Blog

Microsoft et le secret professionnel médical …..

Microsoft, e-mail et secret professionnel médical

Ce que vous devez savoir sur la confidentialité et la sécurité Juin 2026

Contenu

Microsoft peut-il lire vos e-mails?

Réponse courte: Oui, techniquement c'est possible.

Si vous utilisez Outlook, Exchange ou Microsoft 365, vos e-mails se trouvent sur des serveurs Microsoft. En théorie, ils y ont accès. Voici comment cela fonctionne:

Numérisations automatiques Microsoft analyse tous les e-mails avec Defender pour Office 365 pour empêcher le spam, les logiciels malveillants et le phishing. Selon leur propre documentation, parfois, les employés recherchent également un filtrage de sécurité.

Accès à l’IA via Copilot Le copilote AI Assistant de Microsoft 365 a accès à l'ensemble de votre boîte aux lettres par défaut, sauf si vous le désactivez. Copilot peut résumer, rechercher et analyser des e-mails.

Loi CLOUD Cette loi donne aux autorités américaines le droit de demander des données à des sociétés américaines telles que Microsoft, quel que soit l'endroit où se trouvent ces données. Ainsi, même si vos e-mails se trouvent dans un centre de données européen, les États-Unis peuvent les réclamer. La loi CLOUD n'est pas la seule loi qui rend cela possible. Depuis les années 1980, les lois américaines telles que le Stored Communications Act et la FISA ont conféré ces pouvoirs au gouvernement.

Boîte de verrouillage du client Pour les entreprises qui utilisent Microsoft 365, Customer Lockbox existe: Les employés de Microsoft ne peuvent accéder aux données qu'avec le consentement du client. Mais cela ne s'applique pas si le gouvernement américain donne un ordre.

Microsoft fait-il vraiment ça?

Microsoft dit qu'il ne lit pas les e-mails par défaut. Les gens ne surveillent que dans des cas exceptionnels, par exemple pour le filtrage de sécurité ou si la loi l'exige.

Mais dans la pratique, cela s'est produit:

  • Defender pour Office 365 scanne toujours les e-mails, et parfois les employés surveillent les recherches.
  • Bug du copilote (2026): Une erreur a permis à Copilot de lire des courriels confidentiels et sécurisés même si les organisations les avaient bloqués.
  • Loi CLOUD : Microsoft a confirmé qu'ils devront remettre des données si les États-Unis l'exigent.
  • Scandale du règlement sur les services numériques (2026): Microsoft a partagé des documents internes avec une commission américaine, y compris les noms et adresses e-mail des responsables néerlandais sans les anonymiser.
  • Données de diagnostic: La recherche montre que Microsoft collecte des métadonnées sur qui appelle ou discute avec qui dans Teams, également dans les gouvernements néerlandais.

Événements récents

Des noms de fonctionnaires néerlandais divulgués aux États-Unis

En mai 2026, il est apparu que Microsoft avait transmis des documents internes, y compris des courriels, des procès-verbaux et des invitations à une commission américaine. C'est là que se tenait le Noms et coordonnées des fonctionnaires néerlandais ACM et l'Autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens), qui travaillent sur la législation européenne sur les services numériques (DSA).

La Commission américaine avait forcé Microsoft à partager ces documents par le biais d'une assignation à comparaître. Microsoft s'est conformé, mais ne va pas anonymiser les données personnelles.

Les secrétaires d'État Aerdts (Affaires numériques) et Van der Burg (Affaires intérieures) l'ont qualifié d'extrêmement inquiétant.

Sources : Pays-Bas libres, NIS, Gouvernance nationale

Copilot lit les e-mails confidentiels

En février 2026, Microsoft a découvert une erreur dans Copilot: AI pourrait lire et résumer des courriels confidentiels, même si elles ont été marquées comme confidentielles et devrait être hors de portée de Copilot.

Le bug a été actif à partir du 21 janvier 2026. En conséquence, Copilot a pu afficher les e-mails dans les dossiers Concepts et Éléments envoyés, y compris les messages avec des balises de sécurité.

