Juridique

Windows 10 : la CNIL reproche à Microsoft la collecte et le transfert illégal de données

Windows 10 : la CNIL reproche à Microsoft la collecte et le transfert illégal de données
Isabelle Falque-Pierrotin, présidente de la CNIL rend publique la mise en demeure adressée à Microsoft

La CNIL met en demeure Microsoft, afin que Windows 10 soit en conformité avec la loi Informatique et Libertés.

PublicitéMercredi soir, la Commission nationale de l'informatique et des libertés (Cnil) a rendu publique la mise en demeure adressée à Microsoft dans un document de 15 pages (*), le 30 juin dernier. Une procédure rare et pas toujours rendue publique. Mais la gravité des fait et « de nombreux manquements à la loi », l'ont incités à agir ainsi, de même que le nombre d'utilisateurs concernés, 10 millions. Elle donne trois mois à l'éditeur (à partir du 30 juin) pour se conformer à ses différentes requêtes. Avant d'en arriver là, la Cnil a effectué sept contrôles en ligne en avril et juin 2016 en installant Windows 10 en version Home 1511 et Pro 1511.

Premier constat, Microsoft  procéderait  à la collecte de "données non pertinentes ou excessives". La Commission a constaté l'installation dans les terminaux des utilisateurs de Windows 10 de cookies publicitaires (MUID et ANON). Jamais, les internautes n'en ont été informés au préalable et ils ne peuvent s'y opposer. La Cnil a également noté la présence d'un « identifiant publicitaire activé par défaut lors de l'installation de Windows 10 », qui permet de suivre la navigation des utilisateurs et de leur proposer des publicités ciblées. Là encore, sans consentement préalable. « Par conséquent, note la Cnil, la société (Microsoft) ne recueille pas valablement le consentement des utilisateurs »....« l'information dispensée n'est pas satisfaisante ».

Collecte illégale de données

La Cnil constate par exemple que les formulaires de création de comptes ne comportent aucune information quant au traitement des données mis en oeuvre. Que Microsoft collecte des données de diagnostic et d'utilisation qui peuvent être paramétrées en trois niveaux, visiblement très intrusifs. Seul un quatrième niveau collecte des informations plus restreintes, c'est le niveau « Sécurité » disponible sur les versions : Windows 10 Entreprise, Windows 10 Education, Windows 10 Mobile Entreprise, Windows 10 IoT Standard et Windows Server 2016 Technical Preview. La Commission juge que « plusieurs de ces données (collectées) ne sont pas directement nécessaires au fonctionnement du système d'exploitation ».

Deuxième série de reproches, le Safe Harbor. Microsoft « transfère les données personnelles de ses membres aux Etats-Unis sur la base du Safe Harbor, ce qui n'est plus possible depuis la décision de la Cour de Justice de l'Union Européenne du 6 octobre 2015». La Cnil « a constaté que les internautes ne sont informés ni de la nature des données transférées, ni de la finalité du transfert ». Enfin, la Cnil s'inquiète  d'un défaut de sécurité, « le nombre de tentatives de saisie du code d'authentification à quatre chiffres permettant d'accéder aux services en ligne de Microsoft n'étant pas limité ». Ce code remplace le traditionnel système avec identifiant et mot de passe.

PublicitéPas encore de sanction

Au plan juridique, la Cnil explique que cette mise en demeure ne constitue pas une sanction. Si au bout de trois mois, l'éditeur ne se conforme pas à ces demandes, la Commission pourra désigner un rapporteur qui évaluerait la sanction possible. Réunie en formation restreinte, procédure qui lui permet de dresser des sanctions, la Cnil aurait alors le pouvoir de juger Microsoft, qui risque une amende prévue à l'article 45 de la loi informatique et libertés.

(*) C'est la décision n° 2016-058 du 30 juin 2016

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis