Les collectes et traitements de données ont évolué avec la dernière mise à jour majeure de Windows 10, mais les informations fournies aux utilisateurs ne leur permettent toujours pas de donner un « consentement éclairé » à ces pratiques.
L’Autoriteit Persoonsgegevens, homologue néerlandaise de notre Commission nationale de l’informatique et des libertés, dresse ce constat à l’issue d’un an d’enquête, dans un rapport dont on trouvera ici la synthèse.
L’autorité s’est intéressée à l’outil de télémétrie par lequel Microsoft fait remonter un large éventail de données techniques allant de l’identifiant d’une machine à sa configuration matérielle.
Avant la dernière mise à jour majeure (la « Creators Update », lancée au mois d’avril), il existait trois niveaux de télémétrie : « basique », « amélioré » et « complet ».
La CNIL néerlandaise affirme qu’au niveau « basique », des informations sensibles étaient déjà collectées ; tout particulièrement sur l’usage des applications (fréquence d’ouverture, temps d’utilisation…). Au niveau « complet », on touchait, entre autres, au navigateur Internet Edge ou encore au contenu de documents manuscrits.
Le passage de l’« Anniversary Update » à la « Creators Update » a supprimé le niveau « amélioré ». Quant au niveau « basique », il n’implique plus la collecte plus d’informations sur l’usage des applications. En revanche, rien ne change au niveau « complet »*, paramétré par défaut.
Notant que Windows 10 équipe « plus de 4 millions d’appareils actifs » aux Pays-Bas, l’Autoriteit Persoonsgegevens considère que Microsoft n’expliquait pas assez clairement, dans l’« Anniversary Update », à quelles fin étaient réalisées les différentes collectes de données.
Les objectifs sont, dans l’absolu, plus précis avec la « Creators Update » : corriger les erreurs, maintenir les appareils à jour et sécurisés, mais aussi améliorer les produits et services Microsoft. Il est par ailleurs, pendant l’installation, proposé à l’utilisateur de refuser la diffusion, dans Windows, et les applications, de publicité personnalisée.
Problème, selon l’Autoriteit Persoonsgegevens, ces explications restent trop générales : la façon dont Microsoft recueille des données demeure imprévisible et contrevient par là même à la législation nationale, qui soumet le stockage et l’accès à des données sur un appareil personnel à une information « claire et complète » de l’utilisateur.
L’autorité estime plus globalement qu’au vu de la criticité de certaines des informations recueillies, l’intérêt du service ne doit pas prévaloir sur le droit à la protection de la vie privée.
Microsoft est déjà passé par là en France. Le dossier est clos depuis fin juin, la CNIL ayant mis un terme à sa procédure de mise en demeure engagée un an plus tôt.
La Commission juge que le premier éditeur mondial s’est mis en conformité avec la loi « Informatique et Libertés », éliminant des manquements « graves » : « caractère non pertinent ou excessif des données collectées », « absence de consentement des personnes » et « défaut de sécurité ».
* Parmi les informations collectées exclusivement au niveau « complet » figurent les adresses MAC des équipements du voisinage réseau, les termes suggérés lors de la saisie manuscrite et les URL des sites visités avec Edge.
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…