La CNIL estime que Windows 10 n'est plus en violation de la vie privée
L'estimant désormais conforme à la loi Informatique et Libertés

Le , par Michael Guilloux, Chroniqueur Actualités
Windows 10 a été lancé le 29 juillet 2015, mais les heures suivant sa sortie, le nouveau système d’exploitation de Microsoft s’est heurté à de nombreuses critiques relatives à des violations de la confidentialité des utilisateurs. En France, Marine Le Pen a dénoncé ce qu’elle considérait comme une atteinte à la vie, dans une lettre ouverte adressée à la présidente de la CNIL (Commission nationale de l'informatique et des libertés). « Ce logiciel omniprésent sur les PC absorbera les données de l’utilisateur : les sites web visités, les réseaux et mots de passe utilisés et jusqu’à la localisation des appareils, les données de calendriers, les contacts, les noms et surnoms des contacts, la voix des utilisateurs quand ceux-ci utiliseront d’autres applications Microsoft incluses dans Windows », expliquait la présidente du Front national.

Après plusieurs autres critiques similaires qui affluaient de partout – presse, partis politiques, etc. –, la CNIL a fini par adopter une mise en demeure contre Microsoft, en donnant un délai de trois mois au géant de logiciel pour se conformer à un certain nombre d’exigences. Après des contrôles effectués, la CNIL dit en effet avoir constaté certains manquements et notamment une collecte excessive de données, un suivi de la navigation des utilisateurs sans leur consentement et un défaut de sécurité et de confidentialité des données des utilisateurs.

Microsoft a demandé un délai supplémentaire de trois mois (courant jusqu’au 20 janvier 2017) pour se conformer aux exigences de la CNIL. En janvier dernier, la société a annoncé avoir fait des concessions sur la télémétrie et lancé un portail web pour permettre aux utilisateurs de gérer leurs paramètres de confidentialité. Pour Windows 10 Creators Update notamment, lancé en avril dernier, Microsoft a pris des mesures pour réduire de moitié le volume de données collectées et offrir aux utilisateurs encore plus de contrôle sur leur vie privée. Tous ces efforts semblent avoir été suffisants pour cesser tous les manquements constatés, c’est ce qu’indique la CNIL en tout cas.

« La société a, en effet, pris des mesures afin de se mettre en conformité avec les injonctions de la mise en demeure », explique la CNIL sur son site. Sa présidente a donc décidé d’affranchir le géant du logiciel : « Je prends acte de ce que vous avez mis en œuvre un nombre important de mesures afin de vous mettre en conformité avec les injonctions de la mise en demeure », a-t-elle écrit dans une note adressée au PDG de Microsoft. Et d’ajouter :

« En particulier, s’agissant du manquement relatif à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données, vous indiquez notamment avoir réduit de moitié le volume de données collectées au niveau de base de la télémétrie, de sorte que ne soient traitées que les informations directement en lien avec l’état du système. Vous avez par ailleurs ajouté une modalité permettant aux utilisateurs de décider si leurs données de télémétrie seront ou non utilisées pour afficher de la publicité personnalisée.

Par ailleurs, s’agissant du manquement à l’obligation d’obtenir l’accord préalable des personnes concernées avant d’accéder à des informations sur leur équipement terminal de communications électroniques, je prends acte que la procédure d’installation de votre système d’exploitation a été modifiée et que, désormais, les utilisateurs sont obligés d’exprimer leurs choix de configuration afin de finaliser l’installation. Plus particulièrement, je relève qu’un écran d’installation impose aux utilisateurs de paramétrer l’identifiant publicitaire en le désactivant ou en laissant activé, puis de valider ce choix en cliquant sur le bouton accepter […].

S’agissant du manquement relatif à la sécurité des données, je prends acte de la mise en place d’une logique interdisant les combinaisons trop communes pour le choix du code PIN ainsi que d’une temporisation d’authentification au compte en cas de saisie incorrecte, le tout assurant une meilleure sécurité des données à caractère personnel. »

Si la CNIL met fin à sa mise en demeure, elle prévient toutefois qu’elle pourrait lancer une procédure de sanction contre Microsoft, « s’il était constaté à l’occasion de vérifications ultérieures la persistance ou la réitération des manquements visés dans la mise en demeure. »

Sources : CNIL, Décision de la CNIL (Legifrance)

Et vous ?

