C’est parce que Windows 10 viole plusieurs dispositions de la loi « Informatique et Libertés » que la CNIL a formellement mis en demeure Microsoft. L’entreprise doit notamment arrête sa collecte excessive de données.
Comme l’explique un document de 15 pages publié par la CNIL, la commission s’est notamment intéressée au service de télémétrie de Windows 10, une fonctionnalité qui collecte des données de diagnostic et d’utilisation. Selon la déclaration de confidentialité du système d’exploitation, il s’agit de données qui « aident à identifier et à résoudre les problèmes, à améliorer nos produits et services et à vous offrir des expériences personnalisées ». Selon l’autorité, Microsoft viole plusieurs dispositions de la loi « Informatique et Libertés ».
C’est après avoir mené plusieurs contrôles en ligne, du 11 au 14 avril. Puis les 6, 22 et 29 juin sur des versions Home 1511 et Pro 1511 que la CNIL a mis en demeure la firme de Redmond. Suite à cette mise en demeure, Microsoft a maintenant trois mois pour corriger Windows 10 sous peine de subir des sanctions.
Comme le précise la CNIL, Microsoft doit notamment « cesser la collecte excessive de données et le suivi de la navigation des utilisateurs sans leur consentement », mais aussi assurer « de façon satisfaisante la sécurité et la confidentialité des données des utilisateurs ». Aux yeux de la commission, ces collectes ont un caractère excessif, certaines données ne sont carrément pas nécessaires au bon fonctionnement du service. Il s’agit par exemple de la liste des applications téléchargées, installées et le temps passé sur chacune d’entre elles.
L’étude menée par la CNIL a permis de définir qu’il existe trois niveaux de collecte de donnée : le complet, l’amélioré et celui de base. Le complet est bien évidemment celui qui transmet le plus d’informations à Microsoft. La firme de Redmond a informé l’autorité qu’il existe en fait un quatrième niveau propre aux éditions Entreprise, Éducation, Mobile Entreprise, IoT Standard de Windows 10. Le niveau de collecte de ce mode est encore plus restreint.
L’existence de ces différents niveaux convainc la CNIL que « la majorité des données comprises dans le niveau de base n’est pas essentielle au fonctionnement du service ».
Plusieurs manquements, notamment au niveau de l’information
La CNIL ne reproche pas seulement sa curiosité à Microsoft. Son manque d’information est aussi pointé du doigt. Par exemple, le formulaire de création d’un compte Microsoft ne comporte aucune explication au sujet du traitement des données collectées. Par ailleurs, même si la Déclaration de confidentialité précise que « les données recueillies […] peuvent être stockées et traitées […] aux États-Unis ou dans tout autre pays dans lequel Microsoft, ses filiales ou prestataires de services sont implantés », les utilisateurs ne sont informés pas informés sur la nature des données transmises, ni sur la nature du transfert en lui-même.
La CNIL reproche également à Microsoft son manquement à l’obligation d’obtenir le consentement des individus pour accéder à des informations sur leur terminal de communications électroniques comme le stipule la loi 78-17 du 6 janvier 1978.
La sécurité de Windows 10 est aussi mise en cause, comme la possibilité d’utiliser un code PIN à 4 chiffres qui est présenté comme « plus sécurisé qu’un long mot de passe ». La CNIL s’est arrêtée après 20 essais de trouver le mot de passe vu que le nombre de tentatives n’est pas limité (une phrase de vérification est demandée toutes les 4 tentatives et un redémarrage de la machine tous les 5 essais).
Si cet article a captivé votre intérêt, vous trouverez certainement les prochains tout aussi passionnants. Assurez-vous de ne rien manquer en vous abonnant à linformatique.org sur Google News. Suivez-nous aussi sur Facebook et Twitter.