Windows 10 ne respecte pas la loi française en matière de collecte d’informations. De l’avis de la Commission nationale de l’informatique et des libertés (CNIL), le dernier OS de Microsoft récolte trop de données personnelles des utilisateurs. De plus, ces informations ne sont pas suffisamment protégées. Certains défauts de confidentialité pourraient être corrigés par les utilisateurs qui sauraient naviguer dans les arcanes des paramètres de Windows 10, mais la Commission estime que les garanties sur la vie privée devraient être proposées par défaut et que l’utilisateur ne devrait pas avoir à se dépêtrer avec les réglages système pour en bénéficier. Une mise en demeure, rendue publique hier seulement, a été adressée le 30 juin à Microsoft. À partir de cette date, la firme de Redmond dispose de trois mois pour se mettre en conformité avec la loi française.
Au cours des sept tests effectués en avril et juin de cette année sur les données envoyées à Microsoft par Windows 10, la CNIL a constaté que l’OS collectait des données sur toutes les applications téléchargées et installées sur le système et des informations sur le temps passé sur chacune d’elle, « un processus à la fois excessif et inutile », selon la commission. La CNIL reproche également à Microsoft de ne pas protéger correctement les données des utilisateurs. Windows 10 leur permet notamment de sécuriser leurs comptes Microsoft, lequel contient leur historique d'achat et leurs moyens de paiement, avec un simple code PIN à quatre chiffres et les tentatives pour déverrouiller le compte sont illimitées.
Les pratiques de Microsoft doivent cesser
Si Microsoft ne se conforme pas aux exigences de la CNIL d’ici au 30 septembre, l’entreprise risque différentes amendes. En particulier, si elle ne renforce pas la sécurité du code PIN, elle pourrait se voir infliger une amende pouvant atteindre 1,5 million d’euros, plus d’autres amendes moins élevées pour les autres processus de collecte, comme l’a précisé la commission dans sa mise en demeure. La CNIL reproche également à Microsoft de pister ses clients sans autorisation, de configurer et d’activer un ID de publicité au moment de l’installation de Windows 10 afin de permettre à des applications d’afficher des publicités ciblées. Selon la CNIL, la firme de Redmond a également déposé des cookies publicitaires sur les ordinateurs sans l’accord préalable des utilisateurs.
Enfin, malgré son système de mise à jour en continu de Windows 10, l'entreprise n'a pas tenu compte d'un changement juridique important dans l'Union européenne depuis le lancement du système d'exploitation. Le 6 octobre, la Cour de justice de l'Union européenne a invalidé l'accord Safe Harbor encadrant jusque-là le transfert des données personnelles hors d’Europe. Si bien que depuis cette date, « il est illégal d'utiliser les dispositions de cet accord pour justifier l'exportation des données personnelles des citoyens européens vers les États-Unis, mais Microsoft a continué de le faire », a encore déclaré la CNIL.
D'autres pays surveillent aussi Microsoft
La CNIL n’est pas la seule autorité européenne de protection des données à surveiller le traitement des données personnelles par Windows 10. D'autres pays poursuivent encore leurs investigations. La CNIL ne communique pas toujours sur les ordonnances qu'elle délivre (les entreprises ont également un droit à la vie privée), mais en raison de la gravité des manquements et du nombre d'utilisateurs Windows concernés en France — plus de 10 millions — elle a décidé de rendre sa décision publique. Les représentants de Microsoft n'ont pas immédiatement répondu à une demande de commentaire.