Que pensez-vous de la fin de mise en demeure de Microsoft ?
Êtes-vous satisfait des concessions faites par Microsoft pour se conformer aux exigences de la CNIL ?

Voir aussi :

Windows 10 Creators Update : Microsoft réduit de moitié le volume de données collectées et offre aux utilisateurs plus de contrôle sur la vie privée
Windows 10 : Microsoft fait des concessions sur la télémétrie et propose un portail web pour gérer vos paramètres de confidentialité


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de NSKis NSKis - Membre expérimenté https://www.developpez.com
le 29/06/2017 à 14:59
Microsoft a pris des mesures pour réduire de moitié le volume de données collectées et offrir aux utilisateurs encore plus de contrôle sur leur vie privée. Tous ces efforts semblent avoir été suffisants pour cesser tous les manquements constatés, c’est ce qu’indique la CNIL en tout cas.
Pour résumer, il suffit que Windows 10 "espionne à moitié" pour que la CNIL classe le dossier... Que voulez-vous, c'est les vacances... Les plages attendent!!!

Et pendant ce temps, les heureux utilisateurs de Win10 continuent à être espionnés mais... que à moitié!!!
Avatar de Pierre Louis Chevalier Pierre Louis Chevalier - Expert éminent https://www.developpez.com
le 29/06/2017 à 15:08
Ça c'est un "vague propos CNIL" c'est pas une base sérieuse de discussion.

Concrètement, une fois que tu as tout désactivé (la publicité par exemple), ce que désormais Windows 10 te laisse le choix de faire, ce qui est plutôt rassurant, il reste quoi comme "espionnage" selon toi ?
Avatar de Darksyus01 Darksyus01 - Futur Membre du Club https://www.developpez.com
le 29/06/2017 à 16:32
Avatar de NSKis NSKis - Membre expérimenté https://www.developpez.com
le 29/06/2017 à 17:01
Citation Envoyé par Pierre Louis Chevalier Voir le message
Ça c'est un "vague propos CNIL" c'est pas une base sérieuse de discussion.

Concrètement, une fois que tu as tout désactivé (la publicité par exemple), ce que désormais Windows 10 te laisse le choix de faire, ce qui est plutôt rassurant, il reste quoi comme "espionnage" selon toi ?
Ce n'est pas "selon moi", mais selon Microsoft lui-même...

N'hésite surtout pas à te renseigner en lisant par exemple les conditions générales des produits de Microsoft... Tu peux même faire un exercice pratique avec ton poste Windows 10. Tu y installes un logiciel qui logue les échanges réseau comme Wireshark (facile à utiliser et gratuit) et là tu va être surpris... Même si tu as "Tout désactivé", ton PC continue a dialoguer avec son maître!

Petit jeu pour l'été sur la plage: Qu'est-ce qui reste dans le texte ci-dessous quand tu as "Tout désactivé"?

Extraits des conditions générales de Windows 10 concernant la confidentialité des données:

Par défaut, "lorsque vous vous connectez à Windows grâce à un compte Microsoft, Windows synchronise certains de vos paramètres et de vos données avec les serveurs Microsoft", dont "l'historique de votre navigateur, vos favoris et les sites web que vous avez ouverts]" ainsi que "les noms et mots de passe pour la sauvegarde de vos applis, sites web, borne portables et réseau Wi-Fi". Pour désactiver ce transfert vers les serveurs de Microsoft, il faut penser à se rendre dans la section "Comptes de Paramètres / Paramètres de synchronisation".

