Les autorités allemandes continuent de miser sur Microsoft 365, malgré les inquiétudes concernant la protection des données. La question de la conformité au RGPD reste ouverte, tandis que les entreprises et les autorités sont fortement dépendantes de fournisseurs informatiques non européens. Cela concerne en particulier les logiciels et les applications dans le domaine Informatique en nuage.

Une enquête montre qu'environ 80% des entreprises se sentent dépendantes de fournisseurs non européens pour les technologies numériques clés. Cette situation soulève des questions sur Sécurité des données et Conformité de l'Union européenne, notamment en ce qui concerne Autorités publiques Risques liés à la protection des données Microsoft Cloud.

L'utilisation de Microsoft 365 dans presque toutes les entreprises illustre la domination du fournisseur. Une analyse d'impact sur la protection des données (AIPD) allemande a constaté dès 2018 que l'utilisation à l'époque de Office 365 n'était pas compatible avec la législation sur la protection des données. Malgré cela, la dépendance n'a pas diminué.

Principales conclusions

  • Les autorités allemandes utilisent Microsoft 365 malgré les inquiétudes sur la protection des données
  • Environ 80% des entreprises se sentent dépendantes de fournisseurs informatiques non européens
  • Un DSFA de 2018 a déclaré Office 365 comme non conforme à la protection des données
  • La conformité de Microsoft 365 avec le RGPD reste controversée
  • Le manque d'alternatives européennes renforce la dépendance

Autorités publiques Risques liés à la protection des données Microsoft Cloud : Situation actuelle

L'utilisation des services cloud de Microsoft dans les administrations allemandes augmente malgré les préoccupations en matière de protection des données. Au moins six Länder prévoient d'introduire ces services dans leur administration. Le site Gestion des risques est confrontée à de grands défis.

Dépendance des autorités allemandes vis-à-vis des services de cloud computing

La Basse-Saxe et la Bavière sont des précurseurs dans l'utilisation de Teams et de Microsoft 365. Hambourg prévoit d'équiper 8000 à 10.000 postes de travail administratifs avec Microsoft 365 d'ici la fin de l'année. La Rhénanie-du-Nord-Westphalie et Brême suivront en 2025. Cette évolution montre la dépendance croissante du secteur public vis-à-vis des services cloud.

Manque d'alternatives européennes

Le manque d'alternatives européennes pousse à l'utilisation des services Microsoft. Le gouvernement fédéral prévoit de proposer Microsoft 365 via Delos, une filiale de SAP, pour Politique de confidentialité de se conformer à la loi. Certains pays, comme le Bade-Wurtemberg, préfèrent cette solution. OpenDesk, une alternative open source, est en cours de développement mais ne rencontre qu'un écho limité.

Supériorité technique des fournisseurs américains

La supériorité technique des fournisseurs américains est indiscutable. Cependant, de graves incidents de sécurité chez Microsoft Azure 2021 et 2022 les risques. Des pirates chinois ont obtenu l'accès à de nombreux comptes de messagerie, y compris ceux d'employés du gouvernement américain. La Cybersecurity and Infrastructure Security Agency (CISA) a alors obligé les autorités américaines à prendre des mesures de protection. Le traitement des Données des autorités exige les normes de sécurité les plus élevées.

La dépendance croissante vis-à-vis des services Microsoft, associée à des préoccupations en matière de sécurité, place les autorités face à un dilemme entre efficacité et protection des données.

Traitement des données dans Microsoft 365 : aspects fondamentaux

Microsoft 365 est conçu comme un Software-as-a-Service (SaaS) et comprend des programmes tels que Word, Excel et PowerPoint. Le traitement des données dans ce Cloud hybride-La mise en place d'un environnement de travail sécurisé est complexe et soulève des questions en matière de protection des données.

Office 365 traite différents types de données. Il s'agit notamment de données fonctionnelles, de données de contenu, de données de diagnostic et de données d'expériences connectées. Selon la catégorie et la finalité, Microsoft assume différents rôles - en tant que sous-traitant ou responsable indépendant.

La Conférence sur la protection des données (CPD) a constaté que la preuve d'une exploitation de Microsoft 365 conforme à la protection des données ne peut pas être apportée. Malgré les adaptations du Data Protection Addendum (DPA), des données à caractère personnel continuent d'être transférées aux Etats-Unis.

Microsoft prévoit d'introduire d'ici 2024 une EU Data Boundary afin de garantir le traitement des données personnelles dans les centres de données européens. Cela devrait répondre aux inquiétudes concernant Azure-infrastructure.

