La CNIL a enjoint Microsoft de mettre Windows 10 en conformité avec la Loi informatique et libertés (loi de 1978).
Décidément, les géants américains des IT ont bien du mal avec notre Loi informatique et libertés ! Après Facebook, accusé de 10 manquements dont celui de tracer les internautes, même ceux qui n’ont pas de compte sur le réseau, qui a jusqu’au 9 août pour se mettre en conformité avec la Loi. Après Google, dont on attend pour 2017 le jugement en appel auprès du Conseil d’État. C’est au tour de Microsoft de se voir imposer par la Commission nationale de l'informatique et des libertés un délai de 3 mois (renouvelable) pour se mettre en conformité, au risque d’une sanction et de payer une amende de 150 000 euros.
Les manquements de Windows 10
La requête de la CNIL fait suite à une enquête menée en ligne au printemps, en avril et en juin, conjointement avec d’autres CNIL européennes, avec une série de contrôles sur la politique de confidentialité de l’éditeur. Qui se voit reprocher plusieurs manquements sur son système d’exploitation (OS) Windows 10 :
– Trop de collecte de données de télémétrie (les informations de diagnostic sur le fonctionnement et les usages de l’OS et des applications) ;
– Trop de données de sécurité collectées que nécessaires suivant les niveaux de sécurités retenus par les utilisateurs ;
– Manquement à l’obligation de sécurité des données, avec un dispositif insuffisamment sécurisé (code à 4 chiffres à la place du diptyque identifiant/mot de passe et sans limite de connexions) ;
– Défaut d’autorisation du traitement automatisé d’exclusion des utilisateurs qui se livrent à des fraudes ;
– Activation d’un identifiant publicitaire à l’installation de l’OS, qui sert au ciblage des utilisateurs ;
– Manquement au droit d’opposition, Microsoft est en particulier épinglé pour un manque d’information et de mécanisme valable d’opposition ;
– Insuffisance de l’information des utilisateurs, par exemple sur les cookies publicitaires placés sur des terminaux sans que l’utilisateur soit en mesure de s’y opposer, ou encore sur les droits ouverts sur les données transférées, leur nature, le destinataire et la protection offerte dans le pays.
La CNIL reproche également à Microsoft de transférer des données personnelles vers les États-Unis sur la base du Safe Harbor, alors que la Cour de justice de l’Union européenne a invalidé l’accord transatlantique.
3 mois...
Microsoft a trois mois, renouvelables une fois, pour rectifier le tir, à défaut de quoi le rapporteur de la CNIL pourra réclamer une des sanctions prévues par l’article 45 de la Loi de 1978. Et l’éditeur est invité à obtempérer rapidement... D’abord parce que cette affaire, que la CNIL semble vouloir médiatiser, risque d’avoir un coût médiatique dont Microsoft France se passerait bien. Ensuite parce qu’elle arrive au mauvais moment. En effet, la migration des anciennes versions de Windows vers la version 10 perd sa gratuité. Enfin, parce que la même affaire traitée à partir de mai 2018 tombera dans l’escarcelle du règlement européen, ce qui se traduira par des sanctions qui s’exprimeront en pourcentage (2 % à 4 %) du chiffre d’affaires mondial du contrevenant !