Sources : TechCrunch, CyberNews

Loi CLOUD : Les États-Unis peuvent exiger des données

En 2025, Microsoft a officiellement confirmé: En vertu de la loi CLOUD, ils doivent fournir les données des clients aux autorités américaines s'il existe un ordre juridique à cet effet, quel que soit l'endroit où se trouvent ces données.

Donc, même si vos e-mails sont dans un centre de données européen, les États-Unis peuvent les réclamer parce que Microsoft est une entreprise américaine.

Sources : Communauté Néerlandaise du Cloud, Intermax

Risques pour la vie privée dans l'éducation et le gouvernement

Une étude de Privacy Company (commanditée par Justice et SURF) a révélé des risques dans l'utilisation de Microsoft Teams, OneDrive et SharePoint par le gouvernement et les universités.

Microsoft a collecté des données de diagnostic sur l'utilisation individuelle: qui appelle ou discute avec qui, quels documents sont ouverts, etc. Ces risques sont restés même après des accords sur la vie privée.

Le rapport conclut que Microsoft doit faire plus d'ajustements. Si les régulateurs européens évaluent les risques encore plus élevés, les organisations néerlandaises pourraient ne plus être autorisées à utiliser les services cloud américains.

Source : Sécurité.NL

Données partagées avec Facebook

En 2020, Microsoft a été poursuivie pour avoir prétendument partagé des données clients, y compris des courriels, des calendriers et des documents avec des tiers tels que Facebook via Microsoft 365. Même si ni le client ni ses contacts n'avaient de compte Facebook.

Microsoft a nié et a déclaré qu'il dispose de solides protections de la vie privée. Mais l'affaire montre que les données des clients peuvent atteindre des tiers commerciaux de manière non transparente.

Source : AlternativeTo/Le registre

Vulnérabilité en vertu de la loi américaine

Modèles d’IA anthropologique appliqués par les États-Unis (juin 2026) En 2026, le gouvernement américain a forcé l'accès aux modèles d'IA et aux données des clients d'Anthropic, une société d'IA de premier plan. Cela montre que non seulement les données cloud traditionnelles, mais aussi les systèmes d'IA les plus avancés sont soumis à la coercition juridique américaine. Pour les utilisateurs européens, cela signifie que leurs interactions avec ces systèmes peuvent également tomber entre les mains des autorités américaines.

Trump et la loi CLOUD: Des décennies de législation en action Ce que fait Trump n'est pas une surprise. La loi CLOUD (2018) n'est que la dernière d'une longue lignée de lois américaines qui habilitent le gouvernement à exiger des données des entreprises américaines. Depuis les années 1980, des lois telles que le Stored Communications Act (1986) et le Foreign Intelligence Surveillance Act (FISA, 1978) ont donné cette possibilité au gouvernement américain. Sous l'administration Trump (2017-2021), ces pouvoirs ont été activement et à contrecœur utilisés pour demander des données aux entreprises technologiques. Il ne s'agit pas d'une nouvelle politique, mais d'une Des décennies de pratiques existantes C'est quelque chose que chaque président américain peut et fera.

Cour FISA et collecte massive de données La Cour de surveillance du renseignement étranger (FISA Court) émet des milliers d'ordonnances de collecte de données chaque année. En 2023, il a été révélé que Microsoft était l’une des entreprises les plus appropriées pour les demandes FISA. Cela concernait non seulement des suspects spécifiques, mais aussi la collecte de données de masse qui s'empare involontairement des citoyens européens.

Décret exécutif 12333 (1981) Ce décret, signé par le président Reagan en 1981, donne aux agences de renseignement américaines le pouvoir d'intercepter les communications étrangères. Dans le cadre de cet ordre, les données des citoyens européens ont également été collectées par l'intermédiaire d'entreprises technologiques américaines. Trump n'a pas introduit ces pouvoirs, mais il les a activement utilisés pendant son mandat.

