Windows 10 dans le programme de Microsoft et données perso : mis en demeure par la Cnil, Microsoft tente de se justifier Sécurité :Redmond avait pourtant fait du respect de la confidentialité un de ses chevaux de bataille pour son nouvel OS. C'est raté.
Le sévère recadragede la Cnil à propos de Windows 10 n'est pas passé inaperçu, dépassant largement les frontières françaises. Rappelons que la Commission nationale informatique et libertés a mis en demeure Redmond à propos d'une “collecte excessive” de données via Windows 10.
Pour commencer, le service de télémétrie de Windows 10 sous le feu des critiques depuis de nombreux mois se livre à une collecte excessive d’informations, en récoltant des données d’usage des applications Windows et du Windows Store qui ne sont pas nécessaires à son fonctionnement estime la Cnil. L’autorité pointe également un défaut de sécurité au niveau du code PIN à 4 chiffres utilisé pour sécuriser l’accès aux services en ligne et au compte Microsoft. “Le nombre de tentatives de saisie de ce code PIN n’est pas limité, ce qui n’assure pas la sécurité et la confidentialité des données des utilisateurs”.
La Cnil dénonce aussi la présence d’un “identifiant publicitaire” activé par défaut lors de l’installation de Windows 10 et qui sert à pousser des publicités ciblées sans consentement préalable des usagers. De même, “la société dépose sur les terminaux des utilisateurs des cookies publicitaires, sans les en avoir au préalable correctement informés, ni mis en mesure de s’y opposer”.
Enfin, Microsoft est pointé du doigt pour le transfert des données personnelles de ses clients vers les États-Unis en vertu du Safe Harbor ce qui, rappelle la Cnil, “n’est plus possible depuis la décision de la Cour de Justice de l’Union Européenne du 6 octobre 2015”.
Dialogue de sourds
En conséquence, Microsoft a trois mois pour se mettre en conformité avec la loi sur ces différents points. Dans le cas contraire, l’éditeur s’expose à l’ouverture d’une procédure qui pourra déboucher sur une sanction accompagnée d’une amende.
Microsoft ne pouvait pas ne pas réagir mais comme souvent, la réponse est laconique et les explications bien maigres. David Heiner, vice-président et avocat général adjoint de Microsoft indique : "nous avons mis en place des protections fortes de la confidentialité dans Windows 10, et nous prenons en compte tout retour nous permettant d’améliorer ces protections. Nous allons travailler en étroite collaboration avec la Cnil au cours des prochains mois afin de bien comprendre les préoccupations de l’agence et de travailler à des solutions qu’elle trouvera acceptables.". Circulez, y'a rien à voir.
Rappelons néanmoins que la firme s'est plusieurs fois expriméesur le sujet de la télémétrie. En novembre dernier, interrogé par PCWorld, le vice-président de Microsoft, Joe Belfiore, soulignait : il ne s'agit pas de données personnelles mais d'informations liées à l'usage du système et à ses performances. La télémétrie fait ainsi remonter à Microsoft les données relatives à des plantages ou des dysfonctionnements.
Les collectes portant sur les données personnelles peuvent elles être désactivées et les préoccupations liées à la protection de la vie privée sont donc bien prises en compte, estimait le dirigeant de l'éditeur américain.
"Nous pensons que ces choses ont à voir avec la santé du système, et ne sont pas des renseignements personnels ou n'ont pas trait à la vie privée" commentait le responsable. Une façon de justifier l'absence d'option d'opt-out.
Même tonalité de la part du patron de la division Windows, Terry Myerson. Ce dernier assurait déjà qu'aucune donnée identifiant l'utilisateur n'était collectée par le biais du service de télémétrie.
"Nous recueillons une quantité limitée d'informations" écrivait le cadre dirigeant. "Cela comprend des données comme un ID anonyme du terminal, le type d'appareil, et des données de crash d'application que Microsoft et ses partenaires développeurs utilisent afin d'améliorer en permanence la stabilité applicative."
Mais surtout, ajoutait-il, la télémétrie exclut les données liées aux contenus ou fichiers des utilisateurs. Et "nous prenons plusieurs mesures pour éviter la collecte de toutes les informations qui vous identifient directement, dont votre nom, adresse email ou numéro de compte."
La protection des donnéesest un choix industriel, défendait Microsoft en 2014 auprès de ZDNet.fr. Une façon pour l'éditeur de se démarquer de ses grands rivaux et en particulier de Google.
La décision rendue par la Cnil et la mise en demeure de Microsoft ne conduisent pas à une même conclusion. Dans sa déclaration de confidentialité, l'éditeur précise la nature des données collectées lorsque la télémétrie est configurée dans son niveau "de base".
