La région Sud du Danemark a sollicité l’avis de l’autorité danoise de protection des données concernant son projet de migration de Microsoft Office vers la solution en-ligne Microsoft 365 (ex-Office 365), pour déterminer si la solution cloud était conforme aux exigences du RGPD.

Cette demande d’avis intervient quelques jours après la décision l’autorité danoise concernant l’utilisation de Chromebooks et de la solution Google Workspace for Education dans les écoles, où l’autorité avait jugé illégale l’utilisation de données personnelles par Google pour son propre compte.

Dans ce contexte, l’autorité « a choisi exceptionnellement de publier sa réponse », car elle « met en lumière des questions tout à fait fondamentales qui ont été soulevées en général à la suite de l’affaire Chromebook ».

Les éléments de réponse de l’autorité danoise

Concernant le projet de migration vers Microsoft 365, la solution « sera utilisée dans l’administration et dans le service hospitalier », c’est-à-dire aussi bien par « la direction, le personnel administratif, le personnel administratif clinique, les médecins, que par les infirmières », et sera principalement utilisée pour « envoyer et recevoir des e-mails, gérer des documents et autres informations, stocker des fichiers et des documents, la communication audio et vidéo entre les employés, préparer des documents et des présentations, etc ».

Concernant les données personnelles traitées, les documents ou informations échangées pourront se rapporter « notamment aux employés eux-mêmes et aux patients » des hôpitaux de la région. Ces données pourront être présentes dans le contenu des documents, mais aussi dans les métadonnées, particulièrement dans les noms des documents.

Concernant les conditions contractuelles, l’autorité comprend des documents contractuels fournis par la région :

  • que Microsoft traitera les données personnelles pré-citées pour « pour fournir le Service et pour les activités commerciales liées à la fourniture du Service » ;
  • que la fourniture du service « consiste en (i) la fourniture d’options fonctionnelles, y compris la fourniture d’expériences utilisateur personnalisées, (ii) le dépannage et (iii) la mise à jour des produits et l’amélioration de la productivité, de la fiabilité, de l’efficacité, de la qualité et de la qualité des utilisateurs » ;
  • que les activités commerciales de Microsoft comprennent « (i) la facturation et l’administration des comptes, (ii) la rémunération, (iii) le reporting interne et la modélisation commerciale, et (iv) le reporting financier », et seront réalisés « sur la base d’informations statistiques agrégées (anonymisées), générées à partir d’informations pseudonymisées » ;

L’autorité comprend également que « Microsoft ne traitera pas les données personnelles que l’entreprise recevra de la région à des fins (i) de profilage des utilisateurs, (ii) de publicité ou autre et (iii) d’études de marché visant à créer de nouvelles fonctions, services. ou des produits (ou à d’autres fins) ». L’autorité danoise considère toutefois que « l’étendue exacte de ces traitements des données n’est pas claire ».

Pour conclure, l’autorité estime donc qu’« il existe un problème similaire concernant la transmission de données à caractère personnel à Microsoft et l’utilisation des données pour ses propres besoins ».

« La région doit donc […] cartographier, clarifier et évaluer :

- Quelles catégories de personnes la région traitera-t-elle dans le cadre de l’utilisation du M365, par exemple des employés, des patients, etc.

- Quelles données personnelles la région traitera-t-elle au sujet de ces catégories de personnes, et dans quelle mesure les métadonnées relatives à ces personnes seront-elles collectées et traitées ?

- Quelle est la base juridique sur laquelle la région s’appuiera pour traiter les données à caractère personnel en question ?

- À quelles fins spécifiques Microsoft traitera-t-elle les données dans le cadre du maintien des "produits à jour et performants et de l’amélioration de la productivité, de la fiabilité, de l’efficience, de l’efficacité, de la qualité et de la sécurité de l’utilisateur" et dans quel rôle ?

- Comment les statistiques agrégées susmentionnées sont-elles spécifiquement générées, et notamment si l’agrégation ou l’anonymisation a lieu avant que les données ne soient communiquées à Microsoft ?

- La base juridique en question pourra-t-elle servir de fondement au transfert des données à caractère personnel concernées à Microsoft aux fins décrites ci-dessus ? »

Enfin, l’autorité danoise précise que, si « l’autorité est bien sûr disponible pour fournir des conseils et des orientations sur les obligations découlant des règles de protection des données, y compris éventuellement pour émettre un avis sur la mesure dans laquelle une activité de traitement peut avoir lieu dans le cadre des règles de protection des données », un travail plus approfondi doit préalablement être effectué par le responsable du traitement de données pour « cartographier de manière plus complète les flux de données ».

L'avis d'eWatchers (par Morgan Schmiedt)

Les travaux de l’autorité danoise sont intéressants, parce qu’ils permettent d’en savoir plus sur les traitements de données des solutions populaires du marché.

Malheureusement, le constat est toujours le même. Les conditions contractuelles sont tellement longues et complexes que leur analyse demande un effort démesuré et qu’elles ne permettent pas de comprendre réellement ce qu’il se passe. Cela est particulièrement préoccupant lorsque la solution en question – Microsoft 365 – bénéficie d’un quasi-monopole.

Liens

Sigles et acronymes
  • RGPD : Règlement Général sur la Protection des Données