Les collectes et traitements de données ont évolué avec la dernière mise à jour majeure de Windows 10, mais les informations fournies aux utilisateurs ne leur permettent toujours pas de donner un « consentement éclairé » à ces pratiques.
L’Autoriteit Persoonsgegevens, homologue néerlandaise de notre Commission nationale de l’informatique et des libertés, dresse ce constat à l’issue d’un an d’enquête, dans un rapport dont on trouvera ici la synthèse.
L’autorité s’est intéressée à l’outil de télémétrie par lequel Microsoft fait remonter un large éventail de données techniques allant de l’identifiant d’une machine à sa configuration matérielle.
Avant la dernière mise à jour majeure (la « Creators Update », lancée au mois d’avril), il existait trois niveaux de télémétrie : « basique », « amélioré » et « complet ».
La CNIL néerlandaise affirme qu’au niveau « basique », des informations sensibles étaient déjà collectées ; tout particulièrement sur l’usage des applications (fréquence d’ouverture, temps d’utilisation…). Au niveau « complet », on touchait, entre autres, au navigateur Internet Edge ou encore au contenu de documents manuscrits.
Le passage de l’« Anniversary Update » à la « Creators Update » a supprimé le niveau « amélioré ». Quant au niveau « basique », il n’implique plus la collecte plus d’informations sur l’usage des applications. En revanche, rien ne change au niveau « complet »*, paramétré par défaut.
Notant que Windows 10 équipe « plus de 4 millions d’appareils actifs » aux Pays-Bas, l’Autoriteit Persoonsgegevens considère que Microsoft n’expliquait pas assez clairement, dans l’« Anniversary Update », à quelles fin étaient réalisées les différentes collectes de données.
Les objectifs sont, dans l’absolu, plus précis avec la « Creators Update » : corriger les erreurs, maintenir les appareils à jour et sécurisés, mais aussi améliorer les produits et services Microsoft. Il est par ailleurs, pendant l’installation, proposé à l’utilisateur de refuser la diffusion, dans Windows, et les applications, de publicité personnalisée.
Problème, selon l’Autoriteit Persoonsgegevens, ces explications restent trop générales : la façon dont Microsoft recueille des données demeure imprévisible et contrevient par là même à la législation nationale, qui soumet le stockage et l’accès à des données sur un appareil personnel à une information « claire et complète » de l’utilisateur.
L’autorité estime plus globalement qu’au vu de la criticité de certaines des informations recueillies, l’intérêt du service ne doit pas prévaloir sur le droit à la protection de la vie privée.
Microsoft est déjà passé par là en France. Le dossier est clos depuis fin juin, la CNIL ayant mis un terme à sa procédure de mise en demeure engagée un an plus tôt.
La Commission juge que le premier éditeur mondial s’est mis en conformité avec la loi « Informatique et Libertés », éliminant des manquements « graves » : « caractère non pertinent ou excessif des données collectées », « absence de consentement des personnes » et « défaut de sécurité ».
* Parmi les informations collectées exclusivement au niveau « complet » figurent les adresses MAC des équipements du voisinage réseau, les termes suggérés lors de la saisie manuscrite et les URL des sites visités avec Edge.
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…
Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…
