Discussion :

[Michael Guilloux]

La CNIL estime que Windows 10 n’est plus en violation de la vie privée
l’estimant désormais conforme à la loi Informatique et Libertés

Windows 10 a été lancé le 29 juillet 2015, mais les heures suivant sa sortie, le nouveau système d’exploitation de Microsoft s’est heurté à de nombreuses critiques relatives à des violations de la confidentialité des utilisateurs. En France, Marine Le Pen a dénoncé ce qu’elle considérait comme une atteinte à la vie, dans une lettre ouverte adressée à la présidente de la CNIL (Commission nationale de l'informatique et des libertés). « Ce logiciel omniprésent sur les PC absorbera les données de l’utilisateur : les sites web visités, les réseaux et mots de passe utilisés et jusqu’à la localisation des appareils, les données de calendriers, les contacts, les noms et surnoms des contacts, la voix des utilisateurs quand ceux-ci utiliseront d’autres applications Microsoft incluses dans Windows », expliquait la présidente du Front national.

Après plusieurs autres critiques similaires qui affluaient de partout – presse, partis politiques, etc. –, la CNIL a fini par adopter une mise en demeure contre Microsoft, en donnant un délai de trois mois au géant de logiciel pour se conformer à un certain nombre d’exigences. Après des contrôles effectués, la CNIL dit en effet avoir constaté certains manquements et notamment une collecte excessive de données, un suivi de la navigation des utilisateurs sans leur consentement et un défaut de sécurité et de confidentialité des données des utilisateurs.

Microsoft a demandé un délai supplémentaire de trois mois (courant jusqu’au 20 janvier 2017) pour se conformer aux exigences de la CNIL. En janvier dernier, la société a annoncé avoir fait des concessions sur la télémétrie et lancé un portail web pour permettre aux utilisateurs de gérer leurs paramètres de confidentialité. Pour Windows 10 Creators Update notamment, lancé en avril dernier, Microsoft a pris des mesures pour réduire de moitié le volume de données collectées et offrir aux utilisateurs encore plus de contrôle sur leur vie privée. Tous ces efforts semblent avoir été suffisants pour cesser tous les manquements constatés, c’est ce qu’indique la CNIL en tout cas.

« La société a, en effet, pris des mesures afin de se mettre en conformité avec les injonctions de la mise en demeure », explique la CNIL sur son site. Sa présidente a donc décidé d’affranchir le géant du logiciel : « Je prends acte de ce que vous avez mis en œuvre un nombre important de mesures afin de vous mettre en conformité avec les injonctions de la mise en demeure », a-t-elle écrit dans une note adressée au PDG de Microsoft. Et d’ajouter :

« En particulier, s’agissant du manquement relatif à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données, vous indiquez notamment avoir réduit de moitié le volume de données collectées au niveau de base de la télémétrie, de sorte que ne soient traitées que les informations directement en lien avec l’état du système. Vous avez par ailleurs ajouté une modalité permettant aux utilisateurs de décider si leurs données de télémétrie seront ou non utilisées pour afficher de la publicité personnalisée.

Par ailleurs, s’agissant du manquement à l’obligation d’obtenir l’accord préalable des personnes concernées avant d’accéder à des informations sur leur équipement terminal de communications électroniques, je prends acte que la procédure d’installation de votre système d’exploitation a été modifiée et que, désormais, les utilisateurs sont obligés d’exprimer leurs choix de configuration afin de finaliser l’installation. Plus particulièrement, je relève qu’un écran d’installation impose aux utilisateurs de paramétrer l’identifiant publicitaire en le désactivant ou en laissant activé, puis de valider ce choix en cliquant sur le bouton accepter […].

S’agissant du manquement relatif à la sécurité des données, je prends acte de la mise en place d’une logique interdisant les combinaisons trop communes pour le choix du code PIN ainsi que d’une temporisation d’authentification au compte en cas de saisie incorrecte, le tout assurant une meilleure sécurité des données à caractère personnel. »

Si la CNIL met fin à sa mise en demeure, elle prévient toutefois qu’elle pourrait lancer une procédure de sanction contre Microsoft, « s’il était constaté à l’occasion de vérifications ultérieures la persistance ou la réitération des manquements visés dans la mise en demeure. »

Sources : CNIL, Décision de la CNIL (Legifrance)

Et vous ?

Que pensez-vous de la fin de mise en demeure de Microsoft ?
Êtes-vous satisfait des concessions faites par Microsoft pour se conformer aux exigences de la CNIL ?

