Office 365 de Microsoft déclaré illégal pour les écoles allemandes - encore une fois !

Les fournisseurs américains de services en nuage ne respectent pas la stricte législation allemande en matière de protection de la vie privée et ne doivent pas être utilisés par les écoles allemandes.

Les écoles allemandes ne doivent pas utiliser Microsoft Office 365 en raison de violations de la vie privée. Après deux ans de négociations avec Microsoft, la Conférence allemande de protection des données (DSK) a publié une déclaration accablante selon laquelle, compte tenu du manque de transparence en matière de protection des données et de l'accès potentiel de tiers, aucune donnée personnelle d'écoliers allemands ne doit être stockée sur les serveurs de Microsoft en dehors de l'Allemagne. Cela pourrait également affecter d'autres solutions américaines de cloud computing telles que celles de Google et d'Apple.


Office 365 interdit dans les écoles allemandes

Par le passé, les écoles allemandes ont pu utiliser le “cloud allemand” proposé par Microsoft jusqu’au milieu de l’année 2018. Ensuite, Microsoft a cessé d’offrir un modèle de fiduciaire de données qui répondait aux exigences allemandes en matière de protection de la vie privée.

Maintenant, la Conférence allemande de protection des données (DSK) a analysé l’offre de Microsoft pour les écoles et les autorités allemandes et a publié une déclaration accablante.

Selon les responsables allemands de la DSK, Microsoft 365 est en infraction avec les lois sur la protection des données (GDPR). Il n’est donc pas adapté à une utilisation conforme à la loi dans les écoles ou les autorités publiques en Allemagne.

Bien qu’il y ait eu de légers progrès avec le nouveau “Products and Services Data Protection Addendum” de Microsoft, cela n’est en aucun cas suffisant pour répondre aux exigences légales en matière de confidentialité et de sécurité.

Matthias Pfau, fondateur du service de courrier électronique crypté Tutanota, commente :

Il est incroyable que les services en ligne américains continuent de piétiner le GDPR européen plus de quatre ans après son adoption. De toute évidence, les grandes entreprises américaines supportent toutes les plaintes et aussi les sanctions parce que le modèle commercial - “utilisez mon service et j’utiliserai vos données” - est extrêmement lucratif pour elles. Au lieu de compter sur une coopération volontaire, il faut ici tirer des conséquences beaucoup plus sévères ; par exemple, en utilisant des systèmes complètement différents. Linux avec LibreOffice est une très bonne alternative vers laquelle les écoles et les autorités devraient immédiatement se tourner. Tant que les écoles et les autorités continueront à utiliser Microsoft - bien qu’installé localement - Microsoft ne voit évidemment aucune raison de respecter les règles européennes de protection des données."

"Les autres solutions en nuage, telles que le courrier électronique et le calendrier, ne doivent pas obligatoirement être utilisées par Microsoft. Il existe désormais de très bons services entièrement cryptés, comme Tutanota de Hanovre. Ici, la vie privée et la protection des données sont garanties, de plus toutes les données sont stockées sur des serveurs allemands.”

Contenu de la déclaration de DSK

Dans sa déclaration, la DSK indique :

“Les responsables du traitement doivent être en mesure de respecter leurs obligations de responsabilité conformément à l’art. 5 (2) GDPR à tout moment. Lors de l’utilisation de Microsoft 365, il faut encore s’attendre à des difficultés à cet égard sur la base du “supplément de protection des données”, car Microsoft ne divulgue pas entièrement les opérations de traitement qui ont lieu en détail. En outre, Microsoft n’indique pas complètement quels traitements sont effectués pour le compte du client ou à ses propres fins. Lesdocuments contractuels ne sont pas précis à cet égard et ne permettent pas d’évaluer de manière concluante les traitements, qui peuvent même être étendus, y compris pour les propres besoins de l’entreprise."

"L’utilisation des données à caractère personnel des utilisateurs (par exemple, des employés ou des étudiants) pour les propres besoins du prestataire exclut le recours à un sous-traitant dans le secteur public (notamment dans les écoles).

Les changements apportés par Microsoft ne sont pas suffisants

La nouvelle évaluation fait suite à une mise à jour de l’” Addendum sur la protection des données des produits et services ” de Microsoft.

Cependant, les changements apportés ne sont pas suffisants pour répondre aux exigences de confidentialité des écoles et des autorités allemandes.

Qu’est-ce que Microsoft a changé ?

  1. Microsoft a adopté certaines des clauses contractuelles types de la Commission européenne.
  2. Microsoft a expliqué plus en détail comment elle évalue elle-même les données et à quelles fins elle le fait. Par exemple, l’addendum indique que Microsoft génère des statistiques non personnelles à partir de données pseudonymisées et les utilise à ses propres fins.

Cependant, selon le commissaire fédéral à la protection des données, Ulrich Kelber, il n’est toujours pas clair quelles données sont utilisées pour les propres agendas de l’entreprise. Il n’est toujours pas possible d’évaluer de l’extérieur quelles informations Microsoft collecte et comment elle utilise ces données à ses propres fins.

