Les autorités allemandes continuent de miser sur Microsoft 365, malgré les inquiétudes concernant la protection des données. La question de la conformité au RGPD reste ouverte, tandis que les entreprises et les autorités sont fortement dépendantes de fournisseurs informatiques non européens. Cela concerne en particulier les logiciels et les applications dans le domaine Informatique en nuage.
Une enquête montre qu'environ 80% des entreprises se sentent dépendantes de fournisseurs non européens pour les technologies numériques clés. Cette situation soulève des questions sur Sécurité des données et Conformité de l'Union européenne, notamment en ce qui concerne Autorités publiques Risques liés à la protection des données Microsoft Cloud.
L'utilisation de Microsoft 365 dans presque toutes les entreprises illustre la domination du fournisseur. Une analyse d'impact sur la protection des données (AIPD) allemande a constaté dès 2018 que l'utilisation à l'époque de Office 365 n'était pas compatible avec la législation sur la protection des données. Malgré cela, la dépendance n'a pas diminué.
Principales conclusions
- Les autorités allemandes utilisent Microsoft 365 malgré les inquiétudes sur la protection des données
- Environ 80% des entreprises se sentent dépendantes de fournisseurs informatiques non européens
- Un DSFA de 2018 a déclaré Office 365 comme non conforme à la protection des données
- La conformité de Microsoft 365 avec le RGPD reste controversée
- Le manque d'alternatives européennes renforce la dépendance
Autorités publiques Risques liés à la protection des données Microsoft Cloud : Situation actuelle
L'utilisation des services cloud de Microsoft dans les administrations allemandes augmente malgré les préoccupations en matière de protection des données. Au moins six Länder prévoient d'introduire ces services dans leur administration. Le site Gestion des risques est confrontée à de grands défis.
Dépendance des autorités allemandes vis-à-vis des services de cloud computing
La Basse-Saxe et la Bavière sont des précurseurs dans l'utilisation de Teams et de Microsoft 365. Hambourg prévoit d'équiper 8000 à 10.000 postes de travail administratifs avec Microsoft 365 d'ici la fin de l'année. La Rhénanie-du-Nord-Westphalie et Brême suivront en 2025. Cette évolution montre la dépendance croissante du secteur public vis-à-vis des services cloud.
Manque d'alternatives européennes
Le manque d'alternatives européennes pousse à l'utilisation des services Microsoft. Le gouvernement fédéral prévoit de proposer Microsoft 365 via Delos, une filiale de SAP, pour Politique de confidentialité de se conformer à la loi. Certains pays, comme le Bade-Wurtemberg, préfèrent cette solution. OpenDesk, une alternative open source, est en cours de développement mais ne rencontre qu'un écho limité.
Supériorité technique des fournisseurs américains
La supériorité technique des fournisseurs américains est indiscutable. Cependant, de graves incidents de sécurité chez Microsoft Azure 2021 et 2022 les risques. Des pirates chinois ont obtenu l'accès à de nombreux comptes de messagerie, y compris ceux d'employés du gouvernement américain. La Cybersecurity and Infrastructure Security Agency (CISA) a alors obligé les autorités américaines à prendre des mesures de protection. Le traitement des Données des autorités exige les normes de sécurité les plus élevées.
La dépendance croissante vis-à-vis des services Microsoft, associée à des préoccupations en matière de sécurité, place les autorités face à un dilemme entre efficacité et protection des données.
Traitement des données dans Microsoft 365 : aspects fondamentaux
Microsoft 365 est conçu comme un Software-as-a-Service (SaaS) et comprend des programmes tels que Word, Excel et PowerPoint. Le traitement des données dans ce Cloud hybride-La mise en place d'un environnement de travail sécurisé est complexe et soulève des questions en matière de protection des données.
Office 365 traite différents types de données. Il s'agit notamment de données fonctionnelles, de données de contenu, de données de diagnostic et de données d'expériences connectées. Selon la catégorie et la finalité, Microsoft assume différents rôles - en tant que sous-traitant ou responsable indépendant.
La Conférence sur la protection des données (CPD) a constaté que la preuve d'une exploitation de Microsoft 365 conforme à la protection des données ne peut pas être apportée. Malgré les adaptations du Data Protection Addendum (DPA), des données à caractère personnel continuent d'être transférées aux Etats-Unis.
Microsoft prévoit d'introduire d'ici 2024 une EU Data Boundary afin de garantir le traitement des données personnelles dans les centres de données européens. Cela devrait répondre aux inquiétudes concernant Azure-infrastructure.
Les utilisateurs de Windows et d'Office 365 doivent savoir que les données de diagnostic sont collectées afin de résoudre les problèmes et d'améliorer le système. Un identifiant publicitaire unique est en outre utilisé pour des publicités personnalisées.
Le traitement des données dans Microsoft 365 reste un sujet complexe qui pose des défis en matière de protection des données et de sécurité. Conformité.
