Depuis que le Règlement général sur la protection des données est entré en vigueur en mai 2018, chaque outil collectant des données personnelles est susceptible d’être passé au crible par les autorités de contrôle.
C’est notamment le cas d’Office 365 de Microsoft. En effet, en septembre 2020, un groupe de travail a été mené par la Datenschutzkonferenz (DSK), l'autorité allemande en charge des questions relatives à la protection des données personnelles. L’homologue de la CNIL a constaté qu’Office 365 de Microsoft n’était pas conforme au RGPD en ce qui concerne les établissements scolaires.
Après deux ans de discussions en vue d’améliorer les produits, un rapport du 22 novembre 2022 de la DSK estime que les efforts fournis par la firme Microsoft ne sont pas suffisants.
Ainsi, en France et en Allemagne, l’utilisation d’Office 365 est progressivement interdite dans les établissements scolaires en raison du transfert des données vers les états unis dans des conditions violant l'arrêt Shrems II.
Or, selon une étude CerFI, 80 % des 500 plus grosses entreprises du monde utilisent Office 365. Cette solution est d’autant plus appréciée à l’heure où le développement du télétravail nécessite une optimisation de la collaboration en ligne.
Si aucune décision n’a été rendue concernant les autres organismes (pme, entreprise, collectivités locales etc.), il semble désormais indispensable de prendre des précautions d’utilisation d’Office 365 afin de protéger les données personnelles conformément au RGPD.
Voici les points que nous aborderons dans ce guide :
- Qu’est-ce que l’outil Office 365 ?
- Office 365 est-il en conformité avec le RGPD en matière de protection des données ?
- Comment sécuriser au maximum l’utilisation d’Office 365 au regard du RGPD ?
1- Qu’est-ce que Office 365 ?
Office 365 est une plateforme professionnelle complète proposée par Microsoft intégrant toute une gamme d’applications et de services de bureau, notamment :
- La suite bureautique : Word, Excel, PowerPoint, etc.;
- Un service d’email : Outlook ;
- Un outil collaboratif permettant de partager les boîtes mails, les calendriers, les contacts : Exchange Online ;
- Un ensemble de services en ligne pour stocker l’ensemble des documents Office : One drive ;
- Une série de logiciels pour applications web et portails permettant aux utilisateurs de partager des documents et messages électroniques : Share Point ;
- Etc.
Disponible en mode Saas, le service est accessible en ligne à partir d’un navigateur web ou via des applications mobiles. Les utilisateurs peuvent donc y accéder depuis n’importe quel appareil, n’importe où et n’importe quand depuis le cloud.
En résumé, le service cloud d’Office 365 permet de :
- Stocker des fichiers,
- Partager ces fichiers avec d’autres utilisateurs afin de collaborer sur ceux-ci à distance.
2- Office 365 est-il conforme au RGPD ?
Le rapport de la DSK sur la conformité d’Office 365 au RGPD
Comme nous l’indiquions en introduction, la Datenschutzkonferenz, l’autorité experte de la protection des données en Allemagne, homologue de la CNIL, a lancé un groupe de travail concernant la conformité d’Office 365 au RGPD.
🔎 Il s’agit de préciser le contexte : il est question de l’utilisation de Microsoft 365 dans les écoles et certaines administrations.
Cette question se pose également en France puisqu’une décision de la direction interministérielle du numérique (DINUM) du 15 septembre 2021 précise que les données sensibles dont disposent certains agents publics ne doivent plus être hébergées sur les services cloud de Microsoft. En effet, selon la DINUM : "L’offre 365 de Microsoft n’est pas conforme à la doctrine Cloud au Centre » de l’Etat.
La CNIL a par ailleurs demandé à l’enseignement supérieur et au monde de la recherche d’utiliser des alternatives européennes aux outils collaboratifs américains. Le ministre de l'éducation nationale a confirmé ne pas vouloir des offres gratuites de Microsoft Office 365 dans les écoles.
L’objectif de ces décisions est de protéger ces données d’un risque d’utilisation abusive de la part des services de renseignement américains.
Ainsi, un rapport de la DSK du 24 novembre 2022 considère qu’ Office 365 demeure non conforme au RGPD en dépit des efforts consentis par Microsoft.
