Microsoft ne respecte pas le RGPD et collecte « à grande échelle et secrètement » les données personnelles via ses applications Office rapporte The Register. C’est ce qui ressort d’une enquête réalisée par le cabinet Privacy Company à la demande du gouvernement néerlandais qui souhaitait connaître la manière dont les informations traitées par 300.000 employés du secteur public étaient traitées par la suite Microsoft Office ProPlus.
Les auteurs du rapport ont constaté que Windows collecte les informations télémétriques et d’autres contenus à partir de ses applications Office, y compris des diagnostics et les courriers électroniques, lorsque la traduction ou le correcteur orthographique est utilisé, et stocke secrètement ces données sur des systèmes situés aux États-Unis.
Apparemment, la firme de Redmond a tenté de se conformer au RGPD en stockant les documents Office sur des serveurs basés dans l’UE. D’autres données contenant des informations confidentielles n’ont toutefois pas été rapatriées en Europe. « Microsoft collecte systématiquement et clandestinement des données à grande échelle sur l’utilisation individuelle de Word, Excel, PowerPoint et Outlook », explique un article de blog rédigé par Privacy Company qui résume son rapport. « Microsoft n’offre aucun choix en ce qui concerne la quantité de données, ni la possibilité de désactiver la collecte, ni la possibilité de voir quelles données sont collectées, car le flux de données est codé. »
Ainsi, lorsqu’on utilise la touche de retour arrière plusieurs fois de suite, ce qui semble indiquer que l’on n’est pas sûr de l’orthographe d’un mot ou que l’on recherche ou traduit un mot, Microsoft enregistre les phrases placées avant et après l’événement. Selon l’enquête de Privacy, Microsoft suit environ 25.000 types différents d’événements et dispose d’une équipe de 20 à 30 ingénieurs qui en analysent le contenu.
Le gouvernement néerlandais a transmis à l’éditeur un « plan d’amélioration » permettant à ce dernier de se conformer au RGPD. Microsoft, qui risque une forte amende des autorités européennes, s’est engagé à réaliser les modifications nécessaires et à les soumettre aux autorités d’ici le mois d’avril prochain.
Le gouvernement a de son côté imposées certaines mesures à son personnel. Il recommande notamment de supprimer périodiquement les comptes Active Directory des utilisateurs VIP et d’en créer de nouveaux comptes. De son côté, Privacy suggère aux administrateurs système de mener un projet pilote avec un logiciel alternatif, ce qui « correspondrait à la politique du gouvernement néerlandais visant à promouvoir les normes ouvertes et logiciels open source. »
« Nous nous engageons à protéger la vie privée de nos clients en leur donnant le contrôle de leurs données et en veillant à ce que Office ProPlus et les autres produits et services Microsoft soient conformes au RGPD et aux lois applicables », affirme la firme de Redmond dans un email envoyé à nos confrères. « Nous sommes heureux d’avoir l’occasion de discuter de nos pratiques de traitement des données de diagnostic dans Office ProPlus avec le ministère néerlandais de la Justice et nous attendons avec impatience la résolution de tout problème. »