Windows 10 : Microsoft s'est conformé aux demandes de la CNIL, qui lève sa mise en demeure

Windows 10 : Microsoft s’est conformé aux demandes de la CNIL, qui lève sa mise en demeure

Vive les mises à jour créatives

Avatar de l'auteur
Guénaël Pépin

Publié dans

Logiciel

29/06/2017 5 minutes
33

Windows 10 : Microsoft s'est conformé aux demandes de la CNIL, qui lève sa mise en demeure

La CNIL en a fini avec les problèmes de Windows 10 sur les données personnelles. Microsoft n'est officiellement plus mis en demeure de régler les infractions à la loi Informatique et libertés. L'entreprise s'est conformée à l'ensemble des demandes de la commission, estime cette dernière.

L'épée de Damoclès au-dessus de la tête de Microsoft vient de disparaître, au prix de quelques efforts. La CNIL vient d'annoncer la fin de la mise en demeure du groupe américain, accusé l'an dernier d'avoir une collecte et utilisation trop libres des données des utilisateurs via Windows 10. Un problème d'autant plus important que le système a été poussé avec force par Microsoft sur la plupart des PC équipés d'une version précédente.

Dans une courte décision, la présidente de la commission, Isabelle Falque-Pierrotin, note les efforts consentis par le groupe pour respecter la législation française... qui se renforcera encore l'année prochaine, avec le nouveau cadre européen sur les données personnelles.

Des collectes réduites de moitié, selon Microsoft

 

En juillet 2015, la CNIL accusait donc Microsoft de nombreux manquements à la loi Informatique et libertés de 1978. Les griefs étaient très nombreux. Le principal concernait la collecte d'informations pour la télémétrie, jugée bien trop large pour simplement s'assurer du bon fonctionnement du système.

Le niveau de collecte « de base » était effectivement gourmand, demandant notamment les logiciels installés, les périphériques connectés et des informations de fiabilité. Autant de données qui n'apparaissaient pas dans la collecte « Sécurité », plus économe que le niveau « de base », mais réservée aux éditions Éducation et Entreprise du système. Cette dernière se limite au minimum pour les fonctions de sécurité de l'appareil.

Depuis, « la société a réduit de près de la moitié le volume des données collectées dans le cadre du niveau de « base » de son service de télémétrie » note la commission, pour qui les remontées se contentent bien du nécessaire. Sur le web, la société a arrêté le dépôt de cookies sans consentement en consultant la plupart de ses sites. Elle promet de se conformer sur tous ses sites d'ici le 30 septembre.

Des utilisateurs peu informés

Un autre problème pointé était l'information limitée de l'utilisateur sur les récupérations de données. Aujourd'hui, des mentions d'information sur la collecte et le traitement des données sont intégrées au système, en accord avec l'article 32 de la loi CNIL.

Le système activait aussi par défaut un identifiant publicitaire (semblable à un cookie) à l'échelle de l'ensemble des applications, sans forcément prévenir l'utilisateur. Désormais, Windows 10 propose une « mention claire et précise » de cet élément, l'installation de Windows imposant de choisir d'activer ou non l'identifiant avant de se terminer. Bien entendu, le choix peut être changé à tout moment.

Pour la CNIL, la société ne protégeait pas non plus assez les données des consommateurs, notamment lorsqu'ils connectent leur compte Microsoft à Windows 10 et s'identifient via un code PIN (minimum de quatre chiffres). Le dispositif a été renforcé, les combinaisons les plus communes étant interdites et l'identification temporisée si trop d'essais sont effectués.

Concernant le traitement anti-fraude, qui analyse les informations du système pour bloquer tout contenu contraire aux conditions d'utilisation, le groupe a (enfin) demandé les autorisations adéquates à la CNIL, qui devait le valider spécifiquement. Enfin, concernant le transfert de données hors de l'Union européenne, Microsoft adhère à l'accord Privacy Shield entre Europe et États-Unis, remplaçant de feu Safe Harbor. Le nouveau texte reste critiqué par les CNIL européennes.

Une Creators Update utile

Ces derniers mois, Microsoft a aussi mené des changements bien plus visibles, comme le regroupement des options de vie privée, qui semble avoir contribué à rassurer la commission française. En juillet 2016, en plus d'attaquer Microsoft, la gardienne des données personnelles éditait un guide pour régler finement les collectes effectuées par le système.

Aujourd'hui, les pages avertissent que la mise à jour Creators Update, sortie début avril, a bien conformé Windows 10 aux exigences de la loi de 1978. Cette dernière est amenée à évoluer dans les prochains mois, avec un lourd travail cet été, pour préparer le Règlement général sur la protection des données (RGPD), qui harmonise la protection de la vie privée en Europe.

