Selon DataGuidance, l'autorité autrichienne de protection des données (DSB) a jugé que Microsoft avait implanté illégalement des cookies de suivi sur les appareils d'étudiants mineurs utilisant Microsoft 365 Education Edition sans consentement, ce qui constituait une violation de la loi. Il s’agit d’une nouvelle victoire pour le groupe autrichien None of Your Business (noyb), militant pour la protection de la vie privée numérique, dans une affaire connexe.
Selon la documentation officielle de Microsoft, les objectifs des cookies impliqués incluent l'analyse du comportement des utilisateurs, la collecte de données de navigation et ainsi la fourniture d'un support publicitaire. Le DSB a ordonné à Microsoft de cesser de suivre l'étudiant qui s'est plaint dans un délai de quatre semaines. Il convient de noter que tant l’école concernée que le ministère autrichien de l’Éducation ont déclaré qu’ils n’étaient pas au courant de l’existence de ces cookies de suivi avant que noyb ne dépose une plainte.
Cette décision fait suite à une demande d'enquête pertinente déposée par noyb en 2024. À cette époque, l'organisation avait demandé à l'agence autrichienne de protection des données de vérifier si Microsoft 365 Education avait violé les dispositions de transparence du règlement général sur la protection des données (RGPD). Elle a souligné que Microsoft transférait les obligations de protection des données aux écoles utilisant son système et ne garantissait pas le droit des personnes concernées d'accéder à leurs propres données. Même à travers les documents de confidentialité de Microsoft, les demandes d'accès et les propres recherches de noyb, il n'a pas été possible de clarifier pleinement quelles données sur les enfants traitaient la version éducative du logiciel.
En fait, ce n’est pas la première fois que Microsoft perd dans une affaire connexe. En octobre de l'année dernière, le DSB a statué que Microsoft suivait « illégalement » les étudiants via la plateforme éducative 365 et tentait de se soustraire à la responsabilité des demandes d'accès aux données adressées aux écoles locales. Il lui a également ordonné de fournir des informations complètes sur la transmission des données et de fournir des explications claires sur des termes tels que « reporting interne », « modélisation commerciale » et « améliorations des fonctions de base ».
En réponse à la dernière décision, un porte-parole de Microsoft a déclaré que Microsoft 365 Education répond à toutes les normes nécessaires en matière de protection des données et que les établissements d'enseignement peuvent continuer à l'utiliser conformément au RGPD. L’entreprise étudie la décision et décidera des mesures de suivi en temps utile.
Felix Mikolasch, avocat spécialisé dans la protection des données de noyb, a souligné dans un communiqué que le suivi des mineurs est manifestement incompatible avec les principes de protection de la vie privée. Microsoft ne semble pas vraiment prêter attention à la protection de la vie privée et les mesures pertinentes sont davantage destinées à des fins de marketing et de relations publiques.