L'autorité autrichienne de protection des données ("DSB") a publié une décision constatant que Microsoft 365 Education suit illégalement les élèves et utilise les données les concernant à ses propres fins. Le géant du logiciel n'a pas non plus répondu à une demande d'accès concernant Microsoft 365 Education, qui est largement utilisé dans les écoles européennes. Au lieu de cela, Microsoft a tenté de rejeter toute la responsabilité sur les écoles locales. Bien que les écoles concernées doivent également fournir des données d'accès plus détaillées et des informations supplémentaires sur la protection de la vie privée conformément à la décision, il appartient désormais à Microsoft de répondre enfin à la question de savoir comment elle utilise les données des utilisateurs à ses propres fins commerciales.
Transfert de responsabilité à trois niveaux. Pendant la pandémie de COVID, de nombreuses écoles se sont rapidement tournées vers le "nuage" et les grandes entreprises technologiques se sont empressées de fournir des produits "éducatifs". Cependant, Microsoft a transféré toute la responsabilité du respect des lois sur la protection de la vie privée aux écoles et aux autorités nationales, qui n'ont que peu ou pas de contrôle sur l'utilisation des données des élèves. Les écoles locales ne sont généralement pas assez puissantes pour s'opposer à Microsoft, ce qui conduit à une situation "à prendre ou à laisser". Face à la demande d'accès d'un élève aux données personnelles traitées par Microsoft 365 Education, cette situation a donné lieu à un vaste mouvement de dénonciation : Microsoft a simplement renvoyé le plaignant à son école locale. Cependant, l'école du plaignant n'a pu fournir que des informations minimales, car elle n'a aucun moyen d'accéder aux informations détenues par Microsoft. Personne ne s'est senti en mesure de respecter les droits du GDPR. Le plaignant, représenté par noyb, a donc déposé une plainte contre tous les acteurs possibles (l'école locale, le conseil local de l'éducation, le ministère de l'éducation et Microsoft US) auprès de l'ORD autrichien.
Felix Mikolasch, avocat spécialisé dans la protection des données chez noyb : "Microsoft a essayé de transférer presque toutes les responsabilités de Microsoft 365 Education aux écoles ou à d'autres institutions nationales. L'autorité autrichienne de protection des données a décidé que cela n'était pas possible. Nous nous félicitons de cette décision
Suivi illégal des enfants et impossibilité d'accès. L'ORD autrichien a constaté plusieurs violations du GDPR. Tout d'abord, il a constaté que Microsoft 365 Education utilisait des cookies de suivi sans consentement, ce qui a été jugé illégal. L'école et le ministère autrichien de l'éducation ont tous deux affirmé, au cours de la procédure, qu'ils n'étaient pas au courant de l'existence de ces cookies de suivi avant le dépôt de la plainte. L'ORD a ordonné la suppression des données personnelles concernées. Deuxièmement, Microsoft a violé le droit d'accès prévu à l'article 15 du RGPD en ne fournissant pas un accès complet aux données du plaignant. Microsoft devra maintenant fournir cet accès. Microsoft devra également expliquer en termes clairs ce que signifie l'utilisation de données à des fins commerciales telles que la "modélisation commerciale" ou l'"efficacité énergétique" et si elle a envoyé des données personnelles à LinkedIn, OpenAI ou à la société de suivi Xandr.
Felix Mikolasch, avocat spécialiste de la protection des données chez noyb : "Microsoft soutient généralement que ses produits éducatifs respectent la vie privée. Cette procédure a montré que ce n'était pas vraiment le cas"
Microsoft laisse les écoles et les autorités dans l'ignorance. La décision stipule également que l'école du plaignant et le ministère autrichien de l'éducation doivent fournir des informations supplémentaires, notamment sur les informations concernant les élèves qui ont été transmises à Microsoft. Cependant, l'ORD autrichien a également souligné que Microsoft n'avait pas fourni au ministère de l'éducation des informations complètes concernant le traitement des données dans Microsoft 365 Education, ce qui rend pratiquement impossible pour les écoles locales de se conformer à leurs obligations en vertu des articles 13 et 14 du GDPR.
Felix Mikolasch, avocat spécialisé dans la protection des données chez noyb : "La décision de la DPA autrichienne met vraiment en évidence le manque de transparence de Microsoft 365 Éducation. Il est pratiquement impossible pour les écoles d'informer les élèves, les parents et les enseignants de ce qui se passe avec leurs données."
Microsoft Irlande contournée. Microsoft a également tenté de faire valoir que sa filiale irlandaise était en fait responsable des produits Microsoft 365 en Europe. L'ORD a rejeté cet argument et a estimé que c'était en fait Microsoft US qui prenait les décisions pertinentes. Des décisions mineures prises en Irlande pour adapter un produit à l'UE ne transfèrent pas la responsabilité (et donc la compétence pour l'affaire) à l'Irlande. Les grandes entreprises technologiques américaines soutiennent régulièrement qu'elles relèvent de la juridiction irlandaise, car la Commission irlandaise de protection des données est connue pour ne guère appliquer la législation de l'UE.
Des conséquences probablement considérables pour Microsoft 365. Microsoft 365 Education est utilisé par des millions d'étudiants et d'enseignants à travers l'Europe. Des millions d'autres personnes utilisent le standard "Microsoft 365" dans des entreprises et des administrations en Europe. Informer correctement les employés, les étudiants et les autres utilisateurs de la manière dont leurs données sont utilisées est obligatoire en vertu de la loi, mais souvent impossible dans les faits pour les clients commerciaux. Si Microsoft ne fournit pas d'informations claires et plus de pouvoirs à ses clients commerciaux, l'utilisation de Microsoft 365 n'est guère conforme à la législation européenne. Les autorités allemandes chargées de la protection des données ont déjà estimé que Microsoft 365 ne répondait pas aux exigences du GDPR.
Max Schrems, avocat spécialisé dans la protection des données chez noyb : "Nous avons des fournisseurs de 'big tech' qui essaient d'obtenir tout le pouvoir, mais qui transfèrent toutes les responsabilités aux clients commerciaux européens. Si Microsoft ne modifie pas fondamentalement la configuration de ses produits, les clients commerciaux européens ne seront pas en mesure de se conformer à leurs obligations
