Critique de la protection des données de Microsoft : utiliser M365, c’est s’exposer à une action en dommages et intérêts

Les données numériques sont considérées comme le nouvel or noir. Or les modalités de collecte, de traitement, d’analyse et de gestion des données restent très souvent floues – un problème qui va crescendo dans un contexte mondialisé. Si la protection des données est primordiale, c’est là une problématique bien souvent négligée. Ce n’est que lorsque les enfants et adolescents sont concernés que le sujet semble plus tangible pour beaucoup et c’est bien le cas avec l’installation de Microsoft 365 dans les établissements scolaires. Les autorités de contrôle vont même jusqu’à évoquer le risque de dommages et intérêts.

La critique du manque de protection des données chez Microsoft ne date pas d’hier. Celle-ci concerne avant tout les données télémétriques transmises en masse vers les États-Unis par les applications Microsoft. Dès 2019, le ministère de la Justice néerlandais faisait passer au crible la politique de protection des données des logiciels Windows Office, contrôle qui avait mis au jour un manque de transparence criant. Au mois de novembre 2022, c’était au tour de la Conférence allemande des autorités indépendantes de la protection des données du niveau fédéral et des Länder de constater que l’utilisation conforme de Microsoft 365 nécessite la prise de mesures de protection supplémentaires (texte en allemand). Le déploiement de Microsoft 365 dans les établissements scolaires semble pour le moment exclu. 

Depuis l’arrêt « Schrems II » rendu mi-2020, le transfert des données à caractère personnel vers les États-Unis est sur un terrain fragile. À l’époque, la CJUE avait déclaré sans effet le bouclier de protection des données UE-États-Unis. Dans l’espoir de réduire l’incertitude juridique découlant de cet arrêt, la Commission européenne avait publié en juin 2021 de nouvelles clauses contractuelles types permettant de passer des accords avec des pays tiers (décision 2021/914/EU). Cependant, les mêmes doutes que ceux qui avaient entraîné la chute du bouclier persistent pour les États-Unis, où se trouve, comme chacun sait, le siège du géant du numérique. Microsoft tente de répondre à la critique avec un plan nommé « EU Data Boundary », qui vise à assurer la conformité du traitement des données pour les clients du secteur public et les entreprises. Mais le problème de fond subsiste : les administrations américaines continuent à pouvoir exiger un accès aux données en vertu du Cloud Act.

La protection des données défaillantes de Microsoft 365 : une menace pour les élèves

Pour des raisons stratégiques, les éditeurs de logiciels, et notamment Microsoft, ont tout intérêt à ce que les élèves adoptent leurs produits dès leur plus jeune âge. On reconnaît très bien cette démarche aux généreuses réductions accordées aux établissements. Cependant, l’État a un devoir particulièrement marqué de protection vis-à-vis des enfants et des adolescents. Malgré les vives critiques, le Land de Bade-Wurtemberg a lancé en 2020 un projet pilote pour intégrer certains produits Microsoft à la plateforme d’enseignement en cours d’élaboration après un paramétrage spécifique. Stefan Brink, le responsable de la protection des données du Land à l’époque, fustigeait l’absence de base juridique en matière de flux de données et de transfert de données à caractère personnel. Il a récemment demandé à ce que l’usage de Microsoft 365 ou de Microsoft Teams cesse dans les établissements scolaires pour privilégier d’autres alternatives. En 2022, le rapport d’activité (en allemand) du responsable de la protection des données indiquait d’ailleurs à cet égard : « Nous recommandons vivement à tous les établissements scolaires de changer de système rapidement […] pour préserver les droits et libertés des personnes concernées. »

Dès lors qu’il s’agit d’établissements scolaires, un regard critique sur la question de la protection des données s’impose. L’État est tenu d’assurer la protection des enfants et des adolescents de tout risque de traçage, de profilage et de tout autre traitement des données illicite. Compte tenu des données particulièrement sensibles stockées par les écoles (diplômes ou évaluations par exemple), le danger est immense.

Les questions éthiques également au cœur de la critique

Fondamentalement, il est capital de réfléchir aux possibilités de garantir le respect des principes éthiques et légaux en matière de stockage, d’analyse, d’interconnexion et de traitement des données. Les établissements scolaires se doivent de montrer l’exemple. Nous ne pouvons tolérer que ces institutions donnent aux générations futures ce piètre exemple de pratiques en matière de protection des données. Si nos enfants grandissent forcément dans un monde marqué par Internet, l’intelligence artificielle et les salles de données virtuelles, il ne faut surtout pas les laisser démunis face à ces processus complexes et obscurs. Bien au contraire : il convient de les éduquer aux risques le plus tôt possible au lieu de nous résigner et de les abandonner à cette dépendance comme les institutions semblent d’ores et déjà le faire.

Un engagement fort en faveur de la protection des données

Il serait naïf de croire que la protection des données coule de source pour les géants américains tels que Microsoft. Pour ces grandes entreprises, les intérêts économiques passent avant tout. C’est pourquoi c’est à nous de nous engager avec fermeté et persévérance. L’utilisation des services Microsoft sur le cloud dans les établissements scolaires est juridiquement problématique, ce qui devrait désormais relever de l’évidence pour tout le monde. Cependant, les décideurs devraient eux aussi se demander si leurs entreprises ont véritablement besoin des abonnements et des services sur le cloud de Microsoft. Même le cabinet de conseil stratégique Gartner recommande depuis plusieurs années déjà de privilégier des licences perpétuelles si possible. Celles-ci offrent en effet des avantages non négligeables en termes de maîtrise des données, de protection des données et de durabilité. Et cerise sur le gâteau : opter pour des logiciels d’occasion, véritable joyau européen, permet en prime de bénéficier de prix avantageux.