Décision 2016-058 du 30 juin 2016

Commission Nationale de l'Informatique et des Libertés
Décision n°2016-058 du 30 juin 2016
Décision n° 2016-058 du 30 juin 2016 mettant en demeure la société MICROSOFT CORPORATION
Etat: VIGUEUR

La Présidente de la Commission nationale de l'informatique et des libertés,

Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu le code pénal ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 45 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la décision n° 2016-072C du 8 avril 2016 de la présidente de la Commission nationale de l'informatique et des libertés chargeant le secrétaire général de procéder ou de faire procéder à une mission de vérification portant sur tous traitements relatifs au système d'exploitation WINDOWS 10 ;

Vu les procès-verbaux de constatations en ligne n° 2016-072/1 du 11 avril 2016, n° 2016-072/2 du 12 avril 2016, n° 2016-072/3 du 13 avril 2016, n° 2016-072/4 du 14 avril 2016, n° 2016-072/5 du 6 juin 2016, n° 2016-072/6 du 22 juin 2016 et n° 2016-072/7 du 29 juin 2016, ainsi que les réponses apportées par MICROSOFT CORPORATION dans son courrier reçu le 30 mai 2016 ;

Vu les autres pièces du dossier et notamment la Déclaration de confidentialité de MICROSOFT dans sa version mise à jour en janvier 2016 ;

I- Constate les faits suivants

La société MICROSOFT CORPORATION (ci-après la société ), fondée en 1975, est une entreprise d'informatique et de micro-informatique multinationale dont le siège social est situé aux Etats-Unis (One Microsoft Way - Redmond, Washington 98052-6399). Elle emploie plus de 112.000 salariés.

Son activité principale réside dans le développement et la commercialisation de systèmes d'exploitation et de logiciels. Dans ce cadre, elle a mis sur le marché, le 29 juillet 2015, un nouveau système d'exploitation dénommé WINDOWS 10 .

La société dispose de nombreuses filiales dans le monde dont la société MICROSOFT France, société par actions simplifiées, située 37-45 Quai du Président Roosevelt à Issy les Moulineaux (92130).

En application de la décision n° 2016-072C du 8 avril 2016 de la Présidente de la Commission nationale de l'informatique et des libertés (ci-après CNIL ou la Commission ), des missions de constatations en ligne ont été réalisées les 11, 12, 13 et 14 avril 2016 ainsi que les 6, 22 et 29 juin 2016 afin de vérifier la conformité à la loi du 6 janvier 1978 modifiée (ci-après Loi Informatique et Libertés ) de tous traitements relatifs au système d'exploitation WINDOWS 10.

Lors des missions de constatations en ligne, la délégation a procédé à l'installation du système d'exploitation Windows 10 en version Home 1511 et Pro 1511.

La délégation a constaté que le processus d'installation suit plusieurs étapes :
- Il est, tout d'abord, demandé à l'utilisateur de valider les termes du contrat de licence ;
- L'utilisateur choisit ensuite de procéder à une mise à niveau de son système d'exploitation, ce qui permet de conserver les fichiers, paramètres et applications de l'ancien système, ou d'effectuer une simple installation ;
- Il peut procéder à l'installation du système soit en choisissant une configuration rapide, soit en cliquant sur les paramètres de personnalisation ;
- Il lui est ensuite proposé de s'authentifier ou de créer un compte Microsoft. C'est une simple faculté offerte à l'utilisateur qui peut décider d'ignorer cette étape ;
- S'il choisit la création de compte, il lui est alors proposé de configurer un code confidentiel ou code PIN ;
- Enfin, si aucun compte Microsoft n'a été créé, l'utilisateur doit créer un compte Windows c'est-à-dire un compte de session sur la machine.

La délégation a constaté que, lors de l'installation du système d'exploitation Windows 10, l'identifiant publicitaire est activé par défaut. Elle a également constaté que les paramètres définis lors de l'installation s'appliquent ensuite à tout nouveau compte utilisateur créé sur la machine.

