Windows 10 : la CNIL met en demeure MICROSOFT de se conformer dans un délai de 3 mois, à la loi Informatique et Libertés

Toutes les informations législatives relatives au SIH, CNIL, CIL
Répondre
Avatar du membre
charles
Administrateur du site
Messages : 3269
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL / DPO / DPD : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Windows 10 : la CNIL met en demeure MICROSOFT de se conformer dans un délai de 3 mois, à la loi Informatique et Libertés

Message par charles » 20 juil. 2016 18:59

Les manquements à la loi Informatique et Libertés avait été soulevés il y a un an déjà, juste après la sortie de Windows 10, comme nous en avions déjà parlé sur le forum (voir : Windows 10 : collecte et traitement des données personnelles). La CNIL met aujourd'hui publiquement en demeure MICROSOFT CORPORATION de se conformer, dans un délai de trois mois, à la loi Informatique et Libertés !

A été soulevé par la CNIL :

- Une collecte non pertinent ou excessive de données :

MICROSOFT traite par exemple des données d’usage des applications Windows et du Windows Store, qui permettent notamment d’avoir connaissance de toutes les applications téléchargées et installées sur le système par un utilisateur et du temps passé sur chacune d’elles.

- Un défaut de sécurité :

La société permet aux utilisateurs de choisir un code PIN de 4 chiffres pour s’authentifier pour l’ensemble de ses services en ligne, or, le nombre de tentatives de saisie de ce code PIN n’est pas limité, ce qui n’assure pas la sécurité et la confidentialité des données des utilisateurs.

- Une absence de consentement des personnes :

Il apparaît également qu’un identifiant publicitaire est activé par défaut lors de l’installation de Windows 10. Il permet à des applications Windows et des applications tierces de suivre la navigation des utilisateurs et de leur proposer des publicités ciblées sans que le consentement des utilisateurs n’ait été recueilli.

- Une absence d’information et de possibilité de s’opposer au dépôt de cookies :

La société dépose sur les terminaux des utilisateurs des cookies publicitaires, sans les en avoir au préalable correctement informés, ni mis en mesure de s’y opposer.

- La persistance de transferts internationaux sur la base du Safe harbor :

La société transfère les données personnelles de ses membres aux Etats-Unis sur la base du Safe harbor, ce qui n’est plus possible depuis la décision de la Cour de Justice de l’Union Européenne du 6 octobre 2015.

Il a été décidé de rendre publique cette mise en demeure notamment en raison de la gravité des manquements constatés et du nombre de personnes concernées (plus de dix millions d’utilisateurs de Windows 10 sur le territoire national).

Source : https://www.cnil.fr/fr/windows-10-la-cn ... s-un-delai

Avatar du membre
charles
Administrateur du site
Messages : 3269
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL / DPO / DPD : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: Windows 10 : la CNIL met en demeure MICROSOFT de se conformer dans un délai de 3 mois, à la loi Informatique et Libe

Message par charles » 21 juil. 2016 17:19

Quelques liens utiles :

Les conseils de la CNIL pour la paramétrage de Windows 10 :

viewtopic.php?f=24&t=230&p=1648#p1648

Un outil permettant de bloquer l'envoi des données personnelles à Microsoft :

viewtopic.php?f=24&t=230#p461

Never 10 : l'outil permettant de désactiver la mise à jour vers Windows 10 :

viewtopic.php?f=51&t=607#p1562

Avatar du membre
charles
Administrateur du site
Messages : 3269
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL / DPO / DPD : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: Windows 10 : la CNIL met en demeure MICROSOFT de se conformer dans un délai de 3 mois, à la loi Informatique et Libe

Message par charles » 29 juin 2017 11:19

La CNIL vient de clôturer cette mise en demeure presque un an après son ouverture :

La réponse de MICROSOFT CORPORATION

La réponse de la société a permis de considérer que les manquements avaient cessé. La société a, en effet, pris des mesures afin de se mettre en conformité avec les injonctions de la mise en demeure.

Sur le caractère non pertinent ou excessif des données collectées

La société a réduit de près de la moitié le volume des données collectées dans le cadre du niveau de « base » de son service de télémétrie qui permet d’identifier des problèmes de fonctionnement du système et de les résoudre. Elle a limité cette collecte aux données strictement nécessaires pour maintenir le système et les applications en bon état de fonctionnement et assurer leur sécurité.

Sur l’absence de consentement des personnes

Les utilisateurs sont désormais informés, par une mention claire et précise, qu’un identifiant publicitaire a vocation à suivre leur navigation pour leur proposer de la publicité ciblée. Par ailleurs, la procédure d’installation de Windows 10 a été modifiée : les utilisateurs ne peuvent finaliser l’installation tant qu’ils n’ont pas exprimé leur choix quant à l’activation ou à la désactivation de l’identifiant publicitaire. Ils peuvent, par ailleurs, revenir à tout moment sur ce choix.

Sur le défaut de sécurité

La société a renforcé la robustesse du code PIN de 4 chiffres permettant aux utilisateurs de s’authentifier pour accéder à l’ensemble des services en ligne de la société et notamment à leur compte Microsoft : les combinaisons trop communes sont désormais refusées. En outre, en cas de saisie incorrecte, la société a mis en place un mécanisme de temporisation d’authentification (suspension temporaire de l’accès dont la durée augmente à mesure des tentatives).

Par ailleurs, conformément aux autres injonctions de la mise en demeure, la société a :

inséré des mentions d’information conformes à l’article 32 de la loi « Informatique et Libertés » ;
effectué des demandes d’autorisation auprès de la CNIL pour ses traitements de lutte contre la fraude ;
adhéré au Privacy Shield pour régir les transferts internationaux de données personnelles ;
mis fin au dépôt de cookies sans recueil préalable du consentement des internautes lors de la consultation de la plupart de ses sites web Windows 10 et s’est engagée à le faire pour l’ensemble avant le 30 septembre 2017.

La Présidente de la CNIL a considéré que la société s’était mise en conformité avec la loi « Informatique et Libertés » et a ainsi décidé de procéder à la clôture de la procédure de mise en demeure.
Source : https://www.cnil.fr/fr/windows-10-clotu ... orporation

Répondre

Retourner vers « Législatif et CNIL »