NOYB - European Center for Digital Rights (stylisé comme "noyb", de "none of your business" est une organisation à but non lucratif basée à Vienne, en Autriche, établie en 2017 avec un objectif paneuropéen. Cofondée par l'avocat autrichien et militant pour la protection de la vie privée Max Schrems, NOYB vise à lancer des affaires judiciaires stratégiques et des initiatives médiatiques en faveur du règlement général sur la protection des données (RGPD), de la proposition de règlement ePrivacy et de la confidentialité des informations en général.
À la suite de la pandémie, les écoles de l'Union européenne ont commencé à mettre en place des services numériques pour l'apprentissage en ligne. Si ces efforts de modernisation sont les bienvenus, un petit nombre de grandes entreprises technologiques ont immédiatement tenté de dominer l'espace, souvent dans l'intention d'habituer les enfants à leurs systèmes et de créer une nouvelle génération de futurs clients "fidèles". L'une d'entre elles est Microsoft.
Selon Noyb, les services 365 Education de Microsoft violent les droits des enfants en matière de protection des données. Lorsque les élèves ont voulu exercer leurs droits en vertu du RGPD, Microsoft a déclaré que les écoles étaient le "responsable du traitement" de leurs données. Or, les écoles n'ont aucun contrôle sur les systèmes.
Transfert de responsabilité entre les grandes entreprises et les écoles locales
Les fournisseurs de logiciels tels que Microsoft disposent d'un énorme pouvoir de marché qui leur permet de dicter les termes et conditions des contrats conclus avec tous ceux qui souhaitent utiliser leurs produits. Dans le même temps, ces fournisseurs de logiciels tentent d'esquiver la responsabilité en insistant sur le fait qu'elle incombe presque entièrement aux autorités locales ou aux écoles.
En réalité, ni les uns ni les autres n'ont le pouvoir d'influencer la manière dont Microsoft traite les données des utilisateurs. Au contraire, elles sont confrontées à une situation à prendre ou à laisser, où tout le pouvoir de décision et les bénéfices reviennent à Microsoft, tandis que les écoles sont censées supporter la plupart des risques. Les écoles n'ont aucun moyen réaliste de négocier ou de modifier les conditions.
Les droits liés au RGPD sont ignorés
En pratique, cela conduit à une situation où Microsoft tente de se décharger contractuellement de la plupart de ses responsabilités légales en vertu du RGPD sur les écoles qui fournissent des services Microsoft 365 Éducation à leurs élèves ou étudiants. Cela signifie, par exemple, que les demandes d'accès à Microsoft restent sans réponse, alors que les écoles n'ont aucun moyen réaliste de se conformer à ces demandes parce qu'elles ne détiennent pas les données nécessaires.
Maartje de Graaf, avocate spécialisée dans la protection des données chez noyb, déclare :
Cette approche à prendre ou à laisser de la part des fournisseurs de logiciels tels que Microsoft transfère toutes les responsabilités liées au RGPD aux écoles. Microsoft détient toutes les informations clés sur le traitement des données dans son logiciel, mais pointe du doigt les écoles lorsqu'il s'agit d'exercer leurs droits. Les écoles n'ont aucun moyen de se conformer aux obligations de transparence et d'information.
En Autriche, où noyb a déposé ses deux plaintes, les directeurs d'école locaux sont censés être chargés de déterminer les "finalités et moyens" en vertu de l'article 4, paragraphe 7, du RGPD et d'assurer la conformité face à des fournisseurs de logiciels internationaux tels que Microsoft. Il en résulte un régime de conformité qui est complètement détaché de la réalité du traitement des données.
Maartje de Graaf ajoute :
Dans le cadre du système actuel que Microsoft impose aux écoles, votre école devrait auditer Microsoft ou lui donner des instructions sur la manière de traiter les données des élèves. Tout le monde sait que de tels arrangements contractuels sont déconnectés de la réalité. Ce n'est rien d'autre qu'une tentative de déplacer la responsabilité des données des enfants aussi loin que possible de Microsoft.
Un labyrinthe de documents sur la protection de la vie privée
Essayer de savoir exactement quelles politiques de confidentialité ou quels documents s'appliquent à l'utilisation de Microsoft 365 Education est une expédition en soi. Il y a un sérieux manque de transparence, obligeant les utilisateurs et les écoles à naviguer dans un labyrinthe de politiques de confidentialité, de documents, de termes et de contrats qui semblent tous s'appliquer. Les informations fournies dans ces documents sont toujours légèrement différentes, mais toujours vagues sur ce qu'il advient réellement des données des enfants lorsqu'ils utilisent les services de Microsoft 365 Education.
Maartje de Graaf conclue :
Microsoft fournit des informations si vagues que même un juriste qualifié ne peut pas comprendre pleinement comment l'entreprise traite les données personnelles dans Microsoft 365 Education. Il est pratiquement impossible pour les enfants ou leurs parents de découvrir l'étendue de la collecte de données par Microsoft.
Mais ce n'est pas le seul problème qui se pose. Bien que le plaignant n'ait pas consenti au suivi, Microsoft 365 Education a tout de même installé des cookies qui, selon la documentation de Microsoft, analysent le comportement de l'utilisateur, collectent des données sur le navigateur et sont utilisés à des fins publicitaires. Ce suivi, qui est généralement utilisé pour un profilage très invasif, est apparemment effectué sans que l'école du plaignant ne le sache.
Microsoft 365 Education étant largement utilisé, l'entreprise est susceptible de suivre tous les mineurs qui utilisent ses produits éducatifs. L'entreprise ne dispose d'aucune base juridique valable pour ce traitement.
Felix Mikolasch, avocat spécialiste de la protection des données chez noyb, déclare :
Notre analyse des flux de données est très inquiétante. Microsoft 365 Education semble suivre les utilisateurs quel que soit leur âge. Cette pratique est susceptible d'affecter des centaines de milliers d'élèves et d'étudiants dans l'UE et l'EEE. Les autorités devraient enfin prendre des mesures pour faire respecter les droits des mineurs.
D'innombrables enfants sont concernés.
Noyb demande à l'autorité autrichienne de protection des données (DSB) d'enquêter et d'analyser de manière factuelle les données traitées par Microsoft 365 Education. Ni la documentation de confidentialité de Microsoft, ni les demandes d'accès, ni les propres recherches de noyb n'ont pu pleinement clarifier cela, ce qui viole les dispositions du RGPD en matière de transparence. En outre, l'entreprise n'a pas respecté le droit d'accès.
Étant donné que les conditions générales et la documentation sur la confidentialité de Microsoft 365 Éducation sont uniformes pour l'UE/EEE, tous les enfants vivant dans ces pays sont exposés aux mêmes violations de leurs droits en vertu du RGPD. Par conséquent, Noyb suggère également que l'autorité impose une amende à Microsoft.
Source : Noyb
Et vous ?
Pensez-vous que cette analyse de Noyb soit crédible ou pertinente ?
Quel est votre avis sur le sujet ?
Voir aussi :
74% des experts affirment que les autorités chargées de la protection des données trouveraient des "violations du RGPD" dans les entreprises si elles les examinaient, selon Noyb
L'Éducation nationale confirme la fin des offres gratuites Office365 et Google Workspace dans les écoles en raison du non-respect du RGPD, emboîtant le pas à l'Allemagne, au Danemark et aux Pays-Bas
L'utilisation de Microsoft 365 par la Commission européenne viole la loi sur la protection des données pour les institutions et organes de l'UE. Le CEPD impose des mesures correctives à la Commission