De nombreux manquements à la loi Informatique et Libertés de 1978. Voilà le reproche qu’a adressé hier en fin de journée la CNIL à Microsoft, et son système d’exploitation Windows 10. L’éditeur a trois mois pour corriger le tir, avant une possible sanction.

Cette mise en demeure en plein cœur de l’été tombe au plus mal pour Microsoft, puisque publiée seulement 8 jours avant la fin de la migration gratuite vers Windows programmée le 29 juillet. Quels sont les reproches adressés par la Commission ? Pour le savoir, il faut se plonger, non dans le communiqué de presse, mais dans cette délibération détaillée (PDF). Ce que nous avions fait.

En avril et juin dernier, la CNIL a effectué plusieurs constatations en ligne, comme le lui autorise la loi sur la Consommation. Texte de 1978 sur les genoux, elle a donc procédé à une installation du système d’exploitation en version Home et Pro. Et elle a relevé à cette occasion plusieurs contrariétés.

Adéquation, pertinence et caractère non excessif des données

Il s’agit ici des relevés télémétriques, en fait des données de diagnostic et d’utilisation moissonnées par Microsoft selon trois niveaux choisis par l’utilisateur, « complet », « amélioré » et à défaut d’autres choix, « de base ».

Or, même pour ce niveau au vernis rassurant, la CNIL juge Microsoft bien trop gourmand. Pourquoi ? Car dans certaines éditions de Windows 10, dont les versions Entreprise et Éducation, existe un quatrième niveau nommé « Sécurité » avec un recueil beaucoup plus restreint, limité à la sécurité des appareils, dont les informations du système d’exploitation, l’ID et la classe de l’appareil, et, sur option, Windows Defender et MSRT, outil de suppression des logiciels malveillants.

Au contraire, dans le réglage de « base », Microsoft s’accorde également le droit de savoir quel logiciel a été installé sur l’ordinateur, les données de performance et de fiabilité, les données de réseau, ou encore les autres dispositifs connectés à l’appareil, outre des données « sur les capacités » de la machine, etc. Découvrant cet inventaire, la CNIL renifle une violation de l’article 6-3 de la loi de 6 janvier 1978, lequel impose une collecte des données « adéquate, pertinente et non excessive au regard des finalités ».

Manquement à l’obligation d’informer les personnes

Autre couac : « les internautes ne sont informés ni de la nature des données transférées, ni de la finalité du traitement » lors de la création d’un compte Microsoft. Cette création impose la saisie des nom, prénom et adresse email de l’utilisateur, sans que celui-ci sache à quels traitements seront mitonnées ces données sensibles, d’autant que dans sa « Déclaration de confidentialité », Microsoft s’offre la possibilité de stocker les informations aussi bien aux États-Unis que dans n’importe quel autre pays où l’éditeur a implanté des filiales.

On est donc loin des rigueurs de la loi de 1978 et ses décrets d’application qui imposent une information limpide sur les finalités des traitements, sur les différents droits ouverts sur les données personnelles, sur la nature des données transférées, sur la catégorie des destinataires ou encore niveau de protection offerts par les pays tiers.

La question de l’identifiant de publicité unique

Ce manquement se constate également au regard de l’article 32-II de la loi de 1978. Microsoft génère un identifiant de publicité qui permet ensuite à des prestataires de mieux cibler les us et coutumes de l’utilisateur, une sorte de cookie dédié pour l’environnement des applications qui a pour intérêt de dorer les fins de mois de l’entreprise commerciale. Seul hic, cet identifiant est activé par défaut lors de l’installation de Windows 10, contrairement d’ailleurs à ce qu’a affirmé l’éditeur dans un courrier adressé à la CNIL. « Par conséquent, la société ne recueille pas valablement le consentement des utilisateurs », celui-ci étant réputé d’accord par défaut sauf s’il désactive l’option dans les menus cachés du paramétrage !

Pire, lorsqu’un second utilisateur vient se créer un profil, les paramètres du premier lui sont appliqués automatiquement, propageant d’autant le mal originel. En toute évidence, la CNIL remarque aussi que quelle que soit l’option choisie, Microsoft ne précise pas correctement la finalité de l’identifiant, ni que l’utilisateur peut désactiver cette option après coup. Certes, il y a bien une page « en savoir plus » censée donner de précieux détails, mais elle est rejetée par la CNIL, car jugée peu visible et pas assez claire pour l’utilisateur.

Manquement quant au droit d’opposition

13 cookies sont par ailleurs plantés dans le terreau de l’ordinateur de l’utilisateur, toujours lors de l’installation de Windows 10, dont le cookie MUID qui identifie les navigateurs web visitant les sites Microsoft, et ce à des fins publicitaires, ou encore le cookie ANON, lui aussi utilisé en principe à ces fins promotionnelles. L’éditeur se contente alors de renvoyer l’utilisateur dans les paramètres de son navigateur favori s’il entend rejeter ces indiscrets. Un peu court, selon la CNIL, pour qui ce renvoi n’est un mécanisme valable d’opposition s’agissant de cookies techniques essentiels ou des cookies publicitaires. Une fois encore donc, Microsoft est épinglé pour un défaut d’information, sans doter les personnes concernées d’un véritable droit d’opposition.

