L2T

| BLOG IT |

L2T

| BLOG IT |

La Commission Nationale de l’Informatique et des libertés à clôturé le 29 juin 2017, un an après son ouverture, la procédure de mise en demeure contre la société Microsoft concernant Windows 10.

Ci-dessous le post de la CNIL :

Rappel des faits

A la suite du lancement de Windows 10 en juillet 2015, l’attention de la CNIL a été appelée par voie de presse ainsi que par des courriers émanant de partis politiques sur de potentiels manquements à la loi Informatique et Libertés.

Sept contrôles en ligne ont été réalisés entre avril et juin 2016. A cette occasion, plusieurs manquements ont été constatés et notamment : une collecte excessive de données, un suivi de la navigation des utilisateurs sans leur consentement et un défaut de sécurité et de confidentialité des données des utilisateurs.

Ces constats ont conduit la Présidente de la CNIL à mettre en demeure, le 20 juillet 2016, la société MICROSOFT CORPORATION de se conformer à la loi dans un délai de 3 mois. Il a été décidé de rendre publique cette mise en demeure notamment en raison de la gravité des manquements constatés et du nombre de personnes concernées (plus de dix millions d’utilisateurs de Windows 10 en France). MICROSOFT a demandé à la Présidente de la CNIL de bénéficier d’un délai supplémentaire de 3 mois (soit jusqu’au 20 janvier 2017).

La réponse de MICROSOFT CORPORATION

La réponse de la société a permis de considérer que les manquements avaient cessé. La société a, en effet, pris des mesures afin de se mettre en conformité avec les injonctions de la mise en demeure.

 

Sur le caractère non pertinent ou excessif des données collectées

  • La société a réduit de près de la moitié le volume des données collectées dans le cadre du niveau de « base » de son service de télémétrie qui permet d’identifier des problèmes de fonctionnement du système et de les résoudre. Elle a limité cette collecte aux données strictement nécessaires pour maintenir le système et les applications en bon état de fonctionnement et assurer leur sécurité.

Sur l’absence de consentement des personnes

  • Les utilisateurs sont désormais informés, par une mention claire et précise, qu’un identifiant publicitaire a vocation à suivre leur navigation pour leur proposer de la publicité ciblée. Par ailleurs, la procédure d’installation de Windows 10 a été modifiée : les utilisateurs ne peuvent finaliser l’installation tant qu’ils n’ont pas exprimé leur choix quant à l’activation ou à la désactivation de l’identifiant publicitaire. Ils peuvent, par ailleurs, revenir à tout moment sur ce choix.

Sur le défaut de sécurité

  • La société a renforcé la robustesse du code PIN de 4 chiffres permettant aux utilisateurs de s’authentifier pour accéder à l’ensemble des services en ligne de la société et notamment à leur compte Microsoft : les combinaisons trop communes sont désormais refusées. En outre, en cas de saisie incorrecte, la société a mis en place un mécanisme de temporisation d’authentification (suspension temporaire de l’accès dont la durée augmente à mesure des tentatives).

Par ailleurs, conformément aux autres injonctions de la mise en demeure, la société a :

  • Inséré des mentions d’information conformes à l’article 32 de la loi « Informatique et Libertés » ;
  • Effectué des demandes d’autorisation auprès de la CNIL pour ses traitements de lutte contre la fraude ;
  • Adhéré au Privacy Shield pour régir les transferts internationaux de données personnelles ;
  • Mis fin au dépôt de cookies sans recueil préalable du consentement des internautes lors de la consultation de la plupart de ses sites web Windows 10 et s’est engagée à le faire pour l’ensemble avant le 30 septembre 2017.

La Présidente de la CNIL a considéré que la société s’était mise en conformité avec la loi « Informatique et Libertés » et a ainsi décidé de procéder à la clôture de la procédure de mise en demeure.

 

Pour aller plus loin :

Décision de clôture : ICI

Mise en demeure : ICI