Windows 10 est-il conforme à la réglementation sur les données personnelles ?
La CNIL vient officiellement de mettre en demeure Microsoft Corporation de cesser « la collecte excessive de données et le suivi de la navigation des utilisateurs sans leur consentement ».
L’autorité française de régulation des données personnelles vient d’accorder 3 mois au géant américain pour mettre en conformité son nouveau système d’exploitation avec la loi Informatique et Libertés. Après avoir mené diverses investigations, la CNIL annonce dans son rapport d’enquête avoir relevé de « graves manquements » à la loi. En cause ?
Une collecte excessive des données personnelles des utilisateurs
La CNIL pointe du doigt la collecte excessive et injustifiée des données des utilisateurs. Elle estime que le service de « télémétrie » destiné à identifier et résoudre les problèmes et à améliorer les produits et services, collecte des données qui ne sont pas « directement nécessaires au fonctionnement du système d’exploitation » ce qui constitue une entrave au principe de finalité d’un traitement de données.
D’autres manquements à la loi Informatique et Libertés sont visés par la CNIL. Notamment, les failles du système d’exploitation concernant la collecte par défaut des données personnelles des utilisateurs sans que leur consentement n’ait été recueilli.
Le défaut de sécurité du système d’exploitation
En outre, l’autorité déplore le manque de sécurité du système d’exploitation. Ce dernier laisse la possibilité aux utilisateurs de se connecter aux services en ligne de Microsoft à l’aide d’un mot de passe composé seulement de 4 chiffres et dont les tentatives de connexion sont illimitées ce qui ne permet pas d’assurer un niveau de sécurité suffisant des données personnelles des utilisateurs.
La persistance des transferts de données sur la base du « Safe Harbor »
L’autre élément relevé par la CNIL concerne le transfert des données des utilisateurs vers les Etats-Unis sur la base du « Safe Harbor ». Ce dispositif permettant d’encadrer les transferts de données à caractère personnel hors de l’Union Européenne, avait été invalidé le 6 octobre 2015 par la Cour de Justice de l’Union Européenne aux motifs qu’il n’assurait pas un niveau de protection suffisant des données. Or, dans la déclaration de confidentialité de Windows 10, Microsoft s’octroie la possibilité de stocker les données collectées aussi bien aux Etats-Unis ou dans tout autre pays où des filiales y sont implantées.
Une mise en demeure publique adressée par la CNIL : coup dur pour le géant américain ?
Face à de tels manquements, l’autorité française de régulation des données personnelles s’est vue dans l’obligation de mettre en demeure Microsoft Corporation de se conformer à la loi Informatique et Libertés. La société qui dispose désormais de 3 mois pour se mettre en conformité a annoncé vouloir travailler en « étroite collaboration » avec l’autorité française. A défaut, cette dernière a d’ores et déjà annoncé qu’elle serait contrainte de condamner le géant américain à une amende de 150.000 euros.
C’est la première fois qu’une telle sommation est adressée par la CNIL à Microsoft Corporation. Pour autant, cette mise en demeure n’est que peu surprenante puisqu’à la sortie du nouveau système d’exploitation, l’autorité avait déjà relevé et constaté de nombreux manquements à la législation française en matière de traitement et de protection des données personnelles. La CNIL attendait certainement plus de réactivité de la société qui avait assuré à l’époque que les utilisateurs disposaient du pouvoir de contrôler l’accès à leurs données.
Depuis, Microsoft Corporation n’a pas semblé revoir la politique de traitement des données de son nouveau système d’exploitation. De son côté, la CNIL n’a pas fléchi devant l’inertie du géant américain et semble faire de cette affaire « un exemple » en réaffirmant aujourd’hui son statut de « gendarme » de la protection des données personnelles.
Reste à savoir si la société va effectivement se mettre en conformité avec la loi Informatique et Libertés. Il est évident qu’une sanction pécuniaire de 150.000 euros est peu dissuasive pour un géant tel que Microsoft Corporation. Néanmoins, la société aurait tout intérêt à se conformer à l’interpellation de la CNIL par crainte d’une atteinte à sa réputation.