Les raisons de la non conformité d'Office 365 au RGPD
Sur quels motifs se base l’autorité de protection des données allemande pour constater que ces outils présentent un défaut de conformité RGPD ?
- Les finalités de traitement et les catégories de données personnelles traitées sont insuffisamment décrits dans les contrats : à ce titre, la DSK suggère notamment à la firme d’utiliser les CCT (clauses contractuelles types) ;
- Le cadre contractuel présente un manque de précision concernant les traitements de données réalisés en tant que responsables de traitement ou de sous traitants, c’est-à-dire les traitements réalisés pour le compte de ses clients ou son propre compte ;
- Les bases légales des traitements (article 6 RGPD) ne sont pas suffisamment précisés ;
- Un changement de sous traitant ne fait pas l'objet d’une information suffisamment détaillée comme prévu par les CCT à l’article 28 du RGPD;
- Le cadre contractuel prévoit la possibilité d’un transfert des données personnelles vers les USA. Ces données personnelles étant lisibles par le destinataire, ces transferts ne seraient pas conformes aux exigences de l’arrêt Schrems II.
Office 365 : hébergement des données en France
Microsoft a ouvert des datacenters en France afin que les données des utilisateurs d’office 365 y soient hébergés. Vous n’avez rien à faire pour cela. En effet, dès qu’un utilisateur souscrit un abonnement, ses données sont automatiquement hébergées en France, sans surcoût et avec le même niveau de service.
De plus, la firme a indiqué qu’elle s'opposerait à toute demande d’accès aux données de la part des autorités gouvernementales Américaines.
En proposant le traitement et le stockage des données sur des serveurs situés dans l' union européenne, Microsoft montre sa volonté de se conformer au RGPD et de protéger la vie privée de ses utilisateurs.
⚠️ Cependant, si vous utilisez Microsoft 365, il s’agit d’un transfert vers les états unis même si les données sont hébergées sur des serveurs localisés en Europe.
Office 365 : faut-il arrêter de l’utiliser en France ?
Ces décisions ne concernent que les établissements scolaires et certaines administrations (pour le moment !).
Il n’est pas interdit à une entreprise d’utiliser le cloud d'Office 365. Cependant, comme pour chaque logiciel ou service Américain, il est indispensable de prendre toutes les précautions d’utilisation pour maximiser la sécurité des données personnelles traitées par cet outil.
De plus, en tant que fournisseur, Microsoft n’est pas 100 % responsable des documents déposés sur leur cloud. Microsoft est tenu de maintenir la fiabilité des infrastructures, mais c’est l’utilisateur qui est tenu de mettre en place les bonnes pratiques en matière de sécurité et de configurer les fonctionnalités nécessaires, en conformité avec le RGPD.
Autrement dit, vous devez vous assurer que les données fassent l’objet d’une protection optimale.
3- Comment utiliser Office 365 en conformité avec le RGPD ?
Microsoft 365 offre de nombreuses fonctionnalités de sécurité. Cependant, la plupart ne sont pas activées par défaut. Il est donc nécessaire de les configurer afin d'assurer la sécurité des données personnelles.
Voici 5 bonnes pratiques pour sécuriser votre utilisation d’Office 365 en conformité avec le RGPD :
1- Sauvegarder régulièrement ses données
La protection des données personnelles en cas de perte ou de destruction doit être assurée.
Or, la protection et la sauvegarde des données sont de la responsabilité de l’utilisateur final et non de Microsoft. En effet, Office 365 n’est pas une plateforme de sauvegarde des données.
💡 Il est conseillé d’ :
- Etablir un plan de sauvegarde des données décrivant comment les données sont sauvegardées et les mesures de récupération en cas de perte ;
- Utiliser une solution de sauvegarde dédiée pour isoler les données sauvegardées des données en production.
Microsoft s'assure simplement de la disponibilité des données à tout moment en garantissant la sécurité au niveau de l'infrastructure. En revanche, l’utilisateur est responsable de la sécurité et de la lisibilité des données présentes sur la plateforme. Ainsi, en cas d’attaque, mieux vaut avoir effectué une sauvegarde régulière dans un emplacement physique ou un autre cloud, afin de les restaurer facilement.
