Le 21 janvier 2026, l'autorité autrichienne de protection des données (DSB) a rendu une décision qui devrait inquiéter chaque école utilisant Microsoft 365 Education : l'entreprise a illégalement installé des cookies de suivi sur l'appareil d'un élève sans consentement valide.
C'est la deuxième fois que Microsoft perd un cas RGPD en Autriche concernant son logiciel éducatif. Et les détails révèlent un problème plus profond : les écoles sont tenues responsables de violations de la vie privée dont elles ne savent même pas qu'elles se produisent.
Ce que Microsoft a réellement fait
Selon le régulateur autrichien, Microsoft 365 Education a installé des cookies qui : analysent le comportement des utilisateurs, collectent des données liées au navigateur et sont utilisés à des fins publicitaires et analytiques.
Ce n'étaient pas des cookies techniquement nécessaires pour fournir le service éducatif. C'étaient des cookies de suivi - et ils ont été placés sur l'appareil d'un mineur sans aucune base juridique valide au titre de l'article 6 du RGPD.
L'autorité autrichienne a été explicite : le droit de l'UE exige un consentement explicite pour les cookies non essentiels, surtout quand des mineurs sont impliqués. Microsoft n'avait pas un tel consentement.
Les écoles ne savaient pas
Voici la partie qui devrait inquiéter les éducateurs : tant l'école que le ministère autrichien de l'Éducation ont déclaré ne pas avoir connaissance de ces cookies de suivi avant que le groupe de défense de la vie privée noyb ne dépose des plaintes.
Réfléchissez à cela. Une école a adopté Microsoft 365 Education - un produit commercialisé spécifiquement pour l'usage éducatif - et n'avait aucune idée qu'il suivait les élèves à des fins publicitaires. Le ministère qui supervise l'éducation ne le savait pas non plus.
Ce n'est pas inhabituel. Les grands éditeurs de logiciels ont un pouvoir de marché énorme. Les écoles acceptent des contrats standard avec peu de marge de négociation. Les conditions d'utilisation sont denses, techniques et souvent incompréhensibles même pour les professionnels IT. Les écoles font confiance au fait que les produits "éducation" sont appropriés pour les contextes éducatifs.
Cette confiance était mal placée.
La défense de Microsoft - et pourquoi elle a échoué
Microsoft a tenté deux arguments, tous deux rejetés par l'autorité autrichienne :
Premièrement, Microsoft a affirmé ne pas être le responsable du traitement - qu'il traitait simplement les données pour le compte des écoles, rendant les écoles responsables. La DSB a rejeté cela, notant que Microsoft prend les décisions clés sur la conception du produit et le traitement des données, y compris l'utilisation de cookies. C'est Microsoft Corporation aux États-Unis, pas les écoles, qui a décidé d'installer des cookies de suivi.
Deuxièmement, Microsoft a tenté de déplacer la juridiction vers l'Irlande, arguant que sa filiale irlandaise devrait traiter le cas (l'Irlande est connue pour une application plus lente du RGPD). La DSB a également rejeté cela, jugeant que c'est Microsoft Corporation basé aux États-Unis qui prend les décisions pertinentes.
La réponse de Microsoft à la décision ? "Microsoft 365 for Education répond à toutes les normes de protection des données requises." Ils examinent la décision.
Ce n'est pas la première fois
En octobre 2025, la même autorité autrichienne a statué sur une plainte séparée contre Microsoft 365 Education. Ce cas a constaté que Microsoft violait le droit d'accès prévu à l'article 15 du RGPD - essentiellement, quand un élève a demandé quelles données Microsoft avait sur lui, Microsoft ne pouvait pas (ou ne voulait pas) répondre complètement.
Les autorités allemandes de protection des données ont déjà conclu que Microsoft 365 ne satisfait pas aux exigences du RGPD.
Microsoft 365 Education est utilisé par des millions d'élèves et enseignants à travers l'Europe. Si le suivi des utilisateurs sans consentement est un comportement standard, ce n'est pas seulement un problème autrichien - c'est un problème européen.
