L'Etat fédéral de La Hesse en Allemagne a pris ses distances avec l'utilisation des suites bureautiques SaaS dans ses écoles, en particulier Microsoft Office 365 qui est de loin la plus répandue. Dans une déclaration, Michael Ronellenfitsch, commissaire en charge de la protection des données personnelles et de la liberté de l'information (HBDI), explique ainsi que la solution collaborative et de productivité bureautique SaaS (cloud public) de la firme de Redmond ne répond plus aux exigences de confidentialité nécessaires pour garantir la protection des données personnelles des élèves. Cette annonce du HBDI intervient près d'un an après la décision de Microsoft de stopper son offre Cloud Germany, qui permettait d'isoler les data cloud des utilisateurs du reste de ses réseaux mondiaux. Jusqu'alors, le HBDI ne voyait rien à redire sur Office 365 tant que les données étaient sauvegardées dans un cloud souverain allemand, mais cela n'est plus le cas.

« L'aspect crucial est de savoir si l'école, en tant qu'institution publique, peut stocker des données à caractère personnel (d'enfants) dans un cloud (européen) exposé, par exemple, à un éventuel accès par les autorités américaines », note Michael Ronellenfitsch qui fait référence ici, sans le citer explicitement, au Cloud Act. Autre point noir qui a piqué le HBDI, la télémétrie : « Avec l’utilisation du système d’exploitation Windows 10, une multitude de données de télémétrie est transmise à Microsoft, dont le contenu n’a pas encore été clarifié malgré des demandes répétées. Ces données sont également transmises lors de l'utilisation d'Office 365 dont le contenu n’a finalement pas été clarifié malgré les demandes réitérées ».

Porte ouverte à Microsoft pour faire évoluer la situation dans le bon sens

Le HBDI demande donc aux établissements scolaires d'utiliser à compter de maintenant uniquement les versions on-premise d'Office 365. Une décision qui concerne aussi les solutions cloud de Google et d'Apple qui « n'ont pas encore été définies de manière transparente et compréhensible ». Le moment choisi par le HBDI pour cette décision n'a sans doute pas été pris au hasard, soit en plein coeur des vacances d'été (1er juillet-9 août), pour - a priori - pénaliser le moins possible les établissements. Sachant que l'institution laisse la porte ouverte pour que la situation évolue dans le bon sens : « il est également intéressant de collaborer avec Microsoft pour une solution conforme à la confidentialité. Toutefois, cela n’incombe pas à HBDI ni aux autres autorités de contrôle allemandes, mais plus particulièrement à Microsoft lui-même : dès que les éventuels accès de tiers aux données cloud ainsi que le sujet des données de télémétrie seront réglés et conformes à la protection des données, Office 365 pourra être utilisé en tant que cloud. »