Le préposé fédéral suisse à la protection des données a, lui aussi, mis fin à une procédure d'établissement à l'encontre de Microsoft sur son dernier système (PDF). Il permet ainsi des réglages de vie privée plus fin et informe mieux les utilisateurs, ce qui convient au cerbère des données helvète.

Le RGPD doit entrer en application le 25 mai 2018, alors que beaucoup d'entreprises peinent encore à prendre la mesure du travail qui les attend (voir notre analyse). Les sociétés et organisations voient leurs obligations de protection des données, de prévention et de collecte de consentement fortement renforcées, quand les autorités nationales (comprendre les CNIL) doivent avoir un rôle premier, avec des sanctions pouvant atteindre jusqu'à 4 % du chiffre d'affaires mondial des entreprises visées.

Dans le même temps, le règlement européen ePrivacy doit combler les angles morts du RGPD, même si le parcours législatif est encore loin d'être terminé pour ce dernier.

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Des collectes réduites de moitié, selon Microsoft

Des utilisateurs peu informés

Une Creators Update utile

Commentaires (33)


En parlant de Windows 10, je m’excuse du HS, mais j’ai une machine virtuelle et un ordinateur portable (netbook) qui n’ont toujours pas reçu la Creators Update, c’est normal ? Ça m’indique qu’elle arrivera bientôt depuis la sortie officielle de celle-ci. Je pourrais l’installer manuellement, mais j’attends que ça se fasse automatiquement. Mes machines seraient incompatibles ? Ou le déploiement se fait toujours progressivement ?


La mise à jour ne doit pas s’appliquer à cause d’un pilote pas supporté je pense


Il y a un moyen de le savoir ?








Vekin a écrit :



Il y a un moyen de le savoir ?





Il y a le forum pour évoquer des sujets précis, de manière plus efficace que d’aller en mode random dans les commentaires <img data-src=" />



Réduite de moitié bah oui… Je viens d’en installer un from scratch avec la nouvelle interface de configuration, même si tu désactives tout, tu en as encore plein de coché par la suite…


Oui, pardon, j’arrête le HS ici-même <img data-src=" />



Concernant le sujet de l’article, c’est quand même dingue que les CNIL doivent taper du poing sur la table pour que Microsoft fasse quelque chose. Ça devrait être automatique, n’importe qui chez eux aurait pu se rendre compte que c’était une très mauvaise idée d’être aussi gourmand et que les utilisateurs comme les autorités nationales allaient gueuler <img data-src=" />


Oui mais tant qu’elles ne râlent pas, $$$$$$$$$$$$$$$$$




Le système activait aussi par défaut un identifiant publicitaire

(semblable à un cookie) à l’échelle de l’ensemble des applications, sans

forcément prévenir l’utilisateur. Désormais, Windows 10 propose une « mention claire et précise

» de cet élément, l’installation de Windows imposant de choisir

d’activer ou non l’identifiant avant de se terminer. Bien entendu, le

choix peut être changé à tout moment.





Ca ressemble un peu à la gestion du bandeau “cookies” imposé par l’UE… On informe de manière « claire et précise », et comme 99.99% des gens ne sont pas sensibilisés ou s’en foutent, ils cliquent sur OK et la collecte continue. C’est tout bénéf’ pour Microsoft, ils font briller leur auréole en disant ça, et à côté ils vont continuer la collecte sous prétexte que comme ils ont informé, c’est à chacun d’aller fouiller dans les paramètres pour le changer <img data-src=" />


C’est surtout triste pour un OS payant de collecter autant de datas. Autant que Google en collecte parce-que ses services sont “gratuits”, ça “peut” se comprendre, faut bien qu’ils gagnent leur croute. Autant là je ne comprends pas. C’est juste pas bien.


Perso, je clique toujours sur OK pour les cookies pour la raison suivante : est-ce que ça va me causer des soucis par la suite si je réponds non. Comme je ne connais pas la réponse, par défaut je mise sur la stabilité qui est donc “oui”.



Idem pour les options “télémétrie, expérience utilisateur et autres machins aspirateurs à vie privée”. Connaissant Microsoft, j’ai toujours un doute qu’un jour une mise à jour foire, un programme plante (surtout les éléments du pack office, qui sont d’une instabilité rare en ce moment) parce que j’aurais désactivé telle ou telle option autrefois et qu’aujourd’hui MS en a besoin pour telle ou telle affaire.



