La CNIL vient ainsi de mettre Microsoft en demeure de se mettre en conformité avec la loi informatique des Libertés dans un délai de trois mois maximum, sans quoi, des sanctions seront applicables. Une situation qui tombe plutôt mal pour Microsoft qui s'apprête justement à déployer la mise à jour Redstone de Windows 10 à compte de ce mois d'aout.
L'autorité indique mettre "en demeure Microsoft Corporation de cesser la collecte excessive de données et le suivi de la navigation des utilisateurs sans leur consentement. Elle lui demande aussi d'assurer de façon satisfaisante la confidentialité des données des utilisateurs".
La CNIL a mené une enquête et mis au jour de nombreux manquements à la loi. Microsoft collecterait ainsi beaucoup trop de données via son service de "télémétrie" :
"On s'est aperçu que ça remontait énormément d'informations, sur notamment les données d'usages des applications qui ne sont absolument pas nécessaires pour faire les diagnostics de sécurité et éventuellement résoudre les problèmes" indique Edouard Geffray, secrétaire général de la CNIL.
Des manquements sont également notés au niveau de la sécurité. Est principalement pointé du doigt l'identifiant unique à 4 chiffres utilisés pour s'authentifier sur l'ensemble de l'univers Windows et qui a remplacé l'association compte utilisateur et mot de passe. L'absence de tentative de connexions est également une faille sécuritaire majeure.
La CNIL reproche également la présence d'un identifiant publicitaire activé par défaut dans Windows 10 et qui permet de proposer des publicités ciblées sans le consentement de l'utilisateur.
Enfin, il a été établi que Microsoft renvoyait bien les données personnelles des Français vers les États-Unis sur la base du Safe Harbor pourtant invalidé par une décision de la Cour de Justice de l'UE en octobre.
Face à l'ensemble de ces violations, la CNIL agite son carton rouge, avant de sanctionner... Désormais, Microsoft a trois mois pour corriger le tir... Malheureusement, le pouvoir de sanction de la CNIL reste limité et Microsoft ne risque qu'une amende de 150 000 euros.