2- Gérer scrupuleusement les identités numériques et les accès
Office 365 est une solution conçue pour collaborer au sein de l’entreprise mais aussi en externe. A ce titre, la gestion des accès et des identités numériques constitue une problématique centrale de la plateforme.
Or, c’est à l’utilisateur qu’il revient d’assurer une bonne gestion des accès au cloud.
Pour cela, certaines bonnes pratiques sont à respecter :
- Générer des mots de passe sécurisés et les renouveler régulièrement ;
- Activer l’authentification multifacteurs (MFA) ;
- Identifier des périmètres de confidentialité afin que les utilisateurs ne puissent accéder qu’aux données dont ils ont besoin dans l’exercice de leur mission ;
- Mettre en place un contrôle d’accès basé sur les rôles : le rôle RBAC permet de contrôler l’accès administratif aux différents services par des administrateurs distincts;
- Mettre en place une sécurisation renforcée pour les comptes administrateurs car ils ont normalement un accès plus large aux données et applications, ce qui en fait une cible pour les hackers.
3- Mettre en place une surveillance constante d’Office 365
Un contrôle de sécurité peut être effectué grâce au Centre de sécurité d’Office 365. Le centre de sécurité produit des rapports permettant d’avoir une vision globale de tout l’environnement Office 365.
Ces rapports de sécurité :
- sont mis à jour en temps réel afin de repérer les problèmes;
- proposent des recommandations pour appliquer les bonnes pratiques en matière de sécurité.
Pensez également à utiliser l’outil Degré de sécurisation Microsoft pour disposer d’un tableau de bord centralisé des différentes composantes du système.
En configurant cette fonctionnalité, vous pouvez recevoir des alertes de sécurité.
4- Utiliser des outils de protection contre les menaces de sécurité
La protection de la messagerie est une absolue nécessité car les boites mails sont largement utilisées pour le piratage de données. Nombre de tentatives de phishing passent par l' adresse e mail.
Exchange Online Protection présente des garanties de sécurité de base pour protéger l' adresse e mail contre les différentes menaces de piratage de données. Vous pouvez déployer des stratégies de sécurité prédéfinies pour renforcer la protection contre les spams, les programmes malveillants ou encore les tentatives de phishing.
Vous pouvez également activer le chiffrement des données dans les mails.
Les messageries ne sont toutefois pas les seules à devoir être protégées. Pour aller loin dans la protection de votre écosystème collaboratif Office 365, il est conseillé de mettre en place des outils de sécurité supplémentaires comme :
- Azure Security center : gestion et protection des données dans les environnement cloud hybride ;
- Microsoft Cloud App Security : lutte contre les menaces dans les services et applications cloud.
5- Modifier régulièrement les paramètres de sécurité de Microsoft 365
La configuration de vos paramètres de sécurité ne doit pas être immuable.
Il est important de vérifier et de modifier fréquemment les paramètres de sécurité configurés. Effectuez également toutes les mises à jour nécessaires.
En effet, les méthodes de piratage étant en constante évolution, il est nécessaire de faire un audit des paramètres de sécurité pour les adapter.
En conclusion, en dépit des failles que relèvent les autorités concernant la protection des données, l’utilisation d’Office 365 ne fait l’objet d'une interdiction d’utilisation que pour certains établissements scolaires et services publics.
De plus, la Commission européenne a rédigé une décision d’adéquation en vue d’assurer la conformité des transferts de données personnelles vers les USA. Actualités à suivre donc !
Que votre organisation appartienne au secteur public ou privé, qu'il s'agisse d'une grande entreprise ou d'une pme : soyez très vigilant dans votre utilisation de ces outils. Activez toutes les fonctionnalités de sécurité nécessaires offertes par Microsoft 365.
🔥 Enfin, si vous voulez être certain d’être conforme au RGPD lorsque vous utilisez des outils collaboratifs, le plus sûr reste encore d’opter pour d' autres alternatives françaises pour lesquelles il n’y a aucun transfert de données personnelles en dehors de l'union européenne!
Renseignez-vous notamment sur amespot, Jalios ou encore Netframe. Ces entreprises proposent des alternatives aux services fournis par Microsoft : messagerie, chat, visioconférence, stockage de documents, etc.
👉 Pour vous aider à chaque étape de votre conformité, pensez à utiliser Leto, le logiciel RGPD. Réserver une démo avec nos experts !