Microsoft 365 : défaut de confidentialité pour la clientèle pro ?

Microsoft Office 365 données confidentialité

Microsoft fait face à une tentative de recours collectif aux États-Unis pour une exploitation prétendument abusive de données de clients pros.

Microsoft respecte-t-il bien les engagements qu’il prend vis-à-vis de ses clients Office 365 en matière de confidentialité ? Frank D. Russo en doute.

Ce résident californien utilise Microsoft 365 Business Standard (ex-Office 365 Business Premium) depuis août 2015. Il a engagé des poursuites contre la firme et tente de monter une class action, avec l’appui de deux autres plaignants. D’un côté, un cabinet de conseil juridique abonnée à Microsoft 365 Business Basic (ex-Office 365 Business Essentials) depuis février 2016. De l’autre, une entreprise de marketing qui exploite Microsoft 365 Business Standard (ex-Office 365 Business Premium) depuis avril 2016.

Se détachent trois griefs à l’encontre de Microsoft.

Premièrement, le partage de données avec Facebook, sans information adéquate ni consentement. Y compris quand ni les clients, ni leurs contacts ne sont membres du réseau social. Une fonctionnalité qu’on peut désactiver, mais uniquement après avoir activé Microsoft 365 ou Exchange Online. Si bien que dans ces conditions, « le mal est déjà fait », d’après les plaignants.

Microsoft trop gourmand ?

Deuxièmement, de façon plus large, la transmission de données à « des centaines de sous-traitants » – dont certains ont « subi des incidents de sécurité » même si cela n’est pas nécessaire au fonctionnement des services fournis. Seule une petite partie des données seraient en outre effectivement chiffrées avant transfert, à l’image des numéros de carte bancaire et de sécurité sociale. Et les sous-traitants n’auraient pas davantage de consignes en la matière.

Troisièmement, l’exploitation du contenu des e-mails, documents, contacts, agendas, etc. pour développer des produits et des services… et en tirer un bénéfice. Parfois direct, et parfois indirect, en apportant de la matière à des développeurs tiers qui enrichissent l’écosystème Office 365. Les plaignants mentionnent, entre autres, l’API Security Graph. Et soulignent que par défaut, à l’installation de la suite bureautique, Microsoft collecte des données pour son assistant Cortana, quand bien même le client ne s’en sert pas.

Autre constat : que ce soit dans sa documentation technique ou commerciale, Microsoft martèle ses engagements, parmi lesquels :

  • N’utiliser les données de ses clients pour aucun autre but que de fournir les services auxquels ils ont souscrit
  • Ne pas transférer de données à des tiers, y compris à des fins de stockage… en tout cas pas sans « accord écrit préalable »
  • Garantir aux clients les pleins droits sur leurs données

Du côté de Microsoft, on rejette ces allégations qu’on considère comme « insuffisamment spécifiques ».

Photo d’illustration ©REDPIXEL – stock.adobe.com