Selon les Pays-Bas, la télémétrie d’Office coincerait avec le RGPD

Les collectes de données d’utilisation de produits Microsoft ne respecteraient pas le Règlement général sur la protection des données, rapporte ZDNet. C’est la conclusion d’une analyse d’impact, publiée par le gouvernement néerlandais le 7 novembre.

Les enquêteurs ont repéré huit problèmes dans les versions ProPlus d’Office 2016 et du service Office 365, y compris l’édition web. Windows 10 mène « une collecte secrète, de large ampleur de données personnelles », sans prévenir correctement les utilisateurs, ni visibilité sur les informations retenues, assure le rapport.

Cette télémétrie, revue en début d’année avec le RGPD, récupère des données fonctionnelles et d’usage, des plus classiques. Problème : ces informations sont envoyées sur des serveurs aux États-Unis, en vertu du Privacy Shield, assurent les autorités néerlandaises. Elles sont donc possiblement récupérables par les forces de l’ordre américaines.

Dans le cas d’Office, du contenu comme des objets d’email ou des phrases de documents sont aussi transmis, en cas d’utilisation des outils de traduction ou de correction des applications. La télémétrie de la suite Office serait aussi plus large que celle de Windows 10 : jusqu’à 25 000 types d’événements (partagés avec 30 équipes d’ingénieurs), contre 1 200 pour le système d’exploitation (partagés avec 10 équipes).

Les données seraient aussi retenues sans durée déterminée, alors que le RGPD réclame de ne les conserver que le temps nécessaire.

Selon ZDNet, plus de 300 000 ordinateurs de l’administration néerlandaise utilisent les logiciels Office. Microsoft aurait déjà intégré un paramètre de télémétrie plus restrictif pour Office, tout en promettant plus de transparence sur d’autres problèmes.

Plus largement, le gouvernement s’inquiète du CLOUD Act, récemment adopté par les États-Unis (voir notre analyse). Il « présente un risque pour les données personnelles d’employés des organisations gouvernementales. Le CLOUD Act étend la juridiction des autorités américaines à toutes les données détenues par des sociétés américaines, même si elles sont hébergées dans des centres de données hors de son territoire ».