La Cnil met en demeure Microsoft pour que la firme de Redmond mette fin d'ici trois mois à des traitements illicites de données personnelles dans Windows 10. L'autorité exige notamment que la publicité ne soit plus ciblée par défaut, mais par choix de l'utilisateur.

Lorsque Microsoft a lancé Windows 10 l’an dernier, Numerama avait décortiqué le contrat de services et la Déclaration de confidentialité de Microsoft (depuis modifiés en partie), et constaté à quel point Windows 10 serait un aspirateur à données personnelles, dans sa configuration par défaut. Un an plus tard, la Cnil raconte qu’elle a été « appelée par voie de presse ainsi que par des courriers émanant de partis politiques sur une potentielle collecte excessive de données personnelles par Microsoft », et qu’elle a décide de sévir.

L’objet de cette mise en demeure n’est pas d’interdire toute publicité mais de permettre aux utilisateurs d’exercer leur choix librement

Sur la base de contrôles effectués en avril et juin 2016, et après avoir reçu les réponses de la firme de Redmond, la Cnil a constaté « de nombreux manquements » à la loi informatique et libertés commis par Microsoft. Dans un communiqué, l’autorité administrative résume ainsi les griefs retenus dans sa délibération (.pdf) du 30 juin 2016, qui donnent 3 mois à Microsoft pour corriger le tir :

«  Des données collectées non pertinentes ou excessives
•    La CNIL a constaté que la société collecte des données de diagnostic et d’utilisation dans le cadre de son service de « télémétrie ». Ce service permet notamment, sur la base de données de diagnostic ou d’utilisation, d’identifier des problèmes, de les résoudre et d’améliorer les produits. A cette fin, MICROSOFT CORPORATION traite par exemple des données d’usage des applications Windows et du Windows Store, qui permettent notamment d’avoir connaissance de toutes les applications téléchargées et installées sur le système par un utilisateur et du temps passé sur chacune d’elles. Ce faisant, elle se livre à une collecte excessive, ces données n’étant pas nécessaires au fonctionnement du service.

Un défaut de sécurité
•    La société permet aux utilisateurs de choisir un code PIN de 4 chiffres pour s’authentifier pour l’ensemble de ses services en ligne et notamment pour l’accès à leur compte Microsoft, qui recense les achats effectués sur le store et les moyens de paiement utilisés. Or, le nombre de tentatives de saisie de ce code PIN n’est pas limité, ce qui n’assure pas la sécurité et la confidentialité des données des utilisateurs.

Une absence de consentement des personnes
•    Il apparaît également qu’un identifiant publicitaire est activé par défaut lors de l’installation de Windows 10. Il permet à des applications Windows et des applications tierces de suivre la navigation des utilisateurs et de leur proposer des publicités ciblées sans que le consentement des utilisateurs n’ait été recueilli.

Une absence d’information et de possibilité de s’opposer au dépôt de cookies
•    La société dépose sur les terminaux des utilisateurs des cookies publicitaires, sans les en avoir au préalable correctement informés, ni mis en mesure de s’y opposer.

La persistance de transferts internationaux sur la base du Safe harbor
•    La société transfère les données personnelles de ses membres aux Etats-Unis sur la base du Safe harbor, ce qui n’est plus possible depuis la décision de la Cour de Justice de l’Union Européenne du 6 octobre 2015. »

Pas de profilage publicitaire par défaut

S’adressant directement à la maison-mère de Microsoft, qui aura beau jeu de contester la compétence territoriale de la Cnil, l’autorité française demande donc à Microsoft d’effectuer les modifications suivantes dans les trois mois qui viennent :

  • Permettre sur toutes les versions de Windows 10 de choisir le niveau « Sécurité » sur les données de télémétrie (alors plus restreintes), et ne pas collecter des données qui ne sont pas pertinentes ou adéquates ;
  • Informer les utilisateurs dès la création d’un compte Microsoft des traitements de données prévus, et des exportations de leurs données hors UE ;
  • Modifier les paramètres par défaut de Windows pour que l’identifiant publicitaire ne soit créé qu’après une « action positive » et informée de l’utilisateur ;
  • Mieux informer les utilisateurs sur les cookies déposés et donner la possibilité de les refuser ;
  • Demander l’autorisation de créer certains fichiers, en particulier contre la fraude ;
  • Mieux sécuriser les données accessibles via le code PIN, en limitant à 25 tentatives maximum toutes les 24 heures, et ne plus présenter le PIN comme plus sûr qu’un mot de passe ;
  • Ne plus se reposer sur le Safe Harbor (depuis remplacé par le Privacy Shield que Microsoft a déjà prévu d’adopter au plus vite) ;

La mise en demeure impose que Microsoft réalise l’ensemble des modifications demandées dans les délais, sous peine de voir s’ouvrir une procédure de sanctions. La seule demande qui devrait poser un problème à Microsoft est celle qui concerne l’identifiant publicitaire, qui permet à la firme de cibler la publicité en fonction du profil qu’il dessine progressivement en accumulant des données sur l’utilisateur. Il est au cœur de la nouvelle stratégie de Microsoft, inspirée de ce que font Google ou Facebook.

« L’objet de cette mise en demeure n’est pas d’interdire toute publicité sur les services de la société mais de permettre aux utilisateurs d’exercer leur choix librement en étant correctement informés de leurs droits », prévient la Cnil.

Si la firme de Redmond refuse de plier, elle ne risquera qu’une sanction très légère — comme l’a encore tristement illustré l’affaire Brandalley la semaine dernière. Actuellement la Cnil ne peut pas infliger une amende supérieure à 150 000 euros (autant dire rien pour Microsoft), et le nouveau règlement européen qui permet d’aller jusqu’à 4 % du chiffre d’affaires mondial pour les cas les plus graves n’entrera pas en application avant 2018.

Partager sur les réseaux sociaux

Articles liés