Qui veut le moins d’ennuis réponds oui à tout, c’est naturel. J’ai beau être très expérimenté avec Windows, à un moment, je ne veux plus passer des heures à chercher dans les profondeur de la bête pourquoi un machin déconne soudainement ; il y a assez de probs comme ça.


Les cookies sont déposés uniquement si on clique sur OK ? J’ai toujours cru que ce bandeau était purement informatif.


Qu’est ce que ça changerait pour vous s’il ne le faisait pas/plus ?

Qu’est ce que ça a changé qu’il le fasse ?



En fait, je suppose pas grand-chose, donc MS ne se gêne pas tant qu’on ne l’arrête pas.








gjdass a écrit :



C’est surtout triste pour un OS payant de collecter autant de datas. Autant que Google en collecte parce-que ses services sont “gratuits”, ça “peut” se comprendre, faut bien qu’ils gagnent leur croute. Autant là je ne comprends pas. C’est juste pas bien.





En même temps, c’est pas au prix des licences OEM qu’ils font leur “beurre”.

Faut pas croire qu’ils vendent 100€ la licence pour les fabricants de PC.

Ils comptent plutôt sur les applications autour ou les professionnels…



Le fait qu’ils le fassent n’est en soit pas dérangeant à partir du moment ou l’user peut dire non, voir même dans un monde utopique ne rien dire car c’est NON par défaut.



Ensuite la question, c’est pourquoi ? MS ce n’est pas né hier, alors que la collecte de données (plus que) personnelle et contre ton gré n’ont commencé qu’avec W10 (du moins de cette ampleur), quel est le nouveau besoin qu’ils ne nous disent pas ?


Vu que les données dans ce cas là ne sont pas récupérées pour être vendues/utilisées pour de la publicité, il n’y a pas de rapport entre le prix et les données <img data-src=" />


Télémétrie bien plus poussée, OS beaucoup plus connecté qu’auparavant (tous les services autour de Cortana par exemple). Rien qu’il ne nous dise pas quoi


Et cela dans l’illégalité la plus totale jusqu’à maintenant, si c’était légitime et uniquement dans le but d’améliorer l’expérience utilisateur il suffisait de demander poliment.



&nbsp;C’est peut-être bien uniquement cela, et les théories du&nbsp;complot&nbsp;(genre&nbsp;surveillance&nbsp;de&nbsp;masse) justifiées ou de bas étage n’ont peut être pas lieu d’être, mais la manière de faire amène clairement le doute. “Tu as le choix, mais peu importe ce que tu choisis, on récolte des data sur l’utilisation de l’OS”…



Le panneau de confidentialité a tellement de checkbox qu’on dirai un feu d’artifice du 14 juillet lancé du traîneau du père noël. Et quand tu décoches tout tu te demandes si c’est utile ou si tu joues à la dernière version de cookie clicker.



Ils se sont mis en conformité avec les exigences de la CNIL et c’est une bonne chose, mais n’insultons pas leur intelligence, ils savaient très bien ce qu’il faisait tout en espérant que ça passe crème.



Je le redis cette collecte est potentiellement des plus honnête de leur part, mais avec ces methodes on dirai Valls qui nous explique en quoi le 49.3 est bon pour la démocratie.


Bonne chance pour trouver la raison…

En tout cas la CU n’est que sur un tiers des PC, après 2 mois, c’est pour le moment le meme rythme que pour l’AU, et si ça continue pareil les vannes devraient bientot s’ouvrir bien plus largement.



Après, si t’es pressé, y’a toujours l’utilitaire de mise à jour il me semble.

Et si en effet t’avais des drivers incompatibles tu le verra, et tu peux toujours rollback.


C’est quoi “le moins d’ennui” pour des cookies ? Tu risques quoi si tu les refuses ? Le site fonctionnera mal, tu ne seras pas identifié automatiquement, tu auras un problème d’affichage, au pire… Ton pc ne va pas exploser parce que tu les refuses <img data-src=" /> Perso je trouve que la boite qui utilise le cookie a plus à y gagner que moi, donc je les refuse. Je préfère retaper m’identifier à chaque fois plutôt qu’une société sniffe ma navigation.



Je donnais l’exemple du cookie pour reprendre le laius “on a informé donc on peut faire ce qu’on veut”. Un cookie ou un paramètre système ce n’est évidemment pas la même chose.


C’est un bandeau d’information. Que tu cliques ou pas peu importe, les cookies sont sur ton poste (à moins que tu les aies interdit dans tes paramètres). C’est ce que je disais : dire “on a informé” n’absout pas du comportement pas réglo.


Salut, avec l’utilitaire de cette page, tu peux forcer l’upgrade vers la Creators Update; mais avant tout, fais un snapshot de ton OS! Je n’ai jamais eu de souci sur vm ou machine physique lors d’un upgrade depuis des années mais, on ne sait jamais ;)

https://go.microsoft.com/fwlink/?LinkId=823120

&nbsp;


C’est ce qu’il me semblait <img data-src=" />








Aloyse57 a écrit :



si je réponds non.



je n’ai JAMAIS vu de bouton “non” pour la collecte de cookies, à part peut-être sur le site de hipsters/parti pirate/rageux sous licence GPL.



C’est soit “oui”, soit “découvrez comment on vous piste avec, et oui quand même”.&nbsp;



Et que MS me regarder par la fenêtre quand je suis aux toilettes, ça dérange personne et ça change pas la face du monde non plus. Pour autant ils le font pas par défaut parce-que ça s’appelle …. la vie privée ^^

Donc la question n’est pas si ça “change quelque chose”. La question c’est doit-on le faire par défaut, et la réponse, la seule, c’est non.


Leur business plan à la rigueur on s’en tamponne c’est pas vraiment le sujet. On récolte juste pas des données perso par défaut dans un OS utilisé par 90% de la planète c’est pas correct <img data-src=" />

Parce-qu’autant nous, amateur de techno/IT on fait gaffe, autant Mme Michu se fait voler une partie de sa vie privée sans le savoir.


Ouai alors pas vendues ça reste à voir (un peu comme les GAFA qui juraient ne jamais donner d’infos à la NSA on a vu ce que ça donnait quelques années plus tard <img data-src=" /> ).


La télémétrie ne devrait pas se faire de manière sournoise et on devrait avoir le plein contrôle sur son activation ou son blocage. Si tel était le cas je me servirais peut-être plus de windows que de Linux. De mon point de vue MS est en train de devenir le big brother qu’on craignait lors des débuts de la démocratisation d’internet.


Cortana déconne à bloc quand tu désactives tout.








gjdass a écrit :



Leur business plan à la rigueur on s’en tamponne c’est pas vraiment le sujet. On récolte juste pas des données perso par défaut dans un OS utilisé par 90% de la planète c’est pas correct <img data-src=" />

Parce-qu’autant nous, amateur de techno/IT on fait gaffe, autant Mme Michu se fait voler une partie de sa vie privée sans le savoir.





Dans ce cas-là, tu peux appliquer le même raisonnement à Google pour qui tu dis qu’à la rigueur vu que c’est “gratuit”, ça peut “se comprendre”.

Ce que je dis, c’est que Microsoft ne fait pas tant d’argent que ça sur les licences Windows grand-public ( oem) et donc on est presque dans du gratuit.

Du coup, j’applique ton argument sur le “gratuit de Google” à Microsoft ;)



Tu auras remarqué les guillemets que je mets autour de “peut” se comprendre concernant Google. Quand on propose des tas de services gratuitement, faut s’attendre à un retour sous une autre forme ou être un peu idiot et penser que Google fait dans la philanthropie. Chez Microsoft, on paye (Office, Windows et j’en passe), donc on ne s’attend pas à une contrepartie quelconque.

Pour finir je fais (et c’est la différence avec toi peut-être) une grosse différence entre 135 euros (licence Windows 10 famille) et la gratuité. Chacun sa notion de gratuité mais je suis presque certain que pas mal de monde a la même que moi&nbsp;<img data-src=" />


Sauf que si tu lis correctement ce que je dis, c’est que la licence “Famille à 135€” que tu as sur les machines de constructeurs (le gros des ventes) sont des licences OEM, et ne valent pas 135€ dans le prix final de la machine.

C’est pour cela que je parle de “quasi-gratuité” de la licence.

Mis à part ceux qui montent leur machine tout seul ou upgrade une licence, peu de gens sont concernés par le coût de la licence.


Tu réponds pas sur la première partie de ma réponse (le fond du sujet), mais c’est pas grave.

Et non je persiste, la licence c’est pas parce-que c’est inclus dans un PC grand public chez Auchan que tu ne la payes pas. Moins chère, plus chère, incluse ou pas, whatever. Tu l’as payée à un moment donné dans ton package (ou le fabricant de PC l’a payé avec les sous sous que tu viens de lui donner). Microsoft l’a vendue si tu préfères. On est pas sur le même business model qu’un Google qui vie depuis TOUJOURS de tes données personnelles. C’est assez récent à ce point là pour Microsoft, et inhabituel (d’où toutes ces polémiques de cases cochées par défaut dans windows). Bref, on va s’arrêter là je me suis fait comprendre je pense <img data-src=" />


Mais j’ai très bien compris ce que tu as dis dans ton premier message.