Dans le sillage de la pandémie, les écoles de l'Union européenne ont commencé à mettre en place des services numériques pour l'apprentissage en ligne. Si ces efforts de modernisation sont les bienvenus, un petit nombre de grandes entreprises technologiques ont immédiatement tenté de dominer l'espace - souvent dans l'intention d'habituer les enfants à leurs systèmes et de créer une nouvelle génération de futurs clients "fidèles". L'une d'entre elles est Microsoft, dont les services 365 Education violent les droits des enfants en matière de protection des données. Lorsque les élèves ont voulu exercer leurs droits en vertu du GDPR, Microsoft a déclaré que les écoles étaient le "responsable du traitement" de leurs données. Or, les écoles n'ont aucun contrôle sur les systèmes.
- Première plainte contre Microsoft (DE)
- Première plainte contre Microsoft (EN auto-translation)
- Deuxième plainte contre Microsoft (DE)
- Deuxième plainte contre Microsoft (EN auto-translation)
Transfert de responsabilité entre les grandes entreprises et les écoles locales. Les fournisseurs de logiciels tels que Microsoft disposent d'un énorme pouvoir de marché qui leur permet de dicter les termes et conditions des contrats conclus avec toute personne souhaitant utiliser leurs produits. Dans le même temps, ces fournisseurs de logiciels tentent de se soustraire à leurs responsabilités en insistant sur le fait qu'elles incombent presque toutes aux autorités locales ou aux écoles. En réalité, ni les uns ni les autres n'ont le pouvoir d'influencer la manière dont Microsoft traite les données des utilisateurs. Au contraire, elles sont confrontées à une situation à prendre ou à laisser, où tout le pouvoir de décision et les bénéfices reviennent à Microsoft, tandis que les écoles sont censées supporter la plupart des risques. Les écoles n'ont aucun moyen réaliste de négocier ou de modifier les conditions.
Les droits liés au GDPR sont ignorés. En pratique, cela conduit à une situation où Microsoft essaie de se décharger contractuellement de la plupart de ses responsabilités légales en vertu du GDPR sur les écoles qui fournissent des services Microsoft 365 Education à leurs élèves ou étudiants. Cela signifie, par exemple, que les demandes d'accès à Microsoft restent sans réponse - alors que les écoles n'ont aucun moyen réaliste de se conformer à ces demandes parce qu'elles ne détiennent pas les données nécessaires.
Maartje de Graaf, avocate spécialisée dans la protection des données chez noyb: "Cette approche à prendre ou à laisser de la part des fournisseurs de logiciels tels que Microsoft transfère toutes les responsabilités liées au GDPR aux écoles. Microsoft détient toutes les informations clés sur le traitement des données dans son logiciel, mais pointe du doigt les écoles lorsqu'il s'agit d'exercer leurs droits. Les écoles n'ont aucun moyen de se conformer aux obligations de transparence et d'information"
Détaché de la réalité. En Autriche, où noyb a déposé ses deux plaintes, les directeurs locaux sont censés déterminer les "finalités et les moyens" au titre de l'article 4, paragraphe 7, du GDPR et assurer la conformité avec les fournisseurs de logiciels internationaux tels que Microsoft. Il en résulte un régime de conformité qui est complètement détaché de la réalité du traitement des données.
Maartje de Graaf, avocate spécialisée dans la protection des données chez noyb: "Dans le cadre du système actuel que Microsoft impose aux écoles, votre école devrait auditer Microsoft ou lui donner des instructions sur la manière de traiter les données des élèves. Tout le monde sait que de tels arrangements contractuels sont déconnectés de la réalité. Ce n'est rien d'autre qu'une tentative de déplacer la responsabilité des données des enfants aussi loin que possible de Microsoft
Un labyrinthe de documents sur la protection de la vie privée. Essayer de savoir exactement quelles politiques de confidentialité ou quels documents s'appliquent à l'utilisation de Microsoft 365 Education est une expédition en soi. Il y a un sérieux manque de transparence, obligeant les utilisateurs et les écoles à naviguer dans un labyrinthe de politiques de confidentialité, de documents, de termes et de contrats qui semblent tous s'appliquer. Les informations fournies dans ces documents sont toujours légèrement différentes, mais toujours vagues sur ce qu'il advient réellement des données des enfants lorsqu'ils utilisent les services de Microsoft 365 Education.
Maartje de Graaf, avocate spécialisée dans la protection des données chez noyb: "Microsoft fournit des informations si vagues que même un juriste qualifié ne peut pas comprendre pleinement comment l'entreprise traite les données personnelles dans Microsoft 365 Education. Il est pratiquement impossible pour les enfants ou leurs parents de découvrir l'étendue de la collecte de données par Microsoft."
Le suivi secret des enfants. Mais ce n'est pas le seul problème qui se pose. Bien que le plaignant n'ait pas consenti au suivi, Microsoft 365 Education a tout de même installé des cookies qui, selon la documentation de Microsoft, analysent le comportement de l'utilisateur, collectent des données sur le navigateur et sont utilisés à des fins publicitaires. Ce suivi, qui est généralement utilisé pour un profilage très invasif, est apparemment effectué à l'insu de l'école du plaignant. Microsoft 365 Education étant largement utilisé, l'entreprise est susceptible de suivre tous les mineurs qui utilisent ses produits éducatifs. L'entreprise ne dispose d'aucune base juridique valable pour ce traitement.
Felix Mikolasch, avocat spécialiste de la protection des données chez noyb: "Notre analyse des flux de données est très inquiétante. Microsoft 365 Education semble suivre les utilisateurs quel que soit leur âge. Cette pratique est susceptible d'affecter des centaines de milliers d'élèves et d'étudiants dans l'UE et l'EEE. Les autorités devraient enfin prendre des mesures pour faire respecter les droits des mineurs
D'innombrables enfants sont concernés. noyb demande à l'autorité autrichienne de protection des données (DSB) d'enquêter et d'analyser de manière factuelle les données traitées par Microsoft 365 Education. Ni la documentation de Microsoft sur la protection de la vie privée, ni les demandes d'accès, ni les propres recherches de noybn'ont permis de clarifier pleinement la situation, ce qui constitue une violation des dispositions du GDPR en matière de transparence. En outre, l'entreprise n'a pas respecté le droit d'accès. Étant donné que les conditions générales et la documentation sur la confidentialité de Microsoft 365 Education sont uniformes pour l'UE/EEE, tous les enfants vivant dans ces pays sont exposés aux mêmes violations de leurs droits en vertu du GDPR. Par conséquent, noyb suggère également que l'autorité impose une amende à Microsoft.