Microsoft et les autorités fédérales et étatiques allemandes de protection des données vont et viennent sur le Règlement général sur la protection des données (RGPD) alors que le pays cherche à interdire Microsoft 365 dans les écoles.
Le différend le plus récent survient alors que le groupe allemand Watchdog Datenschutzkonferenz a publié un nouveau rapport qui stipule que Microsoft continue de violer le RGPD malgré deux ans de négociations.
Les problèmes de Datenschutzkonferenz avec Microsoft 365 sont doubles, le premier étant une violation de la souveraineté des données cloud et l’autre ayant à voir avec les politiques de consentement des données des adolescents. Les stipulations du GDPR stipulent que les enfants de moins de 13 ans ne peuvent pas consentir à ce que leurs données soient collectées et le rapport Datenschutzkonferenz affirme que l’accès à Microsoft 365 par des enfants donne automatiquement à Microsoft « l’accès à des données non chiffrées et non pseudo-pseudomisées ».
Microsoft conteste le rapport de DSK avec la déclaration suivante : « Nous veillons à ce que nos produits M365 respectent non seulement, mais dépassent souvent, les lois strictes de l’UE en matière de protection des données. Nos clients en Allemagne et dans toute l’UE peuvent continuer à utiliser les produits M365 sans hésitation et dans d’une manière juridiquement sûre. »
Cependant, au cours des deux dernières années, Microsoft a tenté de faire des concessions pour répondre aux demandes de DSK en Allemagne, mais les efforts ont été au point mort, DSK affirmant que Microsoft n’a changé que sa formulation, mais pas la manière dont Microsoft 365 collecte les données, et Microsoft réitère son engagement. pour répondre à « toute préoccupation restante ».
Alors que Microsoft tente d’apaiser les craintes du DSK allemand concernant l’accès et la collecte des données, l’entreprise est réalistement paralysée par plusieurs réglementations basées aux États-Unis, notamment la Loi sur l’utilisation légale des données à l’étranger (CLOUD Act) et FISA 702 qui remplacent les droits des citoyens étrangers d’accélérer l’accès aux données lors de la poursuite d’enquêtes criminelles.
De par leur nature même, le CLOUD Act et la FISA 702 exigent que Microsoft, Google, Apple et d’autres trafiquants de données internationaux à grande échelle « préservent, sauvegardent ou divulguent le contenu des communications électroniques ou des enregistrements sans contenu ».
On ne sait pas où vont Microsoft et Datenschutzkonferenz, mais à moins que le géant du logiciel ne puisse trouver une faille dans les politiques réglementaires américaines traitant des données internationales, eux et d’autres entreprises continueront potentiellement à enfreindre les normes GDPR dans des cas larges et spécifiques. comme celles traitant du consentement des mineurs.