Les utilisateurs de Windows et d'Office 365 doivent savoir que les données de diagnostic sont collectées afin de résoudre les problèmes et d'améliorer le système. Un identifiant publicitaire unique est en outre utilisé pour des publicités personnalisées.

Le traitement des données dans Microsoft 365 reste un sujet complexe qui pose des défis en matière de protection des données et de sécurité. Conformité.

Données fonctionnelles et de contenu pour les services cloud de Microsoft

L'utilisation des services Cloud de Microsoft génère différents types de données. Celles-ci peuvent être divisées en données fonctionnelles et en données de contenu. Chaque catégorie joue un rôle important dans Informatique en nuage et les Sécurité des données.

Définition et types de données fonctionnelles

Les données fonctionnelles sont indispensables au fonctionnement des services en nuage. Elles comprennent des informations techniques telles que les données de localisation pour la synchronisation horaire ou les détails de connexion. Ces données permettent le bon fonctionnement des services Microsoft et contribuent à la Conformité chez

Traitement des données de contenu

Les données de contenu sont des informations générées par l'utilisateur, telles que des textes dans des documents Word ou des e-mails dans Outlook. Microsoft agit ici en tant que sous-traitant et utilise ces données exclusivement pour la mise à disposition des services. Le traitement s'effectue selon des directives strictes en matière de protection des données.

Classification en matière de protection des données

L'évaluation juridique varie en fonction du type de données et de la finalité du traitement. Une analyse d'impact sur la protection des données a révélé 8 points problématiques dans l'utilisation d'Office 365. Microsoft n'a pu minimiser les risques de manière satisfaisante que sur 2 points. En particulier pour Outlook et Teams Sécurité des données un facteur critique.

Type de données Traitement Pertinence pour la protection des données
Données fonctionnelles Opérations techniques Moyens
Données de contenu Mise à disposition de services Haute
Données de diagnostic Analyse et amélioration Très élevé

Les utilisateurs devraient activer des paramètres respectueux de la vie privée et configurer les fonctions de télémétrie afin de limiter la collecte de données. Un règlement intérieur pour l'utilisation de Microsoft 365 peut aider à réglementer l'utilisation des données sensibles et à renforcer la sécurité des données.

Les données de diagnostic et leur importance pour la sécurité des données

Les données de diagnostic jouent un rôle important dans Gestion des risques du cloud de Microsoft. Ils fournissent des aperçus du fonctionnement et de la sécurité des systèmes. Pour les autorités, le traitement de ces données est particulièrement sensible, car elles contiennent souvent des informations confidentielles. Données des autorités traiter.

Données de diagnostic requises

Cette catégorie comprend des informations de base telles que les données des appareils et les rapports d'erreur. Elles sont indispensables au bon fonctionnement des applications. Microsoft a fortement limité le traitement de ces données afin d'assurer le Politique de confidentialité de se conformer.

Données de diagnostic en option

Les données de diagnostic optionnelles offrent des connaissances supplémentaires pour l'amélioration des produits. Leur utilisation peut toutefois poser des problèmes en matière de protection des données. Les autorités devraient réfléchir attentivement aux données qu'elles souhaitent partager.

Stockage et traitement

Le stockage et le traitement des données de diagnostic sont soumis à des mesures de sécurité strictes. Microsoft a mis en place des mesures de protection contractuelles supplémentaires et a inclus les métadonnées et les données de diagnostic comme objet du traitement des commandes.

Type de données Traitement Pertinence pour la protection des données
Données de diagnostic requises Fortement limité Faible
Données de diagnostic en option Élargi Potentiellement élevé

Pour une utilisation sûre des données de diagnostic, il est recommandé de désactiver la transmission de la télémétrie ou des données de diagnostic. Les données sensibles devraient être sauvegardées dans des services de stockage cryptés. Ces mesures aident les autorités à se conformer à des normes strictes en matière de sécurité. Politique de confidentialité.

Les expériences connectées et leurs implications en matière de protection des données

Les Connected Experiences d'Office 365 offrent des fonctions supplémentaires qui nécessitent une connexion Internet. Ces services permettent par exemple de collaborer sur des documents OneDrive ou d'effectuer des traductions dans Word. Toutefois, ils soulèvent également des questions en matière de protection des données.

L'utilisation d'expériences connectées dans une Cloud hybride-peut être problématique. Le traitement des données ne peut pas être simplement justifié par Microsoft en tant que sous-traitant. Au lieu de cela, un contrat de responsabilité partagée pourrait être nécessaire.

