Le ministère néerlandais de la Justice et de la Sécurité a commandé à la société Privacy Company, spécialisée dans la protection de la vie privée, une analyse d’impact sur le traitement des données personnelles récupérées par les logiciels de Microsoft utilisés au sein de l'administration. Il s’avère que le mécanisme de collecte des données de télémétrie effectué à travers Windows 10 et la suite bureautique Office enfreint potentiellement les dispositions du RGPD, le règlement européen sur la protection des données personnelles, en vigueur depuis mai 2018. L’éditeur américain peut donc se voir infliger une amende pouvant s’élever à plusieurs millions de dollars.
Environ 300 000 agents de l’administration néerlandaise - ministères, police, magistrature, services fiscaux - recourent quotidiennement aux applications Office ProPlus pour envoyer et recevoir des emails, créer des documents, des tableurs et des présentations. Il s’agit de la version Entreprise d’Office 365, installée sur des PC mais connectée avec les serveurs d’Office 365. Dans un billet, Privacy Company qualifie d'inquiétants les résultats de son étude d’impact. « Microsoft collecte et stocke des données personnelles sur le comportement individuel des employés sur une grande échelle, sans aucune information publique », écrit la société ayant pour mission de veiller à la protection des données privées. Au sein du ministère de la Justice néerlandais, l’affaire est prise en charge par SLM Rijk qui suit Microsoft en tant que fournisseur stratégique.
Mise en conformité d'ici avril 2019
Pour l’instant, les données collectées par Microsoft sont stockées localement, dans les datacenters installés sur site. Mais cette situation va changer puisque SLM Rijk mène un projet (actuellement en pilote) qui prévoit un stockage des données dans le cloud de Microsoft, dans SharePoint et OneDrive, explique le rapport de Privacy Company. « Il s’agit aussi d’un test avec la version web d’Office 365 dans laquelle le logiciel n’est plus installé sur les terminaux des utilisateurs ». Au cours de l’analyse d’impact commandée par le Ministère de la Justice, Microsoft s’est déjà engagé à prendre différentes mesures pour réduire les risques constatés. A la suite des discussions engagées avec l’administration néerlandaise, l’éditeur américain dispose maintenant de plusieurs mois, jusqu’à avril 2019, afin de présenter les modifications qu’il aura effectuées pour qu’Office ne transfère aucune donnée.
Au début du mois, les premières sanctions financières au titre du RGPD sont tombées au Portugal. Une amende de 400 000 euros a été infligée à l’hôpital de Barreiro pour manquement au règlement européen.