Données fonctionnelles et de contenu pour les services cloud de Microsoft
L'utilisation des services Cloud de Microsoft génère différents types de données. Celles-ci peuvent être divisées en données fonctionnelles et en données de contenu. Chaque catégorie joue un rôle important dans Informatique en nuage et les Sécurité des données.
Définition et types de données fonctionnelles
Les données fonctionnelles sont indispensables au fonctionnement des services en nuage. Elles comprennent des informations techniques telles que les données de localisation pour la synchronisation horaire ou les détails de connexion. Ces données permettent le bon fonctionnement des services Microsoft et contribuent à la Conformité chez
Traitement des données de contenu
Les données de contenu sont des informations générées par l'utilisateur, telles que des textes dans des documents Word ou des e-mails dans Outlook. Microsoft agit ici en tant que sous-traitant et utilise ces données exclusivement pour la mise à disposition des services. Le traitement s'effectue selon des directives strictes en matière de protection des données.
Classification en matière de protection des données
L'évaluation juridique varie en fonction du type de données et de la finalité du traitement. Une analyse d'impact sur la protection des données a révélé 8 points problématiques dans l'utilisation d'Office 365. Microsoft n'a pu minimiser les risques de manière satisfaisante que sur 2 points. En particulier pour Outlook et Teams Sécurité des données un facteur critique.
Type de données | Traitement | Pertinence pour la protection des données |
---|---|---|
Données fonctionnelles | Opérations techniques | Moyens |
Données de contenu | Mise à disposition de services | Haute |
Données de diagnostic | Analyse et amélioration | Très élevé |
Les utilisateurs devraient activer des paramètres respectueux de la vie privée et configurer les fonctions de télémétrie afin de limiter la collecte de données. Un règlement intérieur pour l'utilisation de Microsoft 365 peut aider à réglementer l'utilisation des données sensibles et à renforcer la sécurité des données.
Les données de diagnostic et leur importance pour la sécurité des données
Les données de diagnostic jouent un rôle important dans Gestion des risques du cloud de Microsoft. Ils fournissent des aperçus du fonctionnement et de la sécurité des systèmes. Pour les autorités, le traitement de ces données est particulièrement sensible, car elles contiennent souvent des informations confidentielles. Données des autorités traiter.
Données de diagnostic requises
Cette catégorie comprend des informations de base telles que les données des appareils et les rapports d'erreur. Elles sont indispensables au bon fonctionnement des applications. Microsoft a fortement limité le traitement de ces données afin d'assurer le Politique de confidentialité de se conformer.
Données de diagnostic en option
Les données de diagnostic optionnelles offrent des connaissances supplémentaires pour l'amélioration des produits. Leur utilisation peut toutefois poser des problèmes en matière de protection des données. Les autorités devraient réfléchir attentivement aux données qu'elles souhaitent partager.
Stockage et traitement
Le stockage et le traitement des données de diagnostic sont soumis à des mesures de sécurité strictes. Microsoft a mis en place des mesures de protection contractuelles supplémentaires et a inclus les métadonnées et les données de diagnostic comme objet du traitement des commandes.
Type de données | Traitement | Pertinence pour la protection des données |
---|---|---|
Données de diagnostic requises | Fortement limité | Faible |
Données de diagnostic en option | Élargi | Potentiellement élevé |
Pour une utilisation sûre des données de diagnostic, il est recommandé de désactiver la transmission de la télémétrie ou des données de diagnostic. Les données sensibles devraient être sauvegardées dans des services de stockage cryptés. Ces mesures aident les autorités à se conformer à des normes strictes en matière de sécurité. Politique de confidentialité.
Les expériences connectées et leurs implications en matière de protection des données
Les Connected Experiences d'Office 365 offrent des fonctions supplémentaires qui nécessitent une connexion Internet. Ces services permettent par exemple de collaborer sur des documents OneDrive ou d'effectuer des traductions dans Word. Toutefois, ils soulèvent également des questions en matière de protection des données.
L'utilisation d'expériences connectées dans une Cloud hybride-peut être problématique. Le traitement des données ne peut pas être simplement justifié par Microsoft en tant que sous-traitant. Au lieu de cela, un contrat de responsabilité partagée pourrait être nécessaire.
Les statistiques actuelles montrent l'acuité du sujet :
- 90% des entreprises estiment que la conformité au RGPD est indispensable pour les solutions de cloud computing
- 79% demandent la transparence dans l'architecture de sécurité
- 67% attachent de l'importance à la localisation du fournisseur de services cloud
Ces chiffres illustrent les exigences élevées en matière de protection des données et de sécurité, auxquelles même Azure et Office 365 doivent être satisfaites. Les entreprises devraient examiner attentivement l'utilisation des expériences connectées et, le cas échéant, envisager d'autres solutions pour garder le contrôle de leurs données.
