En Autriche, l’autorité nationale de protection des données a ordonné à Microsoft de mettre fin, sous quatre semaines, au suivi numérique d’élèves utilisant la suite Microsoft 365 Education. La décision, rendue publique le 27 janvier 2026, conclut que des cookies de traçage ont été installés et exploités sans consentement valable, en violation du règlement général sur la protection des données (RGPD).
Cette affaire concerne directement l’usage de logiciels numériques dans les établissements scolaires et soulève la question du respect de la vie privée des mineurs dans un cadre éducatif où l’utilisation de ces outils est souvent obligatoire.
Des cookies installés sans information préalable
Selon l’autorité autrichienne, Microsoft a déployé, lors de l’utilisation de Microsoft 365 Education, plusieurs cookies permettant d’identifier les navigateurs, d’analyser le comportement des utilisateurs et de collecter des données de navigation. Ces cookies servaient notamment à des finalités décrites par l’entreprise comme liées à l’analyse d’usage et à des opérations publicitaires.
Ni les établissements scolaires concernés ni le ministère autrichien de l’Éducation n’ont affirmé avoir eu connaissance de l’existence de ces dispositifs de traçage avant le dépôt de plaintes. L’autorité relève ainsi une absence d’information claire et préalable, condition pourtant exigée par le RGPD, en particulier lorsqu’il s’agit de mineurs.
Une plainte portée par la société civile
La procédure trouve son origine dans deux plaintes déposées en juin 2024 par noyb – European Center for Digital Rights, l’organisation fondée par le juriste Max Schrems. Le cas concernait une élève scolarisée en Autriche, dont le père avait demandé à Microsoft l’accès aux données personnelles traitées dans le cadre de l’utilisation de Microsoft 365.
Microsoft avait alors redirigé ces demandes vers l’établissement scolaire, affirmant que celui-ci était le responsable du traitement. L’école avait pour sa part indiqué ne gérer que l’adresse électronique de l’élève, sans accès aux autres données collectées. Cette dilution des responsabilités a été explicitement critiquée par l’autorité autrichienne.
Le rejet de la stratégie de renvoi vers l’Irlande
Au cours de la procédure, Microsoft a tenté de faire valoir que la responsabilité réglementaire relevait de sa filiale irlandaise, Microsoft Ireland Operations Limited, chargée des produits Microsoft 365 en Europe. L’autorité autrichienne a rejeté cet argument, estimant que les décisions essentielles concernant le fonctionnement et le déploiement des cookies étaient prises par la maison mère américaine.
Cette position s’inscrit dans un contexte plus large de critiques adressées à certaines multinationales du numérique, accusées de chercher à centraliser les procédures de contrôle en Irlande, pays régulièrement jugé peu dissuasif dans l’application du RGPD.
Des implications pour l’ensemble du secteur éducatif
Microsoft 365 Education est utilisé par des millions d’élèves et d’enseignants à travers l’Europe. La décision autrichienne ne se limite donc pas à un cas isolé. Elle établit un principe clair : le déploiement de cookies de suivi à des fins non strictement techniques nécessite un consentement explicite, y compris – et surtout – dans un cadre scolaire.
En Autriche, pour les mineurs de moins de 14 ans, ce consentement doit être donné par les parents. Or, l’autorité a constaté que les cookies concernés étaient activés par défaut, sans mécanisme de consentement préalable, en contradiction avec les exigences de protection des données dès la conception prévues par le RGPD.
La décision distingue les responsabilités respectives des acteurs impliqués. Microsoft est considéré comme responsable du traitement pour les opérations de suivi qu’il met en œuvre à ses propres fins. Les établissements scolaires et le ministère de l’Éducation demeurent responsables des traitements relevant de leur périmètre, mais ne peuvent remplir leurs obligations de transparence si l’éditeur du logiciel ne fournit pas d’informations complètes sur les mécanismes techniques en jeu.
Les autorités ont donné dix semaines aux institutions éducatives pour fournir une information exhaustive sur les données transmises à Microsoft, tandis que l’entreprise dispose de quatre semaines pour mettre fin au traçage et, le cas échéant, supprimer les données collectées illégalement.
Cette décision intervient alors que plusieurs autorités européennes, notamment en Allemagne, appellent à renforcer les protections spécifiques accordées aux mineurs dans le cadre du RGPD. Le cas autrichien illustre les difficultés posées par l’utilisation de technologies commerciales dans un environnement scolaire, où les élèves et leurs familles ne disposent pas d’une réelle liberté de choix.
Sans remettre en cause l’usage du numérique à l’école, l’autorité autrichienne rappelle que la protection des données personnelles des enfants ne saurait être subordonnée à des considérations techniques ou contractuelles.
[cc] Article rédigé par la rédaction de breizh-info.com et relu et corrigé (orthographe, syntaxe) par une intelligence artificielle.
Breizh-info.com, 2026, dépêches libres de copie et de diffusion sous réserve de mention obligatoire et de lien do follow vers la source d’origine.
