La CNIL en a fini avec les problèmes de Windows 10 sur les données personnelles. Microsoft n'est officiellement plus mis en demeure de régler les infractions à la loi Informatique et libertés. L'entreprise s'est conformée à l'ensemble des demandes de la commission, estime cette dernière.
L'épée de Damoclès au-dessus de la tête de Microsoft vient de disparaître, au prix de quelques efforts. La CNIL vient d'annoncer la fin de la mise en demeure du groupe américain, accusé l'an dernier d'avoir une collecte et utilisation trop libres des données des utilisateurs via Windows 10. Un problème d'autant plus important que le système a été poussé avec force par Microsoft sur la plupart des PC équipés d'une version précédente.
Dans une courte décision, la présidente de la commission, Isabelle Falque-Pierrotin, note les efforts consentis par le groupe pour respecter la législation française... qui se renforcera encore l'année prochaine, avec le nouveau cadre européen sur les données personnelles.
Des collectes réduites de moitié, selon Microsoft
En juillet 2015, la CNIL accusait donc Microsoft de nombreux manquements à la loi Informatique et libertés de 1978. Les griefs étaient très nombreux. Le principal concernait la collecte d'informations pour la télémétrie, jugée bien trop large pour simplement s'assurer du bon fonctionnement du système.
Le niveau de collecte « de base » était effectivement gourmand, demandant notamment les logiciels installés, les périphériques connectés et des informations de fiabilité. Autant de données qui n'apparaissaient pas dans la collecte « Sécurité », plus économe que le niveau « de base », mais réservée aux éditions Éducation et Entreprise du système. Cette dernière se limite au minimum pour les fonctions de sécurité de l'appareil.
Depuis, « la société a réduit de près de la moitié le volume des données collectées dans le cadre du niveau de « base » de son service de télémétrie » note la commission, pour qui les remontées se contentent bien du nécessaire. Sur le web, la société a arrêté le dépôt de cookies sans consentement en consultant la plupart de ses sites. Elle promet de se conformer sur tous ses sites d'ici le 30 septembre.
Des utilisateurs peu informés
Un autre problème pointé était l'information limitée de l'utilisateur sur les récupérations de données. Aujourd'hui, des mentions d'information sur la collecte et le traitement des données sont intégrées au système, en accord avec l'article 32 de la loi CNIL.
Le système activait aussi par défaut un identifiant publicitaire (semblable à un cookie) à l'échelle de l'ensemble des applications, sans forcément prévenir l'utilisateur. Désormais, Windows 10 propose une « mention claire et précise » de cet élément, l'installation de Windows imposant de choisir d'activer ou non l'identifiant avant de se terminer. Bien entendu, le choix peut être changé à tout moment.
Pour la CNIL, la société ne protégeait pas non plus assez les données des consommateurs, notamment lorsqu'ils connectent leur compte Microsoft à Windows 10 et s'identifient via un code PIN (minimum de quatre chiffres). Le dispositif a été renforcé, les combinaisons les plus communes étant interdites et l'identification temporisée si trop d'essais sont effectués.
Concernant le traitement anti-fraude, qui analyse les informations du système pour bloquer tout contenu contraire aux conditions d'utilisation, le groupe a (enfin) demandé les autorisations adéquates à la CNIL, qui devait le valider spécifiquement. Enfin, concernant le transfert de données hors de l'Union européenne, Microsoft adhère à l'accord Privacy Shield entre Europe et États-Unis, remplaçant de feu Safe Harbor. Le nouveau texte reste critiqué par les CNIL européennes.
Une Creators Update utile
Ces derniers mois, Microsoft a aussi mené des changements bien plus visibles, comme le regroupement des options de vie privée, qui semble avoir contribué à rassurer la commission française. En juillet 2016, en plus d'attaquer Microsoft, la gardienne des données personnelles éditait un guide pour régler finement les collectes effectuées par le système.
Aujourd'hui, les pages avertissent que la mise à jour Creators Update, sortie début avril, a bien conformé Windows 10 aux exigences de la loi de 1978. Cette dernière est amenée à évoluer dans les prochains mois, avec un lourd travail cet été, pour préparer le Règlement général sur la protection des données (RGPD), qui harmonise la protection de la vie privée en Europe.
Le préposé fédéral suisse à la protection des données a, lui aussi, mis fin à une procédure d'établissement à l'encontre de Microsoft sur son dernier système (PDF). Il permet ainsi des réglages de vie privée plus fin et informe mieux les utilisateurs, ce qui convient au cerbère des données helvète.
Le RGPD doit entrer en application le 25 mai 2018, alors que beaucoup d'entreprises peinent encore à prendre la mesure du travail qui les attend (voir notre analyse). Les sociétés et organisations voient leurs obligations de protection des données, de prévention et de collecte de consentement fortement renforcées, quand les autorités nationales (comprendre les CNIL) doivent avoir un rôle premier, avec des sanctions pouvant atteindre jusqu'à 4 % du chiffre d'affaires mondial des entreprises visées.
Dans le même temps, le règlement européen ePrivacy doit combler les angles morts du RGPD, même si le parcours législatif est encore loin d'être terminé pour ce dernier.