La délégation a également constaté que le formulaire de création d'un compte Microsoft, qui nécessite la saisie des nom, prénom et adresse électronique de l'utilisateur, ne comporte aucune information quant au traitement de données mis en œuvre.

La délégation a, par ailleurs, été informée que la société collecte des données de diagnostic et d'utilisation qui peuvent être paramétrées selon trois niveaux. Le niveau de base , correspondant au niveau qui transmet le moins d'informations à la société, collecte notamment les données d'usages des applications ainsi que le numéro d'identifiant de la machine. La délégation a été informée que les versions Windows 10 Entreprise, Windows 10 Éducation, Windows 10 Mobile Entreprise, Windows 10 IoT Standard et Windows Server 2016 Technical Preview disposent d'un quatrième niveau de données de télémétrie dénommé Sécurité pour lequel les informations collectées sont plus restreintes.

En outre, la délégation a constaté que 13 cookies ont été déposés sur son terminal lorsqu'elle a cliqué sur le lien permettant d'accéder à la Déclaration de confidentialité de Microsoft accessible via l'adresse URL https://privacy.microsoft.com/fr-fr/privacystatement .

La délégation a, par ailleurs, été informée que la société met en œuvre un traitement de lutte contre la fraude.

La délégation a également constaté que la création d'un code confidentiel (ou code PIN) par un utilisateur entraîne l'association de ses comptes Microsoft et Windows. Il est ainsi, dès l'ouverture de sa session, automatiquement authentifié sur tous les services Microsoft en ligne et reste authentifié même en cas de déconnexion et de fermeture de son navigateur. Il a, par ailleurs, été constaté que ce code peut être composé uniquement de quatre chiffres et que la saisie de 20 tentatives erronées n'entraîne aucune suspension de l'authentification dans la durée.
Enfin, la délégation a été informée que la société transfère des données à caractère personnel des utilisateurs vers les Etats-Unis sur la base du Safe harbor.

Par courrier reçu le 30 mai 2016, la société MICROSOFT CORPORATION a répondu aux demandes d'informations complémentaires effectuées par la Commission le 21 avril 2016 à l'issue des quatre premières missions de vérification et a notamment précisé la finalité de l'identifiant publicitaire.


II- Sur les manquements constatés au regard des dispositions de la loi du 6 janvier 1978 modifiée

Un manquement à l'obligation de veiller à l'adéquation, à la pertinence et au caractère non excessif des données

La délégation a été informée que la société collecte des données de télémétrie. A cet égard, la société indique, dans sa Déclaration de confidentialité, que lorsque vous utilisez Windows, nous collectons des données de diagnostic et d'utilisation qui nous aident à identifier et à résoudre les problèmes, à améliorer nos produits et services et à vous offrir des expériences personnalisées .

Elle précise, par ailleurs, qu'il existe trois niveaux de données de diagnostic et d'utilisation : complet , amélioré et de base , le premier niveau correspondant à celui transmettant le plus grande nombre d'informations à la société. Les utilisateurs ne peuvent pas désactiver la télémétrie mais peuvent choisir de configurer leur(s) appareil(s) sur le niveau de base pour lequel les données sont présentées comme des données essentielles au fonctionnement du service .

La Déclaration de confidentialité dresse la liste des données comprises dans le niveau de base :
• Les données de configuration, notamment le fabricant de votre appareil, le modèle, le nombre de processeurs, la taille et la résolution de l'écran, la date, les paramètres de région et de langue et d'autres données sur les capacités de l'appareil.
• Le logiciel (notamment les drivers et micrologiciels fournis par les fabricants de l'appareil) installé sur l'appareil.
• Les données de performances et de fiabilité, comme la rapidité de réponse des programmes à une entrée, le nombre de problèmes que vous rencontrez avec une application ou un appareil ou la vitesse à laquelle des informations sont envoyées ou reçues par la connexion réseau.
• Les données du réseau et de la connexion, comme l'adresse IP de l'appareil, le nombre de connexions réseau utilisées et les données sur les réseaux auxquels vous vous connectez, comme les réseaux mobiles, Bluetooth, les identifiants (BSSID et SSID), les critères de connexion et la vitesse des réseaux Wi-Fi auxquels vous êtes connecté.
• Autres dispositifs matériels connectés à l'appareil .

