[Windows 10] La CNIL met publiquement en demeure Microsoft pour sa collecte de données

Sur le web

Par Elodie le

Le couperet est tombé, la Commission nationale de l’informatique et des libertés (CNIL) met publiquement en demeure Microsoft de se conformer à la loi dans un délai de trois mois sous peine

cnil_demeure_microsoft_windows10_données

Les ennuis se poursuivent pour Windows 10. Après un lancement chahuté par les internautes et critiqué par les défenseurs de la vie privée, la CNIL vient porter l’estocade, alertée par voie de presse et par des nombreux courriers « émanant de partis politiques ».

On se rappelle notamment qu’en juillet dernier, la présidente du Front National, Marine Le Pen, dénonçait « l’espionnage généralisé des ordinateurs des français » opéré par Windows 10 dans une lettre ouverte à la CNIL.

Lors de l’installation du logiciel, de nombreux paramètres de personnalisation sont activés par défaut permettant l’envoi de nombreuses informations à Microsoft, comme nous l’évoquions dans l’article, Les 10 choses à savoir avant de passer à Windows 10.

Elle met donc en demeure Microsoft « de cesser la collecte excessive de données et le suivi de la navigation des utilisateurs sans leur consentement », mais aussi « d’assurer de façon satisfaisante la sécurité et la confidentialité des données des utilisateurs ». Une mise en conformité avec la loi qui doit intervenir dans un délai de trois mois.

Après plusieurs contrôles en ligne effectués entre les mois d’avril et de juin 2016, la commission a relevé « de nombreux manquements ».

Parmi les griefs, « des données collectées non pertinentes ou excessives », notamment avec son service « télémétrie », qui permet « notamment, sur la base de données de diagnostic ou d’utilisation, d’identifier des problèmes, de les résoudre et d’améliorer les produits ».

La CNIL relève aussi qu’un identifiant publicitaire est activé par défaut lors de l’installation. « Il permet à des applications Windows et des applications tierces de suivre la navigation des utilisateurs et de leur proposer des publicités ciblées sans que le consentement des utilisateurs n’ait été recueilli ».

Par ailleurs, la CNIL déplore qu’un simple code PIN à 4 chiffres suffise pour s’authentifier sur l’ensemble de ses services en ligne alors que le nombre de tentatives de saisie est illimité, ne garantissant pas une sécurité et une confidentialité satisfaisantes.

Autre manquement avec l’impossibilité de s’opposer au dépôt de cookies ou encore la persistance du transfert des données personnelles des internautes vers les États-Unis alors même que le traité le permettant, le Safe Harbor, a été invalidé par la CJUE le 6 octobre 2015. Mais de nombreuses dérogations existent pour les firmes high-tech, comme nous l’indiquions dans l’article rapportant la décision de la cour européenne.

Le remplaçant du Safe Harbor, le Privacy Shield, suscite déjà la méfiance des CNIL européenne. Gageons que la CNIL aura encore fort à faire de ce côté-là.

Quoi qu’il en soit, Redmond a désormais trois mois pour répliquer ou se conformer à la décision de la commission. Celle-ci précise d’ailleurs que cette mise en demeure n’est pas une sanction, l’objectif « n’est pas d’interdire toute publicité sur les services de la société, mais de permettre aux utilisateurs d’exercer leur choix librement en étant correctement informés de leurs droits ».

La gravité des manquements constatés et le nombre de personnes concernées (plus de dix millions d’utilisateurs de Windows 10 sur le territoire national précise la commission) ont toutefois incité la CNIL à rendre publique cette décision.