Voir aussi :

Windows 10 Creators Update : Microsoft réduit de moitié le volume de données collectées et offre aux utilisateurs plus de contrôle sur la vie privée
Windows 10 : Microsoft fait des concessions sur la télémétrie et propose un portail web pour gérer vos paramètres de confidentialité

[NSKis]

Microsoft a pris des mesures pour réduire de moitié le volume de données collectées et offrir aux utilisateurs encore plus de contrôle sur leur vie privée. Tous ces efforts semblent avoir été suffisants pour cesser tous les manquements constatés, c’est ce qu’indique la CNIL en tout cas.

Pour résumer, il suffit que Windows 10 "espionne à moitié" pour que la CNIL classe le dossier... Que voulez-vous, c'est les vacances... Les plages attendent!!!

Et pendant ce temps, les heureux utilisateurs de Win10 continuent à être espionnés mais... que à moitié!!!

[Pierre Louis Chevalier]

Ça c'est un "vague propos CNIL" c'est pas une base sérieuse de discussion.

Concrètement, une fois que tu as tout désactivé (la publicité par exemple), ce que désormais Windows 10 te laisse le choix de faire, ce qui est plutôt rassurant, il reste quoi comme "espionnage" selon toi ?

[NSKis]

Ça c'est un "vague propos CNIL" c'est pas une base sérieuse de discussion.

Concrètement, une fois que tu as tout désactivé (la publicité par exemple), ce que désormais Windows 10 te laisse le choix de faire, ce qui est plutôt rassurant, il reste quoi comme "espionnage" selon toi ?

Ce n'est pas "selon moi", mais selon Microsoft lui-même...

N'hésite surtout pas à te renseigner en lisant par exemple les conditions générales des produits de Microsoft... Tu peux même faire un exercice pratique avec ton poste Windows 10. Tu y installes un logiciel qui logue les échanges réseau comme Wireshark (facile à utiliser et gratuit) et là tu va être surpris... Même si tu as "Tout désactivé", ton PC continue a dialoguer avec son maître!

Petit jeu pour l'été sur la plage: Qu'est-ce qui reste dans le texte ci-dessous quand tu as "Tout désactivé"?

Extraits des conditions générales de Windows 10 concernant la confidentialité des données:

Par défaut, "lorsque vous vous connectez à Windows grâce à un compte Microsoft, Windows synchronise certains de vos paramètres et de vos données avec les serveurs Microsoft", dont "l'historique de votre navigateur, vos favoris et les sites web que vous avez ouverts]" ainsi que "les noms et mots de passe pour la sauvegarde de vos applis, sites web, borne portables et réseau Wi-Fi". Pour désactiver ce transfert vers les serveurs de Microsoft, il faut penser à se rendre dans la section "Comptes de Paramètres / Paramètres de synchronisation".

"Windows génère un identifiant publicitaire unique pour chaque utilisateur d'un appareil. Votre identifiant publicitaire peut être utilisé par les développeurs d'applications et les réseaux publicitaires pour proposer des publicités plus pertinentes" ;

"Lorsque le dispositif de cryptage est activé, Windows chiffre automatiquement le disque dur sur lequel Windows est installé et génère une clé de récupération. La clé de récupération de BitLocker pour votre appareil est automatiquement sauvegardée en ligne dans votre compte Microsoft OneDrive" (en clair, si vous utilisez l'outil de chiffrement fourni par Microsoft, Microsoft conserve la clé chez lui, et pourra donc la mettre à disposition de toute autorité publique qui demande par voie légale à y avoir accès) ;

"Microsoft recueille régulièrement des informations basiques à propos de votre appareil Windows. (…) Ces données sont transmises à Microsoft et stockées à l'aide d'un ou plusieurs identifiants uniques". Il s'agit notamment "données d'utilisation des applis pour les applis qui fonctionnent sur Windows", ou des "données sur les réseaux auxquels vous vous connectez, comme les réseaux mobiles, Bluetooth, les identifiants (BSSID et SSID), les critères de connexion et la vitesse des réseaux Wi-Fi auxquels vous êtes connecté". Microsoft précise que "certaines données diagnostiques sont essentielles au fonctionnement de Windows et ne peuvent pas être désactivées si vous utilisez Windows" ;

Dans le nouveau navigateur Microsoft Edge, lorsque AutoSearch et Search Suggestions sont activés, le navigateur envoie à Bing "les informations que vous entrez dans la barre d'adresse du navigateur", "même si vous avez sélectionné un autre fournisseur de recherche par défaut". Microsoft ajoute que "les données de navigation recueillies en relation avec ces fonctionnalités sont utilisées dans les données globales", c'est-à-dire qu'elles participent à établir le profil publicitaire de l'utilisateur ;

