Collecte de données sur Windows 10 : la CNIL met en demeure Microsoft

Un an après le lancement de Windows 10, la Commission nationale de l’informatique et des libertés (CNIL) a décidé de s’attaquer à Microsoft et plus particulièrement à la récupération de données jugée « excessive ». Le suivi de la navigation des utilisateurs sans leur consentement est également pointé du doigt.

Dans un communiqué, la CNIL annonce avoir constaté que Microsoft collecte des données de diagnostic et d’utilisation dans le cadre de son service de « télémétrie ». Celui-ci permet de repérer les problèmes dans le but d’améliorer Windows 10. La CNIL note à ce sujet que Microsoft traite « des données d’usage des applications Windows et du Windows Store, qui permettent notamment d’avoir connaissance de toutes les applications téléchargées et installées sur le système par un utilisateur et du temps passé sur chacune d’elles ».

Les autres éléments critiqués sont le code PIN à quatre chiffres. Il est possible de tenter l’opération autant de fois que nécessaire, une attaque de type « brute force » permettait ainsi de le deviner sans problème. La CNIL cite aussi l’identifiant publicitaire qui est activé par défaut et permet aux applications Windows et aux applications tierces de suivre la navigation des utilisateurs pour de la publicité ciblée. Enfin, Microsoft met des cookies publicitaires sans prévenir l’utilisateur et transfère des données personnelles aux États-Unis sur la base du Safe Harbor, ce qui n’est plus possible depuis la décision de la Cour de Justice de l’Union européenne du 6 octobre 2015.

La mise en demeure impose à Microsoft de se conformer à la loi dans un délai 3 mois. Si ce délai n’est pas respecté, des sanctions pourront tomber. Selon la CNIL, la France compterait 10 millions d’utilisateurs sous Windows 10.