Or, il apparaît que plusieurs de ces données ne sont pas directement nécessaires au fonctionnement du système d'exploitation.

En effet, la délégation a été informée que les versions Windows 10 Entreprise, Windows 10 Éducation, Windows 10 Mobile Entreprise, Windows 10 IoT Standard et Windows Server 2016 Technical Preview disposent d'un quatrième niveau de données de télémétrie dénommé Sécurité pour lequel les informations collectées sont plus restreintes. En effet, le document intitulé Configurer la télémétrie Windows dans votre organisation , dans sa version mise à jour le 1er juin 2016, indique que ce dernier niveau rassemble uniquement les données de télémétrie qui sont nécessaires pour maintenir la sécurité des appareils Windows, de Windows Server et des invités avec les dernières mises à jour de sécurité . Il s'agit ainsi des paramètres du composant Expériences des utilisateurs connectés et de télémétrie comprenant les informations du système d'exploitation, l'ID d'appareil et la classe d'appareil ainsi que l'outil de suppression de logiciels malveillants (MSRT) et Windows Defender, ces deux derniers pouvant être désactivés.

L'existence de ce quatrième niveau, accessible sous certaines versions uniquement, permet de confirmer que la majorité des données comprises dans le niveau de base n'est pas essentielle au fonctionnement du service.

La collecte de ces dernières est donc excessive au regard de cette finalité.

Ces faits constituent un manquement à l'article 6-3° de la loi du 6 janvier 1978 modifiée, qui dispose que les données collectées doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs .


Un manquement à l'obligation d'informer les personnes

En premier lieu, la délégation a constaté que le formulaire de création d'un compte Microsoft, qui impose la saisie des nom, prénom et adresse électronique de l'utilisateur, ne contient aucune mention d'information relative au traitement de données à caractère personnel mis en œuvre. Il est en effet uniquement précisé : Windows, Office, Outlook.com, OneDrive, Skype, Xbox. Tous ces outils sont encore plus efficaces et personnalisables lorsque vous vous connectez avec votre compte Microsoft. En savoir plus .

En second lieu, la délégation a constaté que la Déclaration de confidentialité de la société prévoit que les données recueillies par Microsoft peuvent être stockées et traitées dans votre région, aux Etats-Unis ou dans tout autre pays dans lequel Microsoft, ses filiales ou prestataires de services sont implantés .

Or, la délégation a constaté que les internautes ne sont informés ni de la nature des données transférées, ni de la finalité du transfert.

Ces faits constituent un manquement à l'article 32-I de la loi n° 78-17 du 6 janvier 1978 modifiée qui dispose que :

I. La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable du traitement ou son représentant :
1° De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
2° De la finalité poursuivie par le traitement auquel les données sont destinées ;
3° Du caractère obligatoire ou facultatif des réponses ;
4° Des conséquences éventuelles, à son égard, d'un défaut de réponse ;
5° Des destinataires ou catégories de destinataires des données ;
6° Des droits qu'elle tient des dispositions de la section 2 du présent chapitre ;
7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne.
Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°.

L'article 91 du décret du 20 octobre 2005 modifié pris en application de la loi du 6 janvier 1978 modifiée précise quant à lui que : Les informations figurant au 7° du I de l'article 32 de la loi du 6 janvier 1978 susvisée que le responsable du traitement communique, dans les conditions prévues à l'article 90, à la personne auprès de laquelle des données à caractère personnel sont recueillies, sont les suivantes :
1° Le ou les pays d'établissement du destinataire des données dans les cas où ce ou ces pays sont déterminés lors de la collecte des données ;
2° La nature des données transférées ;
3° La finalité du transfert envisagé ;
4° La ou les catégories de destinataires des données ;
5° Le niveau de protection offert par le ou les pays tiers :
a) Si le ou les pays tiers figurent dans la liste prévue à l'article 108, il est fait mention de la décision de la Commission européenne autorisant ce transfert ;
b) Si le ou les pays tiers ne satisfont pas aux conditions prévues à l'article 68 de la même loi, il est fait mention de l'exception prévue à l'article 69 de cette loi qui permet ce transfert ou de la décision de la Commission nationale de l'informatique et des libertés autorisant ce transfert .