DIVERS SUR CORTANA, WINDOWS 10, MICROSOFT EDGE, OUTLOOK…

"Pour permettre à Cortana de fournir des expériences personnalisées et des suggestions pertinentes, Microsoft recueille et utilise différents types de données, comme la localisation de votre appareil, les données de votre calendrier, les applis que vous utilisez, les données de vos emails et de vos messages textes, les personnes que vous appelez, vos contacts et la fréquence de vos interactions avec eux sur votre appareil. Cortana en apprend également à votre sujet en recueillant des données sur votre manière d'utiliser votre appareil et d'autres services Microsoft, comme votre musique, vos réglages d'alarme, si l'écran verrouillé est activé, ce que vous regardez et achetez, votre historique de navigation et de recherche Bing, et bien plus."

"Lorsque vous utilisez OneDrive, nous recueillons des données sur votre utilisation du service, ainsi que sur le contenu que vous stockez" (c'est ici très flou sur ce qu'il fait des "informations sur le contenu) ;

"Pour fournir une reconnaissance vocale personnalisée, nous enregistrons l'entrée de votre voix, ainsi que vos nom et surnom, les événements récents de votre calendrier et les noms des personnes avec qui vous avez rendez-vous, et des informations sur vos contacts, notamment leurs noms et surnoms" ;

"Microsoft n'utilise pas ce que vous dites dans les emails, les discussions, les appels vidéo ou la messagerie vocale, ni vos documents, photos ou autres fichiers personnels pour vous envoyer des annonces ciblées", mais il utilise tout de même "d'autres informations que nous recueillons à votre sujet au fil du temps en utilisant vos données démographiques, vos requêtes de recherche, vos centres d'intérêt et vos favoris, vos données d'utilisation, et vos données de localisation" ;

"Nous accéderons à, divulguerons et préserverons les données personnelles, notamment votre contenu (comme le contenu de vos emails, d'autres communications privées ou des fichiers de dossiers privés), lorsque nous pensons de bonne foi qu'il est nécessaire de le faire", notamment pour "répondre à des requêtes légales valides" ;

"Les données personnelles recueillies par Microsoft peuvent être stockées et traitées aux États-Unis ou dans tout autre pays dans lequel Microsoft, ses filiales ou prestataires de services sont implantés" ;

"Dans Outlook.com, lorsque votre dossier Éléments supprimés est vidé, ces éléments effacés restent dans notre système pendant 30 jours maximum avant suppression définitive" ;

[Pierre Louis Chevalier]

Je ne voie pas le rapport, ce texte fait référence à des options qui sont justement désormais désactivables, comme la pub par exemple ou d'autres données.
Le lien Twitter posté plus avant lui est plus intéressant par contre, de savoir dans les faits ce qu'il en est et ce qu'il en reste.

Dans les faits, si tu prends par exemple cette annonce : "Windows 10 Fall Creators Update va embarquer un système de sécurité basé sur des outils EMET Pour réduire les risques d'exploitation des failles" c'est évidemment basé sur de la remontée d'infos, donc après à toi d'avoir ta propre opinion :
- Parano : je suis personnellement espionné c'est un complot !
- Informatique : c'est de la remontée massive de données de télémétrie anonyme pour améliorer la sécurité globale, et donc le service rendu à tous les utilisateurs, bref de la collectivisation de ressources.

[dfiad77pro]

y'a pas longtemps je suis passé de Windows 10 mobile à Android, honnêtement Windows n'a pas de leçon à recevoir de ce coté... Android est super intrusif (j'ai personnalisé un peu pour limiter ça). Sinon je suis pas mécontent de ma migration, je n'ai pas eu le choix les Windows phones n'étant plus en vente a des prix corrects.

Je parle bien sur pas de tout les systemes basés sous linux une Debian est pas , comparable.

[Shepard]

Je ne voie pas le rapport, ce texte fait référence à des options qui sont justement désormais désactivables, comme la pub par exemple ou d'autres données.
Le lien Twitter posté plus avant lui est plus intéressant par contre, de savoir dans les faits ce qu'il en est et ce qu'il en reste.

