La CNIL met en demeure Microsoft pour windows 10

[Adrian]

 

A la suite du lancement du nouveau système d’exploitation Windows 10 en juillet 2015, l’attention de la CNIL a été appelée par voie de presse ainsi que par des courriers émanant de partis politiques sur une potentielle collecte excessive de données personnelles par MICROSOFT CORPORATION.

Parallèlement, au sein du G29 (groupe des CNIL européennes), un groupe composé de plusieurs autorités de protection a été constitué (Contact Group) pour se saisir de cette question et mener des investigations dans les différents Etats membres impliqués.

C’est dans ce contexte que la CNIL a effectué 7 contrôles en ligne en avril et juin 2016 et a interrogé MICROSOFT CORPORATION sur certains points exposés dans sa politique de confidentialité afin de vérifier la conformité de Windows 10 à la loi Informatique et Libertés.

Ces vérifications ont permis de relever de nombreux manquements à cette loi, notamment :

Des données collectées non pertinentes ou excessives

La CNIL a constaté que la société collecte des données de diagnostic et d’utilisation dans le cadre de son service de « télémétrie ». Ce service permet notamment, sur la base de données de diagnostic ou d’utilisation, d’identifier des problèmes, de les résoudre et d’améliorer les produits. A cette fin, MICROSOFT CORPORATION traite par exemple des données d’usage des applications Windows et du Windows Store, qui permettent notamment d’avoir connaissance de toutes les applications téléchargées et installées sur le système par un utilisateur et du temps passé sur chacune d’elles. Ce faisant, elle se livre à une collecte excessive, ces données n’étant pas nécessaires au fonctionnement du service.

Un défaut de sécurité

La société permet aux utilisateurs de choisir un code PIN de 4 chiffres pour s’authentifier pour l’ensemble de ses services en ligne et notamment pour l’accès à leur compte Microsoft, qui recense les achats effectués sur le store et les moyens de paiement utilisés. Or, le nombre de tentatives de saisie de ce code PIN n’est pas limité, ce qui n’assure pas la sécurité et la confidentialité des données des utilisateurs.

Une absence de consentement des personnes

Il apparaît également qu’un identifiant publicitaire est activé par défaut lors de l’installation de Windows 10. Il permet à des applications Windows et des applications tierces de suivre la navigation des utilisateurs et de leur proposer des publicités ciblées sans que le consentement des utilisateurs n’ait été recueilli.

Une absence d’information et de possibilité de s’opposer au dépôt de cookies

La société dépose sur les terminaux des utilisateurs des cookies publicitaires, sans les en avoir au préalable correctement informés, ni mis en mesure de s’y opposer.

La persistance de transferts internationaux sur la base du Safe harbor

La société transfère les données personnelles de ses membres aux Etats-Unis sur la base du Safe harbor, ce qui n’est plus possible depuis la décision de la Cour de Justice de l’Union Européenne du 6 octobre 2015.

La Présidente de la CNIL a donc décidé de mettre en demeure MICROSOFT CORPORATION de se conformer à la loi dans un délai de 3 mois. Cette procédure et l’analyse juridique de la CNIL n’engagent que l’autorité française, les autres Etats membres du Contact group poursuivant leurs investigations sur leur territoire.

L’objet de cette mise en demeure n’est pas d’interdire toute publicité sur les services de la société mais de permettre aux utilisateurs d’exercer leur choix librement en étant correctement informés de leurs droits.

Il a été décidé de rendre publique cette mise en demeure notamment en raison de la gravité des manquements constatés et du nombre de personnes concernées (plus de dix millions d’utilisateurs de Windows 10 sur le territoire national).

La CNIL rappelle que cette mise en demeure n'est pas une sanction. En effet, aucune suite ne sera donnée à cette procédure si la société se conforme à la loi dans le délai imparti. Dans ce cas, la clôture de la procédure fera également l'objet d'une publicité.

Si MICROSOFT CORPORATION ne se conforme pas à cette mise en demeure dans le délai imparti, la Présidente pourra désigner un rapporteur qui, le cas échéant, pourra établir un rapport proposant à la formation restreinte de la CNIL, chargée de sanctionner les manquements à la loi Informatique et Libertés, de prononcer une sanction à l’égard de la société.

https://www.cnil.fr/fr/windows-10-la-cnil-met-publiquement-en-demeure-microsoft-corporation-de-se-conformer-dans-un-delai

 

[Tramp]

L'administration qui fait les règles, les fait appliquer et juge les manquements. Y a pas de conflit d'intérêt c'est clair.

[PABerryer]

Non la CNIL ne fait qu'appliquer une législation qui existe.

[Tramp]

Elle ne fait qu'appliquer la legislation qui lui donne le pouvoir de réguler, contrôler et sanctionner.

[Brock]

toujours le meme pipeau sur les cookies et pendant ce temps la ca veut ficher tout le monde pour n'importe quelles raisons.

[Lancelot]

L'administration qui fait les règles, les fait appliquer et juge les manquements. Y a pas de conflit d'intérêt c'est clair.

Bienvenue dans le monde merveilleux du droit administratif.