Des enquêteurs néerlandais ont mis Microsoft en alerte sur une action réglementaire après avoir jugé que ses méthodes de collecte de données posaient un risque pour la vie privée des utilisateurs.
Microsoft Office et Windows 10 Enterprise utilisent un mécanisme de collecte de données de télémétrie qui enfreint le règlement général sur la protection des données (RGPD) de l’UE, selon un rapport de 91 pages commandé par le gouvernement néerlandais et réalisé par la société Privacy Company.
Les résultats ont mis en évidence huit risques de protection des données à haut risque avec les abonnements ProPlus d’Office 2016 et Office 365, ainsi que l’Office 365 basé sur le Web.
Celles-ci incluent le stockage illégal de catégories sensibles de données et de métadonnées, et la conservation des données au-delà du temps nécessaire. Les enquêteurs ont également découvert que Microsoft s’est classé à tort comme un processeur de données au lieu d’un contrôleur conjoint.
LIRE SUIVANT : Windows 10 désactive les installations authentiques des utilisateurs
“Microsoft collecte non seulement les données d’utilisation via le client de télémétrie intégré, mais enregistre et stocke également l’utilisation individuelle des services connectés”, a déclaré Sjoera Nas, conseillère principale en matière de confidentialité chez Privacy Company. “Par exemple, si les utilisateurs accèdent à un service connecté tel que le service de traduction via le logiciel Office, Microsoft peut stocker les données personnelles concernant cette utilisation dans ce que l’on appelle des journaux d’événements générés par le système.”
Microsoft a systématiquement collecté des données sur l’utilisation par les individus des applications Microsoft Office telles que Word, Excel et PowerPoint sans en informer les gens, et n’a pas offert aux utilisateurs le choix de désactiver cela, selon le rapport.
Comme pour Windows 10, Microsoft a inclus un logiciel distinct dans Office qui envoyait régulièrement une télémétrie codée aux États-Unis, la fonctionnalité codée signifiant qu’il n’y a aucune visibilité sur les données collectées, selon les résultats.
L’absence de documentation complète sur le type de données personnelles traitées par l’entreprise basée à Redmond, et sur des objectifs clairement définis, a également sonné l’alarme, tout comme le fait que les données étaient régulièrement envoyées aux États-Unis.
Celles-ci inquiètent particulièrement les responsables néerlandais, car des données gouvernementales sensibles peuvent avoir été collectées dans le cadre du mécanisme et se retrouver sur des serveurs américains susceptibles d’être saisis ou interrogés par les forces de l’ordre américaines.
LIRE SUIVANT : Une affaire de confidentialité affirme que Facebook et Google “obligent les utilisateurs à leur fournir des données”
Le RGPD étant maintenant en jeu depuis plusieurs mois, les organismes de surveillance des données à travers l’Europe commencent à faire leurs premiers pas dans le nouveau paysage réglementaire. Microsoft est la dernière d’une série de grandes entreprises accusées d’avoir enfreint le RGPD, avec Oracle et Equifax parmi sept entreprises signalées pour des violations par un groupe de défense des droits des données la semaine dernière.
“Le 26 octobre 2018, un accord a été conclu sur un plan d’amélioration dans lequel Microsoft s’est engagé à adapter ses produits pour une utilisation par le gouvernement néerlandais conformément au RGPD et à d’autres législations applicables”, a déclaré le gouvernement néerlandais dans un communiqué. « Microsoft a accepté de rendre compte régulièrement de ses progrès. Si les progrès sont jugés insuffisants ou si les améliorations proposées ne sont pas satisfaisantes, SLM Microsoft Rijk reconsidérera sa position et pourra demander à l’Autorité de protection des données de procéder à une consultation préalable et d’imposer des mesures d’exécution.
Sjoera Nas, de Privacy Company, a également décrit plusieurs mesures que les administrateurs informatiques peuvent prendre pour réduire les risques de violation de la vie privée, telles que le blocage centralisé de l’utilisation des services connectés, la non-utilisation de OneDrive et la non-utilisation de la version Web d’Office 365.
Microsoft a accepté de mettre en œuvre une série de modifications de ses produits pour refléter les résultats, et a jusqu’en avril 2019 pour se conformer, le gouvernement néerlandais bloquant autant que possible les flux de données vers Microsoft dans l’intervalle.
LIRE SUIVANT : Les plus grandes violations de données de 2018
Si l’entreprise ne satisfait pas aux exigences du régulateur, elle s’expose à une amende qui, en vertu du RGPD, peut atteindre 20 millions d’euros, soit 4 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé.
“Nous nous engageons à protéger la vie privée de nos clients, en leur donnant le contrôle de leurs données et en veillant à ce qu’Office ProPlus et les autres produits et services Microsoft soient conformes au RGPD et aux autres lois applicables”, a déclaré un porte-parole de Microsoft. Alphr. “Nous apprécions l’opportunité de discuter de nos pratiques de traitement des données de diagnostic dans Office ProPlus avec le ministère néerlandais de la Justice et espérons une résolution réussie de tout problème.”