Conclusion : un problème structurel Ces exemples montrent qu'il ne s'agit pas de savoir si les États-Unis peuvent accéder à vos données, mais quand. Chaque président américain, qu'il s'agisse de Biden, de Trump ou d'un futur dirigeant, a l'autorité légale et les ressources nécessaires pour exiger des données des entreprises technologiques américaines. Pour les Pays-Bas et l'Europe, cela signifie vulnérabilité structurelle Elle ne peut être résolue uniquement par des mesures techniques.

Autres cas où Microsoft a traité des données européennes de manière non sécurisée

Amende de LinkedIn en Irlande (2022) LinkedIn, propriété de Microsoft, a été condamné à une amende de 4,5 millions d'euros par le régulateur irlandais DPC pour avoir divulgué des données personnelles de 500 millions d'utilisateurs. Parmi ces utilisateurs figuraient également de nombreux Européens, dont des Néerlandais.

Microsoft 365 interdit dans les écoles allemandes (2022-2024) Plusieurs États allemands, dont la Hesse et le Bade-Wurtemberg, ont interdit l'utilisation de Microsoft 365 dans les écoles parce qu'il n'était pas conforme au RGPD. La raison: Les autorités américaines pouvaient accéder aux données par le biais du CLOUD Act, et Microsoft ne pouvait pas garantir que les données européennes resteraient en Europe.

Amende en France (2022) Le régulateur français CNIL a condamné Microsoft à une amende de 60 millions d'euros pour avoir installé des cookies sur les appareils des utilisateurs français sans leur consentement. Cela inclut les utilisateurs de Windows 10.

Le Danemark suspend Microsoft 365 (2023) Le gouvernement danois a suspendu l'utilisation de Microsoft 365 dans certaines administrations publiques après une analyse des risques. La raison: La loi CLOUD a rendu impossible de garantir que les données gouvernementales sensibles ne tomberaient pas entre les mains des autorités américaines.

Recherche en Italie (2023) Le régulateur italien Garante a ouvert une enquête sur Microsoft parce que les données des utilisateurs italiens ont été partagées avec des tiers sans autorisation. Il s'agissait notamment du partage de données de télémétrie avec les réseaux publicitaires.

Alertes du PA néerlandais (2023-2026) L'autorité néerlandaise de protection des données a mis en garde à plusieurs reprises contre l'utilisation de Microsoft 365 dans les soins de santé et le gouvernement néerlandais. En 2023, le PA a publié un manuel soulignant que la norme Microsoft 365 ne répond pas aux exigences relatives au traitement de données à caractère personnel spéciales, telles que les données relatives à la santé.

Arrêt Schrems II (2020 et conséquences) À la suite de l’arrêt Schrems II de la Cour de justice de l’Union européenne en 2020, qui a invalidé le bouclier de protection des données, les clauses contractuelles types se sont révélées insuffisantes pour les transferts de données vers les États-Unis. Microsoft a été désignée comme l’une des entreprises à l’origine de problèmes majeurs pour les clients européens. De nombreuses organisations néerlandaises ont dû revoir leurs contrats avec Microsoft ou chercher des alternatives.

Programme PRISM (2013, mais toujours pertinent) Microsoft a été l'une des premières entreprises à participer au programme PRISM de la NSA, dévoilé par Edward Snowden en 2013. Les données des utilisateurs européens, y compris néerlandais, ont été partagées avec les services de renseignement américains. Bien que cela existe depuis un certain temps, cela reste une raison importante de méfiance à l'égard du traitement des données européennes par Microsoft.

Secret professionnel médical et e-mail Microsoft

Si un praticien envoie une confirmation de rendez-vous par e-mail Microsoft standard, il touche plusieurs règles:

  • Secret professionnel médical: Les médecins, les psychologues, les infirmières, etc. ne sont pas autorisés à parler des patients.
  • RGPD/RGPD: loi sur la protection de la vie privée qui protège les données de santé supplémentaires.
  • WGBO: Loi sur les traitements médicaux.
  • Lignes directrices du KNMG: règles pour les médecins.

