Selon Noyb, Microsoft viole la vie prive des enfants, mais rejette la faute sur votre cole locale. Lorsque les lves ont voulu exercer leurs droits en vertu du RGPD, Microsoft a dclar que les coles taient « responsables du traitement de leurs donnes.
NOYB – European Center for Digital Rights (stylis comme « noyb« , de « none of your business« ) est une organisation but non lucratif base Vienne, en Autriche, tablie en 2017 avec un objectif paneuropen. Cofonde par l’avocat autrichien et militant pour la protection de la vie prive Max Schrems, NOYB vise lancer des affaires judiciaires stratgiques et des initiatives mdiatiques en faveur du rglement gnral sur la protection des donnes (RGPD), de la proposition de rglement ePrivacy et de la confidentialit des informations en gnral.
la suite de la pandmie, les coles de l’Union europenne ont commenc mettre en place des services numriques pour l’apprentissage en ligne. Si ces efforts de modernisation sont les bienvenus, un petit nombre de grandes entreprises technologiques ont immdiatement tent de dominer l’espace, souvent dans l’intention d’habituer les enfants leurs systmes et de crer une nouvelle gnration de futurs clients « fidles« . L’une d’entre elles est Microsoft.
Selon Noyb, les services 365 Education de Microsoft violent les droits des enfants en matire de protection des donnes. Lorsque les lves ont voulu exercer leurs droits en vertu du RGPD, Microsoft a dclar que les coles taient le « responsable du traitement » de leurs donnes. Or, les coles n’ont aucun contrle sur les systmes.
Transfert de responsabilit entre les grandes entreprises et les coles locales
Les fournisseurs de logiciels tels que Microsoft disposent d’un norme pouvoir de march qui leur permet de dicter les termes et conditions des contrats conclus avec tous ceux qui souhaitent utiliser leurs produits. Dans le mme temps, ces fournisseurs de logiciels tentent d’esquiver la responsabilit en insistant sur le fait qu’elle incombe presque entirement aux autorits locales ou aux coles.
En ralit, ni les uns ni les autres n’ont le pouvoir d’influencer la manire dont Microsoft traite les donnes des utilisateurs. Au contraire, elles sont confrontes une situation prendre ou laisser, o tout le pouvoir de dcision et les bnfices reviennent Microsoft, tandis que les coles sont censes supporter la plupart des risques. Les coles n’ont aucun moyen raliste de ngocier ou de modifier les conditions.
Les droits lis au RGPD sont ignors
En pratique, cela conduit une situation o Microsoft tente de se dcharger contractuellement de la plupart de ses responsabilits lgales en vertu du RGPD sur les coles qui fournissent des services Microsoft 365 ducation leurs lves ou tudiants. Cela signifie, par exemple, que les demandes d’accs Microsoft restent sans rponse, alors que les coles n’ont aucun moyen raliste de se conformer ces demandes parce qu’elles ne dtiennent pas les donnes ncessaires.
Maartje de Graaf, avocate spcialise dans la protection des donnes chez noyb, dclare :
Cette approche prendre ou laisser de la part des fournisseurs de logiciels tels que Microsoft transfre toutes les responsabilits lies au RGPD aux coles. Microsoft dtient toutes les informations cls sur le traitement des donnes dans son logiciel, mais pointe du doigt les coles lorsqu’il s’agit d’exercer leurs droits. Les coles n’ont aucun moyen de se conformer aux obligations de transparence et d’information.
Dtach de la ralit
En Autriche, o noyb a dpos ses deux plaintes, les directeurs d’cole locaux sont censs tre chargs de dterminer les « finalits et moyens » en vertu de l’article 4, paragraphe 7, du RGPD et d’assurer la conformit face des fournisseurs de logiciels internationaux tels que Microsoft. Il en rsulte un rgime de conformit qui est compltement dtach de la ralit du traitement des donnes.
Maartje de Graaf ajoute :
Dans le cadre du systme actuel que Microsoft impose aux coles, votre cole devrait auditer Microsoft ou lui donner des instructions sur la manire de traiter les donnes des lves. Tout le monde sait que de tels arrangements contractuels sont dconnects de la ralit. Ce n’est rien d’autre qu’une tentative de dplacer la responsabilit des donnes des enfants aussi loin que possible de Microsoft.
Un labyrinthe de documents sur la protection de la vie prive
Essayer de savoir exactement quelles politiques de confidentialit ou quels documents s’appliquent l’utilisation de Microsoft 365 Education est une expdition en soi. Il y a un srieux manque de transparence, obligeant les utilisateurs et les coles naviguer dans un labyrinthe de politiques de confidentialit, de documents, de termes et de contrats qui semblent tous s’appliquer. Les informations fournies dans ces documents sont toujours lgrement diffrentes, mais toujours vagues sur ce qu’il advient rellement des donnes des enfants lorsqu’ils utilisent les services de Microsoft 365 Education.
Maartje de Graaf conclue :
Microsoft fournit des informations si vagues que mme un juriste qualifi ne peut pas comprendre pleinement comment l’entreprise traite les donnes personnelles dans Microsoft 365 Education. Il est pratiquement impossible pour les enfants ou leurs parents de dcouvrir l’tendue de la collecte de donnes par Microsoft.
Le suivi secret des enfants
Mais ce n’est pas le seul problme qui se pose. Bien que le plaignant n’ait pas consenti au suivi, Microsoft 365 Education a tout de mme install des cookies qui, selon la documentation de Microsoft, analysent le comportement de l’utilisateur, collectent des donnes sur le navigateur et sont utiliss des fins publicitaires. Ce suivi, qui est gnralement utilis pour un profilage trs invasif, est apparemment effectu sans que l’cole du plaignant ne le sache.
Microsoft 365 Education tant largement utilis, l’entreprise est susceptible de suivre tous les mineurs qui utilisent ses produits ducatifs. L’entreprise ne dispose d’aucune base juridique valable pour ce traitement.
Felix Mikolasch, avocat spcialiste de la protection des donnes chez noyb, dclare :
Notre analyse des flux de donnes est trs inquitante. Microsoft 365 Education semble suivre les utilisateurs quel que soit leur ge. Cette pratique est susceptible d’affecter des centaines de milliers d’lves et d’tudiants dans l’UE et l’EEE. Les autorits devraient enfin prendre des mesures pour faire respecter les droits des mineurs.
D’innombrables enfants sont concerns.
Noyb demande l’autorit autrichienne de protection des donnes (DSB) d’enquter et d’analyser de manire factuelle les donnes traites par Microsoft 365 Education. Ni la documentation de confidentialit de Microsoft, ni les demandes d’accs, ni les propres recherches de noyb n’ont pu pleinement clarifier cela, ce qui viole les dispositions du RGPD en matire de transparence. En outre, l’entreprise n’a pas respect le droit d’accs.
tant donn que les conditions gnrales et la documentation sur la confidentialit de Microsoft 365 ducation sont uniformes pour l’UE/EEE, tous les enfants vivant dans ces pays sont exposs aux mmes violations de leurs droits en vertu du RGPD. Par consquent, Noyb suggre galement que l’autorit impose une amende Microsoft.
Source : Noyb
Et vous ?
Pensez-vous que cette analyse de Noyb soit crdible ou pertinente ?
Quel est votre avis sur le sujet ?
Voir aussi :