La CNIL donne trois mois à Microsoft pour réviser la politique de confidentialité de Windows 10

La Commission nationale de l’informatique et des libertés (CNIL) reproche à Microsoft des manquements de Windows 10 à la loi Informatique et libertés :

– Le service de télémétrie, activé par défaut dans le système d’exploitation, collecterait de façon excessive des informations qui ne sont pas nécessaires au fonctionnement du service.

L’exemple choisit par la CNIL est étonnant : la connaissance de toutes les applications téléchargées et installées sur le système à partir du Windows Store, puisque tous les magasins virtuels de ce type ont besoin de ces informations, notamment pour les mises à jour automatiques des applications.

En revanche, connaître le temps passé sur chacune d’elle n’est effectivement pas nécessaire au fonctionnement du service.

– La CNIL reproche à Microsoft de ne pas assurer la sécurité et la confidentialité des données avec la possibilité de choisir un code PIN, qui soit dit en passant n’est pas limité à 4 chiffres, puisque le nombre de tentatives de saisie du code n’est pas limité.

– Une absence de consentement, l’identifiant publicitaire étant activé par défaut lors de l’installation de Windows. On notera toutefois que la plupart des systèmes d’exploitation mobiles agissent de même, qu’il est possible de ne pas choisir cette option lors de l’installation de Windows 10, et que la liste des options par défaut est énumérée à l’utilisateur.

– Une absence d’information et de possibilité d’opposition au stockage de cookies publicitaires.

– La persistance de transferts internationaux sur la base du Safe harbor, ce qui n’est plus possible depuis la décision de la Cour de Justice de l’Union Européenne du 6 octobre 2015.

Ce point est particulièrement épineux pour les multinationales américaines, et l’on peut se demander si la CNIL n’ouvre pas une boîte de Pandore, car la plupart d’entre elles ne peuvent cesser du jour au lendemain les transferts sans compromettre le fonctionnement de leurs services.

Et le bouclier de protection, la nouvelle directive européenne qui remplace le Safe Harbor a été entérinée le 12 juillet 2016, soit il y a à peine plus d’une semaine.

Microsoft n’encourt pas de sanction à partir du moment où elle se conforme à la mise en demeure dans le temps imparti.

David Heiner, le directeur juridique adjoint de Microsoft, a confié que Microsoft travaillerait avec la CNIL pour comprendre ses préoccupations et trouver des solutions. Il note que Microsoft a travaillé dur sur le bouclier de protection, et que l’entreprise va réviser le mois prochain sa politique de confidentialité pour adopter la sphère de protection.