Dès sa sortie, et même un peu avant, Windows 10 a été beaucoup critiqué pour la collecte massive de données qu’il effectue en configuration par défaut, et ce d’autant plus qu’une partie de ces collectes est difficile voir impossible à désactiver via les panneaux de réglage du système. Un an après, la CNIL agit enfin officiellement contre Microsoft.
Suite à une enquête menée ce printemps, la Commission a en effet relevé plusieurs manquements à la loi Informatique et Libertés et a donc décidé de mettre en demeure Microsoft.
Sans surprise, le premier grief concerne la collecte de données. Si la CNIL n’a rien contre la collecte de données quand elle est nécessaire au bon fonctionnement du produit, ce n’est selon elle pas le cas pour Windows 10, et cette collecte est donc jugé excessive. Parmi ces collectes excessives, la CNIL cite notamment la liste des applications installées et le temps passées sur chacune d’elle. Une collecte dont on a d’ores et déjà pu voir les premières dérives il y a quelques jours, avec des notifications invitant les utilisateurs de Chrome et Firefox à passer à Edge, le nouveau navigateur de Microsoft.
La CNIL reproche également à Microsoft un manque de sécurité lors de l’activation du code PIN pour la connexion au compte. Les utilisateurs s’identifiant avec leur compte en ligne Microsoft peuvent en effet en option utiliser un simple code PIN à 4 chiffres pour contrôler l’accès à leur compte, plutôt que le mot de passe de leur compte en ligne. Ce code PIN peut également être utilisé pour valider des achats sur le Windows Store. Alors que Microsoft présente cette solution comme plus sécurisée que le mot de passe classique, sans doute parce qu’elle évite d’exposer le mot de passe à chaque utilisation, la CNIL pense au contraire que ce code PIN diminue fortement la sécurité, le nombre de tentatives de saisie n’étant pas limité, exposant ainsi les données personnelles des utilisateurs.
Bien moins grave, mais illégal tout de même, Microsoft a recours à un cookie d’identification pour la publicité sans en informer clairement l’utilisateur et sans lui laisser la possibilité de s’y opposer. Les règles à ce niveau son pourtant très claires, tant au niveau national qu’au niveau européen.
Enfin, comme beaucoup de fournisseurs de service d’origine américaine, Microsoft transfert une bonne part des données personnelles de ses clients vers des serveurs basées aux États-Unis, en s’appuyant sur le Safe Harbor, un accord entre l’Espace Économique Européen et les USA sur les transferts de données personnelles. Cet accord a toutefois été invalidé en octobre dernier par la Cours de Justice de l’Union Européenne, car elle a jugé qu’il protégeait trop peu la vie privée.
Microsoft dispose désormais d’un délai de trois mois pour se mettre en conformité. Passé ce délai, la CNIL pourra engager des poursuites contre l’éditeur.