Actualité juridique

Données des utilisateurs : la CNIL met en demeure Microsoft

Le 25/07/2016, par Laetitia Valy, dans Technologies / Technologie & Communications.

Vos réactions...

   

Le 12 juillet 2016, la Commission nationale de l'informatique et des libertés rendait publique la mise en demeure prise contre Microsoft de faire cesser dans un délai de 3 mois les manquements constatés à la loi informatique et liberté.

En juillet 2015, la société Microsoft lance un nouveau système d'exploitation : Windows 10. L'utilisation de ce nouveau système pose questions, à tel point que la Commission nationale de l'informatique et des libertés (CNIL) a été alertée de possibles manquements à la loi informatique et libertés (1). Après vérifications et contrôles, elle constate effectivement un certain nombre de violations.

Une collecte de données excessive et non pertinente

Dans le cadre de sa Déclaration de confidentialité, la société Microsoft indique qu'elle collecte des données de diagnostic et d'utilisation, dans le but de l'aider à identifier et à résoudre les éventuels problèmes qui surviendraient dans le cadre de l'utilisation du système. L'objectif serait également l'amélioration de ses produits.

S'il existe 3 niveaux de données (complet, amélioré et de base), les utilisateurs n'ont pas la possibilité de désactiver ce service de télémétrie. En effet, ils peuvent seulement configurer leur ordinateur ou appareil sur le niveau "de base". Les données collectées sont alors diverses. Il peut s'agir des données de configuration de votre appareil ou encore des données du réseau et de connexion (adresse IP, la vitesse des réseaux Wi-Fi…).

La CNIL constate alors que certaines de ces données ne sont pas nécessaires au fonctionnement du système d'exploitation, dans la mesure où un autre niveau de données de télémétrie existe et collecte moins de données. Ce quatrième niveau dénommé "sécurité", n'est accessible que sous certaines versions et rassemble uniquement les données nécessaires pour maintenir la sécurité des appareils. En conséquence, les données collectées ne sont ni adéquates, ni pertinentes, elles sont excessives et injustifiées au regard de la finalité poursuivie (2).

Certaines de vos données personnelles ont fait l'objet d'une collecte excessive et vous souhaitez obtenir réparation ?
>>> Demandez conseil à un avocat.

Une information non délivrée et une possibilité d'opposition absente

Lors de l'installation du système, l'utilisateur fournit certaines informations, telles que ses nom, prénom et adresse électronique. S'il doit être informé de la finalité poursuivie par le traitement et des destinataires ou catégories de destinataires des données, aucune mention n'indique le traitement de données mis en oeuvre. Encore, si l'utilisateur est averti que les données peuvent être stockées et traitées aux Etats-Unis ou dans tout autre pays où la société se trouve implantée, il ne dispose d'aucune information quant à la nature des données transférées ou quant à sa finalité (3).

Encore, concernant la pratique des cookies et autres traceurs, la législation est claire. L'utilisateur doit être clairement informé de la finalité de toute action visant à accéder à des informations déjà stockées dans l'appareil ou à en inscrire. Il doit également être clairement informé de la possibilité de s'y opposer ainsi que de la marche à suivre. De plus, pour pouvoir mettre en oeuvre ces accès ou ces inscriptions, l'accord de l'utilisateur est nécessaire (4).

Or, la CNIL constate que Microsoft ne respecte aucune de ces obligations dans la mesure où lors de l'installation, l'identifiant publicitaire est activé par défaut. Sachez que l'identifiant publicitaire permet au système d'exploitation d'identifier un appareil et de cibler la publicité à mettre en avant en raison de l'utilisation faite par l'utilisateur de celui-ci. Ce dernier étant activé par défaut, la CNIL considère donc que le consentement de l'utilisateur n'est pas recueilli de manière valide, d'autant que l'information fournie au consommateur sur cette question n'est pas claire.

De plus, la CNIL constate qu'en cliquant sur la déclaration de confidentialité, des cookies sont déposés sur l'équipement de l'utilisateur. Si la finalité publicitaire de ces cookies est expliquée, elle constate un nouveau manquement dans la mesure où l'utilisateur n'est pas informé au préalable de leur finalité, ni même des moyens en sa possession pour s'y opposer.

Une sécurisation des données non garantie

Lors de l'installation de ce système d'exploitation, il est proposé à l'utilisateur de créer un code PIN de 4 chiffres qui lui permet une authentification automatique à tous les services en ligne de Microsoft, tels que la messagerie ou son compte recensant les achats effectués et les moyens de paiement utilisés. En clair, ce même code PIN permet à l'utilisateur de s'authentifier automatiquement à l'ouverture de sa cession sur tous les services en ligne de la société.

Cependant, la CNIL constate que le code en question peut être constitué de 4 chiffres identiques (1111). Surtout, le nombre de tentatives de saisie de ce code n'est pas limité, c'est-à-dire que les nombreuses tentatives infructueuses d'authentification n'entraînent pas une suspension dans la durée de l'authentification. En clair, la CNIL constate que le mot de passe en question ne permet pas d'assurer un niveau de sécurité et de confidentialité des données suffisant, d'autant que l'authentification reste active même en cas de déconnexion du service en ligne utilisé. De ce fait, elle en conclut que la société en question ne respecte pas ses obligations quant aux précautions nécessaires à mettre en oeuvre au regard des données et des risques que représente le traitement (5).

Parce que certaines de vos données sont sensibles et nécessitent une protection :
>>> Veiller à la protection de vos données personnelles.

Une mise en demeure prononcée et rendue publique

Suite à la constatation de ces différents manquements, la Présidente de la Commission nationale de l'informatique et des libertés met en demeure la société Microsoft de se conformer à la loi informatique et libertés dans un délai de 3 mois à compter de la notification de cette décision (6).

Si la société Microsoft se conforme à cette mise en demeure, la présidente de la CNIL prononcera la clôture de la procédure. Dans le cas contraire, des sanctions pourront être prononcées à son encontre, qui peuvent aller jusqu'à une sanction pécuniaire (7).

Surtout, la CNIL a souhaité rendre publique cette mise en demeure à l'encontre de la société Microsoft (8). Ce choix de rendre cette décision publique démontre sans doute la volonté de la Commission de mettre en garde les autres sociétés développant et commercialisant des systèmes d'exploitation et de logiciels quant aux risques qu'ils encourent en cas de non-respect de la législation en vigueur.

Sources :

(1) Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(2) Article 6 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(3) Article 32 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et article 91 du décret du n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(4) Article 32 II de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et Délibération n°2013-378 du 5 décembre 2013 portant adoption d'une recommandation relative aux cookies et aux autres traceurs visés par l'article 32-II de la loi du 6 janvier 1978
(5) Article 34 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(6) Décision n°2016-058 du 30 juin 2016 mettant en demeure la société Microsoft Corporation
(7) Article 45 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(8) Délibération du bureau de la Commission nationale de l'informatique et des libertés n°2016-185 du 12 juillet 2016 décidant de rendre publique la mise en demeure n°2016-058 du 30 juin 2016 à l'encontre de la société Microsoft Corporation

© 2016 Net-iris

   

Inscription JuriTravail Avocats

Pour approfondir ce sujet :

Commentaires et réactions :



-