Discussion :

[Jade Emy]

Microsoft viole la vie privée des enfants, mais blâme votre école locale, lorsque les élèves ont voulu exercer leurs droits en vertu du RGPD, Microsoft a déclaré que les écoles étaient les responsables.

Selon Noyb, Microsoft viole la vie privée des enfants, mais rejette la faute sur votre école locale. Lorsque les élèves ont voulu exercer leurs droits en vertu du RGPD, Microsoft a déclaré que les écoles étaient "responsables du traitement de leurs données.

NOYB - European Center for Digital Rights (stylisé comme "noyb", de "none of your business") est une organisation à but non lucratif basée à Vienne, en Autriche, établie en 2017 avec un objectif paneuropéen. Cofondée par l'avocat autrichien et militant pour la protection de la vie privée Max Schrems, NOYB vise à lancer des affaires judiciaires stratégiques et des initiatives médiatiques en faveur du règlement général sur la protection des données (RGPD), de la proposition de règlement ePrivacy et de la confidentialité des informations en général.

À la suite de la pandémie, les écoles de l'Union européenne ont commencé à mettre en place des services numériques pour l'apprentissage en ligne. Si ces efforts de modernisation sont les bienvenus, un petit nombre de grandes entreprises technologiques ont immédiatement tenté de dominer l'espace, souvent dans l'intention d'habituer les enfants à leurs systèmes et de créer une nouvelle génération de futurs clients "fidèles". L'une d'entre elles est Microsoft.

Selon Noyb, les services 365 Education de Microsoft violent les droits des enfants en matière de protection des données. Lorsque les élèves ont voulu exercer leurs droits en vertu du RGPD, Microsoft a déclaré que les écoles étaient le "responsable du traitement" de leurs données. Or, les écoles n'ont aucun contrôle sur les systèmes.

Transfert de responsabilité entre les grandes entreprises et les écoles locales

Les fournisseurs de logiciels tels que Microsoft disposent d'un énorme pouvoir de marché qui leur permet de dicter les termes et conditions des contrats conclus avec tous ceux qui souhaitent utiliser leurs produits. Dans le même temps, ces fournisseurs de logiciels tentent d'esquiver la responsabilité en insistant sur le fait qu'elle incombe presque entièrement aux autorités locales ou aux écoles.

En réalité, ni les uns ni les autres n'ont le pouvoir d'influencer la manière dont Microsoft traite les données des utilisateurs. Au contraire, elles sont confrontées à une situation à prendre ou à laisser, où tout le pouvoir de décision et les bénéfices reviennent à Microsoft, tandis que les écoles sont censées supporter la plupart des risques. Les écoles n'ont aucun moyen réaliste de négocier ou de modifier les conditions.

Les droits liés au RGPD sont ignorés

En pratique, cela conduit à une situation où Microsoft tente de se décharger contractuellement de la plupart de ses responsabilités légales en vertu du RGPD sur les écoles qui fournissent des services Microsoft 365 Éducation à leurs élèves ou étudiants. Cela signifie, par exemple, que les demandes d'accès à Microsoft restent sans réponse, alors que les écoles n'ont aucun moyen réaliste de se conformer à ces demandes parce qu'elles ne détiennent pas les données nécessaires.

Maartje de Graaf, avocate spécialisée dans la protection des données chez noyb, déclare :

Cette approche à prendre ou à laisser de la part des fournisseurs de logiciels tels que Microsoft transfère toutes les responsabilités liées au RGPD aux écoles. Microsoft détient toutes les informations clés sur le traitement des données dans son logiciel, mais pointe du doigt les écoles lorsqu'il s'agit d'exercer leurs droits. Les écoles n'ont aucun moyen de se conformer aux obligations de transparence et d'information.

Détaché de la réalité

En Autriche, où noyb a déposé ses deux plaintes, les directeurs d'école locaux sont censés être chargés de déterminer les "finalités et moyens" en vertu de l'article 4, paragraphe 7, du RGPD et d'assurer la conformité face à des fournisseurs de logiciels internationaux tels que Microsoft. Il en résulte un régime de conformité qui est complètement détaché de la réalité du traitement des données.

