RGPD : Microsoft trop curieux

Le mécanisme de collecte de données de télémétrie utilisé par Microsoft Office enfreint le RGPD. C’est la conclusion d’un rapport commandité par les autorités néerlandaises. Cette analyse de risques a permis d’identifier la “collecte à grande échelle et discrète de données personnelles”… sans le consentement explicite des utilisateurs.

L’analyse d’impact relative à la protection des données (DPIA) publié dans ce rapport soulève huit questions que les enquêteurs ont relevé sur le fonctionnement des abonnements ProPlus à Office 2016 et Office 365, mais aussi dans la version Web d’Office 365.

« Microsoft collecte non seulement les données d’utilisation via la télémétrie intégrée, mais il enregistre et stocke également l’utilisation individuelle des services connectés. Par exemple, si les utilisateurs accèdent au service de traduction via le logiciel Office, Microsoft peut stocker les données personnelles concernant cette utilisation dans des journaux d’événements générés par le système”, a déclaré Sjoera Nas, conseiller principal en matière de protection de la vie privée chez Privacy Company, une entreprise néerlandaise spécialisée dans la protection de la vie privée à l’origine de cette analyse de risques.

Télémétrie et serveurs aux USA

Les experts ont indiqué qu’ils avaient identifié la « collecte à grande échelle et discrète de données personnelles » grâce aux capacités intégrées de télémétrie d’Office. Comme pour Windows 10, Microsoft a en effet inclus un logiciel distinct dans Office qui envoie régulièrement des télémesures chiffrées aux États-Unis. Ce « cryptage » ne permet pas évidemment de vérifier la nature des données recueillies. Microsoft recueille systématiquement des données sur l’utilisation des applications Microsoft Office telles que Word, Excel et PowerPoint sans en informer les personnes et n’a pas offert aux utilisateurs la possibilité de les désactiver, selon le rapport.

Microsoft a essayé de rendre Office conforme au RGPD en stockant les documents Office des utilisateurs de l’UE sur des serveurs situés dans l’UE. Mais le rapport constate que la télémétrie envoie les données des utilisateurs néerlandais vers des serveurs américains. De quoi rendre possible la saisie de ces informations par les autorités américaines.

Ces fonctionnaires néerlandais sont particulièrement inquiets, car des données gouvernementales sensibles ont pu être recueillies et stockées sur des serveurs américains susceptibles d’être saisis ou interrogés par les services de détection et de répression américains.

Ce rapport décrit plusieurs mesures que les DSI et responsables informatiques doivent prendre pour réduire les risques d’atteinte à la vie privée : désactivation de OneDrive, non utilisation de la version Web d’Office 365… Ces conseils rejoignent ceux formulés par l’ANSSI pour restreindre la collecte de données sous Windows 10.

Microsoft a indiqué qu’il allait apporter une série de modifications à ses produits pour tenir compte des résultats.

La publication de ce rapport intervient quelques jours après que Microsoft soit certifié Hébergeur de données de santé en France. Grâce à elle, l’ensemble des acteurs de la santé va pouvoir utiliser Azure, Office et Dynamics pour améliorer le parcours de santé des patients. En mars dernier,  Microsoft avait officialisé l’ouverture de ses data centers en France, trois en région parisienne et un dans la région marseillaise. « Notre priorité est de promouvoir le déploiement d’un environnement numérique de confiance, et cela commence évidemment par une offre Cloud fiable, sécurisée, respectueuse de la vie privée et adaptée aux besoins et contraintes de chaque entreprise », avait déclaré Bernard Ourghanlian, Directeur technique et sécurité de Microsoft.

Office 365 et la santé

« Office 365 est une des solutions que les hospitaliers maîtrisent ; c’est un service en ligne, ergonome et riche de fonctionnalités, catalyseur d’échanges multicanaux particulièrement adapté au contexte des Groupements Hospitaliers de Territoire en proposant l’omniprésence des outils collaboratifs et des documents associés » expliquait dans un communiqué de presse de Microsoft Guillaume Deraedt, président du comité technique de la CAIH. « Le fait qu’elle soit aujourd’hui disponible depuis la France a été un facteur déterminant dans notre choix. Nous souhaitons, en effet, proposer à nos adhérents la simplification du partage sécurisé de l’information entre les professionnels de santé tout en garantissant la confidentialité des données et la maîtrise de la réversibilité. »

La MAIF a également fait le choix d’Office 365 en France. Acteur majeur de l’assurance des personnes et des biens, la protection des données et leur localisation sur le territoire national est un véritable engagement : « Avec les datacenters de Microsoft en France, nous disposons d’un environnement sécurisé et performant pour les données » avait aussi déclaré Guillaume Rincé, Chief Technical Officer de la MAIF.

Les autorités néerlandaises ne semblent pas du même avis…