Une erreur dans le texte ?

Vie privée : la Cnil juge que Windows 10 est conforme avec la loi « Informatique et Libertés »

Windows 10 est désormais en conformité avec la loi « Informatique et Libertés ». Tel est le verdict qu'a rendu jeudi 29 juin la Commission nationale de l'informatique et des libertés. En conséquence, l'institution clôt la procédure de mise en demeure qui visait Microsoft depuis le 21 juillet 2016, puisque les manquements constatés lors de sept contrôles en ligne entre avril et juin 2016 « avaient cessé ».

Trois points avaient préoccupé les commissaires de la Cnil :  la collecte excessive de données, le suivi de la navigation des utilisateurs sans leur consentement et le défaut de sécurité et de confidentialité des données des utilisateurs. Considérant la notoriété de Microsoft et l'importance de Windows dans l'écosystème informatique, la Cnil avait décidé de rendre publique la mise en demeure.

Sur ces trois problématiques, les conclusions de la Cnil sont les suivantes :

Sur le caractère non pertinent ou excessif des données collectées :

La société a réduit de près de la moitié le volume des données collectées dans le cadre du niveau de « base » de son service de télémétrie qui permet d’identifier des problèmes de fonctionnement du système et de les résoudre. Elle a limité cette collecte aux données strictement nécessaires pour maintenir le système et les applications en bon état de fonctionnement et assurer leur sécurité.

Sur l’absence de consentement des personnes :

Les utilisateurs sont désormais informés, par une mention claire et précise, qu’un identifiant publicitaire a vocation à suivre leur navigation pour leur proposer de la publicité ciblée. Par ailleurs, la procédure d’installation de Windows 10 a été modifiée : les utilisateurs ne peuvent finaliser l’installation tant qu’ils n’ont pas exprimé leur choix quant à l’activation ou à la désactivation de l’identifiant publicitaire. Ils peuvent, par ailleurs, revenir à tout moment sur ce choix.

Sur le défaut de sécurité :

La société a renforcé la robustesse du code PIN de 4 chiffres permettant aux utilisateurs de s’authentifier pour accéder à l’ensemble des services en ligne de la société et notamment à leur compte Microsoft : les combinaisons trop communes sont désormais refusées. En outre, en cas de saisie incorrecte, la société a mis en place un mécanisme de temporisation d’authentification  (suspension temporaire de l’accès dont la durée augmente à mesure des tentatives).

C'est le 29 juillet 2015 que Microsoft a lancé Windows 10. À cette époque, rappelle la Cnil,  son attention « avait été appelée par voie de presse ainsi que par des courriers émanant de partis politiques sur de potentiels manquements à la loi Informatique et Libertés ».

Parmi les médias qui s'étaient manifestés à ce sujet figurait Numerama. Nous avions alors décortiqué le contrat de services et la Déclaration de confidentialité de Microsoft (qui ont été modifiés depuis) et remarqué que le nouveau système d'exploitation du géant des logiciels américains pouvait être un puissant aspirateur à données personnelles dans sa configuration par défaut.

Nous avions également fait une mise en garde au moment de l'installation, en constatant que la collecte et le transfert de certaines informations à Microsoft étaient activés par défaut et que ces paramètres n'étaient pas immédiatement visibles : il fallait se rendre dans une rubrique spéciale dont l'accès se matérialisait par un lien tout à fait discret sur l'écran de configuration.

Depuis, Microsoft a revu ses pratiques en présentant des réglages beaucoup plus simples à comprendre. Le groupe a aussi réduit le nombre d’options qui pouvait rendre certains choix confus et publié la liste complète des données qui sont susceptibles d'être récupérées sur le poste informatique d’un utilisateur. Les utilisateurs ont désormais un meilleur contrôle des données et Microsoft en récupère beaucoup moins.

C'est en tout cas ce qu'a constaté la Cnil. Et sans doute Microsoft ne se hasardera pas à revenir en arrière, dans la mesure où le nouveau règlement européen permet d’aller jusqu’à 4 % du chiffre d’affaires mondial d'une société en infraction pour les cas les plus graves (ce texte n'entrera pas en application avant 2018). C'est autre chose que les amendes de 150 000 euros que la Cnil pouvait infliger autrefois.

La Commission note par ailleurs que Microsoft « a inséré des mentions d’information » sur la loi « Informatique et Libertés », « effectué des demandes d’autorisation [...] pour ses traitements de lutte contre la fraude », « adhéré au Privacy Shield pour régir les transferts internationaux de données personnelles » et ajusté sa politique en matière de cookie afin de recueillir dorénavant le consentement des internautes.