"Windows génère un identifiant publicitaire unique pour chaque utilisateur d'un appareil. Votre identifiant publicitaire peut être utilisé par les développeurs d'applications et les réseaux publicitaires pour proposer des publicités plus pertinentes" ;

"Lorsque le dispositif de cryptage est activé, Windows chiffre automatiquement le disque dur sur lequel Windows est installé et génère une clé de récupération. La clé de récupération de BitLocker pour votre appareil est automatiquement sauvegardée en ligne dans votre compte Microsoft OneDrive" (en clair, si vous utilisez l'outil de chiffrement fourni par Microsoft, Microsoft conserve la clé chez lui, et pourra donc la mettre à disposition de toute autorité publique qui demande par voie légale à y avoir accès) ;

"Microsoft recueille régulièrement des informations basiques à propos de votre appareil Windows. (…) Ces données sont transmises à Microsoft et stockées à l'aide d'un ou plusieurs identifiants uniques". Il s'agit notamment "données d'utilisation des applis pour les applis qui fonctionnent sur Windows", ou des "données sur les réseaux auxquels vous vous connectez, comme les réseaux mobiles, Bluetooth, les identifiants (BSSID et SSID), les critères de connexion et la vitesse des réseaux Wi-Fi auxquels vous êtes connecté". Microsoft précise que "certaines données diagnostiques sont essentielles au fonctionnement de Windows et ne peuvent pas être désactivées si vous utilisez Windows" ;

Dans le nouveau navigateur Microsoft Edge, lorsque AutoSearch et Search Suggestions sont activés, le navigateur envoie à Bing "les informations que vous entrez dans la barre d'adresse du navigateur", "même si vous avez sélectionné un autre fournisseur de recherche par défaut". Microsoft ajoute que "les données de navigation recueillies en relation avec ces fonctionnalités sont utilisées dans les données globales", c'est-à-dire qu'elles participent à établir le profil publicitaire de l'utilisateur ;

DIVERS SUR CORTANA, WINDOWS 10, MICROSOFT EDGE, OUTLOOK…

"Pour permettre à Cortana de fournir des expériences personnalisées et des suggestions pertinentes, Microsoft recueille et utilise différents types de données, comme la localisation de votre appareil, les données de votre calendrier, les applis que vous utilisez, les données de vos emails et de vos messages textes, les personnes que vous appelez, vos contacts et la fréquence de vos interactions avec eux sur votre appareil. Cortana en apprend également à votre sujet en recueillant des données sur votre manière d'utiliser votre appareil et d'autres services Microsoft, comme votre musique, vos réglages d'alarme, si l'écran verrouillé est activé, ce que vous regardez et achetez, votre historique de navigation et de recherche Bing, et bien plus."

"Lorsque vous utilisez OneDrive, nous recueillons des données sur votre utilisation du service, ainsi que sur le contenu que vous stockez" (c'est ici très flou sur ce qu'il fait des "informations sur le contenu) ;

"Pour fournir une reconnaissance vocale personnalisée, nous enregistrons l'entrée de votre voix, ainsi que vos nom et surnom, les événements récents de votre calendrier et les noms des personnes avec qui vous avez rendez-vous, et des informations sur vos contacts, notamment leurs noms et surnoms" ;

"Microsoft n'utilise pas ce que vous dites dans les emails, les discussions, les appels vidéo ou la messagerie vocale, ni vos documents, photos ou autres fichiers personnels pour vous envoyer des annonces ciblées", mais il utilise tout de même "d'autres informations que nous recueillons à votre sujet au fil du temps en utilisant vos données démographiques, vos requêtes de recherche, vos centres d'intérêt et vos favoris, vos données d'utilisation, et vos données de localisation" ;

"Nous accéderons à, divulguerons et préserverons les données personnelles, notamment votre contenu (comme le contenu de vos emails, d'autres communications privées ou des fichiers de dossiers privés), lorsque nous pensons de bonne foi qu'il est nécessaire de le faire", notamment pour "répondre à des requêtes légales valides" ;

"Les données personnelles recueillies par Microsoft peuvent être stockées et traitées aux États-Unis ou dans tout autre pays dans lequel Microsoft, ses filiales ou prestataires de services sont implantés" ;

"Dans Outlook.com, lorsque votre dossier Éléments supprimés est vidé, ces éléments effacés restent dans notre système pendant 30 jours maximum avant suppression définitive" ;

Avatar de Pierre Louis Chevalier Pierre Louis Chevalier - Expert éminent https://www.developpez.com
le 29/06/2017 à 18:43
Je ne voie pas le rapport, ce texte fait référence à des options qui sont justement désormais désactivables, comme la pub par exemple ou d'autres données.
Le lien Twitter posté plus avant lui est plus intéressant par contre, de savoir dans les faits ce qu'il en est et ce qu'il en reste.

