La Commission nationale de l’informatique et des libertés (CNIL) a mis en demeure Microsoft de mettre le système d’exploitation Windows 10 en conformité avec la loi informatique et libertés.

La CNIL « met en demeure Microsoft Corporation de cesser la collecte excessive de données et le suivi de la navigation des utilisateurs sans leur consentement. Elle lui demande aussi d’assurer de façon satisfaisante la confidentialité des données des utilisateurs », a précisé la CNIL dans un communiqué.

Microsoft aura trois mois pour corriger les dérives.

La CNIL a relevé  de nombreux manquements à la loi.

-         La CIL  estime tout d’abord que Microsoft collecte trop de données pour son service de « télémétrie » lui permettant notamment  d’identifier les problèmes, et de les résoudre afin améliorer les produits.

Ces données concernent notamment l’usage des applications téléchargées par les utilisateurs et le temps passé sur chacune d’elles.

-         Elle reproche par ailleurs à Microsoft de proposer aux utilisateurs de choisir un code de quatre chiffres pour s’authentifier sur l’ensemble de l’univers Windows, au lieu du diptyque identifiant-mot de passe, et ce sans limiter le nombre de tentatives de connexion.

Pour la CNIL, cela « n’assure pas la sécurité et la confidentialité des données des utilisateurs ».

L’utilisation abusive des cookies publicitaires

La CNIL regrette par ailleurs qu’un identifiant publicitaire soit activé par défaut lors de l’installation de Windows 10.

Celui-ci permet de suivre la navigation des utilisateurs et de leur  proposer des publicités ciblées, sans que leur consentement ait été recueilli.

Selon la CNIL, Microsoft poserait  des cookies publicitaires sur les terminaux des utilisateurs « sans les en avoir au préalable correctement informés, ni mis en mesure de s’y opposer ».

Le transfert des données personnelles aux USA.

Enfin, la CNIL  constate que Microsoft transfère des données personnelles aux Etats-Unis sur la base du « Safe Harbor », un accord transatlantique invalidé par une décision de la Cour de Justice de l’Union européenne en octobre

Ainsi, Microsoft «ne dispose pas de bases légales pour procéder au transfert en question ».

La présidente de la CNIL, Isabelle Falque-Pierrotin, a donné trois mois à Microsoft pour se conformer à la législation française, délai pouvant éventuellement être prolongé de trois mois.

Si Microsoft n’obtempérait pas, la Présidente de la CNIL pourrait désigner un Rapporteur, qui pourrait demander une sanction.

Microsoft risquerait ainsi une amende de 150 000 euros, un montant …plus que raisonnable !?