Quelques jours après l’annonce de Microsoft sur l’arrivée de nouvelles options de configuration de la collecte de données dans Windows 10, l’Agence Nationale de la Sécurité des Systèmes d’Information a publié une note technique expliquant comment configurer Windows 10 de façon à minimiser les remontées d’informations en attendant l’arrivée de ces options.
Intitulé « Préoccupations relatives au respect de la vie privée et à la confidentialité des données sous Windows 10 », le document de 19 pages, que l’ANSSI destine à un large public, du DSI au simple utilisateur, passe en revue les principaux services Windows effectuant de la collecte d’informations, et explique les données qu’ils collectent, la finalité de la collecte et les conséquences éventuelles d’un blocage de cette collecte.
En annexe, le guide comprend le détail des paramétrages à effectuer pour désactiver l’envoi d’informations. On regrettera toutefois que ce guide de paramétrage s’appuie exclusivement sur l’outil d’édition de stratégie de groupe, un outil qui n’est livré qu’avec les éditions professionnelle de Windows. Un guide détaillant les clés de base de registre à modifier aurait certes été plus complexe à mettre en œuvre, mais aurait eu le mérite d’être plus universel.
Hasard du calendrier, la publication de ce guide arrive à point nommé, Donald Duck venant de signer une ordonnance présidentielle lourde de conséquence pour tous les utilisateurs de Windows 10 en dehors des USA. Cette ordonnance demande en effet à toutes les agences officielles de revoir leur politique de vie privée afin d’exclure purement et simplement les non résidents et non citoyens américains de toutes les mesures de protection de la vie privée prévue par le Privacy Act. Ainsi, les données de clients français de Microsoft pourraient être traitées par les agences américaines comme s’il ne s’agissait pas de données personnelles.
Cette ordonnance pourrait d’ailleurs entrainer la suppression du « Privacy Shield », un accord entre l’Union Européenne et de nombreuses entreprises américaines au sujet de la protection des données de consommateurs européens stockées aux États-Unis, et donc obliger les sociétés américaines à héberger les données de leurs clients européens dans des datacenters situés sur le sol européen.