Actu

RGPD : des écoles allemandes bannissent Microsoft Office 365

17 juillet 2019
Par Thomas Estimbre
RGPD : des écoles allemandes bannissent Microsoft Office 365

Les logiciels Microsoft sont dans le viseur des autorités allemandes. La région de Hesse a jugé illégale l’utilisation d’Office 365 dans ses écoles, évoquant des « problèmes de confidentialité ».

Le « cloud » américain inquiète l’Allemagne et le commissaire à la protection des données et à la liberté d’information (HBDI) de Hesse – l’un des seize länder allemands – a décidé de réagir. Les autorités du Land de Hesse ont jugé illégale l’utilisation Office 365 dans les écoles de la région, en raison de « problèmes de confidentialité ». Pour le HBDI, l’utilisation de la configuration standard de la plateforme de cloud de Microsoft expose les informations personnelles des étudiants et des enseignants « à un accès potentiel par les autorités américaines », rapporte The Next Web.

 © Microsoft
© Microsoft

Dans son communiqué, l’autorité assure qu’Office 365 et Windows 10 ne sont pas pas conformes au RGPD (règlement général sur la protection des données). Entrée en vigueur le 25 mai 2018, il vise à renforcer la protection des données personnelles des citoyens européens. Le commissaire à la protection des données et à la liberté d’information de la région de Hesse rappelle que la question de savoir si les écoles peuvent utiliser Office 365 dans le respect de la protection des données est discutée depuis des années en Allemagne.  Si « l’utilisation d’applications dans le cloud par les écoles n’est généralement pas un problème de protection des données », la situation de la suite bureautique de Microsoft est « différente ».

Deux éléments interpellent tout particulièrement l’autorité allemande. Concernant Office 365, « l’aspect crucial est de savoir si l’école, en tant qu’institution publique, peut stocker des données personnelles (d’enfants) dans un cloud (européen) qui est, par exemple, exposé à un accès possible des autorités américaines. En Allemagne, les institutions publiques ont une responsabilité particulière en ce qui concerne l’admissibilité et la traçabilité du traitement des données à caractère personnel. La souveraineté numérique du traitement national des données doit également être garantie », précise-t-elle. Les données de télémétrie collectées à partir de Windows 10 inquiètent également l’autorité : « L’utilisation du système d’exploitation Windows 10 transmet à Microsoft une multitude de données de télémétrie dont le contenu n’a pas été clarifié de manière concluante malgré les demandes répétées à Microsoft. Ces données sont également transmises lorsqu’Office 365 est utilisé ».

Ces inquiétudes ont poussé le HBDI à interdire l’utilisation de la célèbre suite bureautique. Néanmoins, l’autorité est consciente du caractère incontournable de la suite Office – qui rencontre également un grand succès sur Android – et demande à Microsoft de « trouver une solution conforme à la protection des données ». Les outils de Microsoft sont en effet particulièrement utilisés dans les écoles et en milieu professionnels, un élément qui a d’ailleurs permis à Microsoft Teams de prendre l’ascendant sur son rival Slack.

Google et Apple sont également concernés

Michael Ronellenfitsch, commissaire en charge de la protection des données personnelles et de la liberté de l’information (HBDI) de Hesse, ajoute que « ce qui s’applique à Microsoft s’applique également aux solutions dans le cloud de Google et d’Apple ». Il estime que les solutions cloud de ces deux géants n’ont pas encore été définies « de manière transparente et compréhensible » et qu’elles ne peuvent donc pas être utilisées dans les écoles allemandes. Pour l’heure, l’autorité recommande d’utiliser « d’autres outils » compatibles avec les attentes des autorités allemandes.

Du côté de Microsoft, la firme explique qu’elle travaille pour « répondre aux préoccupations » de ses clients en clarifiant ses politiques et pratiques en matière de protection des données. Le géant américain remercie le commissaire de Hesse d’avoir « soulevé ces préoccupations » et se dit impatient de collaborer avec l’autorité afin « de mieux comprendre leurs préoccupations ». En France, le sujet pourrait tout particulièrement intéresser la CNIL. Chaque année, l’État présente également son socle interministériel de logiciels libres (SILL), un catalogue présentant des logiciels libres recommandés par l’État français. On y retrouve une liste de logiciels libres répondant aux besoins des administrations hexagonales.

Article rédigé par
Thomas Estimbre
Thomas Estimbre
Journaliste
Pour aller plus loin