noyb a remporté une nouvelle victoire dans sa procédure contre Microsoft 365 Education : L'autorité autrichienne de protection des données (DSB) a décidé que l'entreprise avait illégalement installé des cookies sur les appareils d'un élève sans son consentement. Selon la documentation de Microsoft, ces cookies analysent le comportement de l'utilisateur, collectent des données sur le navigateur et sont utilisés à des fins publicitaires. Microsoft a maintenant quatre semaines pour se mettre en conformité et cesser d'utiliser des cookies de suivi.
- Décision de l'ORD autrichien (DE)
- PR pour la décision précédente de l'ORD contre Microsoft
- Plaintes originales à partir de 2024
Contexte. En juin 2024, noyb a déposé deux plaintes concernant Microsoft 365 Education dans les écoles auprès de l'ORD autrichien. La première plainte a fait l'objet d'une décision en octobre 2025. À l'époque, l'ORD avait estimé que Microsoft avait violé le droit d'accès prévu à l'article 15 du RGPD. La seconde plainte, qui a maintenant été tranchée, concernait l'utilisation de cookies de suivi illégaux dans Microsoft 365 Education.
La deuxième plainte noyb contre Microsoft. Dans sa décision la plus récente, l'ORD a une fois de plus estimé que Microsoft avait agi de manière illégale. Plus précisément, l'entreprise a placé des cookies de suivi sur les appareils d'un mineur utilisant Microsoft 365 Education. Selon la documentation de Microsoft, ces cookies analysent le comportement de l'utilisateur, collectent des données sur le navigateur et sont utilisés à des fins publicitaires. L'ORD a en outre ordonné à Microsoft de cesser de suivre le plaignant dans un délai de quatre semaines. L'école et le ministère autrichien de l'éducation ont tous deux affirmé qu'ils n'étaient pas au courant de l'existence de ces cookies de suivi avant les plaintes déposées auprès de l'ORD.
Felix Mikolasch, avocat spécialisé dans la protection des données chez noyb: "Le suivi des mineurs n'est manifestement pas respectueux de la vie privée. Il semble que Microsoft ne se préoccupe guère de la protection de la vie privée, à moins qu'il ne s'agisse de ses déclarations de marketing et de relations publiques"
Microsoft Irlande contournée. Au cours de la procédure, Microsoft a également tenté de faire valoir que sa filiale irlandaise était responsable des produits Microsoft 365 en Europe. L'ORD a rejeté cet argument et a estimé qu'en fait, c'était Microsoft US qui prenait les décisions pertinentes. Les grandes entreprises technologiques américaines soutiennent régulièrement qu'elles relèvent de la juridiction irlandaise, car la Commission irlandaise de protection des données est connue pour ne guère appliquer la législation européenne.
Des conséquences probablement considérables pour Microsoft 365. Microsoft 365 Education est utilisé par des millions d'étudiants et d'enseignants à travers l'Europe. Des millions d'autres personnes utilisent le standard "Microsoft 365" dans des entreprises et des administrations en Europe. Le suivi des utilisateurs sans leur consentement n'est pas conforme à la législation de l'UE, ce qui constitue un problème pour toutes les organisations utilisant Microsoft 365. Les autorités allemandes chargées de la protection des données ont déjà estimé que Microsoft 365 ne répondait pas aux exigences du GDPR.
Max Schrems : "Les entreprises et les autorités de l'UE doivent utiliser des logiciels conformes. Une fois de plus, Microsoft n'a pas respecté la loi."