Il est rappelé qu'en application des articles 131-41 et R. 625-10 du code pénal combinés, le fait pour la personne morale responsable d'un traitement de ne pas informer, dans les conditions prévues à l'article 32 de la loi du 6 janvier 1978 modifiée, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est puni d'une peine d'amende pouvant atteindre 7.500 €.


Un manquement aux dispositions de l'article 32-II de la loi du 6 janvier 1978 modifiée

L'article 32-II de la loi du 6 janvier 1978 modifiée dispose que Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :
- de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
- des moyens dont il dispose pour s'y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur :
- soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
- soit est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur .

Afin de proposer aux professionnels du secteur des lignes directrices en la matière, la CNIL a adopté la délibération n° 2013-378 du 5 décembre 2013 portant adoption d'une recommandation relative aux Cookies et aux autres traceurs. Cette recommandation, qui n'a pas de valeur impérative, vise à interpréter les dispositions législatives précitées et à éclairer les acteurs sur la mise en place de mesures concrètes permettant de garantir le respect de ces dispositions, afin, soit qu'ils mettent en œuvre ces mesures, soit qu'ils mettent en œuvre des mesures d'effet équivalent.

Ce texte concerne, aux termes de l'article 1er, toutes les formes d'accès et d'inscriptions visées par l'article 32 II et, notamment, l'identifiant généré par un logiciel ou un système d'exploitation .

La recommandation rappelle que la validité du consentement est liée à la qualité de l'information reçue qui doit être visible, mise en évidence et complète .

En outre, la recommandation indique que le consentement doit se manifester par le biais d'une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l'exercer . Elle considère à ce titre que l'acceptation de conditions générales d'utilisation ne peut être une modalité valable de recueil de consentement .

Un manquement à l'obligation d'obtenir l'accord préalable des personnes concernées avant d'accéder à des informations sur leur équipement terminal de communications électroniques

En l'espèce, la délégation a été informée, à travers la Déclaration de confidentialité de MICROSOFT CORPORATION, que la société génère un identifiant de publicité unique pour chaque utilisateur d'un appareil qui peut être utilisé par des développeurs d'applications et les réseaux publicitaires pour proposer des publicités plus pertinentes et notamment par les applications Microsoft .

En outre, dans son courrier reçu le 30 mai 2016, la société précise que toute application fonctionnant sur Windows 10 peut accéder à l'identifiant publicitaire si l'utilisateur choisit d'activer ce paramètre. L'identifiant publicitaire permet à une application d'accéder à un identifiant unique que le développeur d'applications peut utiliser avec des données que l'application reçoit directement de l'utilisateur (...). L'identifiant publicitaire joue un rôle équivalent au cookie pour l'environnement des applications .

Or, la délégation a constaté que, lors de l'installation de Windows 10, les utilisateurs ont la possibilité soit d'utiliser une configuration rapide, soit de gérer les paramètres de personnalisation du système d'exploitation.

Dans la première hypothèse, il est simplement précisé aux utilisateurs qu'ils peuvent sélectionner la configuration rapide pour personnaliser la saisie vocale, la frappe au clavier (...) et personnaliser [leurs] expériences à l'aide de [leur] identifiant de publicité .

Dans la deuxième hypothèse, si les utilisateurs choisissent de personnaliser les paramètres, une fenêtre est affichée sur laquelle il est uniquement indiqué laisser les applications utiliser votre identifiant de publicité pour l'exploitation des applications avec en dessous un bouton paramétré sur activé .

