Microsoft a été mise en demeure publiquement par la Cnil en raison de manquements à la Loi Informatique et libertés.
A la suite d’un contrôle effectué au sein de la société Microsoft Corporation de la solution Windows 10, la Commission nationale de l’informatique et des libertés (Cnil) ayant révélé des non-conformités à la loi Informatique et libertés, a mis en demeure publiquement Microsoft de se mettre en conformité à la réglementation dans un délai de 3 mois (1).
Microsoft a lancé son nouveau système d’exploitation Windows 10 au mois de juillet 2015. Alertée par la presse et les utilisateurs d’une possible collecte excessive de données à caractère personnel, la Cnil, désormais détentrice d’un pouvoir de contrôle en ligne depuis la loi Hamon (2), a effectué des contrôles en ligne en avril et juin 2016 et interrogé Microsoft, afin de s’assurer de la conformité de Windows 10 à la loi Informatique et libertés.
Ces contrôles ont révélé des non-conformités.
La non-pertinence et l’excessivité des données collectées
Tout d’abord, concernant la pertinence de la collecte des données de télémétrie, qui sont des données de diagnostic et d’utilisation renvoyées à Microsoft, cette dernière assurait que la collecte avait pour seule finalité l’identification et la résolution de problèmes, et l’amélioration des produits et services. Or, des données relatives à l’utilisation des applications Windows, telles que les applications téléchargées sur le système d’exploitation ou le temps passé sur ces applications, étaient collectées. Or, il ressort de la Déclaration de confidentialité de Microsoft, qui dressait la liste des données collectées, que certaines de ces données n’étaient pas directement nécessaires au bon fonctionnement du système d’exploitation. Par conséquent, la Cnil a considéré que Microsoft se livrait à une collecte excessive en ce que les données n’étaient pas nécessaires au bon fonctionnement du service.
Le non-respect de l’obligation d’information
La loi Informatique et libertés impose également au responsable du traitement d’informer l’utilisateur de la finalité et des moyens d’opposition à toutes actions tendant à accéder, par voie de transmission électronique à des informations stockées ou à inscrire dans l’équipement, comme les cookies ou, en l’espèce, de l’identifiant publicitaire. En ce sens, la Cnil avait déjà eu l’occasion de préciser (3) que le consentement à l’utilisation des cookies doit se manifester par une action positive de l’utilisateur, qui a auparavant été informé des conséquences de son choix. Dans le cas de Windows 10, l’identifiant publicitaire, étant activé par défaut, l’utilisateur n’effectuant aucune action positive l’autorisant. Qui plus est, aucune précision n’est portée à la connaissance de l’utilisateur quant aux moyens disponibles pour s’opposer à cette utilisation, ce qui constitue une autre non-conformité.
Une sécurité insuffisante
La menace présente de fraudes informatiques et de hacking dans une société où toutes les informations sont informatisées, nécessite une sécurité renforcée en matière de protection des données à caractère personnel. C’est pourquoi la loi Informatique et libertés impose au responsable du traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction de leur nature et des risques supposés. Or, Microsoft, en proposant seulement un mot de passe pouvant être constitué de 4 chiffres identiques, en ne mettant en place aucune suspension de l’authentification après 20 tentatives infructueuses de connexion, et en autorisant l’accès à l’ensemble des services en ligne suite à une seule authentification, n’a pas pris toutes les précautions pour préserver la sécurité des données. En effet, un individu, dès lors qu’il a trouvé le mot de passe, et ce même après de nombreuses tentatives, peut avoir accès à l’ensemble des données à caractère personnel, notamment celles contenues dans la messagerie électronique, mais également aux coordonnées bancaires contenues dans le store, ainsi qu’aux informations liées au compte Microsoft.
Transfert illicite de données vers les Etats-Unis
Microsoft a indiqué, dans sa Déclaration de confidentialité, que les données recueillies peuvent être stockées et traitées aux Etats-Unis, conformément aux principes du « Safe Harbor » (« sphère de sécurité »). Or, depuis une décision du 6 octobre 2015 (5) de la Cour de justice de l’Union européenne, il n’est plus possible de procéder à un transfert de données à caractère personnel vers les Etats-Unis sur la base du Safe Harbor. En l’absence de base légale pour assurer un niveau de protection suffisant de la vie privée, des droits et libertés des personnes concernées, Microsoft procède donc à des transferts illicites de données hors de l’Union européenne.
A cet égard, il convient de relever qu’un nouveau dispositif, le Privacy Shield, est venu remplacer le Safe Harbor (6).
Quelles conséquences pour Microsoft ?
En raison de ces manquements, la Cnil a mis en demeure publiquement Microsoft de se conformer à la loi Informatique et libertés dans un délai de 3 mois. Cette mise en demeure publique se justifie par le nombre important de personnes concernées, la gravité des manquements et par la taille et le statut de l’organisme.
Il ne s’agit pour le moment que d’un avertissement, mais si Microsoft ne se conforme pas à la loi, elle pourrait être sanctionnée, comme cela a été le cas en Allemagne, où des amendes ont été prononcées à l’encontre de sociétés procédant à des transferts de données vers les Etats-Unis sur la base du Safe Harbor (7).
En attendant la mise en conformité de Microsoft, la Cnil a mis en ligne deux tutoriels permettant de régler manuellement les réglages de confidentialité afin de limiter la communication des informations de l’utilisateur à l’éditeur (8).
Céline Avignon
Anne Renard
Lexing Publicité et marketing électronique
(1) Loi 78-17 du 6-1-1978 ; Cnil, Décision 2016-058 du 30-6-2016 et Délibération 2016-185 du 12-7-2016 décidant de rendre publique la mise en demeure 2016-058 du 30-6-2016
(2) Loi 2014-344 du 17-3-2014 relative à la consommation, art. 105.
(3) Délibération 2013-378 du 5-12-2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs .
(4) Délibération 2013-420 du 3-1-2014 de la formation restreinte prononçant une sanction pécuniaire à l’encontre de la société Google Inc.
(5) CJUE, 6-10-2015, Aff. C-362/14, Maximillian Schrems c/ Data Protection Commissioner.
(6) Céline Avignon, Post du 13-7-2016.
(7) Chloé Torres, Post du 20-7-2016.
(8) Cnil, Article du 20-7-2016.