Les statistiques actuelles montrent l'acuité du sujet :

  • 90% des entreprises estiment que la conformité au RGPD est indispensable pour les solutions de cloud computing
  • 79% demandent la transparence dans l'architecture de sécurité
  • 67% attachent de l'importance à la localisation du fournisseur de services cloud

Ces chiffres illustrent les exigences élevées en matière de protection des données et de sécurité, auxquelles même Azure et Office 365 doivent être satisfaites. Les entreprises devraient examiner attentivement l'utilisation des expériences connectées et, le cas échéant, envisager d'autres solutions pour garder le contrôle de leurs données.

Aspect Exigence Pertinence pour les expériences connectées
Conformité au RGPD 90% Haute
Transparence en matière de sécurité 79% Moyens
Emplacement du fournisseur 67% Haute

Évaluation par les autorités allemandes de protection des données

La Conférence nationale sur la protection des données s'est penchée de manière approfondie sur les dispositions de protection des données de Microsoft 365. Les résultats de cette enquête ont été présentés dans un rapport complet de 60 pages.

Position de DSK

La conférence sur la protection des données souligne la responsabilité des entreprises pour une utilisation de Microsoft 365 conforme à la protection des données. Il n'y a pas eu d'avertissement sur le produit ni d'interdiction, mais les entreprises doivent néanmoins être informées des flux de données et prendre au sérieux leur responsabilité en matière de protection des données.

Évaluations critiques

Les principales critiques concernant l'utilisation de Microsoft 365 sont la transmission de Données des autorités vers les États-Unis, le manque de transparence dans le traitement des données et l'insuffisance des possibilités d'intervention du donneur d'ordre. Les autorités de contrôle examinent les déficits en matière de protection des données et donnent aux responsables la possibilité d'y remédier.

Conséquences juridiques

La Cour d'appel de Berlin a précisé que les avis des autorités de contrôle de la protection des données ne constituent qu'une opinion juridique à laquelle les tribunaux ne sont pas liés. Une utilisation de Microsoft 365 conforme à la protection des données est possible, mais nécessite des mesures spécifiques de conformité. Celles-ci peuvent avoir des répercussions sur le travail quotidien, comme des performances plus lentes ou une utilisation limitée de certaines fonctionnalités.

Aspect Exigence Effet possible
Transmission des données Redirection du trafic de données Performance plus lente
Transparence Adresses e-mail pseudonymes Un échange de données plus difficile
Télémétrie Réglage de la transmission des données Dépannage limité
Mises à jour Suivi des mises à jour des produits Charge administrative supplémentaire

Perspectives internationales : Évaluation néerlandaise du DSFA

Le gouvernement néerlandais a réalisé une évaluation d'impact sur la vie privée (DSFA) pionnière pour Microsoft Office 365. Cette évaluation fournit des informations importantes pour le Informatique en nuage et la sécurité des données en Europe.

Au départ, l'utilisation d'Office 365 a été jugée non conforme à la protection des données. Après d'intenses négociations et adaptations par Microsoft, la version 1905 d'Office 365 ProPlus a pu être jugée admissible. Cela montre l'importance d'une protection efficace des données. Gestion des risques dans le domaine du cloud computing.

Un DSFA plus récent concernant Microsoft Teams, OneDrive, SharePoint et Azure AD a donné un résultat positif. L'évaluation a conclu qu'il n'y avait pas de risques élevés pour la protection des données, à condition que les mesures recommandées soient mises en œuvre. Cette évaluation souligne l'importance de la sécurité des données et de la gestion proactive des risques lors de l'utilisation de services en nuage.

L'évaluation néerlandaise de la DSFA montre que les solutions de cloud computing peuvent être conformes à la protection des données si elles sont correctement mises en œuvre et surveillées.

Ces conclusions sont très pertinentes pour les autorités allemandes. Elles montrent qu'une utilisation sûre des services en nuage est possible si les précautions nécessaires sont prises. Toutefois, le contrôle et l'adaptation continus des mesures de sécurité des données restent une tâche centrale dans la gestion des risques du secteur public.

Mesures techniques et organisationnelles de Microsoft

Microsoft a pris des mesures importantes pour améliorer la protection des données et les exigences de conformité pour ses services en nuage. Ces mesures visent à optimiser la gestion des risques et à respecter les exigences en matière de protection des données.

