Pour la Cnil, Windows 10 ne met plus en danger la vie privée des Français

29/06/2017

L'autorité de protection des données personnelles en France avait adressé une mise en demeure à Microsoft l'an dernier. Elle estime que l'entreprise a répondu à ses demandes.

Windows 10 n'est plus un danger pour la vie privée des Français. La Commission nationale de l'informatique et des libertés (Cnil) a annoncé jeudi la clôture de sa procédure à l'encontre de Microsoft. Elle reprochait au géant américain une collecte excessive des données personnelles des utilisateurs de son système d'exploitation le plus récent, Windows 10. Onze mois après avoir prononcé une mise en demeure contre l'entreprise, la Cnil estime finalement qu'elle s'est mise en conformité avec la loi française. «La société a pris des mesures afin de se mettre en conformité avec les injonctions de la mise en demeure», précise-t-elle dans un communiqué. «[Cette réponse] a permis de considérer que les manquements avaient cessé.»

Une affaire très médiatique

Lors de la sortie de Windows 10, en 2015, plusieurs médias et utilisateurs avaient dénoncé une collecte des données peu claire et difficilement contrôlable. En France, Marine Le Pen s'était même emparée du sujet, adressant une lettre ouverte à la Cnil dans laquelle elle critiquait «l'espionnage généralisé des ordinateurs des Français». L'autorité de protection des données avait enquêté pendant trois mois. Le bilan n'était pas reluisant. Selon la Cnil, Microsoft permettait «à des applications Windows et des applications tierces de suivre la navigation des utilisateurs et de leur proposer des publicités ciblées sans que le consentement des utilisateurs n'ait été recueilli.» Le géant américain de l'informatique s'était aussi vu reprocher sa collecte «excessive» de données de diagnostic et d'utilisation de Windows. La Cnil regrettait enfin un système de mot de passe trop faible, permettant de protéger son ordinateur avec seulement une combinaison de quatre chiffres. Elle avait fait le choix de rendre publique cette mise en demeure, au vu de la «gravité» des manquements constatés et du large nombre de personnes concernées.

Tous ces défauts ont été corrigés. «La société a réduit de près de la moitié le volume des données collectées dans le cadre du niveau 'de base' de son service de télémétrie qui permet d'identifier des problèmes de fonctionnement du système et de les résoudre», assure la Cnil. «Elle a limité cette collecte aux données strictement nécessaires pour maintenir le système et les applications en bon état de fonctionnement et assurer leur sécurité.» L'autorité se félicite également d'une mention désormais claire de l'exploitation d'un identifiant publicitaire, pour suivre le comportement des internautes, au travers d'un message d'alerte. Enfin, «[Microsoft] a renforcé la robustesse du code PIN de 4 chiffres permettant aux utilisateurs de s'authentifier pour accéder à l'ensemble des services en ligne de la société et notamment à leur compte: les combinaisons trop communes sont désormais refusées.»

Microsoft avait annoncé une partie de ces changements au début de l'année, dans un post de blog publié en janvier. Ils concernent tous les utilisateurs de Windows 10, y compris en dehors de France, pour simplifier le contrôle des paramètres de sécurité. Certaines modifications sont néanmoins propres à la version française du système d'exploitation: c'est le cas de la mention sur les formulaires de collecte de données. Microsoft va aussi se conformer au réglement européen de protection des données, qui impose aux géants du Web des mesures plus strictes concernant l'exploitation des informations des internautes. Il doit être appliqué dès le mois de mai 2018.