Windows 10 et vie privée : La France met en demeure Microsoft

Collecte de données

Liste de tags

La collecte de données effectuée auprès des utilisateurs de Windows 10 est jugée «excessive» par la Commission nationale de l’informatique et des libertés, qui donne trois mois à Microsoft pour se conformer à la législation française.

En juillet 2015 était lancé Windows 10. Alors que les systèmes d’exploitation de Microsoft ont toujours nécessité un certain investissement de la part des utilisateurs, qui ce soit par l’octroi d’une licence d’utilisation lors de l’achat d’un nouveau PC ou l’achat d’une mise à niveau ou du logiciel même, Microsoft a pris tout le monde par surprise en annonçant que la mise à niveau vers Windows 10 allait être gratuite durant la première année de sa commercialisation.

On reproche à Microsoft de collecter des données non pertinentes auprès des utilisateurs, de déposer sur leur PC des témoins sans leur consentement, en plus de critiquer la sécurité de son service en ligne.

Les consommateurs ont toutefois rapidement compris qu’en échange de cette gratuité, ils accordaient indirectement à Microsoft un accès à leurs informations personnelles.

Accès qui, aux yeux de la CNIL après enquête, permet à l’entreprise de pister ses utilisateurs d’un peu trop près. Après avoir analysé la situation, la CNIL a relevé de nombreux manquements à la loi Informatique et Libertés de 1978.

D’abord, la Commission reproche à Microsoft que les données de diagnostic et d’utilisation de ses relevés télémétriques sont non pertinentes ou excessives : «Microsoft traite par exemple des données d’usage des applications Windows et du Windows Store, qui permettent notamment d’avoir connaissance de toutes les applications téléchargées et installées sur le système par un utilisateur et du temps passé sur chacune d’elles. Ce faisant, elle se livre à une collection excessive, ces données n’étant pas nécessaires au fonctionnement du service.»

Qui plus est, le système d’authentification en ligne employé par les utilisateurs pour se connecter à leur compte Microsoft permet un nombre illimité de tentatives de saisie du NIP, l’équivalent d’un mot de passe à 4 chiffres. La CNIL voit là un grave défaut de sécurité, étant donné la nature confidentielle des informations stockées dans un compte dont l’accès pourrait être facilement accordé en exploitant une attaque par force brute.

Les observations de la Commission lui laissent également croire qu’un identifiant publicitaire est activé par défaut lors de l’installation de Windows 10 : «Il permet à des applications Windows et des applications tierces de suivre la navigation des utilisateurs et de leur proposer des publicités ciblées sans que le consentement des utilisateurs n’ait été recueilli.»

La mise en demeure soutient également que Microsoft dépose des témoins (cookies) publicitaires sur les PC de ses utilisateurs sans les en avoir informés au préalable, ce qui est contraire non seulement à la loi française, mais également aux législations de toute l’Europe.

Enfin, toujours selon la CNIL, Microsoft transmet les données personnelles de ses utilisateurs vers les États-Unis sur la base du Safe Harbor, l’accord visant à protéger les renseignements personnels des citoyens européens lors de leur exportation, qui a été invalidée par la Cour de justice de l’Union européenne en octobre 2015.

Un délai de 3 mois pour rectifier la situation

À la lumière de son enquête, la présidente de la CNIL, Isabelle Falque-Pierrotin, impose un délai de 3 mois à Microsoft pour se conformer à la législation française.

Bien que cette mise en demeure n’entraînera aucune sanction de la part des autorités compétentes, cet avertissement n’est pas sans importance. Il s’agit en quelque sorte d’une première étape. À défaut d’obtempérer, Microsoft pourrait voir son système d’exploitation être scruté à la loupe par un rapporteur qui pourra proposer une sanction à la formation restreinte de la CNIL, qui devra décider de son application.

  • Gumby

    Si je ne m’abuse, il y a aussi ce genre de collecte dans Windows 7 et Windows 8.x… Il n’y avait pas de «Store» dans la version 7, mais il y en a une dans 8.x. Je n’arrive pas à comprendre pourquoi ils ne ciblent que Win10. Par ailleurs, ce genre de pratique n’est pas aussi le cas pour Android, iOS/OSx et probablement d’autres ? Pas facile de s’y retrouver dans tout ça. :)

    • https://branchez-vous.com/ Laurent LaSalle

      La collecte de données de Microsoft est plus importante dans le cas de Windows 10. Il est également possible que certaines dispositions de la loi n’étaient pas en vigueur au moment de la commercialisation de ces précédentes versions de Windows. C’est notamment le cas en ce qui concerne la permission exigée pour exploiter des cookies / témoins.

  • Pat

    Arrêtez un peu de râler sur la collecte des données personnelles, c’est pas comme si Android / iOS étaient meilleurs … et puis les gens étant actuellement sur W10 sont conscient de la collecte et ça ne les dérange pas outre mesure .. ceux à qui ça dérange devraient commencer par brûler leurs appareils et aller vivre dans une grotte. La collecte des données est l’essence même de l’informatique, et de l’internet! sans ça, pas d’internet gratuit.

    • https://branchez-vous.com/ Laurent LaSalle

      La CNIL ne demande pas à Microsoft de cesser toute collecte, mais de s’assurer qu’elles sont conformes à la législation française.

      • http://Rhialto.com/ Rhialto

        Moi je dis une chance que la CNIL est là, ce qui pousse toutes les entreprises similaires à veiller à ses arrières, sinon sans aucun surveillance ça serait la collecte massive sans scrupule. Même les plus petits joueurs doivent être prudent.

        Merci CNIL de faire ce travail d’analyse que peu d’entre-nous serions en mesure de faire.

        • https://branchez-vous.com/ Laurent LaSalle

          Le hic, c’est que Microsoft pourrait bien choisir d’ajuster ces fonctions de Windows 10 uniquement pour le marché français. :O

          • http://Rhialto.com/ Rhialto

            En effet mais qui sait si les gouverneurs de notre pays n’en viendraient pas à faire de même par la suite, la porte étant déjà ouverte. J’ose espérer que le Canada veillera aussi à préserver une partie de l’intimité de ses habitants.

          • Gumby

            Ça revient donc au commentaire de Pat : Il faudra aller vivre dans une grotte en France. :D

  • jerome

    c’est le prix de l’amélioration continue. On a besoin de savoir ce qui est utilisé ou non, ce qui est lent, ce qui consomme la batterie, ce qui tourne trop longtemps pour rien etc…
    Il y a tellement de configuration d’appareil possible avec Windows que MS n’a pas le choix. Ce qui marche pour 1 peut ne pas fonctionner sur un autre systeme.
    Les statistiques d’usage des applications est partout de nos jours. certains jeux vont jusqu’a enregistrer le moindre click de souris. (pour trouver que un bouton est mal placer sur tel ou tel appareil et offrir une mise a jour permettant de resoudre le probleme par exemple)
    ok pour le coté mot de passe, avoir un truc plus stricte ne serais pas de refus.
    Je suis d’accord que tous les systemes devraient avoir une belle interface confirmant les informations privées que l’on veut rendre accessible et non pas cacher le ADs ID dans le panneau de config. Le CNIL devrait créer le format et contenu de cette page d’information afin de s’assurer qu’elle est bien lisible. (sinon ca va etre mis en petis caracteres). Et le CNIL devrait obliger la desactivation de ce genre de choses si l’utilisateur est mineur (aucune pub de quelque sorte que ce soit etc…)