Ainsi, alors que la société précise dans son courrier reçu le 30 mai 2016, que l'identifiant publicitaire est expressément activé par l'utilisateur , la délégation a constaté, lors de l'installation initiale du système d'exploitation, que l'identifiant est activé par défaut quelle que soit l'option de configuration choisie.

Par conséquent, la société ne recueille pas valablement le consentement des utilisateurs.

Au surplus, la délégation a également constaté que lorsqu'un nouvel utilisateur crée un compte Windows sur la même machine, les paramétrages du premier utilisateur tels que définis à l'installation lui sont appliqués et donc potentiellement l'activation de l'identifiant publicitaire.

En outre, quelle que soit l'option choisie pour installer le système d'exploitation et quel que soit l'utilisateur concerné, l'information dispensée n'est pas satisfaisante. En effet, cette dernière ne précise pas :
- la ou les finalité(s) de l'identifiant ;
- le fait que l'utilisateur doit manifester son consentement à l'activation de cet identifiant ;
- la possibilité qu'il a de s'opposer à l'identifiant publicitaire, même après une activation, en le désactivant depuis les paramètres de confidentialité.

Par ailleurs, l'information dispensée à travers le lien en savoir plus affiché lors du premier écran d'installation, qui détaille parmi d'autres informations les finalités de l'identifiant publicitaire, ne peut être considérée comme visible et claire pour l'utilisateur.

Au regard de ce qui précède, il apparaît que la société n'a pas correctement informé les personnes concernées et n'a pas recueilli valablement leur consentement.

Un manquement à l'obligation d'informer les personnes concernées et de mettre en œuvre un mécanisme valable d'opposition

La recommandation précitée précise que les cookies nécessitant une information et un consentement préalables de l'internaute sont notamment les cookies liés aux opérations relatives à la publicité ciblée, certains cookies de mesure d'audience et les cookies traceurs de réseaux sociaux générés par les boutons de partage de réseaux sociaux .

La Commission recommande par ailleurs que le consentement soit recueilli en deux étapes :
- première étape : l'internaute qui se rend sur le site d'un éditeur (page d'accueil ou page secondaire du site) doit être informé, par l'apparition d'un bandeau : des finalités précises des Cookies utilisés ; de la possibilité de s'opposer à ces Cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ; du fait que la poursuite de sa navigation vaut accord au dépôt de Cookies sur son terminal ;
- seconde étape : les personnes doivent être informées de manière simple et intelligible des solutions mises à leur disposition pour accepter ou refuser tout ou partie des Cookies nécessitant un recueil du consentement : pour l'ensemble des technologies visées par l'article 32-II précité ; par catégories de finalités : notamment la publicité, les boutons des réseaux sociaux et la mesure d'audience .

En outre, la recommandation indique que le consentement doit se manifester par le biais d'une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l'exercer et qu'il ne peut être valable que si la personne concernée est en mesure d'exercer valablement son choix et n'est pas exposée à des conséquences négatives importantes si elle refuse de donner son consentement .

En l'espèce, la délégation a constaté que 13 cookies ont été déposés sur son équipement terminal lorsqu'elle a cliqué, depuis les paramètres de confidentialité du compte utilisateur, sur le lien Déclaration de confidentialité qui mène à l'adresse URL https://privacy.microsoft.com/fr-fr/privacystatement . Il a notamment été constaté le dépôt des cookies ANON et MUID dont la finalité publicitaire est expliquée dans la Déclaration de confidentialité de la société.

En effet, la section intitulée Cookies & technologies similaires de cette déclaration précise que les sites web de la société peuvent placer :
- le cookie MUID qui permet d'identifier de façon unique les navigateurs web visitant les sites Microsoft. Il est utilisé pour la publicité, les analyses du site et à d'autres fins opérationnelles ;
- le cookie ANON qui contient l'ANID, identifiant unique dérivé de votre compte Microsoft, qui est utilisé à des fins publicitaires, opérationnelles et de personnalisation. Il est également utilisé pour préserver votre choix de refuser les annonces publicitaires de Microsoft axées sur vos centres d'intérêt, si vous avez choisi d'associer ce refus à votre Compte Microsoft .

