lolloj - Fotolia
Microsoft Office divulguerait des données confidentielles, d'après un audit néerlandais
Les données de diagnostic que Microsoft Office collecte sur ses utilisateurs devraient être une source de préoccupation pour tous les RSSI du secteur public, selon un audit du DPIA.
Un rapport commandé par le gouvernement hollandais recommande de désactiver tous les paramètres de Microsoft Office 2016 qui envoient des données aux serveurs Microsoft.
Il conseille également aux utilisateurs qui travaillent dans le secteur public et au gouvernement néerlandais d'envisager d'autres solutions qu'Office.
Une étude d'impact sur la protection des données (Data Protection Impact Assessment ou DPIA) réalisée par Privacy Company pour le compte du ministère de la Sécurité et de la Justice a révélé que Microsoft recueillait d'énormes quantités de données personnelles.
« Microsoft collecte systématiquement des données à grande échelle sur l'utilisation individuelle de Word, Excel, PowerPoint et Outlook ».
« En secret, sans en informer les gens, Microsoft n'offre aucun choix en ce qui concerne la quantité de données, ou la possibilité de désactiver la collecte, ou la capacité de voir quelles données sont collectées, parce que le flux de données est codé », écrit Privacy Company dans un article de blog couvrant ses conclusions.
Bien que Microsoft soit considéré comme un « sous-traitant » de la donnée (« data processor »), le rapport met en garde contre le fait que la façon dont il recueille ces données à des fins de diagnostic signifie que Microsoft devrait être classé comme une responsabilité conjointe (« joint-controller ») au sens de l'article 26 du RGPD.
Le rapport du DPIA recommandait aux utilisateurs du gouvernement néerlandais de configurer le paramètre "zero exhaust" de Microsoft Office pour empêcher les fuites de données sensibles. Il recommande également d'interdire de manière centralisée l'utilisation de Microsoft Connected Services pour la vérification orthographique et la traduction linguistique, ainsi que de désactiver l'accès à SharePoint Online, OneDrive Online et la version Web de Office 365 Live.
Il recommande enfin aux administrateurs de supprimer périodiquement le compte Active Directory de certains utilisateurs VIP et d'en créer de nouveaux, afin que Microsoft supprime l'historique de leurs données collectées.
Le DPIA exhorte les utilisateurs gouvernementaux à envisager d'utiliser un déploiement sans compte Microsoft pour préserver les données confidentielles/sensibles.
Ce conseil est néanmoins en contradiction avec la stratégie de Microsoft qui a activement poussé son produit SaaS (Software as a Service) plutôt que Office sur site ces dernières années.
Comme le font remarquer nos confrères de Computer Weekly (groupe Techtarget, également propriétaire du MagIT) qui l'ont déjà signalé, avec Office 2019, les utilisateurs gouvernementaux constatent une forte hausse du prix de la version sur site par rapport au produit SaaS, ce qui signifie effectivement qu'il leur faudra payer plus cher pour garder leurs données sensibles entièrement privées.