Maartje de Graaf ajoute :

Dans le cadre du système actuel que Microsoft impose aux écoles, votre école devrait auditer Microsoft ou lui donner des instructions sur la manière de traiter les données des élèves. Tout le monde sait que de tels arrangements contractuels sont déconnectés de la réalité. Ce n'est rien d'autre qu'une tentative de déplacer la responsabilité des données des enfants aussi loin que possible de Microsoft.

Un labyrinthe de documents sur la protection de la vie privée

Essayer de savoir exactement quelles politiques de confidentialité ou quels documents s'appliquent à l'utilisation de Microsoft 365 Education est une expédition en soi. Il y a un sérieux manque de transparence, obligeant les utilisateurs et les écoles à naviguer dans un labyrinthe de politiques de confidentialité, de documents, de termes et de contrats qui semblent tous s'appliquer. Les informations fournies dans ces documents sont toujours légèrement différentes, mais toujours vagues sur ce qu'il advient réellement des données des enfants lorsqu'ils utilisent les services de Microsoft 365 Education.

Maartje de Graaf conclue :

Microsoft fournit des informations si vagues que même un juriste qualifié ne peut pas comprendre pleinement comment l'entreprise traite les données personnelles dans Microsoft 365 Education. Il est pratiquement impossible pour les enfants ou leurs parents de découvrir l'étendue de la collecte de données par Microsoft.

Le suivi secret des enfants

Mais ce n'est pas le seul problème qui se pose. Bien que le plaignant n'ait pas consenti au suivi, Microsoft 365 Education a tout de même installé des cookies qui, selon la documentation de Microsoft, analysent le comportement de l'utilisateur, collectent des données sur le navigateur et sont utilisés à des fins publicitaires. Ce suivi, qui est généralement utilisé pour un profilage très invasif, est apparemment effectué sans que l'école du plaignant ne le sache.

Microsoft 365 Education étant largement utilisé, l'entreprise est susceptible de suivre tous les mineurs qui utilisent ses produits éducatifs. L'entreprise ne dispose d'aucune base juridique valable pour ce traitement.

Felix Mikolasch, avocat spécialiste de la protection des données chez noyb, déclare :

Notre analyse des flux de données est très inquiétante. Microsoft 365 Education semble suivre les utilisateurs quel que soit leur âge. Cette pratique est susceptible d'affecter des centaines de milliers d'élèves et d'étudiants dans l'UE et l'EEE. Les autorités devraient enfin prendre des mesures pour faire respecter les droits des mineurs.

D'innombrables enfants sont concernés.

Noyb demande à l'autorité autrichienne de protection des données (DSB) d'enquêter et d'analyser de manière factuelle les données traitées par Microsoft 365 Education. Ni la documentation de confidentialité de Microsoft, ni les demandes d'accès, ni les propres recherches de noyb n'ont pu pleinement clarifier cela, ce qui viole les dispositions du RGPD en matière de transparence. En outre, l'entreprise n'a pas respecté le droit d'accès.

Étant donné que les conditions générales et la documentation sur la confidentialité de Microsoft 365 Éducation sont uniformes pour l'UE/EEE, tous les enfants vivant dans ces pays sont exposés aux mêmes violations de leurs droits en vertu du RGPD. Par conséquent, Noyb suggère également que l'autorité impose une amende à Microsoft.

Source : Noyb

Et vous ?

Pensez-vous que cette analyse de Noyb soit crédible ou pertinente ?
Quel est votre avis sur le sujet ?

