Publicité en cours de chargement...
Les produits Microsoft sont-ils compatibles avec le RGPD ?
Alors aujourd’hui, comme tout citoyen, à l’exception des adorateurs de la Pomme, nos établissements de santé continuent de payer des licences au prix fort ou à accroître leur dépendance envers Microsoft via l’accord-cadre qui permet aux établissements de se servir en mode open bardans le catalogue proposé par le géant de Redmond, en échange d’une redevance annuelle qui augmente d’année en année pour un nombre de produits de plus en plus réduit. Payer pour des logiciels Microsoft est entré dans nos mœurs depuis plusieurs décennies, et personne n’est choqué par cet état de fait, même s’il paraîtra très probablement inconcevable aux prochaines générations. Certains grands organismes, ou des gouvernements, ont d’ailleurs enclenché la marche arrière. Le Cern, l’Organisation européenne pour la recherche nucléaire, a lancé en juin le projet Malt, pour Microsoft Alternatives [1], visant à remplacer un maximum de produits commerciaux par des produits libres afin de reprendre le contrôle de son SI.
Oui, mais voilà, le géant américain est gourmand et il en veut toujours plus : continuer de vendre des licences logicielles, que l’on paye sur la quasi-totalité des PC que nous achetons, vendre des abonnements à ses applications avec la suite Office 365 et de l’hébergement avec Azure, exploiter les données que nous hébergeons chez lui ou qu’il récolte via son système de télémétrie et son assistant vocal présents sur son système Windows, pour finir par faire un peu d’IA et nous revendre les résultats. À vouloir le beurre, l’argent du beurre et le sourire de la crémière, il semble s’être attiré les foudres de certains.
Payer pour voir ses données se faire exploiter, qui plus est sans y avoir consenti, c’est peut-être un peu trop pour certains pays, comme l’Allemagne, les Pays-Bas ou encore la Suède, qui ont commencé à se poser LA question : les produits Microsoft respectent-ils le RGPD ?
La DHBDI, autorité homologue de notre Cnil en Allemagne, a récemment imposé aux écoles de ne plus utiliser les solutions Office 365 et Windows 10 afin de préserver la confidentialité des données des élèves allemands [2]. Sont pointés du doigt le Cloud Act qui permet au gouvernement américain d’accéder aux données hébergées par une société américaine, que le datacenter accueillant lesdites données se trouve ou non sur son sol, ainsi que le procédé de télémétrie récoltant un volume considérable de données sur les utilisateurs, sans réelles précisions sur le contenu exporté.
Au Pays-Bas, c’est le ministère de la Justice et de la Sécurité qui demandait fin juillet aux services publics de ne plus utiliser les applications mobiles et on linede la suite Office [3].
Les solutions que nous hébergeons en interne sur nos SI sont elles aussi concernées, notamment avec les serveurs de messagerie Exchange présents dans la majorité des établissements de santé français. Lorsqu’un utilisateur se connecte au Webmail OWA (Outlook Web Access) de Microsoft, même si celui-ci est hébergé en interne et non sur Azure, un cookie traceur est installé sur son navigateur, sans que l’utilisateur soit prévenu et encore moins que son consentement lui soit demandé.
Cette pratique est non seulement totalement contraire au RGPD, mais aussi à la délibération n° 2019-093 du 4 juillet 2019 [4] relative notamment aux traceurs, laquelle a pourtant été attaquée par La Quadrature du Net et Caliopen en jugeant la Cnil trop laxiste au regard du RGPD [5]. Pour ma part, je serais curieux d’entendre comment Microsoft justifie l’installation d’un traceur sur une solution hébergée et consultée en interne, puis comment il définit la finalité de son traitement de données caractère personnel, puisqu’un cookie traceur collecte ce type de données.
En France, les choses semblent évoluer également. Nous apprenions fin août que le ministère de l’Intérieur rejoignait les gouvernements Allemands et Suédois dans le déploiement de la solution de partage collaboratif libre NextCloud [6], le forkd’ownCloud, afin de se passer des solutions hébergées par les Gafam tout en conservant la maîtrise et la souveraineté de ses données.
Cette prise de conscience donne de l’espoir pour nos systèmes d’information, nos données de santé et pourquoi pas pour le futur Health Data Hub.
[1] https://home.cern/fr/news/news/computing/migrating-open-source-technologies
[2] https://www.it-connect.fr/en-allemagne-windows-10-et-office-365-sont-interdits-dans-les-ecoles/
[4] https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000038783337&categorieLien=id
Avez-vous apprécié ce contenu ?
A lire également.

Un nouveau Comex pour le Conseil du numérique en santé
30 juin 2025 - 23:46,
Actualité
- Damien Dubois, DSIHLe 24 juin, le 13e Conseil du numérique en santé a réuni l’ensemble des parties prenantes en la matière, dans la perspective notamment de l’Espace européen des données de santé.

Le Groupe Softway Medical accueille Bpifrance à son capital
30 juin 2025 - 21:20,
Communiqué
- Le Groupe Softway MedicalLe Groupe Softway Medical, un leader européen des systèmes d’information en santé, à la fois éditeur, hébergeur et intégrateur pour les établissements de santé publics et privés en France, au Canada et à travers l’Europe, annonce aujourd’hui l’arrivée de Bpifrance, la Banque publique d’investissemen...

En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares
24 juin 2025 - 18:00,
Tribune
-Temps fort traditionnel, Michel Dubois nous a habitués à des conférences techniques sur des sujets pointus, telle l’histoire du chiffrement. Nous voilà donc embarqués dans l’histoire des malwares, et on part de loin : machine de Turing, théorie de l’informatique de la fin de la Seconde Guerre mondia...

Interopérabilité en santé : FHIR on fire
23 juin 2025 - 21:47,
Actualité
- DSIH, Guilhem De ClerckHLTH 2025 – Amsterdam, 17 juin 2025 – Sur la scène du congrès HLTH, l’interopérabilité des données de santé s’est imposée comme un enjeu central, illustrant les limites persistantes des systèmes actuels et les espoirs placés dans la norme FHIR (Fast Healthcare Interoperability Resources). Au cœur de...