La délégation a également constaté que les personnes concernées n'ont pas été préalablement informées des finalités de ces cookies et des moyens dont elles disposent pour s'y opposer.

Enfin, la délégation a constaté que la Déclaration de confidentialité indique que La plupart des navigateurs acceptent automatiquement les cookies, mais fournissent des contrôles pour vous permettre de les bloquer ou de les supprimer. Par exemple, dans Microsoft Edge, vous pouvez bloquer ou supprimer les cookies en cliquant sur Paramètres > Confidentialité > Cookies. Les instructions relatives au blocage ou à la suppression des cookies dans d'autres navigateurs sont disponibles dans les documents de confidentialité et d'aide correspondants .

Or, le paramétrage du navigateur ne peut être considéré comme un mécanisme valable d'opposition au dépôt des cookies que dans deux cas :
- le site ne dépose pas de cookies techniques essentiels à son fonctionnement : dans ce cas, la personne concernée peut paramétrer son navigateur de manière à bloquer le dépôt de tous les cookies, qu'ils proviennent du domaine du site (cookies first party ) ou du domaine d'un tiers (cookies third party ), dont ceux nécessitant son consentement, et ce sans l'exposer à des conséquences négatives importantes ;
- le site ne dépose pas de cookies first party nécessitant le recueil du consentement de la personne concernée : dans ce cas, cette dernière peut paramétrer son navigateur de manière à bloquer le dépôt de cookies third party sans empêcher le site de fonctionner ni risquer que des cookies first party soumis au consentement ne soient déposés.

En l'espèce, la société dépose des cookies techniques essentiels à son fonctionnement et des cookies first party publicitaires. En effet, la Déclaration de confidentialité précise que les sites web de la société déposent des cookies d'authentification qui aident à authentifier les utilisateurs lorsqu'ils se connectent à leur compte Microsoft

Elle indique par ailleurs que si les utilisateurs choisissent de bloquer les cookies, ils risquent de ne pas pouvoir se connecter ou utiliser les fonctionnalités. En outre, les préférences qui dépendent des cookies pourraient être perdues. Il s'agit donc de cookies techniques essentiels au fonctionnement du site.

Par ailleurs, comme cela a été précisé, la société dépose également les cookies first party publicitaires ANON et MUID.

Par conséquent, le paramétrage du navigateur ne peut, en l'espèce, être considéré comme un mécanisme valable d'opposition au dépôt de cookies.

Au regard de ce qui précède, il apparaît que la société MICROSOFT CORPORATION n'a pas informé de manière satisfaisante les personnes concernées et n'a pas mis en œuvre de mécanisme valable d'opposition.

L'ensemble de ces faits constituent un manquement au II de l'article 32 précité de la loi du 6 janvier 1978 modifiée, qui soumet à information et accord préalables de la personne concernée l'inscription d'informations sur son équipement terminal de communications électroniques et l'accès à celles-ci.

En outre, il est rappelé qu'en application des articles 131-41 et R. 625-10 du code pénal combinés, le fait pour la personne morale responsable d'un traitement de ne pas informer les personnes concernées et obtenir leur accord avant d'accéder à ou d'inscrire des informations dans leur équipement terminal de communications électroniques est puni d'une peine d'amende pouvant atteindre 7.500 €.

Un manquement à l'obligation d'assurer la sécurité des données

La délégation a constaté qu'il est proposé aux utilisateurs de Windows 10 de créer un code PIN lié à leur machine et présenté lors de l'installation comme plus sécurisé qu'un long mot de passe .