Ce que cela signifie pour les écoles
Sous le RGPD, les écoles peuvent être tenues responsables du traitement de données qui se produit sous leur supervision - même quand elles n'en avaient pas connaissance, même quand elles n'auraient pas pu négocier des conditions différentes.
La décision autrichienne a réprimandé tant l'école que le ministère de l'Éducation pour ne pas avoir informé les élèves de la collecte et de la divulgation de leurs données personnelles. En d'autres termes : l'ignorance n'est pas une défense.
Cela crée une situation impossible. Les écoles n'ont pas l'expertise technique pour auditer le code de Microsoft. Elles ne peuvent pas lire les cookies placés. Elles comptent sur les fournisseurs pour être honnêtes sur ce que fait leur logiciel.
Quand cette confiance s'effondre, les écoles font face à une exposition juridique pour des violations qu'elles n'avaient aucun moyen de prévenir.
L'alternative : des plateformes qui ne traquent pas
Toutes les plateformes ne fonctionnent pas comme Microsoft. Certaines sont construites avec la vie privée comme principe fondamental plutôt que comme réflexion après coup.
Chez Simpleclass, nous avons fait des choix délibérés :
Pas de cookies de suivi. Nous n'installons pas de cookies qui analysent le comportement des utilisateurs à des fins publicitaires. Point. Il n'y a rien à consentir parce que nous ne le faisons tout simplement pas.
Collecte minimale de données. Nous ne collectons que ce qui est nécessaire au fonctionnement de la plateforme : comptes, plannings de session et les données vidéo/audio nécessaires aux cours. Nous ne construisons pas de profils comportementaux.
Analytique côté serveur uniquement. Nous utilisons des analytiques respectueuses de la vie privée pour comprendre les performances de notre plateforme - pas pour suivre des élèves individuels. Aucune donnée personnelle n'est partagée avec des réseaux publicitaires.
Nous ne vendons pas de données. Les données de vos élèves vous appartiennent. Nous ne les monétisons pas. Nous ne les partageons pas avec des tiers pour leurs propres fins.
Entreprise européenne, serveurs européens. Simpleclass est une entreprise néerlandaise avec des serveurs aux Pays-Bas et en France. Nous ne sommes pas soumis au US CLOUD Act. Vos données restent dans l'UE, sous le droit de l'UE. Et comme la controverse du rapport cloud du gouvernement néerlandais l'a montré, les risques de l'infrastructure américaine ne sont pas théoriques.
Questions à poser à votre plateforme actuelle
Si vous gérez une école ou un centre de soutien, la décision autrichienne devrait susciter des questions difficiles sur votre plateforme vidéo actuelle :
- Quels cookies la plateforme place-t-elle ? Sont-ils tous techniquement nécessaires ?
- Le comportement des utilisateurs est-il suivi à des fins publicitaires ou analytiques ?
- Qui est le véritable responsable du traitement - vous ou le fournisseur ?
- Pouvez-vous obtenir une réponse claire et complète sur les données collectées sur vos élèves ?
- Où le fournisseur est-il constitué ? Est-il soumis à des lois étrangères d'accès aux données ?
Si vous ne pouvez pas obtenir de réponses claires, c'est un problème. Comme le cas autrichien le montre, "nous ne savions pas" ne vous protège pas des actions réglementaires.
La vie privée n'est pas optionnelle
Max Schrems, fondateur de noyb, a résumé la décision : "Les entreprises et autorités de l'UE devraient utiliser des logiciels conformes. Microsoft a une fois de plus échoué à respecter la loi."
Pour les écoles, le message est clair : choisir une plateforme n'est pas qu'une question de fonctionnalités et de prix. C'est une question de savoir si le fournisseur respecte la vie privée de vos élèves - et si vous pouvez lui faire confiance pour être honnête sur ce qu'il fait avec les données.
Simpleclass existe parce que nous croyons que les centres de soutien méritent mieux que d'être pris entre les feux des violations de vie privée des Big Tech. Nous avons construit une plateforme qui fait ce dont les écoles ont besoin - monitoring des salles de groupe, enregistrement de session, planification simple - sans la surveillance qui accompagne les logiciels d'entreprise reconvertis pour l'éducation.
Vos élèves ne sont pas des produits. Leurs données ne devraient pas l'être non plus.