Les risques liés à la protection des données de Microsoft 365 sont connus depuis longtemps. Malgré cela, de nombreuses entreprises continuent d'utiliser ce service logiciel. Vous découvrirez ici ce que le "groupe de travail sur les services en ligne de Microsoft" de la CPD a élaboré à ce sujet.
DSK sur Microsoft 365
En septembre 2020, la Conférence sur la protection des données (CPD) a créé un groupe de travail intitulé "Groupe de travail sur les services en ligne de Microsoft". Celui-ci a publié ses résultats en novembre 2022. L'objectif était de trouver une solution pratique pour utiliser Microsoft 365 en conformité avec la protection des données. Pour ce faire, le groupe de travail a organisé 14 réunions de plusieurs heures avec des représentants de Microsoft.
Le principal point critique mis en évidence est le traitement par Microsoft de données à caractère personnel à des fins propres et non légitimes. L'effacement de ces données ne semble pas non plus être conforme à la protection des données. En outre, les contrats conclus par Microsoft avec ses clients ne précisent pas les types et les finalités des traitements de données.
De plus, Microsoft ne protège pas suffisamment les données lors du transfert international (cf. décision Schrems II). L'offre de mesures techniques et organisationnelles de Microsoft serait également insuffisante.
De même, les dispositions contractuelles relatives à la notification des nouveaux sous-traitants au client ne seraient pas suffisantes.
Vous pouvez également consulter les résultats de la DSK dans leur forme détaillée ici et ici sur le sujet.
Réaction de Microsoft
Parallèlement à la publication des résultats de la DSK, Microsoft a publié un droit de réponse. Celle-ci s'intitule "Microsoft respecte et dépasse les lois européennes sur la protection des données". Comme le titre l'indique, Microsoft ne partage pas l'avis de la DSK. Le fournisseur de logiciels considère que ses produits sont conformes à la législation européenne sur la protection des données et justifie les résultats contradictoires de la CCPD par le fait que les modifications déjà effectuées n'ont pas été prises en compte de manière adéquate et que le fonctionnement des services a été mal compris.
Vous pouvez consulter la réponse détaillée de Microsoft ici sur le sujet.
Et maintenant ?
Les déclarations contradictoires de Microsoft et de la DSK illustrent le développement d'un débat qui aurait dû avoir lieu depuis longtemps. De plus, certaines voix s'élèvent pour critiquer la procédure de la CCPD. Par exemple, il n'y a pas eu de concertation dans le cadre de la procédure de cohérence avec la participation du Comité européen de la protection des données, ce qui aurait pu conduire à de meilleurs résultats.
En tout état de cause, les résultats de la CPD doivent être considérés comme un appel à Microsoft à se pencher davantage sur la question de la protection des données. Les entreprises de l'UE doivent également se pencher à nouveau sur la question des transferts vers des pays tiers et de la protection des données.
Jusqu'à présent, les autorités de surveillance allemandes n'ont pris aucune mesure connue concernant l'utilisation de Microsoft 365. Mais cela devrait changer. C'est du moins ce qu'ont déjà laissé entendre certains responsables de la protection des données. En tant qu'entreprise, il est important de prévoir suffisamment de temps et de ressources pour une analyse des risques existants liés à l'utilisation de Microsoft 365 sur la base de l'utilisation réelle.
Vous avez besoin d'aide pour des évaluations de risques en matière de protection des données ou pour d'autres questions relatives à la protection et à la sécurité des données ? Notre équipe d'experts est là pour vous aider. Nous pouvons également mettre à votre disposition un délégué externe à la protection des données. Contactez-nous sans engagement ici.
Français 
Deutsch 
English 
Español 
Polski