Dans les faits, si tu prends par exemple cette annonce : "Windows 10 Fall Creators Update va embarquer un système de sécurité basé sur des outils EMET Pour réduire les risques d'exploitation des failles" c'est évidemment basé sur de la remontée d'infos, donc après à toi d'avoir ta propre opinion :
- Parano : je suis personnellement espionné c'est un complot !
- Informatique : c'est de la remontée massive de données de télémétrie anonyme pour améliorer la sécurité globale, et donc le service rendu à tous les utilisateurs, bref de la collectivisation de ressources.

Je ne comprends pas que tu ne comprennes pas ce qui nous gène ...

Non, nous ne sommes pas espionnés personnellement, mais si on va aux États-Unis, qu'est-ce qui empêche le gouvernement de dire à Microsoft "Sortez-moi tout ce que vous avez sur X", surtout si on vient de pays tels que le gouvernement en place considère comme "à risques" (tous les pays Européens par exemple, depuis récemment).

De même, maintenant que ces données sont collectées, qui nous dit que dans 2 ans nous n'aurons pas une loi hadokhi qui aura le droit de fouiller dans ces données à la recherche de sites désormais identifiés comme contrevenant à la loi ?

J'estime que c'est mon droit le plus strict de refuser que des données soient collectées sur moi par un organisme dans lequel je n'ai pas confiance. L'état, je lui fais confiance (pour lui on n'a pas le choix). Mais Microsoft ? Une entreprise ?

Alors oui, chez moi, je n'ai pas de machine sous Windows, mais il y a de fortes chances qu'au bureau, on ne me laisse pas le choix.

Par ailleurs le post de Darksyus01 fait vraiment peur Oo. Windows 10 est encore pire que ce que je croyais !

[Darksyus01]

Il reste ça : https://twitter.com/m8urnett/status/866353982217699328

[curt]

offrir aux utilisateurs encore plus de contrôle sur leur vie privée

Merci de m'offrir ce contrôle... Mais Microsoft ou qui que soit n'a pas à "m'offrir" ce qui m'appartient de droit !

[TallyHo]

De toute façon, si ce n'est pas MS / GG / FB / Etc..., c'en est un autre :

Snap Map : le « Mode Fantôme », ou l’hypocrisie de Snapchat

Snapchat a déployé Snap Map, une fonctionnalité permettant de localiser ses amis. Une démarche qui ne laisse rien présager de bon pour l’avenir.

http://www.01net.com/actualites/snap...t-1196989.html

D'ailleurs, si un rédacteur veut lire cet article pour inspirer une news éventuellement car la question soulevée par le journaliste est loin d'être bête à mon avis.

[LSMetag]

Je vais me faire l'avocat du diable, mais de ce que je lis, il ne semble rester que le "minimum" pour une appli critique d'envergure mondiale. Après désactivation officielle du reste.

Récupérer de temps en temps des données diagnostic anonymisées du système, à des fins d'amélioration ou de statistiques.
Laisser des moyens de réquisitions aux autorités.

Avec Google et mon smartphone Android, j'ai ressenti un mélange de peur et de colère quand j'ai regardé l'activité sur mon compte Google. Rien n'est officiellement activé, et pourtant on sait tout de moi, de mes déplacements, de mes habitudes, du temps que je passe à tel endroit, de ce que je recherche, de mes contacts,... Microsoft est un saint à côté !

Il n'empêche que même les résidus décrits dans les conditions d'utilisation sont contournables.

Sachant que j'utilise un compte local, pas Cortana, pas Outlook (Essential PIM Pro en PGP à la place), une boîte mail "exotique", pas le cryptage Windows (VeraCrypt à la place), pas OneDrive, pas Edge (WaterFox et Vivaldi en mode privé avec extensions), pas Office (WPS Office à la place), pas Skype (Telegram ou Pidgin PGP), que j'ai tout décoché, ainsi que des services, il ne doit me rester que la télémétrie basique, qui est désactivable dans le registre Windows.

C'est mon mode "Normal", peu contraignant. Je ne l'ai pas remis en place pour le moment, n'estimant n'avoir rien de spécial à cacher, mais je pourrais rajouter Peerblock avec des bonnes listes. Avec ça, je contrôle pratiquement tout, mais c'est contraignant.

[TallyHo]

n'estimant n'avoir rien de spécial à cacher

C'est justement ce qui est en partie dénoncer dans l'article que j'ai posté, l'inversion de la "présomption" et l'activation automatique des traçages. Ce n'est pas parce que tu n'as rien à cacher que ça doit justifier l'acceptation du traçage. Ca devrait être l'inverse : tout désactiver et on te demande l'autorisation (hors contrainte technique pour la bonne marche d'un service bien sur).