La Cnil a lancé un ultimatum à Microsoft. L’éditeur a trois mois pour remettre Windows 10 dans les clous de la législation sur la confidentialité des données. Le communiqué de la Commission nationale de l’informatique et des libertés est on ne peut plus clair : Microsoft doit cesser la « collecte excessive de données et le suivi de la navigation des utilisateurs sans leur consentement ».
De « nombreux manquements » ont été relevés durant l’enquête de la Cnil. L’entreprise collecte des données « non pertinentes » ou « excessives » dans le cadre de son service de télémétrie, qui sert à identifier les problèmes et améliorer les produits. Windows a connaissance des applications téléchargées et installées sur le PC, ainsi que le temps passé à les utiliser. La Cnil estime qu’il s’agit d’une collecte excessive puisque ces informations ne sont pas nécessaires au bon fonctionnement du service.
La Commission pointe aussi un défaut de sécurité : on peut multiplier les tentatives de saisie du code à 4 chiffres qui permet de s’authentifier sur les services en ligne de Microsoft. Le système n’impose pas de limites aux tentatives, ce qui facilite le piratage par force brute. Windows 10 n’intègre pas de système de consentement du suivi publicitaire, qui est activé par défaut. L’OS dépose automatiquement des cookies publicitaires, sans que l’utilisateur en soit informé. Enfin, Microsoft transfère aux États-Unis les données personnelles de ses utilisateurs sur la base du Safe Harbor, un texte qui n’a plus cours depuis octobre dernier (lire : Safe Harbor : la Cour de justice européenne rebat les cartes de la surveillance américaine).
Si Microsoft ne fait rien durant ces trois mois, la Cnil peut, après une procédure qui peut prendre du temps, prononcer une sanction à l’égard de Microsoft. Toutefois, les points soulevés semblent être relativement simples à corriger, et Microsoft ne voudra sans doute pas ouvrir un nouveau front sur le sujet sensible de la protection des données.