Une confirmation de rendez-vous est-elle déjà confidentielle?

Oui, oui. Même sans diagnostic ni plainte, un rendez-vous avec un praticien révèle déjà des informations:

  • Qu'il y a une relation de traitement
  • Le nom du praticien (et donc le type de soins, par exemple psychiatre, cardiologue)
  • Date et heure du rendez-vous
  • Souvent le nom de la pratique ou de l'institution

Selon le RGPD, les données de santé sont des données personnelles liées à la santé physique ou mentale. Une confirmation de rendez-vous est incluse, même s'il n'y a pas de détails médicaux.

Le KNMG confirme: Les informations de contenu médical peuvent également être dérivées du fait que la communication a été faite vers ou à partir d'une certaine adresse e-mail (telle que psychiater@psychiater.nl).

Ce que dit la loi

RGPD (règlement général sur la protection des données):

  • Les données de santé sont des données personnelles spéciales. Le traitement n'est autorisé que dans des cas spécifiques, par exemple pour les soins de santé.
  • Les données doivent être stockées et transmises en toute sécurité. Les e-mails non chiffrés ne répondent pas à cette exigence.

Secret professionnel médical (loi BIG, code civil, droit pénal):

  • Les médecins, psychologues, infirmières, etc. ne sont pas autorisés à parler des patients sans autorisation.
  • La violation est punissable.

Directive KNMG:

N'utilisez l'e-mail ordinaire que s'il n'y a pas de données personnelles confidentielles dans votre e-mail (ou la pièce jointe). Utilisez des e-mails autrement sécurisés.

Le secret professionnel médical prime sur le RGPD: Vous devez d'abord vérifier si vous ne violez pas le secret professionnel, puis uniquement si vous vous conformez au RGPD.

Jurisprudence (récente)

  • Cour suprême (2024): Un prestataire de soins ne peut donner accès à un dossier médical sans autorisation, ni indirectement.
  • Comité de règlement des différends pour les soins (2025): Même la consultation entre praticiens sans le consentement du patient est négligente.
  • Autorité pour les données personnelles: Le trafic de courrier électronique entre le médecin et le patient doit être crypté.

Conclusion : peut ou ne peut pas

Non, pas dans la plupart des cas.

L'envoi d'une confirmation de rendez-vous par e-mail Microsoft standard (sans sécurité supplémentaire) est une violation de:

  1. Secret professionnel médical (vous partagez des informations confidentielles via un canal non sécurisé)
  2. GDPR (les données de santé doivent être traitées en toute sécurité)

Exceptions :

  • Si l'e-mail est chiffré de bout en bout
  • Si le patient a donné son consentement explicite et est conscient des risques
  • Si le courriel ne contient pas de données de santé traçables (mais: un rendez-vous avec un praticien est souvent déjà traçable)

Risque supplémentaire avec Microsoft: En vertu de la loi CLOUD et d'autres lois américaines, le gouvernement américain peut forcer Microsoft à émettre des e-mails même s'ils sont en Europe. Cela rend le courrier électronique standard de Microsoft encore plus insécurisé pour la communication médicale. Il ne s'agit pas de savoir si cela peut se produire, mais quand cela se produira.

Le KNMG et l'AVG Helpdesk for Care sont clairs: utiliser un courrier électronique sécurisé (crypté de bout en bout) ou une plate-forme de messagerie spécifique aux soins pour ce type de communication, et non un courrier électronique régulier via un fournisseur de cloud commercial.

Sources

Microsoft et la confidentialité des e-mails

Scandale de la législation sur les services numériques (mai 2026)

CLOUD Act et droit américain

Secret professionnel médical et RGPD

Ce document est basé sur des sources publiques et n'est pas un avis juridique. Pour des questions spécifiques, consultez un avocat spécialisé.

Et savoir plus sur Data-Pro BV

Abonnez-vous pour recevoir les derniers messages envoyés à votre e-mail.

Étiquettes: , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Laisser un commentaire