responsable de la confidentiallité des données et donc que c’est à l’école de veiller à l’adéquation de son traitement des données avec le RGPD ! Traitement des données effectué par l’école via les outils Microsoft… Dès lors, le moins que vous puissiez faire (si ce n’est pas déjà fait), c’est de demander à l’école qu’elle vous fournisse le texte complet de sa déclaration de confidentialité et de vérifier que celle-ci mentionne bien le fait qu’elle utilise les outils et plates-formes de Microsoft pour gérer les données, et si elle vous renvoie (ou pas ?) à la Déclaration de confidentialité Microsoft.

Publicité (Section)

Remarque : Cette section de la Déclaration de confidentialité Microsoft est également importante car elle permet de mesurer le gap entre, d’une part, les déclarations de « bonnes intentions » telles qu’on peut les lire sur le Web et, d’autre part, le « contrat » que l’on est obligé d’accepter pour pouvoir utiliser les services.

Si vous faites une recherche sur le terme ‘publicité’ sur la page web de la Déclaration de confidentialité Microsoft, [dans la version de septembre 2022] vous en trouverrez 92 occurrences :!:

Faut-il s’en réjouir ? Car cela signifierai que Microsoft est attentif à cette question et « accompagne » ses utilisateurs ? Donc que cela témoigne d’une bonne ‘gestion’ de cet aspect ?
Ou au contraire s’en inquiéter ? Considérant que cela témoigne plutôt de l’omniprésence de la publicité dans les outils de ce géant de la Tech :?:

La publicité permet de fournir, de promouvoir et d’améliorer certains de nos produits. Microsoft n’utilise pas ce que vous dites dans les courriers électroniques, les discussions instantanées, les appels vidéo ou la messagerie vocale, ni vos documents, photos ou autres fichiers personnels pour vous envoyer des annonces ciblées. Nous utilisons d’autres données, détaillées ci-dessous, pour faire de la publicité dans nos produits et sur des sites tiers. Par exemple :

  • Microsoft peut utiliser les données qu’elle recueille pour sélectionner et diffuser certaines des publicités que vous consultez sur ses sites web comme Microsoft.com, MSN ou Bing.
  • Lorsque l’identifiant de publicité est activé dans Windows dans le cadre de vos paramètres de confidentialité, les tierces parties peuvent y accéder et l’utiliser (de la même façon que les sites web peuvent consulter et utiliser un identifiant unique stocké dans un cookie) pour sélectionner et diffuser des publicités dans ces applications.
  • Nous pouvons éventuellement partager les données que nous recueillons avec des partenaires, tels que Verizon Media, AppNexus ou Facebook (voir ci-dessous), de sorte que les publicités qui vous sont présentées dans nos produits et les leurs soient plus pertinentes et intéressantes pour vous.
  • Les annonceurs peuvent choisir d’intégrer nos balises web dans leur site, ou d’utiliser des technologies similaires, afin de permettre à Microsoft de recueillir des informations sur leur site, telles que les activités, les achats et les visites. Nous utiliserons ces données pour fournir des publicités pour le compte de nos clients annonceurs.

Les annonces que vous voyez peuvent être sélectionnées en fonction des données que nous traitons vous concernant, telles que vos centres d’intérêt et vos favoris, votre localisation, vos transactions, la façon dont vous utilisez nos produits, vos requêtes de recherche ou le contenu que vous consultez. Par exemple, si vous consultez du contenu sur MSN à propos d’automobiles, nous pouvons afficher des publicités pour des voitures ; si vous recherchez « pizzerias à Seattle » sur Bing, vous pouvez voir des publicités dans vos résultats de recherche de restaurants à Seattle.

Les annonces que vous voyez peuvent également être basées sur d’autres informations acquises à votre sujet au fil du temps à partir de données démographiques, de données de localisation, de requêtes de recherche, de vos centres d’intérêt ou de vos favoris, de données d’utilisation de nos produits et de nos sites, ainsi que sur les informations que nous avons recueillies à votre sujet sur les sites et applications de nos annonceurs et partenaires. Nous dénommons ces annonces « publicités personnalisées » dans la présente déclaration. Par exemple, si vous affichez des contenus de jeu sur xbox.com, vous pourrez voir des offres pour des jeux sur MSN. Pour diffuser ces publicités personnalisées, nous combinons des cookies placés sur votre appareil en utilisant les informations que nous collectons (comme votre adresse IP) lorsque votre navigateur interagit avec nos sites web. Si vous refusez de recevoir des publicités personnalisées, les données associées à ces cookies ne seront pas utilisées.

Nous pouvons utiliser des informations à votre sujet pour vous fournir des publicités personnalisées lorsque vous utilisez des services Microsoft. Si vous êtes connecté avec votre compte Microsoft et que vous avez accepté que Microsoft Edge utilise votre activité en ligne pour des publicités personnalisées, vous verrez des offres de produits et de services basées sur votre activité en ligne lorsque vous utiliserez Microsoft Edge. Pour configurer vos paramètres de confidentialité pour Edge, accédez à Microsoft Edge > Paramètres > Confidentialité et services. Pour configurer les paramètres de confidentialité et de publicité de votre compte Microsoft en fonction de votre activité en ligne sur les navigateurs, notamment Microsoft Edge, ou lorsque vous consultez des applications et sites Web tiers, accédez à votre tableau de bord sur privacy.microsoft.com.