La délégation a constaté que ce code PIN peut être constitué de 4 chiffres identiques tels que 0000 . Elle a par ailleurs constaté qu'après vingt tentatives infructueuses de connexion, l'authentification n'est pas suspendue dans la durée. Seule la saisie d'une phrase de vérification toutes les quatre tentatives et le redémarrage de la machine toutes les cinq tentatives sont imposés.

Ce mot de passe de faible robustesse non doublé d'un mécanisme permettant de limiter le nombre de tentatives infructueuses d'authentification ne permet pas d'assurer la sécurité et la confidentialité des données accessibles par ce code depuis l'ordinateur de l'utilisateur.

Or, la délégation a constaté que la saisie de ce code PIN à l'ouverture de la session entraîne une authentification automatique de l'utilisateur à tous les services en ligne de Microsoft, et notamment à sa boîte de messagerie ainsi qu'à son compte Microsoft qui recense les achats effectués sur le store ainsi que les moyens de paiement et appareils utilisés.

De surcroît, il a été constaté que cette authentification reste active même dans l'hypothèse où l'utilisateur se déconnecte du service en ligne utilisé et ferme son navigateur Edge. La réouverture de ce dernier entraîne, en effet, une nouvelle authentification de l'utilisateur sur tous les services en ligne.

Ces faits constituent un manquement à l'article 34 de la loi n° 78-17 du 6 janvier 1978 modifiée disposant que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès .

Il est en outre rappelé qu'en application des articles 226-17 et 226-24 du code pénal combinés, le fait pour une personne morale de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est notamment puni d'une peine d'amende pouvant atteindre 1.500.000 €.

Un manquement à l'obligation d'accomplir les formalités préalables à la mise en œuvre des traitements de lutte contre la fraude et d'exclusion

La délégation a été informée de la mise en place d'un traitement de lutte contre la fraude par la société. En effet, la Déclaration de confidentialité de Microsoft prévoit que Nous utilisons les données pour assurer la sécurité de nos services et de nos clients, détecter et empêcher les fraudes, confirmer la validité des licences des logiciels, résoudre les litiges et mettre en application nos accords. Nos fonctionnalités et services de sécurité peuvent empêcher le fonctionnement de logiciels malveillants et informer les utilisateurs de la détection d'un logiciel malveillant sur leur appareil. Nos communications et nos services de synchronisation des fichiers parcourent systématiquement le contenu de manière automatisée pour identifier les risques de spam, virus, actions abusives, ou les URL qui ont été signalées comme frauduleuses, l'hameçonnage ou les liens malveillants. Nous sommes susceptibles de bloquer une communication ou de supprimer un contenu s'ils enfreignent nos conditions générales .

En outre, dans sa réponse reçue le 30 mai 2016, la société précise qu'elle se réserve le droit d'interdire à des utilisateurs qui se livrent à des actes de fraude d'utiliser [ses] services même si aucun des traitements visés (...) n'a conduit à l'exclusion d'un utilisateur ou à une interdiction d'utiliser Windows 10 en France .

Or, la délégation a constaté que la société n'a effectué aucune demande d'autorisation pour encadrer la mise en œuvre de ces traitements.

Ces faits constituent un manquement aux dispositions du 4° du I de l'article 25 de la loi du 6 janvier 1978 modifiée qui dispose que, sont mis en œuvre après autorisation de la CNIL, Les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat en l'absence de toute disposition législative ou réglementaire .

Il est rappelé qu'en application des articles 226-16 alinéa 1er et 226-24 du code pénal combinés, le fait pour une personne morale, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni d'une peine d'amende pouvant atteindre 1.500.000 €.

Un manquement relatif à l'obligation de disposer d'une base légale pour transférer des données à caractère personnel hors de l'Union Européenne

La Déclaration de confidentialité de la société prévoit que les données recueillies par Microsoft peuvent être stockées et traitées (...) aux Etats-Unis . A cet égard, il est ensuite précisé que Microsoft se conforme également aux principes du Safe Harbor (sphère de sécurité ) régissant les interactions entre les Etats-Unis et l'Union européenne .

