La présidente de la CNIL met en demeure Microsoft de cesser la collecte excessive de données et le suivi de la navigation des utilisateurs sans leur consentement. Elle lui demande aussi d’assurer de façon satisfaisante la sécurité et la confidentialité des données des utilisateurs. Microsoft a un délai de 3 mois pour se conformer à la loi Informatique et Libertés.
A la suite du lancement du nouveau système d’exploitation Windows 10 en juillet 2015, l’attention de la CNIL a été appelée par voie de presse ainsi que par des courriers émanant de partis politiques sur une potentielle collecte excessive de données personnelles par Microsoft.
Parallèlement, au sein du G29 (groupe des CNIL européennes), un groupe composé de plusieurs autorités de protection a été constitué (Contact Group) pour se saisir de cette question et mener des investigations dans les différents Etats membres impliqués.
C’est dans ce contexte que la CNIL a effectué 7 contrôles en ligne en avril et juin 2016 et a interrogé Microsoft sur certains points exposés dans sa politique de confidentialité afin de vérifier la conformité de Windows 10 à la loi Informatique et Libertés.
Des données collectées “excessives”
Ces vérifications ont permis de relever de nombreux manquements à cette loi. La gravité des manquements constatés et le nombre de personnes concernées (plus de dix millions d’utilisateurs de Windows 10 sur le territoire national) a décidé la CNIL à rendre publique cette mise en demeure notamment en raison
Parmi ces graves manquement, La Cnil parle d’abord des « données collectées non pertinentes ou excessives ». « La CNIL a constaté que la société collecte des données de diagnostic et d’utilisation dans le cadre de son service de « télémétrie ». Ce service permet notamment, sur la base de données de diagnostic ou d’utilisation, d’identifier des problèmes, de les résoudre et d’améliorer les produits. A cette fin, Microsoft traite par exemple des données d’usage des applications Windows et du Windows Store, qui permettent notamment d’avoir connaissance de toutes les applications téléchargées et installées sur le système par un utilisateur et du temps passé sur chacune d’elles. Ce faisant, elle se livre à une collecte excessive, ces données n’étant pas nécessaires au fonctionnement du service », note-t-elle.
Un défaut de sécurité
La CNIL relève aussi « un défaut de sécurité » La société permet aux utilisateurs de choisir un code PIN de 4 chiffres pour s’authentifier pour l’ensemble de ses services en ligne et notamment pour l’accès à leur compte Microsoft, qui recense les achats effectués sur le store et les moyens de paiement utilisés. Or, le nombre de tentatives de saisie de ce code PIN n’est pas limité, ce qui n’assure pas la sécurité et la confidentialité des données des utilisateurs.
Autre reproche : une absence de consentement des personnes. « Il apparaît également qu’un identifiant publicitaire est activé par défaut lors de l’installation de Windows 10. Il permet à des applications Windows et des applications tierces de suivre la navigation des utilisateurs et de leur proposer des publicités ciblées sans que le consentement des utilisateurs n’ait été recueilli », souligne-t-elle
Les deux derniers reproches concernent l’absence d’information et de possibilité de s’opposer au dépôt de cookies et la persistance de transferts de données personnelles internationaux sur la base du Safe Harbor. « La société dépose sur les terminaux des utilisateurs des cookies publicitaires, sans les en avoir au préalable correctement informés, ni mis en mesure de s’y opposer », indique la CNIL pour le premier.
Quant aux transferts de données personnelles il « n’est plus possible depuis la décision de la Cour de Justice de l’Union Européenne du 6 octobre 2015 », dit-elle.
Microsoft risque une amende de 150 000 euros si le géant ne se conforme pas aux exigences de la CNIL.