Windows 10 et données perso : la Cnil lève sa mise en demeure

Windows 10 et données perso : la Cnil lève sa mise en demeure - 2017 - 2018

Juridique : Il y a un an, la Commission adressait à Microsoft une mise en demeure lui donnant trois mois pour “cesser la collecte excessive de données et le suivi de la navigation des utilisateurs sans leur consentement”. La Cnil constate aujourd’hui sa mise en conformité.

Microsoft a fait le boulot. Le 21 juin 2016,  la Cnil (Commission Nationale de l’Informatique et des Libertés) rendait publique une mise en demeure adressée à Microsoft à qui il est reproché une “collecte excessive” de données via Windows 10. La Cnil dit avoir été alertée par voie de presse ainsi que par des courriels de partis politiques à propos de ce problème, ce qui l’a conduit à mener sept contrôles en ligne sur la période avril-juin 2016. Plusieurs manquements à la loi Informatique et Libertés avaient été relevés.

En premier lieu, le service de télémétrie de Windows 10 qui se livre à une collecte excessive d’informations, en récoltant des données d’usage des applications Windows et du Windows Store qui ne sont pas nécessaires à son fonctionnement estime la Cnil. L’autorité pointe également un défaut de sécurité au niveau du code PIN à 4 chiffres utilisé pour sécuriser l’accès aux services en ligne et au compte Microsoft. “Le nombre de tentatives de saisie de ce code PIN n’est pas limité, ce qui n’assure pas la sécurité et la confidentialité des données des utilisateurs”.

La Cnil dénonçait aussi la présence d’un “identifiant publicitaire” activé par défaut lors de l’installation de Windows 10 et qui sert à pousser des publicités ciblées sans consentement préalable des usagers. De même, “la société dépose sur les terminaux des utilisateurs des cookies publicitaires, sans les en avoir au préalable correctement informés, ni mis en mesure de s’y opposer”.

Enfin, Microsoft était pointé du doigt pour le transfert des données personnelles de ses clients vers les États-Unis en vertu du Safe Harbor ce qui, rappelle la Cnil, “n’est plus possible depuis la décision de la Cour de Justice de l’Union Européenne du 6 octobre 2015”.

Microsoft avait trois mois pour se mettre en conformité, aujourd’hui, par voie de communiqué, la Cnil estime que la firme s’est mise en conformité et a donc décidé de clôturer la procédure de mise en demeure. 

“La réponse de la société a permis de considérer que les manquements avaient cessé. La société a, en effet, pris des mesures afin de se mettre en conformité avec les injonctions de la mise en demeure”, indique la Commission.

Et de détailler : “La société a réduit de près de la moitié le volume des données collectées dans le cadre du niveau de « base » de son service de télémétrie qui permet d’identifier des problèmes de fonctionnement du système et de les résoudre. Elle a limité cette collecte aux données strictement nécessaires pour maintenir le système et les applications en bon état de fonctionnement et assurer leur sécurité”.

“Les utilisateurs sont désormais informés, par une mention claire et précise, qu’un identifiant publicitaire a vocation à suivre leur navigation pour leur proposer de la publicité ciblée. Par ailleurs, la procédure d’installation de Windows 10 a été modifiée : les utilisateurs ne peuvent finaliser l’installation tant qu’ils n’ont pas exprimé leur choix quant à l’activation ou à la désactivation de l’identifiant publicitaire. Ils peuvent, par ailleurs, revenir à tout moment sur ce choix”.

“La société a renforcé la robustesse du code PIN de 4 chiffres permettant aux utilisateurs de s’authentifier pour accéder à l’ensemble des services en ligne de la société et notamment à leur compte Microsoft : les combinaisons trop communes sont désormais refusées. En outre, en cas de saisie incorrecte, la société a mis en place un mécanisme de temporisation d’authentification  (suspension temporaire de l’accès dont la durée augmente à mesure des tentatives)”.

Enfin, Microsoft a “inséré des mentions d’information conformes à l’article 32 de la loi « Informatique et Libertés » ;  effectué des demandes d’autorisation auprès de la CNIL pour ses traitements de lutte contre la fraude ;adhéré au Privacy Shield pour régir les transferts internationaux de données personnelles ; mis fin au dépôt de cookies sans recueil préalable du consentement des internautes lors de la consultation de la plupart de ses sites web Windows 10 et s’est engagée à le faire pour l’ensemble avant le 30 septembre 2017”. 

A lire également sur le sujet :

Données perso et Windows 10 – Le “choix industriel” aux multiples manquements de Microsoft 

Windows 10, secrets de télémétrie : où, quand, et pourquoi Microsoft recueille vos données 

Windows 10 et la télémétrie : une analyse réseau simple pour faire la lumière 

Windows 10 : Non, Microsoft n’entend pas changer les paramètres de confidentialité

Windows 10 et données perso : la Cnil lève sa mise en demeure

Source : L’article Windows 10 et données perso : la Cnil lève sa mise en demeure >> est extrait de ZDNet

Une sélection d'articles qui pourraient vous intéresser ...

Windows 10 et données perso : la Cnil lève sa mise en demeure - 2017 - 2018
Ne manquez plus rien!
Abonnez-vous dès maintenant aux infos de SOSVirus et recevez chaque mois, le meilleur de la sécurité informatique : news, tutos, hacking, alerte ransomware, spam alerte ...

1 Etoile2 Etoiles3 Etoiles4 Etoiles5 Etoiles 1 avis, 5,00/5
Loading...
Par | 2017-09-18T18:29:16+00:00 juin 30th, 2017|Actualité|0 commentaire

Laisser un commentaire