La CNIL est formelle : Microsoft contrevient, avec Windows 10, à plusieurs dispositions de la loi « Informatique et Libertés ».
Mis en demeure, l’éditeur a trois mois pour corriger le tir. Il lui est notamment demandé de « cesser la collecte excessive de données et le suivi de la navigation des utilisateurs sans leur consentement ». Et d’assurer « de façon satisfaisante la sécurité et la confidentialité des données des utilisateurs ».
Cette décision de la CNIL – document PDF, 15 pages – résulte d’un série de contrôles en ligne menés les 11, 12, 13 et 14 avril, puis les 6, 22 et 29 juin 2016, sur les versions Home 1511 et Pro 1511 de Windows 10.
La commission s’est intéressée, entre autres, au service de « télémétrie » à travers lequel Microsoft collecte des données de diagnostic et d’utilisation qui, selon la Déclaration de confidentialité associée au système d’exploitation, « aident à identifier et à résoudre les problèmes, à améliorer nos produits produits et services et à vous offrir des expériences personnalisées ».
D’après la CNIL, ces collectes ont un caractère excessif, certaines données n’étant pas nécessaires au fonctionnement du service. Par exemple, la liste des applications téléchargées, installées et le temps passé sur chacune d’entre elles.
Les investigations ont permis de constater qu’il existe trois niveaux de collecte : « complet », « amélioré » et « de base », le premier correspondant à celui qui transmet le plus grand nombre d’informations à Microsoft.
En réponse à un courrier, la firme de Redmond a informé la CNIL que certaines éditions de Windows 10 (Entreprise, Éducation, Mobile Entreprise, IoT Standard) disposent d’un quatrième niveau de télémétrie pour lequel les informations collectées sont plus restreintes. Selon la commission, son existence démontre que « la majorité des données comprises dans le niveau de base n’est pas essentielle au fonctionnement du service ».
Autre grief : un défaut d’information des personnes.
En premier lieu, le formulaire de création d’un compte Microsoft ne comporte aucun renseignement quant aux traitements de données mis en œuvre.
Ensuite, si la Déclaration de confidentialité établit que « les données recueillies […] peuvent être stockées et traitées […] aux États-Unis ou dans tout autre pays dans lequel Microsoft, ses filiales ou prestataires de services sont implantés », les internautes ne sont informés ni de la nature des données transmises, ni de la nature du transfert en lui-même.
La CNIL évoque aussi un manquement à l’obligation d’obtenir le consentement des individus pour accéder à des informations sur leur terminal de communications électroniques (pour reprendre les termes de la loi no 78-17 du 6 janvier 1978).
Sur Windows 10, des applications – y compris tierces – peuvent suivre la navigation des utilisateurs et leur proposer des publicités ciblées. Cela se fait via un identifiant unique, activé lors de l’installation de l’OS. Selon la CNIL, cette activation s’impose par défaut dans toutes les options de configuration et le paramétrage s’applique à tout nouveau compte créé sur la machine. Bilan : Microsoft « ne recueille pas valablement le consentement des utilisateurs »).
On relèvera également les réserves de la CNIL en matière de sécurité.
Pour s’authentifier sur l’ensemble des services Microsoft, il est possible d’utiliser un code PIN à 4 chiffres, présenté comme « plus sécurisé qu’un long mot de passe ».
Problème : ce code peut tout à fait être constitué de 4 chiffres identiques. Et le nombre de tentatives de saisie n’est pas limité (la CNIL s’est arrêtée après 20 essais), « ce qui n’assure pas la sécurité et la confidentialité des données des utilisateurs ». En fait, seuls la saisie d’une phrase de vérification toutes les 4 tentatives et le redémarrage de la machine tous les 5 essais sont imposés.
C’est d’autant plus important que ce code PIN permet de s’authentifier sur l’intégralité des services en ligne de Microsoft… et de le rester même en cas de déconnexion ou de fermeture du navigateur.
La CNIL dénonce par ailleurs la persistance de transferts internationaux sur la base du Safe Harbor, alors même que la Cour de justice de l’Union européenne a invalidé le dispositif en octobre dernier.
Si Microsoft ne se met pas en conformité dans le délai imparti, une procédure de sanction pourra être lancée à son encontre.
Crédit photo :
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…