Microsoft 365 Education attaqué par deux plaintes de noyb

L'association de Max Schrems a déposé deux plaintes contre Microsoft US auprès de la CNIL autrichienne à propos de la suite 365 Education utilisée dans certaines écoles autrichiennes. noyb accuse l'entreprise d'enfreindre le RGPD en manquant de transparence, en utilisant des cookies de tracking et en traitant des données des élèves sans leur consentement, tout en rejetant la responsabilité des traitements des données sur les écoles.

noyb se penche sur l'utilisation de Microsoft 365 dans le système éducatif. Depuis le début de la pandémie de Covid-19, l'utilisation des services numériques dans l'éducation a explosé et un certain nombre d'écoles européennes ont choisi de prendre des solutions de services dans le cloud comme Microsoft 365 Education.

Mais l'association pointe plusieurs problèmes dans l'utilisation de cet outil. Elle considère que Microsoft viole le RGPD qui protège particulièrement les données des enfants. noyb a porté plainte devant l'autorité de protection des données autrichienne, la Datenschutzbehörde, contre l'entité américaine et non sa filiale européenne située en Irlande. Elle insiste même dans l'une des plaintes en précisant que « la plainte n'est pas dirigée contre Microsoft Ireland Operations Limited ».

Les deux cas se situent en Autriche où le ministère de l'Éducation, de la science et de la recherche a signé avec Microsoft un accord-cadre pour l'utilisation de Microsoft 365 Education dans les écoles. Le département de l'Éducation de la ville Vienne a offert, lui, des licences à toutes ses écoles.

Qui est responsable du traitement des données ?

Dans sa première plainte (pdf en allemand, pdf en anglais en traduction automatique), l'association représente une élève d'une école autrichienne. noyb explique que son père demande depuis fin août 2023 à Microsoft et à l'école plus d'information sur le traitement des données collectées, mais n'a obtenu aucune réponse satisfaisante.

Il a d'abord posé des questions à l'entreprise américaine qui lui a répondu (après plusieurs échanges), « nous vous suggérons de contacter l'organisation ou l'école concernée, qui est le responsable du traitement des données dans ce cas ».

De l'autre côté, le directeur de l'école, qui est aussi le responsable du traitement des données, affirme que l'établissement n'utilise dans Microsoft 365 Education que l'email comme donnée personnelle.

Pourtant, les streams de l'élève (vidéos enregistrées via le service "Microsoft Stream" inclus dans Microsoft 365 Education) ont bien été enregistrés lorsqu'elle a utilisé la suite de Microsoft. Des données autres que l'adresse email sont donc bien enregistrées pendant l'utilisation de Microsoft 365 Education.

L'association constate que les informations sur la gestion des données ne sont pas accessibles facilement. « Même l'information sur quelles déclarations et documents exacts sont pertinents concernant l'utilisation de Microsoft 365 Education par la plaignante n'est pas clair », explique-t-elle dans sa plainte.

« Dans le cadre du système actuel que Microsoft impose aux écoles, votre école devrait auditer Microsoft ou lui donner des instructions sur la manière de traiter les données des élèves. Tout le monde sait que de tels arrangements contractuels sont déconnectés de la réalité. Ce n'est rien d'autre qu'une tentative de déplacer la responsabilité des données des enfants aussi loin que possible de Microsoft », a déclaré l'avocate de noyb, Maartje de Graaf.

Des cookies de tracking sans consentement de l'élève

Dans la deuxième plainte (pdf en allemand, pdf en anglais), dans laquelle noyb représente aussi une élève autrichienne (sans pour autant qu'on sache si c'est la même, anonymisation oblige), l'association reproche à Microsoft l'utilisation de cookies de tracking dans Microsoft 365 Education.

noyb explique avoir trouvé des cookies suite à l'utilisation de la suite par la plaignante alors qu'elle n'y a pas consenti. Dans sa plainte, l'association affirme que la documentation envoyée par Microsoft elle-même à ce propos explique que ces cookies sont utilisés pour du « tracking », analysent le comportement des utilisateurs, collectent des données de navigation et sont utilisées à des fins publicitaires.

Selon Felix Mikolasch, un autre avocat de noyb, « notre analyse des flux de données est très inquiétante. Microsoft 365 Education semble traquer les utilisateurs quel que soit leur âge. Cette pratique est susceptible d'affecter des centaines de milliers d'élèves et d'étudiants dans l'UE et l'EEE. Les autorités devraient enfin agir et faire respecter les droits des mineurs ».

Contactée par Next, Microsoft n'a pas encore répondu à nos questions. À nos confrères de TechCrunch, l'entreprise a répondu que « M365 Education respecte le RGPD et les autres lois applicables en matière de protection de la vie privée et nous protégeons scrupuleusement la vie privée de nos jeunes utilisateurs. Nous sommes heureux de répondre à toutes les questions que les agences de protection des données pourraient avoir à propos de l'annonce d'aujourd'hui ».