L’autorité de protection des données personnelles des Pays-Bas considère que Microsoft enfreint la loi. Windows 10 ne permet pas aux utilisateurs de suffisamment contrôler quelles données sont collectées par le géant. Celui-ci promet de se mettre en conformité dans les plus brefs délais.
Pan sur les doigts ! Windows 10 est à nouveau épinglé sur la question des données personnelles. Cette fois-ci, l’Autoriteit Persoonsgegeven, homologue néerlandaise de la Cnil, s’y colle. Achevant une enquête sur le système d’exploitation, elle estime que Microsoft enfreint la loi sur la protection des données.
L’autorité rappelle que Windows 10 propose deux niveaux de télémétrie. La première, « basique » collecte des informations sur l’utilisation de l’appareil. L’autre, « complète », est bien plus exhaustive, récupérant données d’utilisation des applications, de navigation sur Internet voire de saisie. Or, si les utilisateurs sont bien informés que leurs données sont collectées, Microsoft n’offre guère de détails précis quant au type de données qu'il collecte.
En outre, l’éditeur fournit bel et bien une liste des objectifs poursuivis par cette collecte. Mais ceux-ci sont trop généraux et divers. « Microsoft doit obtenir le consentement valide des utilisateurs pour traiter leurs données personnelles. Par conséquent, les gens doivent être bien informés et doivent savoir précisément ce que signifie leur oui. Ce n'est pas le cas » écrit l’Autoriteit Persoonsgegeven.
On collecte tout par défaut, d’accord ?
Autre problème, le système de opt-out. A l’installation, le niveau de télémétrie est fixé à « Complet » par défaut. De même, l’utilisation de ces données à des fins publicitaires est acceptée par défaut. Pour autant, « si une personne ne modifie pas activement les paramètres par défaut lors de l'installation, cela ne signifie pas qu'elle donne son consentement à l'utilisation de ses données personnelles » considère le régulateur. Ajoutez à cela le fait que Microsoft a remis par défaut le niveau de télémétrie par défaut (donc « Complet ») pour certains utilisateurs à l’occasion de l’installation de la Creators Update.
Ce faisant, au regard du droit néerlandais, Microsoft ni ne justifie d’un intérêt légitime à collecter ces données, ni ne recueille le consentement éclairé des utilisateurs « en raison de la diversité des fins pour lesquelles les données collectées peuvent être traitées, en combinaison avec le manque de transparence ». Toutefois l’autorité de protection des données personnelles n’inflige pas dans l’immédiat de sanction à l’éditeur. Ce dernier s’est engagé à se mettre en conformité avec la loi, par le biais notamment de sa prochaine Fall Creators Update. Laquelle promet d’être attentivement décortiquée par les différents régulateurs.