Depuis le lancement du nouveau système d’exploitation Windows 10 en juillet 2015, la CNIL a été alertée sur une potentielle collecte excessive de données personnelles par Microsoft Corporation.
Au printemps 2016, la CNIL a réalisé 7 contrôles en ligne et a interrogé MICROSOFT CORPORATION sur certains points exposés dans sa politique de confidentialité afin de vérifier la conformité de Windows 10 à la loi Informatique et Libertés.
Le 20 juillet 2016, la CNIL a rendu publique la mise en demeure envoyée à MICROSOFT.
I/ Les différents griefs relevés par la CNIL
Dans sa mise en demeure la CNIL expose les éléments non conformes à la loi informatique et libertés et invite Microsoft à les rendre conformes.
- Des données collectées non pertinentes ou excessives
Dans le cadre de son service de « télémétrie », Microsoft collectait des données de diagnostic et d’utilisation notamment des données d’usage des applications Windows et du Windows Store, qui permettent entre autres d’avoir connaissance de toutes les applications téléchargées et installées sur le système par un utilisateur et du temps passé sur chacune d’elles. Pour la CNIL cette collecte est excessive, ces données n’étant pas nécessaires au fonctionnement du service.
- Un défaut de sécurité
En ne limitant pas le nombre de tentatives de saisie du code PIN mis en place pour s’authentifier et accéder à son compte (données personnelles, historique des achats, moyen de paiement…), la CNIL estime que Microsoft n’assure pas la sécurité et la confidentialité des données des utilisateurs.
- Une absence de consentement des personnes
En activant par défaut un identifiant publicitaire lors de l’installation de Windows 10, Microsoft peut suivre la navigation des utilisateurs et leur proposer des publicités ciblées. Le consentement des utilisateurs n’ayant pas été recueilli, Microsoft ne respecte donc pas l’article 8 de laLoi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. L’obligation imposée est qu’un « traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l’une des conditions suivantes (…) ».
- Une absence d’information et de possibilité de s’opposer au dépôt de cookies
En déposant sur les terminaux des utilisateurs des cookies publicitaires, Microsoft s’est mis en marge de la Loi Informatique et Libertés et de son article 32 car il n’a pas informé correctement au préalable les utilisateurs. De plus, les utilisateurs n’ont pas la possibilité de s’y opposer conformément à l’article 38 de la loi.
- La persistance de transferts internationaux sur la base du Safe harbor
Microsoft sur la base du Safe harbor transfère les données personnelles de ses membres aux Etats-Unis. Or depuis la décision de la Cour de Justice de l’Union Européenne du 6 octobre 2015, ce transfert est illégal.
II/ Une mise en demeure rendue publique
Il convient de préciser que malgré ces manquements énoncés, l’objet de cette mise en demeure de la CNIL à l’encontre de Microsoft n’a pas pour finalité d’interdire toute publicité sur les services proposés par cette même entreprise. En effet, la CNIL souhaite simplement que les utilisateurs puissent exercer leur choix librement en étant correctement informés de leurs droits.
Compte-tenu du nombre de personnes concernées (environ 10 millions d’utilisateurs de Windows 10 en France), la CNIL a souhaité rendre publique cette mise en demeure qui rappelons-le ne constitue pas une sanction au sens juridique … ce qui peut néanmoins prêter à débat en termes de réputation et d’image.
Au terme du délai imparti (3 mois) pour se conformer aux recommandations et à la loi, la CNIL devrait mettre fin à la procédure par une décision qui elle aussi sera rendue publique ou engager la procédure visant à sanctionner les manquements.
L’affaire est donc à suivre…
- Cloud : Déplacement et localisation physique des données à caractère personnel hors d’Europe
- Géolocalisation des consommateurs dans les grandes surfaces
- Le fichier STADE suspendu par le Conseil d’Etat
- Sécurité des données, l’entreprise est responsable de ses sous-traitants
- E-santé, surveiller sa santé à l’aide d’un objet connecté