Or, pour le régulateur français, il "apparaît que plusieurs de ces données ne sont pas directement nécessaires au fonctionnement du système d'exploitation." Celui-ci estime même que l'existence d'un quatrième niveau de paramétrage, limité à certaines éditions de Windows, confirme "que la majorité des données comprises dans le niveau de base n'est pas essentielle au fonctionnement du service".
Pour commencer, le service de télémétrie de Windows 10 sous le feu des critiques depuis de nombreux mois se livre à une collecte excessive d’informations, en récoltant des données d’usage des applications Windows et du Windows Store qui ne sont pas nécessaires à son fonctionnement estime la Cnil. L’autorité pointe également un défaut de sécurité au niveau du code PIN à 4 chiffres utilisé pour sécuriser l’accès aux services en ligne et au compte Microsoft. “Le nombre de tentatives de saisie de ce code PIN n’est pas limité, ce qui n’assure pas la sécurité et la confidentialité des données des utilisateurs”.
La Cnil dénonce aussi la présence d’un “identifiant publicitaire” activé par défaut lors de l’installation de Windows 10 et qui sert à pousser des publicités ciblées sans consentement préalable des usagers. De même, “la société dépose sur les terminaux des utilisateurs des cookies publicitaires, sans les en avoir au préalable correctement informés, ni mis en mesure de s’y opposer”.
Enfin, Microsoft est pointé du doigt pour le transfert des données personnelles de ses clients vers les États-Unis en vertu du Safe Harbor ce qui, rappelle la Cnil, “n’est plus possible depuis la décision de la Cour de Justice de l’Union Européenne du 6 octobre 2015”.
Dialogue de sourds
En conséquence, Microsoft a trois mois pour se mettre en conformité avec la loi sur ces différents points. Dans le cas contraire, l’éditeur s’expose à l’ouverture d’une procédure qui pourra déboucher sur une sanction accompagnée d’une amende.
Microsoft ne pouvait pas ne pas réagir mais comme souvent, la réponse est laconique et les explications bien maigres. David Heiner, vice-président et avocat général adjoint de Microsoft indique : "nous avons mis en place des protections fortes de la confidentialité dans Windows 10, et nous prenons en compte tout retour nous permettant d’améliorer ces protections. Nous allons travailler en étroite collaboration avec la Cnil au cours des prochains mois afin de bien comprendre les préoccupations de l’agence et de travailler à des solutions qu’elle trouvera acceptables.". Circulez, y'a rien à voir.
Rappelons néanmoins que la firme s'est plusieurs fois expriméesur le sujet de la télémétrie. En novembre dernier, interrogé par PCWorld, le vice-président de Microsoft, Joe Belfiore, soulignait : il ne s'agit pas de données personnelles mais d'informations liées à l'usage du système et à ses performances. La télémétrie fait ainsi remonter à Microsoft les données relatives à des plantages ou des dysfonctionnements.
Les collectes portant sur les données personnelles peuvent elles être désactivées et les préoccupations liées à la protection de la vie privée sont donc bien prises en compte, estimait le dirigeant de l'éditeur américain.
"Nous pensons que ces choses ont à voir avec la santé du système, et ne sont pas des renseignements personnels ou n'ont pas trait à la vie privée" commentait le responsable. Une façon de justifier l'absence d'option d'opt-out.
Même tonalité de la part du patron de la division Windows, Terry Myerson. Ce dernier assurait déjà qu'aucune donnée identifiant l'utilisateur n'était collectée par le biais du service de télémétrie.
"Nous recueillons une quantité limitée d'informations" écrivait le cadre dirigeant. "Cela comprend des données comme un ID anonyme du terminal, le type d'appareil, et des données de crash d'application que Microsoft et ses partenaires développeurs utilisent afin d'améliorer en permanence la stabilité applicative."
Mais surtout, ajoutait-il, la télémétrie exclut les données liées aux contenus ou fichiers des utilisateurs. Et "nous prenons plusieurs mesures pour éviter la collecte de toutes les informations qui vous identifient directement, dont votre nom, adresse email ou numéro de compte."
La protection des donnéesest un choix industriel, défendait Microsoft en 2014 auprès de ZDNet.fr. Une façon pour l'éditeur de se démarquer de ses grands rivaux et en particulier de Google.
La décision rendue par la Cnil et la mise en demeure de Microsoft ne conduisent pas à une même conclusion. Dans sa déclaration de confidentialité, l'éditeur précise la nature des données collectées lorsque la télémétrie est configurée dans son niveau "de base".
Or, pour le régulateur français, il "apparaît que plusieurs de ces données ne sont pas directement nécessaires au fonctionnement du système d'exploitation." Celui-ci estime même que l'existence d'un quatrième niveau de paramétrage, limité à certaines éditions de Windows, confirme "que la majorité des données comprises dans le niveau de base n'est pas essentielle au fonctionnement du service".
Commentaires