Dans les faits, si tu prends par exemple cette annonce : "Windows 10 Fall Creators Update va embarquer un système de sécurité basé sur des outils EMET Pour réduire les risques d'exploitation des failles" c'est évidemment basé sur de la remontée d'infos, donc après à toi d'avoir ta propre opinion :
- Parano : je suis personnellement espionné c'est un complot !
- Informatique : c'est de la remontée massive de données de télémétrie anonyme pour améliorer la sécurité globale, et donc le service rendu à tous les utilisateurs, bref de la collectivisation de ressources.
Avatar de dfiad77pro dfiad77pro - Membre éprouvé https://www.developpez.com
le 29/06/2017 à 19:31
y'a pas longtemps je suis passé de Windows 10 mobile à Android, honnêtement Windows n'a pas de leçon à recevoir de ce coté... Android est super intrusif (j'ai personnalisé un peu pour limiter ça). Sinon je suis pas mécontent de ma migration, je n'ai pas eu le choix les Windows phones n'étant plus en vente a des prix corrects.

Je parle bien sur pas de tout les systemes basés sous linux une Debian est pas , comparable.
Avatar de Shepard Shepard - Membre éclairé https://www.developpez.com
le 30/06/2017 à 7:36
Citation Envoyé par Pierre Louis Chevalier Voir le message
Je ne voie pas le rapport, ce texte fait référence à des options qui sont justement désormais désactivables, comme la pub par exemple ou d'autres données.
Le lien Twitter posté plus avant lui est plus intéressant par contre, de savoir dans les faits ce qu'il en est et ce qu'il en reste.

Dans les faits, si tu prends par exemple cette annonce : "Windows 10 Fall Creators Update va embarquer un système de sécurité basé sur des outils EMET Pour réduire les risques d'exploitation des failles" c'est évidemment basé sur de la remontée d'infos, donc après à toi d'avoir ta propre opinion :
- Parano : je suis personnellement espionné c'est un complot !
- Informatique : c'est de la remontée massive de données de télémétrie anonyme pour améliorer la sécurité globale, et donc le service rendu à tous les utilisateurs, bref de la collectivisation de ressources.
Je ne comprends pas que tu ne comprennes pas ce qui nous gène ...

Non, nous ne sommes pas espionnés personnellement, mais si on va aux États-Unis, qu'est-ce qui empêche le gouvernement de dire à Microsoft "Sortez-moi tout ce que vous avez sur X", surtout si on vient de pays tels que le gouvernement en place considère comme "à risques" (tous les pays Européens par exemple, depuis récemment).

De même, maintenant que ces données sont collectées, qui nous dit que dans 2 ans nous n'aurons pas une loi hadokhi qui aura le droit de fouiller dans ces données à la recherche de sites désormais identifiés comme contrevenant à la loi ?

J'estime que c'est mon droit le plus strict de refuser que des données soient collectées sur moi par un organisme dans lequel je n'ai pas confiance. L'état, je lui fais confiance (pour lui on n'a pas le choix). Mais Microsoft ? Une entreprise ?

Alors oui, chez moi, je n'ai pas de machine sous Windows, mais il y a de fortes chances qu'au bureau, on ne me laisse pas le choix.

