Pays-Bas : la collecte de données de Microsoft Office pourrait enfreindre le RGPD et lui valoir une amende
D'après un rapport

Le , par Stéphane le calme, Chroniqueur Actualités
La suite bureautique Microsoft Office pourrait enfreindre les règles européennes en matière de données selon un rapport. Ce dernier révèle que Microsoft collecte une grande quantité de données télémétriques, ainsi que des informations liées aux applications Office telles que Word, Excel, PowerPoint et Outlook, dont les objets des emails ou les phrases soumises aux outils de traduction et de correction d’orthographe. Au total, 25 000 types d’évènements différents seraient collectés par l’entreprise.

Le rapport émane de Privacy Company, une société de conseil qui s’est plongé sur la question à la demande du ministère néerlandais de la Justice. Privacy Company a déclaré avoir découvert une collecte à grande échelle de données à caractère personnel par le biais d'Office, que Microsoft a collectée sans en informer les utilisateurs.

Dans un billet, Privacy Company a essayé de donner un peu plus d’informations.

Office 2016 et Office 365

La plupart des organisations gouvernementales néerlandaises utilisent des versions d'Office 2016 et d'Office 365 (ou même d'anciennes versions) installées sur les ordinateurs des employés de l'administration. Les organisations stockent les données de contenu localement, dans leurs propres centres de données (sur site). Mais cela va changer. SLM Rijk (Gestionnaire des fournisseurs stratégiques pour Microsoft au sein du ministère de la justice) mène un projet pilote avec le stockage de données dans le cloud Microsoft, SharePoint et OneDrive. Il existe également un test avec la version Web d'Office 365 uniquement, où le logiciel n'est plus installé sur les machines des utilisateurs finaux. Également dans les configurations actuelles, Microsoft collecte des données sur l'utilisation individuelle du logiciel.


Collecte à grande échelle et secrète de données personnelles

Selon le rapport, Microsoft collecte systématiquement des données à grande échelle sur l'utilisation individuelle de Word, Excel, PowerPoint et Outlook de façon clandestine, sans informer les utilisateurs. Le rapport soutient que Microsoft n'offre aucun choix en ce qui concerne la quantité de données, la possibilité de désactiver la collecte ou la possibilité de voir quelles données sont collectées, car le flux de données est codé. Comme dans Windows 10, Microsoft a intégré un logiciel séparé au logiciel Office, qui envoie régulièrement des données de télémétrie à ses propres serveurs aux États-Unis. Par exemple, Microsoft collecte des informations sur les événements dans Word lorsque vous utilisez plusieurs fois de suite la touche de retour arrière, ce qui signifie probablement que vous ne connaissez pas l'orthographe correcte. Mais aussi la phrase avant et après un mot que vous recherchez dans le vérificateur d'orthographe en ligne ou le service de traduction. Microsoft collecte non seulement les données d'utilisation via le client de télémétrie intégré, mais enregistre et stocke également l'utilisation individuelle de Connected Services. Par exemple, si les utilisateurs accèdent à un service connecté tel que le service de traduction via le logiciel Office, Microsoft peut stocker les données personnelles relatives à cette utilisation dans des "journaux d'événements générés par le système".

Différence entre contenu, données de diagnostic et données fonctionnelles

Microsoft fournit des services sur Internet. D'un point de vue technique, il est inévitable que vous deviez fournir des données à Microsoft, telles que l'en-tête de votre courrier électronique et votre adresse IP, afin de pouvoir utiliser les services. Mais Microsoft ne doit pas stocker ces données transitoires et fonctionnelles, sauf si la conservation est strictement nécessaire, par exemple à des fins de sécurité.

Dans ce rapport DPIA (rapport d'évaluation de l'impact sur la protection des données), les données collectées par Microsoft via Office ProPlus sont divisées en trois catégories:

  • Données de contenu: le contenu des fichiers et des communications que vous stockez dans votre propre centre de données ou sur les ordinateurs en cloud de Microsoft.
  • Données fonctionnelles: les données que vous devez transmettre sur Internet pour pouvoir vous connecter aux services Internet de Microsoft
  • Données de diagnostic: les données que Microsoft stocke pour l'analyse de l'utilisation des services.


23 000 à 25 000 types d'événements

Au moment de la rédaction du billet, Microsoft n'offrait pas (encore) la possibilité d'inspecter le contenu du flux de données de diagnostic. Microsoft a expliqué que 23 000 à 25 000 types d’événements sont envoyés aux serveurs de Microsoft et que 20 à 30 équipes d’ingénieurs travaillent avec ces données. Les ingénieurs peuvent ajouter dynamiquement de nouveaux événements au flux de données à partir de tous les ordinateurs dotés d’Office ProPlus. Cette collection de données est beaucoup plus spécifique que dans la télémétrie Windows 10. Si la télémétrie est définie sur "Complète" dans Windows 10, elle implique entre 1 000 et 1 200 types d’événements. Et 10 équipes d'ingénieurs. En 2017, l'autorité néerlandaise de protection des données (DPA) a mené une enquête sur le traitement des données de télémétrie dans les versions grand public et petites entreprises de Windows 10 (Home et Pro).