Mesures de protection des données

Le géant de la technologie a limité le traitement des données de diagnostic et a augmenté la transparence. En tant que processeur de données, Microsoft aide les organisations à se conformer aux exigences du RGPD, y compris le traitement des demandes des personnes concernées. Purview Compliance Manager offre des fonctions d'évaluation de l'état de conformité et de réduction des risques.

Concepts de sécurité

Les concepts de sécurité de Microsoft comprennent le traitement sécurisé des données des clients conformément à des instructions documentées. Cela inclut des activités telles que la facturation, la rémunération et les rapports internes. Microsoft insiste sur le fait que les données clients ou les informations qui en découlent ne sont pas utilisées à des fins de profilage, de publicité ou à des fins commerciales similaires.

Exigences de conformité

Malgré ces efforts, selon la Conférence sur la protection des données (CPD), des incertitudes juridiques subsistent dans la mise en œuvre des mesures techniques et organisationnelles. La conception des obligations de restitution et d'effacement ne répond pas entièrement aux exigences de l'article 28 du RGPD. La critique porte également sur le fait que les informations relatives aux nouveaux sous-traitants ne sont pas suffisamment détaillées, ce qui pourrait nuire aux efforts de mise en conformité.

FAQ

Pourquoi les autorités allemandes continuent-elles d'utiliser Microsoft 365 malgré les inquiétudes concernant la protection des données ?

Les autorités allemandes sont fortement dépendantes des services de cloud computing tels que Microsoft 365, en raison du manque d'alternatives européennes. Environ 80% des entreprises se sentent dépendantes de fournisseurs non-européens pour les technologies numériques clés. La supériorité technique des fournisseurs non européens est considérée comme déterminante par environ 75% des entreprises.

Quels types de données sont traités dans Microsoft 365 ?

Microsoft 365 traite différents types de données, dont les données fonctionnelles (par exemple, les données de localisation pour la synchronisation temporelle), les données de contenu (données générées par les utilisateurs, comme le texte des documents Word), les données de diagnostic (obligatoires et facultatives) et les données dans le cadre des expériences connectées.

Quelle est la classification de Microsoft en matière de protection des données lors du traitement des données ?

Le rôle de Microsoft varie en fonction de la catégorie de données et de la finalité du traitement. Pour les données de contenu, Microsoft agit en tant que sous-traitant. Pour d'autres types de données, notamment les expériences connectées, Microsoft peut être considérée comme un responsable indépendant.

Quelles sont les principales critiques formulées par les autorités allemandes de protection des données à l'encontre de Microsoft 365 ?

La Conférence des autorités indépendantes de protection des données de l'État fédéral et des Länder (DSK) critique principalement le manque de transparence, les transferts illégaux de données vers des pays tiers peu sûrs et l'insuffisance des mesures techniques et organisationnelles.

Comment l'évaluation de l'impact sur la protection des données (DSFA) néerlandaise a-t-elle évalué Microsoft 365 ?

Après une évaluation initiale négative et des ajustements par Microsoft, l'utilisation d'Office 365 ProPlus version 1905 a été jugée acceptable. Un DSFA plus récent concernant Microsoft Teams, OneDrive, SharePoint et Azure AD a conclu qu'il n'y avait pas de risque élevé pour la protection des données, à condition que les mesures recommandées soient mises en œuvre.

Quelles mesures Microsoft a-t-elle prises pour réduire les risques liés à la protection des données ?

Microsoft a procédé à des adaptations, notamment des restrictions sur le traitement des données de diagnostic et des améliorations en matière de transparence. Néanmoins, selon la DSK, des incertitudes juridiques subsistent quant à la mise en œuvre de mesures techniques et organisationnelles.

Que sont les expériences connectées et quelles sont leurs implications en matière de protection des données ?

Les expériences connectées sont des fonctions qui utilisent une connexion Internet pour offrir des fonctionnalités supplémentaires, comme la collaboration sur des documents OneDrive ou des fonctions de traduction dans Word. Le traitement des données dans le cadre des expériences connectées pose des problèmes en matière de protection des données et peut nécessiter un contrat de responsabilité partagée.

Quelle est la différence entre les données de diagnostic obligatoires et facultatives ?

Les données de diagnostic requises comprennent des informations sur les appareils et des rapports d'erreur indispensables au bon fonctionnement des applications. Les données de diagnostic optionnelles fournissent des informations supplémentaires pour l'amélioration des produits. Le traitement des données de diagnostic obligatoires est très limité, tandis que l'utilisation des données facultatives peut poser des problèmes de confidentialité.
DSB buchen
fr_FRFrançais