Dans un rapport sur la confidentialité des données, le gouvernement néerlandais identifie six risques liés à l’utilisation des applications Microsoft. Il s’agit toutefois de problèmes mineurs : Microsoft a déjà éliminé les risques majeurs.
Le gouvernement des Pays-Bas a publié une évaluation d’impact sur la protection des données (« Data Protection Impact Assessment ») pour l’utilisation professionnelle de Microsoft Teams en combinaison avec OneDrive, SharePoint Online et Azure Active Directory. Le rapport a été préparé par SLM Microsoft Rijk, un organisme gouvernemental néerlandais chargé des contrats avec le fournisseur de services de cloud computing. L’organisme a également préparé un rapport en 2019 et il était alors très négatif. Aujourd’hui, Microsoft reçoit un meilleur rapport.
Les risques sont minimes
Selon le DPIA, il n’y a plus de risques majeurs concernant les données de diagnostic que Microsoft collecte. Plusieurs risques de moindre importance demeurent. Actuellement, la circulation des données de diagnostic vers les États-Unis est encore limitée. Cette situation devrait être corrigée d’ici à la fin de l’année, grâce à la Microsoft EU Data Boundary. En outre, le rapport cite un manque de transparence de la part de Microsoft concernant les données qu’elle collecte. Dans certains cas très spécifiques, les données ne sont pas anonymisées.
Het Nederlandse rapport heeft verder zijn twijfels bij Teams Analytics en Viva Insights. Daarvoor houdt Microsoft data gerelateerd aan gebruikers bij. Het bedrijf wil de functionaliteit niet standaard uitschakelen, zodat het aan instanties is om dat zelf te doen. Tot zal Microsoft de link tussen SharePoint en Bing verder wegwerken wanneer organisaties Controller Connected Experiences uitschakelen. Dat is voorlopig nog niet helemaal in orde.
Les États-Unis peuvent regarder
Les Néerlandais soulignent un autre risque important lié à l’utilisation des services Microsoft. En vertu de la loi américaine CLOUD, le gouvernement américain peut avoir accès à des données sensibles. Ce risque demeure, même lorsque les données ne sont stockées qu’au sein de l’UE. Après tout, Microsoft est une société américaine qui doit se conformer aux lois américaines. Vous pouvez atténuer le risque en chiffrant les données dans OneDrive lui-même, indique-t-il.
Pour les discussions de groupe avec Teams, Microsoft ne propose pas encore de cryptage de bout en bout. Cette fonctionnalité arrive, mais Redmond n’a pas fixé de date limite.
Le rapport montre que les Pays-Bas accordent à Microsoft un score satisfaisant, même s’il reste plusieurs points à travailler. Au moins une partie des objections serait bientôt éliminée. SLM Microsoft Rijk prévient toujours que le DPIA doit respecter toutes les autres conclusions que le Conseil européen de la protection des données pourrait tirer à l’avenir.