La collecte de données de MS Office pourrait enfreindre le GDPR

© Dino
Els Bellens

Microsoft pourrait avoir violé les règles de confidentialité européennes en collectant des données à grande échelle sur l’utilisation d’Office, sans en avertir les utilisateurs. Voilà ce qu’on peut lire dans un rapport rédigé à la demande des autorités néerlandaises.

Ce rapport, dressé par The Privacy Company et commandité par le gouvernement néerlandais, passe en revue la façon dont Microsoft traite les informations qu’elle collecte via la version en ligne d’Office 365 et la suite Office ProPlus. Cette dernière est la version professionnelle d’Office 365, qui est installée sur des PC par les entreprises, mais qui communique encore avec les serveurs Office 365. Quelque 300.000 collaborateurs des pouvoirs publics néerlandais utilisent ces logiciels, qui tournent à présent encore sur les serveurs gouvernementaux, mais qui devraient bientôt migrer vers un nuage public ou hybride (dans OneDrive ou Sharepoint). Les Pays-Bas voulaient d’abord savoir ce que Microsoft fait avec ces informations.

La cause de cette enquête, c’est la décision prise par Microsoft de ne pas dévoiler quels renseignements elle collecte sur les utilisateurs. L’entreprise ne permet pas non plus de désactiver la collecte de données, contrairement à des firmes (telles Google), qui collectent certes beaucoup d’informations, mais qui communiquent de manière assez transparente sur le sujet.

Données télémétriques

Selon le rapport, il est question ici de données télémétriques et d’autres informations tirées d’applications Office, dont des sujets de courriels et des phrases pour lesquelles les outils de traduction et d’orthographe ont été utilisés. Il est possible que Microsoft exploite ces données pour améliorer ses logiciels.

Les informations ont cependant été collectées à l’insu des utilisateurs et stockées sur des serveurs aux Etats-Unis. Or il s’agit là d’une infraction aux règles du GDPR, selon The Privacy Company. Cela pourrait valoir à Microsoft une méga-amende, mais on n’en est pas encore là. Les autorités néerlandaises collaborent à présent avec le géant technologique en vue de résoudre le problème.

Tout semble indiquer que Microsoft a essayé de se mettre en règle avec le GDPR en stockant ses documents Office sur des serveurs en Europe, mais elle a collecté en outre aussi des données susceptibles de contenir des renseignements personnels et qui ont abouti sur des serveurs aux Etats-Unis. “Microsoft collecte systématiquement et à grande échelle des données sur l’utilisation individuelle de Word, Excel, PowerPoint et Outlook. Et elle le fait en catimini, sans en avertir les utilisateurs”, signale The Privacy Company dans un communiqué posté sur son blog en réaction au rapport. “Microsoft ne précise absolument pas la quantité de données qu’elle collecte et ne permet pas non plus de désactiver cette fonction et de savoir quelles informations sont collectées, car le flux des données est crypté.”

Selon The Privacy Company, il est certes nécessaire de collecter des adresses IP et des sujets de mails, afin de permettre la communication, mais Microsoft doit-elle pour autant actualiser toutes ces données? Selon le rapport, Microsoft tiendrait à jour quelque 25.000 sortes d”events’ différents.

De son côté, Microsoft indique qu’elle apportera les changements requis d’ici avril 2019 et qu’elle a sorti une version d’Office qui ne transférerait pas la moindre données. La Commission vie privée néerlandaise ne manquera pas de suivre la situation.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire