La Datenschutzkonferenz (DSK), la Conférence sur la protection des données en Allemagne, a dévoilé, le 25 novembre, le résultat d’un groupe de travail constitué il y a deux ans sur le respect du Règlement général de protection des données du service cloud de Microsoft 365. Verdict ? Efforts insuffisants.

Les autorités allemandes regrettent beaucoup de flous dans les contrats

L’un des principaux résultats du rapport allemand raisonne sur l’autre rive du Rhin. Mi-novembre, le ministre de l’Éducation nationale par NDiaye a exclu l’utilisation de l’offre gratuite Microsoft 365 sur le cloud, dans les écoles françaises. Beaucoup des récriminations exprimées par le ministre se retrouvent dans le rapport allemand.

Le groupe de travail lancé en septembre 2020 a réuni plusieurs autorités sur la gestion des données allemandes, l’équivalent des CNIL au niveau fédéral ou des länder, les régions. Microsoft a également pu participer dans l’optique de résoudre les difficultés soulevées. L’entreprise américaine a, d’ailleurs, mis à jour ses contrats deux ans plus tard pour répondre aux préoccupations allemandes, insuffisantes d’après le texte du DSK (PDF).

Plusieurs reproches sont assénés à Microsoft, principalement le flou entretenu dans ses formulations. Par exemple, la société n’indiquerait pas en détail comment sont traitées les données, ce qui rendrait ce traitement non évaluable. Même flou sur les données que Microsoft se jugerait légitime à conserver pour ses propres activités. La question de la politique de conservation et de suppression des données est aussi posée. Le groupe de travail estime que l’avenant de septembre 2022 n’a pas apporté « d’améliorations substantielles » sur ces points.

L’un des sujets abordés par le groupe de travail pose la question du transfert des données personnelles des clients allemands et plus généralement européens de Microsoft 365 sur le cloud, vers les États-Unis. Depuis la fin du Privacy Shields en 2020, un problème juridique se pose à toutes les entreprises numériques transférant des données européennes à travers l’Atlantique.

Microsoft ne fait pas exception, le Comité européen de la protection des données a déjà lancé une enquête à ce propos, incluant également AWS, le service cloud d’Amazon. Le texte du DSK confirme que Microsoft 365 ne peut fonctionner sans un transfert de données vers les États-Unis.

Il estime également que crypter les données est impossible pour l’entreprise. Les autorités de régulation admettent qu’à ce propos elles « n’ont jusqu’à présent pas réussi à identifier des mesures de protection complémentaires qui pourraient conduire à la légalité de l’exportation des données ». Microsoft s’est engagé à localiser une partie des données de ses clients régionaux dans l’Union européenne, initialement d’ici fin 2022, mais cela ne semble pas encore être le cas. Des négociations sont en cours entre Washington et Bruxelles pour trouver un successeur au Privacy Shields, mais rien ne prouve qu’il ne sera pas lui-même cassé rapidement par la Cour de Justice de l’Union européenne.

Microsoft dément point par point

Contactée par TechCrunch, qui a repéré le communiqué du DSK, l’entreprise américaine a répondu être « respectueusement en désaccord avec les préoccupations soulevées par la Datenschutzkonferenz et avons déjà mis en œuvre de nombreux changements suggérés dans nos conditions de protection des données ». Microsoft a, par ailleurs, rappelé avoir coopéré avec le DSK et « bien que nous ne soyons pas d'accord avec le rapport du DSK, nous nous engageons à répondre aux préoccupations restantes ».

Le groupe de travail réuni par la DSK n’avait pas vocation à étudier de façon exhaustive les éventuelles failles de conformité au RGPD de Microsoft. Le résultat de l’étude n’implique pas davantage le lancement d’une procédure dans l’immédiat. Elle pourrait toutefois inspirer le lancement d’une enquête future. Selon TechCrunch, l’autorité de protection des données irlandaise, en charge des questions liées à Microsoft, l’entreprise ayant son siège européen à Dublin, n’a pas de procédure en cours. Microsoft 365 Cloud est en revanche attaqué sur le plan de la concurrence. OVH et d’autres entreprises du secteur estiment que la suite logicielle professionnelle est utilisée pour obtenir un avantage concurrentiel sur le marché. Sur ce point également, l’entreprise américaine dément.