Microsoft collecte et stocke des données personnelles sur le comportement d’employés individuels à grande échelle, sans aucune documentation publique, conclut un rapport du cabinet Privacy Company mené pour le compte du ministère néerlandais de la Sécurité et de la Justice.
The Register a dévoilé l’info, en s’appuyant sur un billet de blog de Privacy Company : Microsoft collecte « à grande échelle et secrètement » les données personnelles via ses applications Office. Cette enquête réalisée par le cabinet Privacy Company à la demande du gouvernement néerlandais avait pour but de connaître la manière dont les informations traitées par 300 000 employés du secteur public étaient analysées par la suite Microsoft Office ProPlus.
Des résultats « alarmants »
Les résultats de cette évaluation de l’impact sur la protection des données sont « alarmants« , indique Privacy Company, et met Microsoft en défaut sur le RGPD. Le cabinet détaille : « Microsoft collecte systématiquement des données à grande échelle sur l’utilisation individuelle de Word, Excel, PowerPoint et Outlook. Clandestinement, sans informer les gens. Microsoft n’offre aucun choix en ce qui concerne la quantité de données, la possibilité de désactiver la collecte ou la possibilité de voir quelles données sont collectées, car le flux de données est codé. »
Un logiciel séparé d’Office envoie régulièrement des données de télémétrie à ses propres serveurs aux États-Unis. Par exemple, explique-t-il, Microsoft collecte des informations sur les événements dans Word lorsque les utilisateurs utilisent plusieurs fois de suite la touche de retour arrière, lorsqu’ils ne connaissent pas l’orthographe correcte. Mais aussi la phrase avant et après un mot recherché dans le vérificateur d’orthographe en ligne ou le service de traduction. « Microsoft collecte non seulement les données d’utilisation via le client de télémétrie intégré, mais enregistre et stocke également l’utilisation individuelle des services connectés (Connected Services). Par exemple, si les utilisateurs accèdent à un service connecté tel que le service de traduction via le logiciel Office, Microsoft peut stocker les données personnelles relatives à cette utilisation dans des « journaux d’événements générés par le système ». » Microsoft suivrait ainsi entre 23 000 et 25 000 types différents d’événements, dont le contenu est analysé par une équipe de 20 à 30 ingénieurs.
Des mesures pour réduire les risques
Lors de la rédaction de cette analyse, Microsoft s’est engagé à prendre un certain nombre de mesures importantes pour réduire les risques. il a développé des paramètres zéro-échappement, entend fournir des informations adéquates, inclure un outil de visualisation des données de télémétrie provenant d’Office et permettre aux administrateurs de déterminer le niveau de télémétrie souhaité. De son côté, le gouvernement recommande aux administrateurs certaines mesures, comme celle de suppression des comptes Actives Directory des utilisateurs VIP, et la création de nouveaux pour s’assurer que Microsoft supprime les données de diagnostic historiques, d’interdire centralement l’utilisation des services connectés ou la possibilité pour les utilisateurs d’envoyer des données personnelles à Microsoft pour «améliorer Office». Il va même jusqu’à recommander un logiciel alternatif, en open source. « Cela serait conforme à la politique du gouvernement néerlandais visant à promouvoir les normes ouvertes et les logiciels open source« .
