Windows 10 : des traitements de données hors la loi selon la CNIL néerlandaise
Les collectes et traitements de données que Microsoft réalise avec Windows 10 déplaisent à la CNIL néerlandaise, qui dénonce une infraction à la loi nationale.
Les collectes et traitements de données ont évolué avec la dernière mise à jour majeure de Windows 10, mais les informations fournies aux utilisateurs ne leur permettent toujours pas de donner un « consentement éclairé » à ces pratiques.
L’Autoriteit Persoonsgegevens, homologue néerlandaise de notre Commission nationale de l’informatique et des libertés, dresse ce constat à l’issue d’un an d’enquête, dans un rapport dont on trouvera ici la synthèse.
L’autorité s’est intéressée à l’outil de télémétrie par lequel Microsoft fait remonter un large éventail de données techniques allant de l’identifiant d’une machine à sa configuration matérielle.
Avant la dernière mise à jour majeure (la « Creators Update », lancée au mois d’avril), il existait trois niveaux de télémétrie : « basique », « amélioré » et « complet ».
La CNIL néerlandaise affirme qu’au niveau « basique », des informations sensibles étaient déjà collectées ; tout particulièrement sur l’usage des applications (fréquence d’ouverture, temps d’utilisation…). Au niveau « complet », on touchait, entre autres, au navigateur Internet Edge ou encore au contenu de documents manuscrits.
Le passage de l’« Anniversary Update » à la « Creators Update » a supprimé le niveau « amélioré ». Quant au niveau « basique », il n’implique plus la collecte plus d’informations sur l’usage des applications. En revanche, rien ne change au niveau « complet »*, paramétré par défaut.
Dans le brouillard
Notant que Windows 10 équipe « plus de 4 millions d’appareils actifs » aux Pays-Bas, l’Autoriteit Persoonsgegevens considère que Microsoft n’expliquait pas assez clairement, dans l’« Anniversary Update », à quelles fin étaient réalisées les différentes collectes de données.
Les objectifs sont, dans l’absolu, plus précis avec la « Creators Update » : corriger les erreurs, maintenir les appareils à jour et sécurisés, mais aussi améliorer les produits et services Microsoft. Il est par ailleurs, pendant l’installation, proposé à l’utilisateur de refuser la diffusion, dans Windows, et les applications, de publicité personnalisée.
Problème, selon l’Autoriteit Persoonsgegevens, ces explications restent trop générales : la façon dont Microsoft recueille des données demeure imprévisible et contrevient par là même à la législation nationale, qui soumet le stockage et l’accès à des données sur un appareil personnel à une information « claire et complète » de l’utilisateur.
L’autorité estime plus globalement qu’au vu de la criticité de certaines des informations recueillies, l’intérêt du service ne doit pas prévaloir sur le droit à la protection de la vie privée.
Microsoft est déjà passé par là en France. Le dossier est clos depuis fin juin, la CNIL ayant mis un terme à sa procédure de mise en demeure engagée un an plus tôt.
La Commission juge que le premier éditeur mondial s’est mis en conformité avec la loi « Informatique et Libertés », éliminant des manquements « graves » : « caractère non pertinent ou excessif des données collectées », « absence de consentement des personnes » et « défaut de sécurité ».
* Parmi les informations collectées exclusivement au niveau « complet » figurent les adresses MAC des équipements du voisinage réseau, les termes suggérés lors de la saisie manuscrite et les URL des sites visités avec Edge.