En outre, le DSK critique le transfert de données vers les États-Unis, qui rend les données accessibles aux autorités américaines :

“Les discussions du groupe de travail avec Microsoft ont confirmé, conformément aux dispositions contractuelles, que les données personnelles seront dans tous les cas transférées aux USA lors de l’utilisation de Microsoft 365. Il n’est pas possible d’utiliser Microsoft 365 sans transférer des données personnelles aux USA.”

En conclusion de l’analyse du “Products and Services Data Protection Addendum” de Microsoft, le DSK conseille également aux utilisateurs privés de ne pas utiliser Microsoft 365, car on ne peut tout simplement pas compter sur Microsoft pour traiter les informations collectées dans le respect de la vie privée.

Microsoft, au contraire, a publié une déclaration juste après la publication du DSK, affirmant qu’il serait possible d’utiliser Microsoft 365 d’une manière conforme à la loi.

Gmail interdit dans les écoles européennes

Dans des décisions très similaires, les organismes de surveillance de la vie privée néerlandais et danois ont déclaré l’utilisation de Google et de Gmail illégale dans les écoles, également en raison de violations du GDPR. Pour en savoir plus sur ces décisions , cliquez ici.

Microsoft déjà interdit en 2019

En 2019 déjà, le commissaire à la protection des données et à la liberté d’information de Hesse est arrivé à uneconclusion similaire à l’examen de l’addendum actualisé de Microsoft par le DSK à l’instant.

En 2019, deux problèmes de confidentialité ont été critiqués spécifiquement :

  • Les autorités américaines peuvent accéder aux données stockées dans le cloud européen sans que le gouvernement allemand n’en ait le contrôle.
  • Dans Office 365 et Windows 10, des lots de données télémétriques sont collectés et transmis à Microsoft sans que Microsoft ne donne des informations satisfaisantes sur ce qui est enregistré et transféré.

Protection des données des enfants

Pour la commission hessoise de la protection des données et de la liberté d’information, la protection des données des enfants est primordiale :

“L’aspect critique est de savoir si une école en tant qu’institution publique peut stocker des données personnelles (d’enfants) dans un nuage (européen), qui, par exemple, est ouvert à l’accès des autorités américaines. Les institutions publiques allemandes ont une responsabilité particulière en ce qui concerne l’admissibilité et la transparence du traitement des données à caractère personnel.”

En conséquence, le commissaire aux données estime que le traitement des données par Microsoft est illégal. En outre, il n’est pas possible de remédier à cette situation en demandant aux parents leur consentement au traitement des données. Cela ne satisferait pas les droits de protection particuliers des enfants au regard de l’article 8 du règlement général sur la protection des données (RGPD).

Le commissaire de Hesse déclare également que

”Ce qui est vrai pour Microsoft l’est aussi pour les solutions cloud de Google et d’Apple. Les solutions cloud de ces fournisseurs n’ont jusqu’à présent pas été présentées de manière transparente et compréhensible. Par conséquent, il est également vrai que pour les écoles, l’utilisation conforme à la vie privée n’est actuellement pas possible.”

En outre, des entreprises telles que Microsoft ont fait la une des journaux à la suite de piratages informatiques au cours desquels des attaquants malveillants ont obtenu des masses de données, ce qui aurait pu être évité si les données sur les serveurs de Microsoft avaient été cryptées de bout en bout.

Conséquences pour les écoles allemandes

Les problèmes de confidentialité sont si graves que les écoles allemandes ne doivent plus utiliser Office 365.

Cependant, de nombreuses écoles, notamment les écoles de commerce, utilisent Office 365 pour préparer les étudiants au travail de bureau avec Word, Excel, etc. Au lieu d’Office 365, ces écoles doivent désormais utiliser des licences sur site sur des systèmes locaux.

Une alternative allemande nécessaire

Les écoles qui utilisent uniquement Office 365 pour la messagerie électronique ont également la possibilité de passer à un service de messagerie sécurisé tel que Tutanota. Ici, toutes les données sont stockées de manière cryptée sur des serveurs allemands, en respectant les strictes lois allemandes sur la protection de la vie privée et en totale conformité avec le GDPR.

À l’avenir, nous prévoyons d’étendre notre service de messagerie sécurisée qui intègre déjà un carnet d’adresses et un calendrier à une suite de collecticiels entièrement cryptée. Une alternative allemande ou européenne à la Big Tech est nécessaire pour que les écoles et les autorités puissent stocker en toute sécurité les données des citoyens dans le cloud.

tl:dr : La publication de DSK vise principalement à faire pression sur Microsoft pour qu’elle se conforme aux réglementations allemandes en matière de protection des données, et moins à faire en sorte que tous les Allemands utilisent d’autres services. Pourtant, il serait bien mieux d’avoir une véritable alternative à Microsoft, Google et Apple. C’est ce que Tutanota est en train de construire. Après avoir commencé par des courriers électroniques sécurisés, Tutanota propose désormais un carnet d’adresses crypté, uncalendrier crypté et le formulaire de contact crypté Secure Connect. De nombreuses autres fonctionnalités sont prévues, et nous estimons que dans quelques années, nous serons en mesure d’offrir une suite de groupware cryptée avec un cryptage intégré et un respect maximal de la vie privée.