La DPA néerlandaise a conclu que Microsoft avait enfreint la loi sur la protection des données à de nombreux égards, notamment en raison du manque de transparence et de la limitation de la finalité, ainsi que de l'absence de base légale pour le traitement.

Les Pays-Bas envisagent des mesures contraignantes si Microsoft n'améliore pas la situation

En réponse à cette enquête, Microsoft a apporté certains ajustements à la publication du logiciel au printemps 2018. La DPA néerlandaise a conclu (avant la sortie effective du logiciel, communiqué de presse en néerlandais uniquement) que le plan d’amélioration présenté par Microsoft mettrait fin à toutes les violations. La DPA néerlandaise n’a pas enquêté sur le traitement de données via le logiciel Office.


Selon le rapport du ministère de la Justice, « Les données fournies par les utilisateurs et sur les utilisateurs étaient rassemblées dans Windows 10 Enterprise et Microsoft Office, puis stockées dans une base de données aux États-Unis, de manière à poser un risque majeur pour la vie privée des utilisateurs ».

En vertu du RGPD, les entreprises peuvent être condamnées à une amende pour avoir collecté des données utilisateur inutiles ou pour des violations de données.

Le rapport indique que Microsoft a accepté en octobre d’entreprendre un plan d’amélioration de ses services : « Microsoft s'est engagé à soumettre ces modifications pour vérification en avril 2019 », a-t-il déclaré.

Le gouvernement néerlandais s'est dit particulièrement préoccupé par le fait que Microsoft avait réuni ses propres données, y compris celle de 300 000 employés du gouvernement utilisant des produits Microsoft.

Le régulateur de données a déclaré que si Microsoft ne progressait pas dans le traitement de ses données, il envisagerait des mesures contraignantes.

Un porte-parole de Microsoft a déclaré : « Nous sommes attachés au respect de la vie privée de nos clients, en leur donnant le contrôle de leurs données et en veillant à ce que Office ProPlus et les autres produits et services Microsoft soient conformes au RGPD et aux autres lois applicables. Nous sommes ravis de pouvoir discuter de nos pratiques de traitement des données de diagnostic dans Office ProPlus avec le ministère néerlandais de la Justice et nous attendons avec intérêt la résolution de tout problème ».

Les défenseurs de la vie privée ont déposé des plaintes auprès des régulateurs de données européens concernant les pratiques de collecte de Facebook, Google et d’autres grandes enseignes de la technologie. Certaines d’entre elles ont reçu des plaintes le 25 mai, jour de l'entrée en vigueur du RGPD en Europe.

Source : billet Privacy Company, SLM Rijk

Voir aussi :

Après Windows 10 October Update 2018, c'est au tour d'Office de voir des mises à jour retirées, suite à des dysfonctionnements qu'elles provoquent
Windows Virtual Desktop : la solution de virtualisation basée sur Azure pour une expérience Windows 10 multi-utilisateurs optimisée pour Office 365
Sécurité : près de 45 % des logiciels malveillants sont distribués via des macros Microsoft Office, selon des chercheurs de Cofense Intelligence
Microsoft Office 2019 : une version test est gratuitement disponible pour Windows 10, et intègre des fonctionnalités déjà présentes sur Office 365
Microsoft améliore les capacités défensives de Windows Defender et Office 365 avec des techniques de détection du spyware gouvernemental FinFisher


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de marsupial marsupial - Membre émérite https://www.developpez.com
le 21/11/2018 à 17:24
J'imagine qu'en France, et ailleurs, c'est la même chose et personne ne s'en est inquiété
Avatar de Eric80 Eric80 - Membre actif https://www.developpez.com
le 22/11/2018 à 9:50
Vera t on des versions de Windows 10 et Office où la télémétrie ne peut plus collecter les données de contenu ?

C est bien que les NL s occupe du cas Microsoft, car la décision prise devrait être valide pour toute l Europe.

Et qui s'y colle pour Google qui collecte AMHA bcp bcp plus de données que MS ?
Et pour les analyses des IA?
Google et Microsoft lisent vos email avec leurs IA pour vous fournir des meilleurs services. Est ce que la lecture auto des emails est compatible avec RGPD / GDPR ?
Avatar de ddoumeche ddoumeche - Membre chevronné https://www.developpez.com
le 23/11/2018 à 14:10
Citation Envoyé par Eric80 Voir le message
Vera t on des versions de Windows 10 et Office où la télémétrie ne peut plus collecter les données de contenu ?

C est bien que les NL s occupe du cas Microsoft, car la décision prise devrait être valide pour toute l Europe.

Et qui s'y colle pour Google qui collecte AMHA bcp bcp plus de données que MS ?
Et pour les analyses des IA?
Google et Microsoft lisent vos email avec leurs IA pour vous fournir des meilleurs services. Est ce que la lecture auto des emails est compatible avec RGPD / GDPR ?
Et qui t'oblige à utiliser Windows 10 ? ou Gmail ?

 
Contacter le responsable de la rubrique Accueil