Microsoft 365 Education traque illégalement les données des élèves

Dans une décision, la Cnil autrichienne demande à Microsoft de respecter le RGPD sur sa suite bureautique à destination du secteur de l'éducation. Le fournisseur a installé des cookies de suivi sans consentement et n'a pas donné un accès complet aux données des élèves.

Alors que l’école Polytechnique a suspendu son contrat avec Microsoft, une autre affaire pourrait avoir une influence au niveau européen sur les relations entre le monde de l’éducation et le fournisseur américain. En effet, le DSB (Datenschutzbehörde) autrichien vient de rendre un jugement intéressant sur l’accès aux données par les élèves disposant de l’offre Microsoft365 Education. L’affaire commence en 2024 par une plainte déposée par un parent d’élève et soutenu par l’association Noyb dirigée par Max Schrems.

Le plaignant a demandé à avoir accès aux informations personnelles collectées par Microsoft. Ce dernier a renvoyé la demande à l’école et aux autorités compétentes. Dans sa requête, l’association Noyb a constaté que « Microsoft a transféré toute la responsabilité du respect des lois sur la protection de la vie privée aux écoles et aux autorités nationales, qui n'ont que peu, voire aucun contrôle réel sur l'utilisation des données des élèves ». En effet, l’école et le ministère de l’Education nationale n’ont pu fournir que des données minimales et pas celles détenues par l’éditeur.

Obligation d’un accès complet aux données collectées

Dans sa décision, le régulateur autrichien a estimé que Microsoft était coupable de manquement à l’article 15 du RGPD en ne fournissant pas un accès complet aux données du plaignant. Par ailleurs, le fournisseur devra expliquer plus clairement ce que signifie les données à des fins commerciales notamment « la modélisation commerciale » ou « l’efficience énergétique ». De plus, il devra indiquer les informations transmises à LinkedIn, OpenAI ou à la société de suivi Xandr. Le DSB tacle également Microsoft sur la présence de cookie de suivi sans avoir demandé le consentement des élèves. Il a réclamé la fin de ce manquement et la suppression des données personnelles concernées.

A nos confrères de The Register, un porte-parole de Microsoft a indiqué que « Microsoft 365 pour l’Education répond à toutes les normes de protection des données requises et les établissements du secteur de l'éducation peuvent continuer à l'utiliser conformément au RGPD. Nous examinerons la décision de l'autorité autrichienne de protection des données et déciderons des prochaines étapes en temps voulu. »