Bilan

La France accuse Windows de violer la Loi informatique et libertés

La Commission nationale française de l'informatique et des libertés (Cnil) enjoint Microsoft à cesser la collecte excessive de données et le suivi de la navigation des utilisateurs sans leur consentement.

La Cnil estime que Microsoft collecte trop de données pour son service destiné à identifier les problèmes, les résoudre et améliorer les produits.

Crédits: AFP

La Commission nationale française de l'informatique et des libertés (Cnil) a annoncé mercredi avoir enjoint au géant américain Microsoft de mettre son système d'exploitation Windows 10, sorti en juillet 2015, en conformité avec la Loi informatique et libertés.

La Cnil "met en demeure Microsoft Corporation de cesser la collecte excessive de données et le suivi de la navigation des utilisateurs sans leur consentement". "Elle lui demande aussi d'assurer de façon satisfaisante la confidentialité des données des utilisateurs", a-t-elle résumé dans un communiqué.

Elle a donné trois mois au groupe pour corriger les "nombreux manquements" qu'elle a relevés.

"Nous allons coopérer étroitement avec la Cnil dans les prochains mois pour comprendre entièrement les inquiétudes de l'agence et travailler sur les solutions qu'elle trouvera acceptable", a réagi David Heiner, un des dirigeants du groupe américain en charge des questions légales, dans un communiqué transmis à l'AFP.

La Cnil estime que Microsoft collecte trop de données pour son service destiné à identifier les problèmes, les résoudre et améliorer les produits.

"On s'est aperçu que ça remontait énormément d'informations, sur notamment les données d'usages des applications -combien de fois vous êtes connecté, combien de temps, etc.-, qui ne sont absolument pas nécessaires pour faire les diagnostics de sécurité et éventuellement résoudre les problèmes", a observé son secrétaire général, Edouard Geffray, interrogé par l'AFP.

La Cnil reproche en outre à Microsoft de proposer aux utilisateurs de choisir un code de quatre chiffres pour s'authentifier sur l'ensemble de l'univers Windows, au lieu du traditionnel diptyque identifiant/mot de passe, et ce sans limiter le nombre de tentatives de connexions.

"Sur le fond, on est clairement sur un dispositif qui est insuffisamment sécurisé aux yeux de la Cnil, alors même qu'on accède derrière à des données qui sont assez sensibles", a commenté Edouard Geffray. "Sur la forme (...), on a en fait une information consistant à présenter comme plus sécurisé un dispositif qui l'est à notre sens moins" car Microsoft présente le code de quatre chiffres comme plus sûr.

Utilisateurs pas suffisamment informés

La Cnil déplore aussi qu'un identifiant publicitaire soit activé par défaut lors de l'installation de Windows 10. Il permet de suivre la navigation des utilisateurs et de proposer des publicités ciblées, sans que leur consentement ait été recueilli.

Microsoft, en outre, pose selon la Cnil des cookies publicitaires sur les terminaux des utilisateurs "sans les en avoir au préalable correctement informés, ni mis en mesure de s'y opposer".

Enfin, la Commission constate que Microsoft transfère des données personnelles aux Etats-Unis sur la base du Safe Harbor, un accord transatlantique qui a été invalidé par une décision de la Cour de justice de l'Union européenne en octobre, si bien que le groupe américain "ne dispose pas de bases légales pour procéder au transfert en question".

"Nous avons intégré à Windows 10 de fortes protections des données privées, et nous apprécions les retours tandis que nous travaillons continuellement pour améliorer ces protections", a assuré David Heiner.

Concernant les transferts de données aux Etats-Unis, il a affirmé que Microsoft se basait sur des mécanismes légaux en plus de Safe Harbor, et était en train de se mettre en conformité avec le nouveau cadre juridique entériné la semaine dernière par l'UE pour le remplacer.

La Cnil dit avoir mené son enquête au printemps -parallèlement à des investigations de certaines de ses consoeurs européennes-, effectuant sept contrôles en ligne et interrogeant Microsoft sur sa politique de confidentialité.

Si Microsoft ne se conforme pas à ses demandes dans les trois mois, un délai pouvant être doublé, un rapporteur pourra être désigné et demander une sanction à la formation restreinte (une sorte de tribunal chargé de juger ce genre d'affaires à la Cnil). Microsoft risque une amende de 150.000 euros.

La Cnil a également un différend avec Facebook sur la collecte et l'utilisation des données. Elle a soulevé dix manquements et principalement, selon sa présidente, le fait que "Facebook trace les internautes, y compris ceux qui n'ont pas de compte" sur son réseau social. Facebook a jusqu'au 9 août pour obtempérer.

L'autorité a aussi condamné Google en mars pour ne pas avoir accepté de déréférencer au nom du "droit à l'oubli" des informations sur toutes les extensions de son célèbre moteur de recherche. Contestant à la Cnil toute compétence hors de France, Google a fait appel devant le Conseil d'Etat, un jugement étant attendu début 2017.

Les newsletters de Bilan

Le cercle des lecteurs

Le Cercle des Lecteurs est une plate-forme d'échanger sur tout ce qui touche votre magazine. C'est le reflet de vos opinions, et votre porte-parole le plus fidèle. Plus d'info


Image Footer

"Tout ce qui compte.
Pour vous."