Les CNIL européennes ouvrent une enquête préliminaire contre Microsoft

Microsoft est sous le coup d’une enquête préliminaire déclenchée par les instances européennes de protection des données (groupe de travail Article 29). Une lettre a été envoyée à Steve Ballmer pour l’informer que les conditions d’utilisation des services de son entreprise soulevaient des inquiétudes.

Outlook.com, l'un des services concernés par le Contrat d'utilisation de Microsoft

Des conditions d'utilisation dans le collimateur

En octobre dernier, Microsoft a mis à jour les conditions d’utilisations des services rattachées aux comptes du même nom. Ces derniers permettent l’accès à Outlook.com, SkyDrive, Xbox Music et autres. Ils sont à ce titre dépositaires d’un nombre croissant de données. De ces conditions, une partie précise intéresse la CNIL (Commission Nationale de l’Informatique et des Libertés) et ses homologues européens : le chapitre « 3.3. Que fait Microsoft avec mon contenu ? » :

« Lorsque vous téléchargez votre contenu sur les services, vous reconnaissez qu'il peut être utilisé, modifié, adapté, enregistré, reproduit, distribué et affiché dans le cadre de votre protection et de la fourniture, protection et amélioration des produits et services Microsoft. Nous pouvons, par exemple, utiliser occasionnellement des méthodes automatiques pour isoler des informations provenant de messages électroniques, conversations ou photos dans le but de détecter du courrier indésirable ou des programmes malveillants et de vous en protéger, ou d'améliorer les services avec de nouvelles fonctionnalités permettant de simplifier leur utilisation. Lors du traitement de votre contenu, Microsoft prend les mesures nécessaires afin de préserver la confidentialité de vos données. »

Sous l’impulsion notamment de la CNIL et de la CNPD du Luxembourg (Commission Nationale pour la Protection des Données), une enquête préliminaire a été ouverte. Une lettre a été envoyée au PDG de Microsoft, Steve Ballmer, pour lui indiquer que les conditions d’utilisation des services avaient soulevé des inquiétudes. La lettre a été signée par l’ensemble des autorités de régulation des 27 pays membres de l’Union Européenne (groupe de travail de l’Article 29).

Une vérification des « conséquences potentielles »

La lettre, qui n’est pas publique, a cependant été obtenue par Bloomberg qui en révèle une partie : « Étant donné la large gamme de services que vous proposez, ainsi que la popularité de ces services, des modifications dans le Contrat de services et la politique de respect de la vie privée lui étant liée pourraient affecter de nombreux utilisateurs dans la plupart ou la totalité des états membres de l’Union européenne » écrit ainsi Jacob Kohnstamm, qui préside le groupe des régulateurs dans l’enquête. Il indique que ces derniers ont d’ailleurs « décidé de vérifier les conséquences potentielles pour la protection des données personnelles de ces utilisateurs au travers d’une procédure coordonnée ».

L’enquête européenne s’attachera à creuser deux points en particulier. D’une part, elle vérifiera que les données personnelles des utilisateurs restent, justement, personnelles. Microsoft assure « préserver la confidentialité » des données, un point qui sera donc contrôlé. D’autre part, l’enquête devra également vérifier la conformité du Contrat de licence avec les règles européennes en la matière.

Microsoft : « nous n’avons pas changé notre politique de respect de la vie privée »

La firme de Redmond, elle, dément mettre les données personnelles des utilisateurs en danger. Le porte-parole Robin Koch se veut particulièrement rassurant : « Dans la mise à jour de notre Contrat de licence, nous n’avons pas changé notre politique de respect de la vie privée. Nous sommes persuadés qu’ils arriveront à la conclusion que l’engagement de longue date de Microsoft sur la vie privée n’a pas changé ».

Mais les régulateurs du groupe 29 ont déjà été échaudés par les changements intervenus dans les conditions d’utilisation des services Google. Cependant, aucune autre information n’est pour l’instant disponible. Il s’agit d’une enquête préliminaire qui n’entraînera potentiellement pas de sonde plus approfondie de la situation. Il n’est pas non plus question de parler d’une quelconque amende pour le moment. En outre, comme l'indique IT World, de telles enquêtes préliminaires nécessitent un minimum de six mois de travail généralement.

Nous avons contacté la CNIL pour obtenir des informations complémentaires. La Commission nous a cependant indiqué que si un travail d'enquête était bien en cours, aucun détail supplémentaire ne pouvait être donné à l'heure actuelle. Nous avons en outre contacté Gérard Lommel, président de la CNPD du Luxembourg, et attendons actuellement une réponse.