Par décision du 30 juin 2016 la CNIL a mis en demeure la société Microsoft de se conformer à la loi dans les trois mois.

Le contexte

Peu de temps après le lancement du nouveau système d’exploitation Windows 10 en Juillet 2015, la CNIL a été alertée par la presse et des courriers émanant de partis politiques sur des problématiques de données personnelles. 

La question a été prise très au sérieux puisqu’un groupe de travail a été constitué (Contact Group) au sein du G29. 

Au printemps 2016, la CNIL a effectué 7 contrôles en ligne tout en interrogeant Microsoft sur certains points exposés dans sa politique de confidentialité, afin de vérifier la conformité de Windows 10 à la loi Informatique et Libertés. 

Le 20 Juillet 2016, la CNIL a mis en demeure publiquement la société Microsoft

Ce qui est reproché à Microsoft

Collecte de données excessives ou non pertinentes 

Un service de « télémétrie » permettant d’identifier des problèmes, de les résoudre et d’améliorer les produits, traite notamment des données d’usages des applications Windows et Windows Store et permet à la société d’avoir connaissance de toutes les applications téléchargées et installées par un utilisateur et le temps passé sur chacune d’elle. 

Ces données n’étant pas nécessaire au fonctionnement du service, la CNIL estime que Microsoft se livre à une collecte excessive. 

Défaut de sécurité 

La société permet aux utilisateurs d’utiliser un code PIN à 4 chiffres pour s’authentifier pour l’ensemble des comptes en ligne mais le nombre d’essai de saisie est illimité. 

Absence de consentement 

L’identifiant publicitaire étant activé par défaut lors de l’installation de Windows 10, ce qui permet à des applications Windows et des applications tierces de suivre la navigation des utilisateurs et de leur proposer des publicités ciblées, la CNIL retient que le consentement des utilisateurs n’a pas été recueilli. 

Absence d’information et de possibilité d’opposition 

Les utilisateurs ne bénéficient pas d’une information préalable correcte lorsque la société dépose sur leurs terminaux des cookies publicitaires, ni de la possibilité de s’y opposer. 

Transferts sur la base du safe harbor 

Enfin, la CNIL constate que Microsoft transfère toujours les données personnelles de ses utilisateurs aux Etats-Unis sur la base du Safe Harbor, ce qui n’est plus possible depuis son invalidation par la Cour de Justice de l’Union Européenne le 6 Octobre 2016.

Les conséquences

La CNIL ajoute que cette mise en demeure n’a pas pour but d’interdire toute publicité sur les services de la société mais de permettre aux utilisateurs d’exercer leur choix librement, en étant correctement informés de leurs droits. 

Cette mise en demeure a été rendue publique notamment en raison de la gravité des manquements constatés et du nombre de personnes concernées (plus de dix millions sur le territoire national). 

Aucune sanction ne sera prononcée si la société se conforme à la loi dans le délai de trois mois qui lui est imparti. Dans ce cas, la clôture de la procédure fera également l'objet d'une publicité. 

Microsoft a déjà fait savoir son intention de collaborer avec la CNIL et a annoncé fournir une nouvelle politique de confidentialité à jour d’ici le mois prochain, tout en travaillant dès maintenant pour se conformer aux dispositions du Privacy Shield (accord remplaçant le Safe Harbor).