La CNIL a annoncé cette semaine avoir retiré sa plainte contre Windows 10 en raison des modifications apportées par Microsoft à ses politiques de collecte de données.
Depuis le lancement de Windows 10, Microsoft était dans une situation délicate vis à vis de sa méthode de collecte de données. Dans l’hexagone, la Commission Nationale de l’Informatique et des Libertés (CNIL) avait émise ses craintes concernant les méthodes employés par la firme de Redmond, effectuant pas moins de sept tests l’année dernière sur Windows 10. À l’origine, elle a constaté que le système d’exploitation récoltait bien trop de données, effectuait un suivi de la navigation des utilisateurs sans leur consentement et avait un défaut de sécurité et de confidentialité des données des utilisateurs
Microsoft a répondu que Windows 10 ne violait pas vraiment la vie privée. Cependant, après un ajustement de la part de Microsoft, la CNIL a annoncé cette semaine qu’elle a maintenant retirait les plaintes contre Windows 10. Aujourd’hui, le régulateur français a annoncé que Windows 10 est maintenant en conformité avec les injonctions de la mise en demeure.
– Sur le caractère non pertinent ou excessif des données collectées
La société a réduit de près de la moitié le volume des données collectées dans le cadre du niveau de « base » de son service de télémétrie qui permet d’identifier des problèmes de fonctionnement du système et de les résoudre. Elle a limité cette collecte aux données strictement nécessaires pour maintenir le système et les applications en bon état de fonctionnement et assurer leur sécurité.
– Sur l’absence de consentement des personnes
Les utilisateurs sont désormais informés, par une mention claire et précise, qu’un identifiant publicitaire a vocation à suivre leur navigation pour leur proposer de la publicité ciblée. Par ailleurs, la procédure d’installation de Windows 10 a été modifiée : les utilisateurs ne peuvent finaliser l’installation tant qu’ils n’ont pas exprimé leur choix quant à l’activation ou à la désactivation de l’identifiant publicitaire. Ils peuvent, par ailleurs, revenir à tout moment sur ce choix.
– Sur le défaut de sécurité
La société a renforcé la robustesse du code PIN de 4 chiffres permettant aux utilisateurs de s’authentifier pour accéder à l’ensemble des services en ligne de la société et notamment à leur compte Microsoft : les combinaisons trop communes sont désormais refusées. En outre, en cas de saisie incorrecte, la société a mis en place un mécanisme de temporisation d’authentification (suspension temporaire de l’accès dont la durée augmente à mesure des tentatives).
Par ailleurs, conformément aux autres injonctions de la mise en demeure, la société a :
inséré des mentions d’information conformes à l’article 32 de la loi « Informatique et Libertés »;
effectué des demandes d’autorisation auprès de la CNIL pour ses traitements de lutte contre la fraude;
adhéré au Privacy Shield pour régir les transferts internationaux de données personnelles;
mis fin au dépôt de cookies sans recueil préalable du consentement des internautes lors de la consultation de la plupart de ses sites web Windows 10 et s’est engagée à le faire pour l’ensemble avant le 30 septembre 2017.
Microsoft est officiellement libéré des injonctions de la CNIL. Bien sûr, bien que la majeure partie de la collecte des données soit en opt-in, la plupart d’entre elles continuent d’être activées par défaut. Cependant, dans le combat de la CNIL contre Microsoft, il semble que cela soit suffisant pour respecter les normes officielles.