Par ailleurs le post de Darksyus01 fait vraiment peur Oo. Windows 10 est encore pire que ce que je croyais !
Avatar de ZenZiTone ZenZiTone - Membre émérite https://www.developpez.com
le 30/06/2017 à 9:45
Citation Envoyé par Shepard Voir le message
Non, nous ne sommes pas espionnés personnellement, mais si on va aux États-Unis, qu'est-ce qui empêche le gouvernement de dire à Microsoft "Sortez-moi tout ce que vous avez sur X", surtout si on vient de pays tels que le gouvernement en place considère comme "à risques" (tous les pays Européens par exemple, depuis récemment).

De même, maintenant que ces données sont collectées, qui nous dit que dans 2 ans nous n'aurons pas une loi hadokhi qui aura le droit de fouiller dans ces données à la recherche de sites désormais identifiés comme contrevenant à la loi ?
C'est justement ce qui va être mis en place en France avec l'entrée dans la constitution de l'état d'urgence
Avatar de Pierre Louis Chevalier Pierre Louis Chevalier - Expert éminent https://www.developpez.com
le 30/06/2017 à 13:59
Citation Envoyé par Shepard Voir le message
Je ne comprends pas que tu ne comprennes pas ce qui nous gène ...

Non, nous ne sommes pas espionnés personnellement, mais si on va aux États-Unis, qu'est-ce qui empêche le gouvernement de dire à Microsoft "Sortez-moi tout ce que vous avez sur X", surtout si on vient de pays tels que le gouvernement en place considère comme "à risques" (tous les pays Européens par exemple, depuis récemment).

De même, maintenant que ces données sont collectées, qui nous dit que dans 2 ans nous n'aurons pas une loi hadokhi qui aura le droit de fouiller dans ces données à la recherche de sites désormais identifiés comme contrevenant à la loi ?

J'estime que c'est mon droit le plus strict de refuser que des données soient collectées sur moi par un organisme dans lequel je n'ai pas confiance. L'état, je lui fais confiance (pour lui on n'a pas le choix). Mais Microsoft ? Une entreprise ?

Alors oui, chez moi, je n'ai pas de machine sous Windows, mais il y a de fortes chances qu'au bureau, on ne me laisse pas le choix.

Par ailleurs le post de Darksyus01 fait vraiment peur Oo. Windows 10 est encore pire que ce que je croyais !
C'est pas ça la question.

Une fois que tu as tout désactivé, est ce qu'il reste quelque chose ? Si oui dans ce cas pourquoi la CNIL à donné son ok ? Après je n'ai pas une confiance totale en la CNIL peut être qu'il se sont basés sur le formulaire et fait aucune vérification technique sérieuse dans les faits.

Même s'ils avaient des données de télémétrie, est ce que cela veux dire que Microsoft stockerais toutes les infos pour tous les utilisateurs nominativement ? Cela ferait un packet de données à stocquer. Ou juste calculer les statistiques basées sur de la télémétrie ?

Par ailleurs vous rendez-vous compte que toute cette affaire est née parce que c'est Microsoft ?
Quand vous utilisez un jeux en ligne, un site web, une application mobile, ... il y à une remontée massive de télémétrie qui est faite dans quasiment tous les cas et on ne vous en averti pas et vous ne pouvez pas le désactiver.
En tant que chef de projet d'un logiciel, d'un service ou d'une application, toute cette télémétrie est absolument utile et indispensable pour améliorer le service.

Donc cette question n'est pas aussi triviale qu'il y parais.

Pour bien faire oui c'est bien de prévenir les utilisateurs et de rendre la chose désactivable dans les fait il y à quasiment que Microsoft qui l'à fait, sous la contrainte, mais tous les autres continuent de le faire tranquillement, c'est à dire des millions d’applications et de sites...
Il y à aussi Google qui est dans le collimateur de tous le monde qui à fait machine arrière : Google annonce l'arrêt du scan des emails de l'offre gratuite de Gmail à des fins publicitaires.

Bref quand Microsoft à fait sous Windows 10 cette remontée d'info non désactivable oui c'était mal, et Microsoft à fait son mea culpa en rajoutant des infos et en proposant de le désactiver, et comme Google viens de le faire partiellement sur la partie email, mais tous le problème reste non résolu pour tous le reste de l'industrie informatique...
Avatar de Shepard Shepard - Membre éclairé https://www.developpez.com
le 30/06/2017 à 15:31
S'il-te-plaît, arrête de faire l'idiot.

