En juillet 2015 était lancé Windows 10. Alors que les systèmes d’exploitation de Microsoft ont toujours nécessité un certain investissement de la part des utilisateurs, qui ce soit par l’octroi d’une licence d’utilisation lors de l’achat d’un nouveau PC ou l’achat d’une mise à niveau ou du logiciel même, Microsoft a pris tout le monde par surprise en annonçant que la mise à niveau vers Windows 10 allait être gratuite durant la première année de sa commercialisation.
On reproche à Microsoft de collecter des données non pertinentes auprès des utilisateurs, de déposer sur leur PC des témoins sans leur consentement, en plus de critiquer la sécurité de son service en ligne.
Les consommateurs ont toutefois rapidement compris qu’en échange de cette gratuité, ils accordaient indirectement à Microsoft un accès à leurs informations personnelles.
Accès qui, aux yeux de la CNIL après enquête, permet à l’entreprise de pister ses utilisateurs d’un peu trop près. Après avoir analysé la situation, la CNIL a relevé de nombreux manquements à la loi Informatique et Libertés de 1978.
D’abord, la Commission reproche à Microsoft que les données de diagnostic et d’utilisation de ses relevés télémétriques sont non pertinentes ou excessives : «Microsoft traite par exemple des données d’usage des applications Windows et du Windows Store, qui permettent notamment d’avoir connaissance de toutes les applications téléchargées et installées sur le système par un utilisateur et du temps passé sur chacune d’elles. Ce faisant, elle se livre à une collection excessive, ces données n’étant pas nécessaires au fonctionnement du service.»
Qui plus est, le système d’authentification en ligne employé par les utilisateurs pour se connecter à leur compte Microsoft permet un nombre illimité de tentatives de saisie du NIP, l’équivalent d’un mot de passe à 4 chiffres. La CNIL voit là un grave défaut de sécurité, étant donné la nature confidentielle des informations stockées dans un compte dont l’accès pourrait être facilement accordé en exploitant une attaque par force brute.
Les observations de la Commission lui laissent également croire qu’un identifiant publicitaire est activé par défaut lors de l’installation de Windows 10 : «Il permet à des applications Windows et des applications tierces de suivre la navigation des utilisateurs et de leur proposer des publicités ciblées sans que le consentement des utilisateurs n’ait été recueilli.»
La mise en demeure soutient également que Microsoft dépose des témoins (cookies) publicitaires sur les PC de ses utilisateurs sans les en avoir informés au préalable, ce qui est contraire non seulement à la loi française, mais également aux législations de toute l’Europe.
Enfin, toujours selon la CNIL, Microsoft transmet les données personnelles de ses utilisateurs vers les États-Unis sur la base du Safe Harbor, l’accord visant à protéger les renseignements personnels des citoyens européens lors de leur exportation, qui a été invalidée par la Cour de justice de l’Union européenne en octobre 2015.
Un délai de 3 mois pour rectifier la situation
À la lumière de son enquête, la présidente de la CNIL, Isabelle Falque-Pierrotin, impose un délai de 3 mois à Microsoft pour se conformer à la législation française.
Bien que cette mise en demeure n’entraînera aucune sanction de la part des autorités compétentes, cet avertissement n’est pas sans importance. Il s’agit en quelque sorte d’une première étape. À défaut d’obtempérer, Microsoft pourrait voir son système d’exploitation être scruté à la loupe par un rapporteur qui pourra proposer une sanction à la formation restreinte de la CNIL, qui devra décider de son application.