La CNIL accuse Window 10 de violer la loi Informatique et Libertés

La Commission nationale française de l'informatique et des libertés (CNIL) a annoncé avoir mis en demeure la société américaine Microsoft de mettre son système d'exploitation Windows 10, datant de juillet 2015, en conformité avec la Loi informatique et libertés, en ces termes :

« La CNIL met en demeure Microsoft Corporation de cesser la collecte excessive de données et le suivi de la navigation des utilisateurs sans leur consentement. »

Microsoft
doit cesser dans un délai de trois mois, « la collecte excessive de données et le suivi de la navigation des utilisateurs sans leur consentement ». Il faut également qu’elle s’engage à assurer dans de bonnes conditions « la confidentialité des données des utilisateurs ».

La CNIL a constaté que Microsoft, sous prétexte de résoudre les problèmes et d’améliorer ses logiciels, collectait trop de données sur les utilisateurs, en particulier des informations sur le nombre et le temps de connexion, dont on ne comprend pas qu’elles soient nécessaires à ses diagnostics de sécurité. [1]
Le dispositif est globalement sous sécurisé.

La CNIL reproche en outre à Microsoft son code à quatre chiffres pour s'identifier sur tous les sites Windows, alors que le classique diptyque identifiant/mot de passe est plus sécurisé, d’autant que le nombre de tentatives de connexions n’est pas limité.
En gros, c’est une passoire, ce que précise la CNIL.

« Sur le fond, on est clairement sur un dispositif qui est insuffisamment sécurisé alors même qu'on accède derrière à des données qui sont assez sensibles" (...), on a en fait une information consistant à présenter comme plus sécurisé un dispositif qui l'est à notre sens moins. » [2]

Sur l’information et la liberté des utilisateurs, la CNIL déplore la politique que suit Microsoft :

- Un identifiant publicitaire est activé par défaut lors de l'installation de Windows 10 pour suivre la navigation des utilisateurs et proposer des publicités ciblées, sans leur consentement.
- Microsoft insère des cookies publicitaires sur appareils des utilisateurs « sans les en avoir au préalable correctement informés, ni mis en mesure de s'y opposer ».
-
Microsoft transfère des données personnelles aux États-Unis sur la base d’un accord transatlantique (le Safe Harbor) pourtant que la Cour de justice de l'Union européenne a invalidé, ce qui signifie que cette société « ne dispose d’aucune base légale pour procéder au transfert en question ».


Bien entendu, Microsoft a tenté de se justifier et de répondre aux constatations de la CNIL. Selon son porte parole, la société a doté Windows 10 de fortes protections des données à partir des retours clientèle, ce qui ne répond nullement aux objections de la CNIL. Sur les transferts de données aux États-Unis, il dit simplement que la mise en conformité est en cours, sans apporter de preuves quelconques à ses assertions.

Microsoft a également promis de « coopérer étroitement avec la CNIL… pour comprendre entièrement ses inquiétudes et travailler sur les solutions qu'elle trouvera acceptable », c’est plein de bonnes intentions tout ça. On sait que les promesses n’engagent que ceux qui y croient.
Affaire à suivre…

Microsoft a normalement trois mois (renouvelable une fois) pour se conformer aux remarques de la CNIL, avec éventuellement une sanction infligée par la formation restreinte de la CNIL chargée de juger ce genre d'affaires, une amende qui peut atteindre 150.000 euros.
Ce qui, disons-le clairement, est négligeable.

Microsoft n’est pas la seule à devoir rendre des comptes à la CNIL. C’est aussi le cas de Facebook pour la collecte et l'utilisation des données, la commission ayant relevé dix manquements à ses règles, notamment le fait que « Facebook trace les internautes, y compris ceux qui n'ont pas de compte » sur son réseau social.

Google aussi vient d’être condamnée par la CNIL pour avoir refusé de respecter le "droit à l'oubli" des informations sur toutes les extensions de son moteur de recherche. Mais Google, forte de son assise financière et de son armée de conseils et d’avocats a interjeté appel devant le Conseil d’État pour non compétence de la CNIL hors de France.
Au nom de la mondialisation dont elle profite sans doute.
Là aussi, affaire à suivre…

Notes et références

[1] Commentaire de son secrétaire général, Edouard Geffray à l'AFP
[2] La CNIL précise dit avoir effectué son enquête en parallèle avec des consœurs européennes, avec sept contrôles en ligne et l’évaluation de la politique de confidentialité de Microsoft.

< Christian Broussas, CNIL windows - 16 août 2016 < • © cjb © • >