Aspect | Exigence | Pertinence pour les expériences connectées |
---|---|---|
Conformité au RGPD | 90% | Haute |
Transparence en matière de sécurité | 79% | Moyens |
Emplacement du fournisseur | 67% | Haute |
Évaluation par les autorités allemandes de protection des données
La Conférence nationale sur la protection des données s'est penchée de manière approfondie sur les dispositions de protection des données de Microsoft 365. Les résultats de cette enquête ont été présentés dans un rapport complet de 60 pages.
Position de DSK
La conférence sur la protection des données souligne la responsabilité des entreprises pour une utilisation de Microsoft 365 conforme à la protection des données. Il n'y a pas eu d'avertissement sur le produit ni d'interdiction, mais les entreprises doivent néanmoins être informées des flux de données et prendre au sérieux leur responsabilité en matière de protection des données.
Évaluations critiques
Les principales critiques concernant l'utilisation de Microsoft 365 sont la transmission de Données des autorités vers les États-Unis, le manque de transparence dans le traitement des données et l'insuffisance des possibilités d'intervention du donneur d'ordre. Les autorités de contrôle examinent les déficits en matière de protection des données et donnent aux responsables la possibilité d'y remédier.
Conséquences juridiques
La Cour d'appel de Berlin a précisé que les avis des autorités de contrôle de la protection des données ne constituent qu'une opinion juridique à laquelle les tribunaux ne sont pas liés. Une utilisation de Microsoft 365 conforme à la protection des données est possible, mais nécessite des mesures spécifiques de conformité. Celles-ci peuvent avoir des répercussions sur le travail quotidien, comme des performances plus lentes ou une utilisation limitée de certaines fonctionnalités.
Aspect | Exigence | Effet possible |
---|---|---|
Transmission des données | Redirection du trafic de données | Performance plus lente |
Transparence | Adresses e-mail pseudonymes | Un échange de données plus difficile |
Télémétrie | Réglage de la transmission des données | Dépannage limité |
Mises à jour | Suivi des mises à jour des produits | Charge administrative supplémentaire |
Perspectives internationales : Évaluation néerlandaise du DSFA
Le gouvernement néerlandais a réalisé une évaluation d'impact sur la vie privée (DSFA) pionnière pour Microsoft Office 365. Cette évaluation fournit des informations importantes pour le Informatique en nuage et la sécurité des données en Europe.
Au départ, l'utilisation d'Office 365 a été jugée non conforme à la protection des données. Après d'intenses négociations et adaptations par Microsoft, la version 1905 d'Office 365 ProPlus a pu être jugée admissible. Cela montre l'importance d'une protection efficace des données. Gestion des risques dans le domaine du cloud computing.
Un DSFA plus récent concernant Microsoft Teams, OneDrive, SharePoint et Azure AD a donné un résultat positif. L'évaluation a conclu qu'il n'y avait pas de risques élevés pour la protection des données, à condition que les mesures recommandées soient mises en œuvre. Cette évaluation souligne l'importance de la sécurité des données et de la gestion proactive des risques lors de l'utilisation de services en nuage.
L'évaluation néerlandaise de la DSFA montre que les solutions de cloud computing peuvent être conformes à la protection des données si elles sont correctement mises en œuvre et surveillées.
Ces conclusions sont très pertinentes pour les autorités allemandes. Elles montrent qu'une utilisation sûre des services en nuage est possible si les précautions nécessaires sont prises. Toutefois, le contrôle et l'adaptation continus des mesures de sécurité des données restent une tâche centrale dans la gestion des risques du secteur public.
Mesures techniques et organisationnelles de Microsoft
Microsoft a pris des mesures importantes pour améliorer la protection des données et les exigences de conformité pour ses services en nuage. Ces mesures visent à optimiser la gestion des risques et à respecter les exigences en matière de protection des données.
Mesures de protection des données
Le géant de la technologie a limité le traitement des données de diagnostic et a augmenté la transparence. En tant que processeur de données, Microsoft aide les organisations à se conformer aux exigences du RGPD, y compris le traitement des demandes des personnes concernées. Purview Compliance Manager offre des fonctions d'évaluation de l'état de conformité et de réduction des risques.
Concepts de sécurité
Les concepts de sécurité de Microsoft comprennent le traitement sécurisé des données des clients conformément à des instructions documentées. Cela inclut des activités telles que la facturation, la rémunération et les rapports internes. Microsoft insiste sur le fait que les données clients ou les informations qui en découlent ne sont pas utilisées à des fins de profilage, de publicité ou à des fins commerciales similaires.
Exigences de conformité
Malgré ces efforts, selon la Conférence sur la protection des données (CPD), des incertitudes juridiques subsistent dans la mise en œuvre des mesures techniques et organisationnelles. La conception des obligations de restitution et d'effacement ne répond pas entièrement aux exigences de l'article 28 du RGPD. La critique porte également sur le fait que les informations relatives aux nouveaux sous-traitants ne sont pas suffisamment détaillées, ce qui pourrait nuire aux efforts de mise en conformité.