Windows 10 :  Microsoft mis en demeure de se conformer à la loi Informatique et Libertés sous 3 mois

Microsoft se fait tirer l’oreille par la Cnil et ce n’est pas du luxe. La Présidente de la Cnil met en demeure Microsoft de cesser la collecte excessive de données et le suivi de la navigation de ses utilisateurs sans leur consentement via le système d’exploitation Windows 10. Elle demande aussi à Microsoft d’assurer de façon satisfaisante la sécurité et la confidentialité des données de ces utilisateurs.

La décision de la Cnil a été rendue publique en raison de la gravité des manquements constatés et du nombre de personnes concernées, c’est à dire plus de dix millions d’utilisateurs de Windows 10 sur le territoire national.

7 contrôles en ligne

La Cnil a effectué 7 contrôles en ligne en avril et juin 2016 et a interrogé Microsoft sur certains points exposés dans sa politique de confidentialité afin de vérifier la conformité de Windows 10 à la loi Informatique et Libertés.

Ces vérifications ont permis de relever de nombreux manquements à cette loi. En premier lieu : Microsoft collecte des données non pertinentes ou excessives. Microsoft collecte des données de diagnostic et d’utilisation dans le cadre de son service de « télémétrie ».

Ce service doit permettre d’identifier des problèmes, de les résoudre et d’améliorer les produits. A cette fin, Microsoft traite par exemple des données d’usage des applications Windows et du Windows Store.

Ces données permettent d’avoir connaissance de toutes les applications téléchargées et installées sur le système par un utilisateur et du temps passé sur chacune d’elles. « Ce faisant, Microsoft se livre à une collecte excessive, ces données n’étant pas nécessaires au fonctionnement du service, » pointe la Cnil.


Protection insuffisante des accès

Autre point, un défaut de sécurité. Microsoft permet aux utilisateurs de choisir un code PIN de 4 chiffres pour s’authentifier sur l’ensemble de ses services en ligne et notamment pour l’accès à leur compte Microsoft, qui recense les achats effectués sur le store et les moyens de paiement utilisés. « Or, le nombre de tentatives de saisie de ce code PIN n’est pas limité, ce qui n’assure pas la sécurité et la confidentialité des données des utilisateurs, » dénonce la Cnil.

De plus, la Cnil constate une absence de consentement des personnes. Un identifiant publicitaire est activé par défaut lors de l’installation de Windows 10. Il permet à des applications Windows et à des applications tierces de suivre la navigation des utilisateurs et de leur proposer des publicités ciblées sans que le consentement des utilisateurs n’ait été recueilli.

De même, il y a une absence d’information et de possibilité de s’opposer au dépôt de cookies. Microsoft dépose sur les terminaux des utilisateurs des cookies publicitaires, sans les en avoir au préalable correctement informés, ni mis en mesure de s’y opposer.

Transferts de données personnelles aux Etats Unis

Enfin, Microsoft poursuit les transferts internationaux de données sur la base du Safe harbor. Microsoft transfère les données personnelles de ses membres aux Etats-Unis sur la base du Safe harbor, ce qui n’est plus possible depuis la décision de la Cour de Justice de l’Union Européenne du 6 octobre 2015.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *