フランスのデータ保護当局である情報処理及び自由に関する全国委員会（CNIL）は現地時間7月20日、Microsoftに対して正式に通告し、「ユーザーの同意なしに、過剰なデータを収集し、ユーザーのブラウジングを追跡するのを止める」よう命じた。

CNILの通告は、4月～6月に実施した7件の調査と、Microsoft関係者との面談の結果に基づいている。これらの調査は、「Windows 10」がフランスのデータ保護法（French Data Protection Act）に沿ったものであることを確認するために行われた。

CNILは通告の中で、Microsoftが以下の違反を犯していると指摘した。

無関係または過剰なデータの収集：「遠隔測定サービスによって診断データと利用状況データを収集すること」は許容されるが、Windows 10の初期設定は度が過ぎているとCNILは判断した。「ユーザーによってシステムにダウンロードおよびインストールされた全アプリと各アプリの使用時間についての（中略）情報」を収集することは「やり過ぎ」だとした。

セキュリティの欠如：4桁のPINでPCのセキュリティを確保するオプションは安全ではなく、PINの入力試行回数の上限も設けられていない。

個人の同意の欠如：今回の通告によると、Microsoftの広告IDによって、Windowsアプリやサードパーティーアプリがユーザーから適切な同意を得ることなく閲覧を監視したり、ターゲット広告を配信したりすることが可能になるという。

クッキー：CNILは、Microsoftが十分な同意を得ることなく、ユーザーの端末に広告用のクッキーを配置していると指摘している。

欧州連合（EU）の外部へのデータ移転：CNILは、フランス国内のWindowsユーザーのデータが「セーフハーバー協定」に基づいて米国に転送されていると指摘し、この慣行は2015年10月の欧州司法裁判所による判決を受け、無効とされていたはずだと主張している。

今回のCNILの通告では、「正式な通告は制裁ではなく、Microsoftが規定の期間内にデータ保護法に従う場合は、それ以上の措置が下されることはなく、その際は通告の手続きを終了し、その判断についても公示する予定だ」と強調している。

通告ではMicrosoftに対し、3カ月以内に法令を順守するよう求めている。

Microsoftのバイスプレジデントで副法律顧問のDavid Heiner氏は、電子メールで以下のようにコメントした。