Juridique

Pays-Bas : Microsoft mis en cause dans une non-conformité RGPD

Pays-Bas : Microsoft mis en cause dans une non-conformité RGPD
L'administration néerlandaise utilise la suite bureautique Office ProPlus de Microsoft qui collecte des données de télémétrie sur le comportement des utilisateurs. (Crédit : MS/Privacy Company)

Un rapport commandé par le gouvernement des Pays-Bas montre que Microsoft collecte de nombreuses données personnelles de télémétrie à travers ses logiciels Windows 10 et Office utilisés par l'administration néerlandaise. Actuellement stockées sur site, ces données vont être prochainement stockées dans le cloud. En enfreignant les dispositions du RGPD, l'éditeur américain risque une amende.

PublicitéLe ministère néerlandais de la Justice et de la Sécurité a commandé à la société Privacy Company, spécialisée dans la protection de la vie privée, une analyse d'impact sur le traitement des données personnelles récupérées par les logiciels de Microsoft utilisés au sein de l'administration. Il s'avère que le mécanisme de collecte des données de télémétrie effectué à travers Windows 10 et la suite bureautique Office enfreint potentiellement les dispositions du RGPD, le règlement européen sur la protection des données personnelles, en vigueur depuis mai 2018. L'éditeur américain peut donc se voir infliger une amende pouvant s'élever à plusieurs millions de dollars.

Environ 300 000 agents de l'administration néerlandaise - ministères, police, magistrature, services fiscaux - recourent quotidiennement aux applications Office ProPlus pour envoyer et recevoir des emails, créer des documents, des tableurs et des présentations. Il s'agit de la version Entreprise d'Office 365, installée sur des PC mais connectée avec les serveurs d'Office 365. Dans un billet, Privacy Company qualifie d'inquiétants les résultats de son étude d'impact. « Microsoft collecte et stocke des données personnelles sur le comportement individuel des employés sur une grande échelle, sans aucune information publique », écrit la société ayant pour mission de veiller à la protection des données privées. Au sein du ministère de la Justice néerlandais, l'affaire est prise en charge par SLM Rijk qui suit Microsoft en tant que fournisseur stratégique.

Mise en conformité d'ici avril 2019

Pour l'instant, les données collectées par Microsoft sont stockées localement, dans les datacenters installés sur site. Mais cette situation va changer puisque SLM Rijk mène un projet (actuellement en pilote) qui prévoit un stockage des données dans le cloud de Microsoft, dans SharePoint et OneDrive, explique le rapport de Privacy Company. « Il s'agit aussi d'un test avec la version web d'Office 365 dans laquelle le logiciel n'est plus installé sur les terminaux des utilisateurs ». Au cours de l'analyse d'impact commandée par le Ministère de la Justice, Microsoft s'est déjà engagé à prendre différentes mesures pour réduire les risques constatés. A la suite des discussions engagées avec l'administration néerlandaise, l'éditeur américain dispose maintenant de plusieurs mois, jusqu'à avril 2019, afin de présenter les modifications qu'il aura effectuées pour qu'Office ne transfère aucune donnée.

Au début du mois, les premières sanctions financières au titre du RGPD sont tombées au Portugal. Une amende de 400 000 euros a été infligée à l'hôpital de Barreiro pour manquement au règlement européen.

Publicité

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Les données personnelles sont-elles rendues inaccessibles (cryptage…) aux administrateurs techniques du SI ?