Voir aussi :

74% des experts affirment que les autorités chargées de la protection des données trouveraient des "violations du RGPD" dans les entreprises si elles les examinaient, selon Noyb

L'Éducation nationale confirme la fin des offres gratuites Office365 et Google Workspace dans les écoles en raison du non-respect du RGPD, emboîtant le pas à l'Allemagne, au Danemark et aux Pays-Bas

L'utilisation de Microsoft 365 par la Commission européenne viole la loi sur la protection des données pour les institutions et organes de l'UE. Le CEPD impose des mesures correctives à la Commission

[Jules34]

Bel angle d'attaque. Les autrichiens ils sont assez réputés pour leurs grandes class action à l'européenne la ou des avocats Français peinent encore à faire des actions collectives à l'échelle de la France...

Max Schrems est super connu pour ça (autrichien aussi) s'était fait facebook il y a un bail et avait gagné, pareil en attaquant sur le front de la protection des données utilisateurs. C'était sur la faille Cambridge Analytic.

Il vient d'attaquer OpenAi sur les mêmes bases

La plainte contre OpenAI porte notamment sur les « hallucinations » du modèle de langage ChatGPT, c’est-à-dire les réponses erronées fournies par celui-ci.

En effet, au lieu reconnaître qu’il ne connait pas la réponse, ce type d’outil d’IA « invente régulièrement des réponses », met en garde Noyb dans un communiqué.

D’autant plus que OpenAI est consciente du problème, mais ne semble pas s’en inquiéter, poursuit l’association.

Les grands modèles de langage, tels que ChatGPT, fonctionnent en anticipant les mots les plus susceptibles d’être utilisés en réponse à certaines questions. Parfois, le modèle peut faire de mauvaises suggestions pour compléter une phrase, ce qui donne lieu à une réponse incorrecte.

C’est « inacceptable » pour les informations concernant les individus, estime Noyb.

En effet, depuis 1995, la législation européenne exige que les données personnelles soient exactes, et ce principe est inscrit dans le RGPD, a insisté l’organisation à but non lucratif.

Noyb a cité l’exemple d’une personnalité publique dont la date de naissance n’est pas disponible en ligne. Lorsque l’agent conversationnel ChatGPT a été interrogé sur cette date, il a inventé une réponse qui s’est avérée être fausse.


AI Act : des experts alertent sur le fait que la technologie pourrait dépasser la règlementation
Une des dispositions les plus importantes de la loi sur l’IA visant à évaluer les risques des modèles de fondation tels que le ChatGPT pourrait devenir obsolète d’ici un an au vu du rythme auquel les technologies évoluent, ont expliqué des experts à Euractiv.

Accès et effacement des données
OpenAI a donné une réponse insatisfaisante à une demande d’accès aux données et d’effacement de celles-ci datant de décembre 2023, toujours en lien avec l’exemple de la date d’anniversaire erronée.

En vertu du RGPD, les responsables du traitement des données sont tenus de donner aux personnes le souhaitant l’accès aux informations concernant le traitement de leurs données personnelles (informations disponibles, sources de celles-ci, personnes y ayant accès) et de les effacer à leur demande, hormis dans certains cas très spécifiques.

Dans l’exemple pris par Noyb, la société n’a fourni que les données du compte de l’utilisateur à l’origine de la demande, mais aucune information sur le traitement des données le concernant, selon l’association basée à Vienne.

En outre, il est indiqué dans la plainte qu’OpenAI a déclaré qu’elle pouvait seulement empêcher le modèle de donner une réponse à la question concernant la date de naissance, mais qu’elle ne pouvait pas corriger la réponse fournie.

La société californienne aurait jugé qu’empêcher ChatGPT de fournir une réponse erronée quant à la date d’anniversaire aurait conduit à ce que davantage d’informations sur la personne concernée soient bloquées par l’outil, ce qui aurait entravé le droit à l’information des citoyens sur cette personne, qui est une personnalité connue.

« ChatGPT ne peut pas corriger les informations, ne peut pas les bloquer de manière sélective et toute personne concernée doit simplement vivre avec cette situation — selon le responsable du traitement [des données] », indique la plainte.

Je trouve ça trop marrant qu'il les prennes à leur propre jeu.

[Anselme45]

Pas uniquement les enfants!

Microsoft viole la vie privée de la totalité de ses utilisateurs!!!!!!