Manquement à l’obligation d’assurer la sécurité des données

« La délégation a constaté qu’il est proposé aux utilisateurs de Windows 10 de créer un code PIN lié à leur machine et présenté lors de l’installation comme "plus sécurisé qu’un long mot de passe" ». Manque de chance, Microsoft accepte qu’un code constitué de 4 chiffres identiques puisse suffire (« 0000 »).

De plus, après 20 tentatives, l’authentification n’est pas suspendue. L’utilisateur doit seulement redémarrer la machine après avoir saisi une phrase de vérification. Un système qui « ne permet pas d’assurer la sécurité et la confidentialité des données accessibles par ce code depuis l’ordinateur de l’utilisateur », d’autant que la saisie du code PIN est un sésame qui authentifie automatiquement l’utilisateur à tous les services Microsoft (mail, Store, etc.). De plus, « cette authentification reste active même dans l’hypothèse où l’utilisateur se déconnecte du service en ligne utilisé et ferme son navigateur Edge ». La CNIL voit donc dans ce schéma une belle violation de l’article 34 de la loi de 1978. Une violation qui peut entrainer 1,5 million d’euros d’amende, en application des articles 226-17 et 226-24 du code pénal.

Un traitement anti-fraude et d’exclusion un peu trop sauvage

Dans ses CGU, Microsoft se réserve la possibilité de « bloquer une communication ou de supprimer un contenu s’ils enfreignent nos conditions générales ». Ceci permet notamment d’interdire un utilisateur qui se livre à des actes de fraudes, a précisé l’éditeur dans un courrier explicatif à la CNIL.

Ce traitement automatisé visant à exclure une personne n’a cependant pas fait l’objet d’une demande d’autorisation, contrairement aux dispositions de l’article 25 de la loi de 1978. Là encore, une infraction susceptible d’être sanctionnée de 1,5 million d’euros d’amende via le Code pénal.

La question du transfert des données hors UE

On retrouve une secousse tellurique de l’arrêt Schrems de la Cour de justice de l’Union. Microsoft transfère les données personnelles des utilisateurs de Windows 10 vers les États-Unis en s’abritant derrière le Safe Harbour. C’est ce qu’il affirme dans sa déclaration de confidentialité. Microscopique petit souci : le Safe Harbor, ou sphère de sécurité, signé entre la Commission européenne et les États-Unis a été annulé par la CJUE.

Après les révélations Snowden, et au regard des termes mêmes de cet accord, les juges européens ont considéré que ce pays d’outre-Atlantique n’offrait pas le niveau de sécurité attendu pour un tel transfert, notamment compte tenu de l’accès open-bar de la NSA. C’est donc là une violation de l’article 68 de la loi de 1978 qui interdit de tels transferts vers des zones n’offrant pas de niveau de protection suffisant de la vie privée et des libertés. En clair, Microsoft aurait dû s’interdire de tel transfert, cantonner les données uniquement sur l’un de ses centres installés en Europe, jamais s’attribuer un tel visa vers les USA.

Un signal politique fort, Microsoft a trois mois pour rectifier le tir

Microsoft a maintenant 3 mois pour se remettre d’aplomb pour corriger l’ensemble de ces problèmes. À défaut, la CNIL désignera un rapporteur qui pourra réclamer alors une des sanctions prévues par l’article 45 de la loi de 1978 , qui prévoit notamment une peine de 150 000 euros.

Rappelons que la loi sur la République Numérique, en fin de route au Parlement, a prévu à l’avenir une sanction de 3 millions d’euros, montant qui reste une goutte d’eau pour les géants américains. Interrogée, Isabelle Falque-Pierrotin, présidente de la CNIL considère malgré tout qu’il s’agit d’un « signal politique » fort, signal anticipant par ailleurs le règlement européen programmé pour le 24 mai 2018. « À partir cette date, on aura un montant de sanction de 4 % du chiffre d'affaires mondial sur certains manquements ou 2 % sur d'autres, et ça, ce sont des montants absolument considérables ! »

Rappelons enfin que la CNIL a décidé de claironner bien fort cette procédure, alors que Microsoft œuvre pour inciter les utilisateurs d’anciennes versions à migrer vers Windows 10. Le coût médiatique d’une telle estocade dépasse allégrement ce niveau de sanction puisqu’il entame la confiance pour son produit phare. Et pour bien enfoncer le clou, la CNIL a même publié un guide pour apprendre aux principaux concernés à régler les paramètres de vie privée de Windows 10, aussi bien lors de l’installation qu’a posteriori (voir sur ce sujet, notre actualité).