Les produits Microsoft sont-ils compatibles avec le RGPD ?

Alors aujourd’hui, comme tout citoyen, à l’exception des adorateurs de la Pomme, nos établissements de santé continuent de payer des licences au prix fort ou à accroître leur dépendance envers Microsoft via l’accord-cadre qui permet aux établissements de se servir en mode open bardans le catalogue proposé par le géant de Redmond, en échange d’une redevance annuelle qui augmente d’année en année pour un nombre de produits de plus en plus réduit. Payer pour des logiciels Microsoft est entré dans nos mœurs depuis plusieurs décennies, et personne n’est choqué par cet état de fait, même s’il paraîtra très probablement inconcevable aux prochaines générations. Certains grands organismes, ou des gouvernements, ont d’ailleurs enclenché la marche arrière. Le Cern, l’Organisation européenne pour la recherche nucléaire, a lancé en juin le projet Malt, pour Microsoft Alternatives [1], visant à remplacer un maximum de produits commerciaux par des produits libres afin de reprendre le contrôle de son SI.

Oui, mais voilà, le géant américain est gourmand et il en veut toujours plus : continuer de vendre des licences logicielles, que l’on paye sur la quasi-totalité des PC que nous achetons, vendre des abonnements à ses applications avec la suite Office 365 et de l’hébergement avec Azure, exploiter les données que nous hébergeons chez lui ou qu’il récolte via son système de télémétrie et son assistant vocal présents sur son système Windows, pour finir par faire un peu d’IA et nous revendre les résultats. À vouloir le beurre, l’argent du beurre et le sourire de la crémière, il semble s’être attiré les foudres de certains.

Payer pour voir ses données se faire exploiter, qui plus est sans y avoir consenti, c’est peut-être un peu trop pour certains pays, comme l’Allemagne, les Pays-Bas ou encore la Suède, qui ont commencé à se poser LA question : les produits Microsoft respectent-ils le RGPD ?
La DHBDI, autorité homologue de notre Cnil en Allemagne, a récemment imposé aux écoles de ne plus utiliser les solutions Office 365 et Windows 10 afin de préserver la confidentialité des données des élèves allemands [2]. Sont pointés du doigt le Cloud Act qui permet au gouvernement américain d’accéder aux données hébergées par une société américaine, que le datacenter accueillant lesdites données se trouve ou non sur son sol, ainsi que le procédé de télémétrie récoltant un volume considérable de données sur les utilisateurs, sans réelles précisions sur le contenu exporté.
Au Pays-Bas, c’est le ministère de la Justice et de la Sécurité qui demandait fin juillet aux services publics de ne plus utiliser les applications mobiles et on linede la suite Office [3].

Les solutions que nous hébergeons en interne sur nos SI sont elles aussi concernées, notamment avec les serveurs de messagerie Exchange présents dans la majorité des établissements de santé français. Lorsqu’un utilisateur se connecte au Webmail OWA (Outlook Web Access) de Microsoft, même si celui-ci est hébergé en interne et non sur Azure, un cookie traceur est installé sur son navigateur, sans que l’utilisateur soit prévenu et encore moins que son consentement lui soit demandé.

Cette pratique est non seulement totalement contraire au RGPD, mais aussi à la délibération n° 2019-093 du 4 juillet 2019 [4] relative notamment aux traceurs, laquelle a pourtant été attaquée par La Quadrature du Net et Caliopen en jugeant la Cnil trop laxiste au regard du RGPD [5]. Pour ma part, je serais curieux d’entendre comment Microsoft justifie l’installation d’un traceur sur une solution hébergée et consultée en interne, puis comment il définit la finalité de son traitement de données caractère personnel, puisqu’un cookie traceur collecte ce type de données.

En France, les choses semblent évoluer également. Nous apprenions fin août que le ministère de l’Intérieur rejoignait les gouvernements Allemands et Suédois dans le déploiement de la solution de partage collaboratif libre NextCloud [6], le forkd’ownCloud, afin de se passer des solutions hébergées par les Gafam tout en conservant la maîtrise et la souveraineté de ses données.

Cette prise de conscience donne de l’espoir pour nos systèmes d’information, nos données de santé et pourquoi pas pour le futur Health Data Hub.

[1] https://home.cern/fr/news/news/computing/migrating-open-source-technologies

[2] https://www.it-connect.fr/en-allemagne-windows-10-et-office-365-sont-interdits-dans-les-ecoles/

[3] https://www.privacycompany.eu/en/new-dpia-on-microsoft-offiOce-and-windows-software-still-privacy-risks-remaining-long-blog/

[4] https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000038783337&categorieLien=id

[5] https://www.nextinpact.com/news/108110-surfer-vaut-consentement-aux-cookies-tolerance-cnil-attaquee-au-conseil-detat.htm

[6] https://nextcloud.com/blog/eu-governments-choose-independence-from-us-cloud-providers-with-nextcloud/