Dans le Lander allemand de Hesse, le gendarme des données personnelles a pris une décision coup de poing contre Microsoft, en décidant d’interdire l’utilisation d’Office 365 par les écoles, au motif que les données ne sont plus conservées en Allemagne mais envoyées aux Etats-Unis.
Il est désormais illégal pour les écoles hessoises d’utiliser Office 365. L’autorité de protection des données personnelles de ce Lander allemand a estimé que la suite bureautique de Microsoft présente un risque « d’accès potentiel par les autorités américaines ».
Selon l’autorité, l’utilisation des applications cloud par les écoles « n'est généralement pas un problème de protection des données ». Toutefois « la situation juridique est différente pour Office 365 en tant que solution cloud » remarque le Hessische Beauftragte für Datenschutz und Informationsfreiheit. Tout l’enjeu est de savoir si une institution publique allemande peut stocker des données personnelles, en particulier quand il s’agit de mineurs, dans un cloud certes présenté comme européen mais relevant d’une entreprise soumise au droit américain.
Cloud Act et autres joyeusetés
Depuis plusieurs années, face aux inquiétudes outre-Rhin, Microsoft investit dans son cloud germanique. Tant et si bien que le HBDI estimait en 2017 que, puisque les données sont conservées sur le sol allemand, les organismes publics pouvaient utiliser Office 365. Mais l’an dernier, Microsoft fermait son service allemand et renvoyait les données d’Office de l’autre côté de l’Atlantique.
Or compte tenu de la transmission d’une « multitude de données de télémétrie à Microsoft » lors de l’utilisation d’Office 365, données dont la nature « n’a pas encore été clarifiée malgré les demandes répétées à Microsoft », le HBDI estime que « la sécurité et la traçabilité des processus de traitement des données ne sont pas garanties ». Interdiction donc d’utiliser Office 365 jusqu’à nouvel ordre.