NOYB, une organisation de protection de la vie privée, a demandé à l'organisme autrichien de surveillance de la vie privée d'enquêter sur l'utilisation de Microsoft Education 365.
PUBLICITÉDes centaines de milliers d'écoliers européens sont probablement pistés par le logiciel éducatif de Microsoft, largement déployé dans les écoles du continent, selon un groupe qui a déposé une plainte formelle à ce sujet auprès d'un régulateur autrichien aujourd'hui (4 juin).
NOYB a demandé à l'organisme de surveillance d'enquêter sur les données traitées par Microsoft 365 Education — un produit largement utilisé dans les salles de classe, — car il affirme que ni la documentation sur la confidentialité de l'entreprise, ni les demandes d'accès, ni les propres recherches de NOYB n'ont pu pleinement clarifier ce point, ce qui viole les dispositions de transparence du règlement général sur la protection des données (RGPD).
NOYB affirme que les fournisseurs de logiciels comme le géant américain Microsoft ignorent les droits du GDPR en "se déchargeant" des responsabilités légales en vertu des règles de confidentialité de l'UE sur les écoles qui fournissent le logiciel à des fins éducatives.
"Microsoft détient toutes les informations clés sur le traitement des données dans son logiciel, mais pointe du doigt les écoles lorsqu'il s'agit d'exercer ses droits. Les écoles n'ont aucun moyen de se conformer aux obligations de transparence et d'information", a déclaré Maartje de Graaf, avocate spécialisée dans la protection des données à NOYB.
Felix Mikolasch, un autre avocat spécialisé dans la protection des données chez NOYB, a affirmé que le logiciel suivait également les utilisateurs quel que soit leur âge. "Cette pratique est susceptible d'affecter des centaines de milliers d'élèves et d'étudiants dans l'UE et l'EEE. Les autorités devraient enfin agir et faire respecter les droits des mineurs", a-t-il déclaré.
Un porte-parole de Microsoft a déclaré que le produit "est conforme au GDPR et aux autres lois applicables en matière de protection de la vie privée" et que l'entreprise protège rigoureusement la vie privée de ses jeunes utilisateurs.
"Nous sommes heureux de répondre à toutes les questions que les agences de protection des données pourraient avoir à propos de l'annonce d'aujourd'hui", a ajouté le porte-parole.
Décisions sur l'adéquation
Ce n'est pas la première fois que les produits de Microsoft font l'objet de l'attention des autorités de protection de la vie privée. En mars, le Contrôleur européen de la protection des données (CEPD), qui supervise les questions de protection des données au sein des institutions de l'UE, a ordonné à la Commission européenne de mettre son utilisation des programmes de bureautique Microsoft 365 en conformité avec les règles de protection de la vie privée.
Le CEPD a déclaré que la Commission avait enfreint les règles de l'UE, y compris celles relatives aux transferts de données personnelles en dehors de l'UE ou de l'Espace économique européen (EEE), car dans son contrat avec Microsoft, l'exécutif n'a pas suffisamment spécifié quels types de données personnelles doivent être collectées et à quelles fins.
Le GDPR impose des restrictions strictes sur les données personnelles, interdisant qu'elles soient partagées avec des pays qui n'ont pas un niveau de protection équivalent. L'accord de transfert de données entre l'UE et les États-Unis a été invalidé en 2015 par la Cour de justice de l'Union européenne (CJUE) après avoir été contesté par l'avocat autrichien Max Schrems, fondateur de NOYB, et il en a été de même pour le cadre de transfert de données de remplacement.
Les États-Unis ont officiellement retrouvé leur statut d'"adéquation" en juillet 2023, après que le gouvernement américain a publié un décret visant à limiter la collecte de données de l'UE à des niveaux "nécessaires et proportionnés".
Cet article a été mis à jour pour inclure un commentaire de Microsoft.