Ou bien arrête de nous prendre pour des idiots.

Citation Envoyé par Pierre Louis Chevalier Voir le message
Une fois que tu as tout désactivé, est ce qu'il reste quelque chose ? Si oui dans ce cas pourquoi la CNIL à donné son ok ? Après je n'ai pas une confiance totale en la CNIL peut être qu'il se sont basés sur le formulaire et fait aucune vérification technique sérieuse dans les faits.
Oui il reste quelque chose ! Un lien a été donné plus haut montrant tout ce que MS Windows collecte. Réduire de moitié, c'est du foutage de gueule pur et simple.

Même s'ils avaient des données de télémétrie, est ce que cela veux dire que Microsoft stockerais toutes les infos pour tous les utilisateurs nominativement ? Cela ferait un packet de données à stocquer. Ou juste calculer les statistiques basées sur de la télémétrie ?
Oui ça fait un paquet de données. Et alors ? Disons qu'il y a un milliard de profils à stocker. Avec seulement 1000 téras ils peuvent déjà stocker un giga de données par personne (et 1000 teras, pour Microsoft, c'est rien du tout, rien que chez moi il y a 10 téras d'espace disque ...)

On parle de données de télémétrie, pas d'images. Un historique de navigation complet peut faire énormément de tort à une personne comme Snowden, et ne prend que quelques mégas d'espace disque. Pareil pour un fichier avec tous les mots de passes et les endroits où ils sont utilisés.

Par ailleurs vous rendez-vous compte que toute cette affaire est née parce que c'est Microsoft ?
Quand vous utilisez un jeux en ligne, un site web, une application mobile, ... il y à une remontée massive de télémétrie qui est faite dans quasiment tous les cas et on ne vous en averti pas et vous ne pouvez pas le désactiver.
En tant que chef de projet d'un logiciel, d'un service ou d'une application, toute cette télémétrie est absolument utile et indispensable pour améliorer le service.
Quand j'ai lu cette partie, j'ai hésité à te répondre, tant tu es grotesque.

Tu nous prends pour des cons et je n'aime pas ça. Soit, je vais faire comme si je n'avais pas lu ce passage.

Donc cette question n'est pas aussi triviale qu'il y parais.
Tu n'as donné aucun argument valable justifiant cela.

Pour bien faire oui c'est bien de prévenir les utilisateurs et de rendre la chose désactivable dans les fait il y à quasiment que Microsoft qui l'à fait, sous la contrainte, mais tous les autres continuent de le faire tranquillement, c'est à dire des millions d’applications et de sites...
Il y à aussi Google qui est dans le collimateur de tous le monde qui à fait machine arrière : Google annonce l'arrêt du scan des emails de l'offre gratuite de Gmail à des fins publicitaires.
Bien sûr, et c'est normal. Tout comme Microsoft, Google ne s'intéresse pas à "Mes utilisateurs utilisent-ils deux ou trois doigts pour jouer à mon jeu?".

Bref quand Microsoft à fait sous Windows 10 cette remontée d'info non désactivable oui c'était mal, et Microsoft à fait son mea culpa en rajoutant des infos et en proposant de le désactiver, et comme Google viens de le faire partiellement sur la partie email, mais tous le problème reste non résolu pour tous le reste de l'industrie informatique...
Non, parce qu'habituellement, on a le choix. Seul Microsoft a un tel monopole. Comme je l'ai dit plus haut, quand j'entrerai dans le monde du travail, il y a 90% de chances qu'on me mette un Windows dans les mains et qu'on m'envoie ballader si je demande à travailler sous un autre OS.
Offres d'emploi IT
Chef de projet SI infrastructure H/F
Michael Page - Ile de France - Aubervilliers (93300)
Administrateur dba oracle
D&B SELECTION - Provence Alpes Côte d'Azur - Nice (06000)
Administrateur systèmes et réseaux H/F
Confidentiel - Ile de France - Orsay (91400)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil