Le 10 octobre, l’Autorité autrichienne (DSB) a rendu une décision relative à la conformité RGPD des solutions Microsoft. Elle pourrait faire date dans le paysage européen.
Le géant américain fournit des services à 1,2 million d’élèves et 120 000 enseignants dans 6 000 établissements scolaires autrichiens. L’ONG noyb, présidée par Max Schrems, avait déposé plainte en 2024, reprochant à Microsoft la collecte et le traitement des données personnelles d’élèves utilisant la suite Microsoft 365 Éducation. Le géant US collecterait les données sans base juridique claire et sans information suffisante sur les traitements effectués.
Des données partagées avec des tiers
Dans sa décision, l’Autorité confirme que Microsoft n’avait pas recueilli le consentement des élèves de manière éclairée. Elle constate également que des cookies de suivi étaient déposés lors de la connexion, transmettant des données à des tiers tels que Linkedin, OpenAI ou Xandr, sans consentement préalable et sans finalité strictement pédagogique.
Les établissements sont également responsables
L’Autorité a exigé la suppression des données collectées illégalement et rappelé à Microsoft et aux établissements leur devoir d’information complète et compréhensible.
“La décision prévoit également que l’école du plaignant et le ministère autrichien de l’Éducation doivent fournir des informations complémentaires, notamment sur les données concernant les élèves transmises à Microsoft”, lit-on dans le communiqué de presse de noyb. “Cependant, la DSB a souligné que Microsoft n’avait pas fourni au ministère des informations complètes sur le traitement des données dans Microsoft 365 Éducation, ce qui empêche les écoles locales de se conformer à leurs obligations au titre des articles 13 et 14 du RGPD“.
La conformité de Microsoft en question
“Si Microsoft ne fournit pas d’informations claires et des moyens d’action accrus à ses clients, l’utilisation de Microsoft 365 reste difficilement conforme au droit européen. Les autorités allemandes de protection des données ont déjà estimé que Microsoft 365 ne répondait pas aux exigences du RGPD », ajoute l’association. Pour rappel, le Contrôleur européen de la protection des données (EDPS) avait clôturé sa procédure d’enquête sur l’usage de Microsoft 365 par la Commission européenne au mois de juillet. Le Contrôleur confirme que les services Microsoft sont désormais utilisés dans le respect du Règlement (UE) 2018/1725, qui est le cadre équivalent du RGPD pour les institutions européennes.
Ce cas renforce la position de plusieurs autorités européennes qui plaident pour des solutions souveraines, basées sur des logiciels open source ou hébergées en Europe, afin de limiter la dépendance aux clouds extra-européens.
Un rappel des devoirs de tous
Cette décision rappelle également que les administrations et les établissements sont tenus de réaliser une analyse d’impact (AIPD) avant tout déploiement.
Les fournisseurs doivent intégrer les principes de privacy by design, d’information et de documentation, mais aussi séparer clairement les données pédagogiques des données de télémétrie ou de diagnostic, et garantir aux utilisateurs un contrôle et un accès effectif aux données collectées.