Vous trouverez ci-après de plus amples détails sur l’utilisation des données par Microsoft à des fins publicitaires :
[…]

  • Enfants et publicité. Nous ne proposons pas de publicité personnalisée aux enfants dont la date de naissance figurant dans leur compte Microsoft prouve qu’ils ont moins de 18 ans.
  • Rétention de données. En matière de publicité personnalisée, nous ne conservons pas les données au-delà de 13 mois, sauf si nous obtenons votre consentement pour conserver ces données plus longtemps.
  • Partage de données. Dans certains cas, nous partageons avec les annonceurs des rapports sur les données que nous avons recueillies sur leurs sites ou dans leurs annonces.

Données recueillies par d’autres agences de publicité. Des annonceurs incluent parfois leurs propres balises web (ou celles de leurs partenaires de publicité) dans leurs annonces que nous affichons, leur permettant de placer et de lire leurs propres cookies. En outre, Microsoft collabore avec des agences publicitaires tierces pour fournir certains de nos services de publicité, et nous permettons également à d’autres agences publicitaires tierces d’afficher des annonces sur nos sites. Ces tiers peuvent également placer des cookies sur votre ordinateur et recueillir des informations sur vos activités en ligne sur des sites web ou des services en ligne. Parmi ces sociétés, on peut citer, à titre non exhaustif : AppNexus, Facebook, Media.net, Outbrain, Taboola et Verizon Media. Sélectionnez l’un des liens précédents pour trouver davantage d’informations sur les pratiques de chaque société, y compris les choix proposés. Beaucoup de ces sociétés sont également membres du NAI ou de DAA, qui proposent tous les deux un moyen simple de refuser la réception de publicités ciblées provenant des sociétés participantes.

Extrait de la version d'avril 2022 (Déclaration de confidentialité Microsoft)


Commentaire : Sans aller plus loin quant à la section de la Déclaration de confidentialité Microsoft dédiée à la publicité – dont la lecture attentive révèle déjà quelques éléments significatifs –, il est également intéressant de remarquer qu’en matière de cookies publicitaires, Microsoft est fort probablement à considérer comme « un champion toutes catégories » ! En effet, il faut savoir qu’il y a potentiellement 585 cookies placés par Microsoft et ses partenaires lorsque vous surfez sur les sites et plate-formes de Microsoft, telles Minecraft Education par exemple :!:
Et parmi ceux-ci, Microsoft ne déclare pas moins que 470 cookies publicitaires dans la liste qu’il publie sur la page « Third party cookie inventory » [consultée le 30/05/2022]. Dans ces conditions, qui peut encore croire que Microsoft attache une grande importance à la vie privée des utilisateurs :?:

Au-delà du droit, la question éthique ?

Entretenir une relation commerciale, même à titre « gratuit », avec une société des USA, dont la capitalisation en bourse est de l’ordre de 2 150 milliards de dollars (aout 2022), et qui par ailleurs use impunément de tous les artifices de « l’optimisation fiscale » afin de réduire l’impôt dû à peau de chagrin, est-ce une position tenable sur le plan de l’éthique ? Est-il juste et éthiquement acceptable de contribuer, même indirectement, à la croissance du chiffre d’affaires annuel de Microsoft, qui est de l’ordre de 200 milliards de dollars, confortant ainsi un bénéfice net de 16,7 milliards de dollars en augmentation de 2 % pour le dernier exercice ?

Lire par exemple l’article « Dans de nombreux cas, Microsoft n’a payé aucun impôt ces dernières années ».

Ainsi que les questions sociales et environnementales !

Lire par exemple l’article « Empreinte environnementale et sécurité numérique : les associations européennes d’utilisateurs interpellent Microsoft » – Cigref.fr – 08/11/2021

Le 5 octobre 2021, Microsoft a lancé officiellement la nouvelle version de son système d’exploitation phare, Windows 11. Nos quatre associations, Beltug, Cigref, CIO Platform Nederland et VOICE saisissent cette occasion pour appeler l’éditeur à mettre en cohérence son discours public et la réalité de sa politique commerciale. D’une part, alors que Microsoft communique largement sur ses engagements en matière de sustainability, le cycle de vie de ses produits et services provoque une implacable logique d’obsolescence programmée de parcs d’équipements parfaitement fonctionnels. D’autre part, Microsoft, comme de nombreux autres éditeurs, fait reposer sur les seuls utilisateurs la gestion des vulnérabilités de ses produits et services. En raison de sa position de leader du marché des produits et services numériques aux entreprises, nos associations attendent de la part de Microsoft un comportement exemplaire en matière d’empreinte environnementale et de sécurité.

La question de l’obsolescence programmée apparaît encore plus scandaleuse lorsqu’on aborde les aspects sociaux avec par exemple l’exploitation des enfants pour extraire les minerais nécessaires à la fabrication de nos joujoux numériques. C’est notamment le cas avec l’extraction du cobalt, un minerai indispensable à la fabrication des batteries lithium-ion, ou encore du coltan, deux minerais extraits en RDC…

À ce propos, lire par exemple les articles suivants :


Livres à lire à propos des questions "éthiques" concernant Microsoft et les GAFAM en général

Offshore - CDans les coulisses édifiantes des paradis fiscaux

L'art de la fausse générosité - La fondation Bill et Melinda Gates

On achève bien les enfants - Écrans et barbarie numérique

Sanctions

22/12/2022

1)
Vgl. z.B. seitens der deutschen Aufsichtsbehörden: LfDI BW, abrufbar unter: https://www.baden-wuerttemberg.datenschutz.de/ms-365- schulen -hinweise-weiteres-vorgehen/#zusammenfassung; Berliner Beauftragte für Datenschutz und Informationsfreiheit, Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenzdiensten, Version 2.0 vom 18. Februar 2021, S. 20 ff., https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2021-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf.
vie_privee/utiliser_les_services_microsoft_pas_conforme_au_rgpd.txt · Dernière modification : 2023/01/12 17:01 de Un utilisateur non connecté