L’Allemagne soulève la question de la conformité de Microsoft 365 au RGPD
Après deux ans de discussions, la Conférence des autorités indépendantes de protection des données d’Allemagne (DSK), composée de l’autorité fédérale allemande et de seize régulateurs étatiques, a estimé que Microsoft 365 n’était pas conforme au RGPD. Suite à cela, l’Allemagne a interdit son utilisation dans certaines écoles.
Le 22 septembre 2020, la DSK avait demandé une évaluation de l’utilisation des services de Microsoft Office 365. Au terme de l’étude de certains documents, il avait été conclu que l’utilisation de Microsoft Office 365 n’était pas conforme au cadre européen de protection des données personnelles. Des discussions avaient alors été engagées avec Microsoft afin d’obtenir rapidement des améliorations.
A l’issue de deux ans de négociations, la DSK a rendu son rapport et notamment considéré les efforts de Microsoft insuffisants, il en résulte que Microsoft 365 demeure non-conforme au RGPD.
Plusieurs points ont été soulevés :
- S’agissant des finalités du traitement et de la nature des données, la DSK estime qu’elles ne sont pas suffisamment précises. Des améliorations restent donc nécessaires du côté de Microsoft. La DSK propose ici de se référer au modèle de l’annexe II des clauses contractuelles types (CCT) de la Commission, conformément à l’article 28 du RGPD, ou encore à un registre de traitement suffisamment détaillé.
- S’agissant de la responsabilité de Microsoft dans le cadre du traitement “à des fins commerciales légitimes” : Microsoft ne distingue pas suffisamment les traitements effectués en qualité de sous-traitant des traitements effectués en tant que responsable de traitement, et notamment « à des fins commerciales légitimes ». En l’absence de documents contractuels précis, des traitements ne peuvent être évalués de manière définitive. En ce sens et en raison d’un manque de transparence, les régulateurs sont donc dans l’impossibilité d’évaluer les données collectées par Microsoft.
- S’agissant des données de télémétrie et de diagnostic : Il apparait que ces dernières sont collectées à grande échelle et que leur base légale reste floue.
- S’agissant des instructions données aux sous-traitants: la DSK estime que l’obligation qu’a Microsoft de donner des instructions à ses sous-traitants n’est pas satisfaite au regard des exigences de l’article 28 du RGPD.
- S’agissant du transfert de données à caractère personnel vers des pays tiers : Les discussions ont montré que l’utilisation de Microsoft 365 implique nécessairement le transfert de données à caractère personnel aux Etats-Unis. Microsoft a donc prévu une délocalisation du traitement des données dans l’Union Européenne (UE) pour ses clients localisés au sein de l’UE. Cela fait suite à l’arrêt Schrems II du 16 juillet 2020, rendu par la CJUE, qui avait invalidé le Privatcy Shield, soit le régime de transfert de données entre l’UE et les Etats-Unis. Ce dernier avait été jugé comme portant atteinte aux droits fondamentaux des citoyens européens en ce que les programmes de surveillance des agences américaines ne laissaient aucune possibilité de recours en justice aux citoyens européens « surveillés ».
La DSK en conclut que l’utilisation des données personnelles des utilisateurs (par exemple, les employés ou les étudiants) à des fins propres au fournisseur exclut l’utilisation d’un sous-traitant dans le secteur public (en particulier dans les écoles). Suite à ce rapport, l’utilisation de Microsoft 365 a été interdite dans certaines écoles allemandes en raison notamment du transfert de données du cloud aux Etats-Unis, alors même que la data center se trouverait en Europe.
S’agissant du transfert de données aux Etats Unis, un projet de décision d’adéquation est en cours d’examen à ce jour. Dans l’attente de son adoption, les transferts aux Etats Unis sont autorisés sous conditions. Le rapport de la DSK précise ne pas prendre en compte ce futur cadre légal.