Microsoft a changé la déclaration de confidentialité de ses services il y a quelques jours. Comme Google en 2012, la firme a unifié l’ensemble de ses textes pour que la soixantaine de services dispose d’une même explication sur le traitement des données personnelles et la manière dont la vie privée de l’utilisateur est gérée.
Une déclaration de confidentialité unique pour une soixantaine de services
Depuis quelques jours, les utilisateurs de produits Microsoft reçoivent un email les informant que les conditions d’utilisation ont été modifiées. Pour l’entreprise, il n’est question que de « simplicité », de « confidentialité » et « transparence ». L’éditeur insiste tout particulièrement sur un point important : « nous n'utilisons pas le contenu de votre courrier électronique, de vos conversations instantanées, de vos appels vidéo, de vos documents, de vos photos ni de vos messages vocaux à des fins de ciblage publicitaire ». Certes, mais ce n’est pas le seul point sur lequel le respect de la vie privée est mesuré.
Cette nouvelle déclaration d’utilisation sera applicable au 1er août sur des dizaines de services, dont Skype, Outlook.com, OneDrive, Bing, Maps, MSN, Office 365, Office Online, Windows Live ou encore tout ce qui touche à la Xbox. Évidemment, la date d’application n’est pas un hasard : trois jours après le début de la distribution de Windows 10 chez tous ceux qui ont actuellement un PC sous Windows 7 ou 8 et qui ont fait la réservation.
L’avantage de cette unification est que l’on accède aux informations essentielles depuis une seule page, même si elle est divisée en de nombreux chapitres. Microsoft y aborde les points principaux tels que la manipulation des données personnelles, les données statistiques, les achats sur le Store, la facturation, les licences de logiciels, les garanties et ainsi de suite. Viennent ensuite les conditions et explications plus spécifiques à certains services comme Skype et Cortana.
Les points importants à connaître quand on utilise les services Microsoft
Mais concrètement, y a-t-il de gros changements ? Non, il s’agit avant tout d’une simplification, dans le sens où les mêmes conditions s’appliquent à tous les services. Ce qui permet donc de souligner un certain nombre de points, à commencer par ce qui est envoyé à Microsoft. Plaçons-nous volontairement dans le cas d’un PC sous Windows 10 pour inclure les nouveautés qui arriveront le mois prochain chez un grand nombre d'utilisateurs :
- L’ensemble des données synchronisées par Windows via le compte Microsoft, notamment les options de personnalisation, l’historique et les favoris du navigateur, les identifiants des sites web et des applications ou encore la liste des réseaux Wi-Fi utilisés (avec leurs clés). Cette synchronisation est déjà active dans Windows 8/8.1.
- En cas d’utilisation de la solution de chiffrement intégral BitLocker, la clé de récupération est stockée dans OneDrive. Certains n’aimeront donc pas la possibilité que cette clé puisse être donnée par Microsoft à la justice en cas d’enquête (Microsoft parle de « requêtes légales valides »).
- Les éléments supprimés dans la corbeille d'Outlook.com restent 30 jours supplémentaires sur les serveurs de Microsoft avant de disparaître réellement.
- Cortana, pour sa part, « utilise différents types de données, comme la localisation de votre appareil, les données de votre calendrier, les applis que vous utilisez, les données de vos emails et de vos messages textes, les personnes que vous appelez, vos contacts et la fréquence de vos interactions avec eux ». Ce qui risque de faire beaucoup pour une partie des utilisateurs, d’autant que Microsoft indique que l’assistant vocal recueille « des données sur votre manière d'utiliser votre appareil et d'autres services Microsoft, comme votre musique, vos réglages d'alarme, si l'écran verrouillé est activé, ce que vous regardez et achetez, votre historique de navigation » et ainsi de suite.
- Pour OneDrive, des données statistiques sont envoyées sur l’utilisation qui est faite du service, mais également sur le type de fichiers que l’utilisateur stocke. Un point qui n’étonnera personne quand on se souvient qu’initialement, les vidéos n’étaient pas autorisées et que les fichiers ne pouvaient pas dépasser les 50 Mo.
- Windows crée un identifiant publicitaire unique pour chaque utilisateur sur un appareil. Là encore, il ne s’agit pas d’une nouveauté, tous les éditeurs fonctionnant de la même façon dès lors qu’ils proposent un système d’exploitation.
- Les données servant aux diagnostics sont assez nombreuses et concernent des éléments très variés dans le système : applications utilisées, fonctionnalités, réseaux Wi-Fi (vitesse, SSID, etc.), Bluetooth, etc. Point important : « certaines données diagnostiques sont essentielles au fonctionnement de Windows et ne peuvent pas être désactivées ».
Les données peuvent être traitées aux États-Unis
Ceux qui cherchent à échapper aux griffes du renseignement américain ont-ils finalement raison de se méfier de ces conditions ? Oui, mais encore une fois, ce n’est pas nouveau. La différence est que, visiblement par souci de transparence, l’entreprise l’écrit en toutes lettres : « Les données personnelles recueillies par Microsoft peuvent être stockées et traitées aux États-Unis ou dans tout autre pays dans lequel Microsoft, ses filiales ou prestataires de services sont implantés ».
Or, on rappellera que la NSA a parfaitement le droit de puiser dans les données des entreprises en vertu de la section 702 de la loi FISA (Foreign Intelligence Surveillance Act), dès qu’il s’agit de données étrangères stockées sur des serveurs américains. Microsoft ne fournit donc pas l’assurance que les données européennes resteront sur le Vieux continent. Cela étant, on notera que la firme s’est opposée à la justice américaine dans le cadre d’une enquête en refusant de remettre des données stockées sur un serveur en Irlande.
Une levée de boucliers à prévoir chez les CNIL ?
Mais la situation ne rappelle-t-elle pas celle de Google en 2012 justement ? La firme de Mountain View avait elle aussi unifié ses conditions d’utilisation, provoquant une véritable levée de boucliers chez les CNIL européennes. En France, la CNIL avait d’ailleurs condamné l’éditeur à 150 000 euros. Google avait essayé de faire appel, mais le Conseil d’État avait refusé la suspension de la sanction, et la société avait finalement dû payer et afficher un encadré sur la page principale du moteur de recherche.
Les évènements pourraient cependant être différents pour Microsoft. La firme a visiblement fait attention à ne pas provoquer une déferlante de mauvaise presse, et nous avons demandé à la CNIL ce qu’elle pensait des nouvelles conditions. Pour la Commission, le problème principal est que la « granularité des consentements n’est pas toujours suffisamment fine car il n’est pas possible de s’opposer à la collecte de données par finalité ». Fusion des politiques de vie privée oblige, les « internautes devront être particulièrement vigilant lors de la première utilisation du nouvel OS de Microsoft car la configuration par défaut peut inciter les utilisateurs à envoyer beaucoup de données à Microsoft ».
En définitive, l’utilisateur qui se lance dans ces produits et services doit avoir conscience que des informations sont envoyées, plus ou moins nombreuses en fonction de certains choix. Il peut désactiver des services ou des fonctionnalités ainsi qu’une partie des informations statistiques, mais il existe une partie incompressible sans laquelle les produits ne fonctionneront pas. Le problème reste que beaucoup ne liront pas ces conditions et que d’autres se demanderont quel choix ils peuvent bien avoir quand il s’agit de passer par un éditeur aussi « incontournable ».