Or, dans sa décision du 6 octobre 2015, la Cour de Justice de l'Union Européenne a invalidé la décision de la Commission européenne n° 2000-520 du 26 juillet 2000 relative à la pertinence de la protection assurée par les principes de la sphère de sécurité (Safe harbor) publiés par le ministère du commerce des Etats-Unis, qui permettait d'encadrer les transferts de données à caractère personnel de l'Union européenne vers les Etats-Unis.

Dans la mesure où cette décision a été invalidée, il n'est désormais plus possible pour la société de procéder à un transfert de données à caractère personnel vers les Etats-Unis sur la base du Safe Harbor.
Ces faits constituent un manquement à l'article 68 de la loi n° 78-17 du 6 janvier 1978 modifiée disposant que Le responsable d'un traitement ne peut transférer des données à caractère personnel vers un État n'appartenant pas à la Communauté européenne que si cet État assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet .

En conséquence, la société MICROSOFT CORPORATION, sise One Microsoft Way - Redmond, Washington 98052-6399 (Etats-Unis), est mise en demeure, sous un délai de trois (3) mois à compter de la notification de la présente décision et sous réserve des mesures qu'elle aurait déjà pu adopter, de :
- ne pas traiter de données non pertinentes, excessives ou inadéquates au regard des finalités poursuivies, en particulier en permettant à chaque utilisateur de Windows 10, quelle que soit la version utilisée, de paramétrer les données de télémétrie sur le niveau Sécurité ;
- procéder à l'information des inscrits, conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée :

• quant aux traitements de données à caractère personnel mis en place, et ce directement sur le formulaire de création d'un compte Microsoft ;

• quant à la nature des données transférées hors de l'Union européenne, à la finalité du transfert, aux destinataires des données et au niveau de protection offert par les pays destinataires ;
- informer et obtenir l'accord préalable des internautes à l'inscription d'informations sur leur équipement terminal et à l'accès à celles-ci. A cet égard, il appartient à la société :

• s'agissant de l'identifiant publicitaire, de recueillir le consentement des utilisateurs qui doit se manifester par le biais d'une action positive et d'indiquer aux utilisateurs, au préalable et de manière visible, claire et complète, la finalité de cet identifiant publicitaire et la faculté qu'ils ont de le désactiver à tout moment ;

• S'agissant des cookies :
- d'informer les personnes concernées, au préalable et de manière claire et complète, sur les finalités exhaustives de tous les cookies déposés via ses sites web et soumis au consentement ;
- de mettre à la disposition de ces dernières des solutions adéquates leur permettant d'accepter ou de refuser le dépôt des cookies ;
- procéder à l'accomplissement des formalités préalables applicables aux traitements mis en œuvre, en particulier procéder à une demande d'autorisation pour les traitements de données ayant pour finalité de lutter contre la fraude et susceptibles d'exclure des personnes ;
- prendre toutes mesures nécessaires pour garantir la sécurité des données à caractère personnel des utilisateurs :

• par exemple, en mettant en place une temporisation d'authentification au compte Microsoft de l'utilisateur après plusieurs échecs de saisie du code PIN dont la durée augmente exponentiellement dans le temps (cette durée doit permettre au maximum 25 tentatives toutes les 24 heures) ; à défaut, en découplant l'authentification aux services en ligne de l'authentification locale après un nombre défini d'échecs d'authentification ;

• en cessant de présenter le code PIN comme un mécanisme plus sécurisé qu'un long mot de passe ;
- ne pas procéder à des transferts de données à caractère personnel vers les Etats-Unis sur la base du Safe Harbor ;
- justifier auprès de la CNIL que l'ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.

À l'issue de ce délai, si la société MICROSOFT CORPORATION s'est conformée à la présente mise en demeure, il sera considéré que la procédure est close et un courrier lui sera adressé en ce sens.

À l'inverse, si la société MICROSOFT CORPORATION ne s'est conformée à la présente mise en demeure, un rapporteur sera désigné qui pourra demander à la formation restreinte de la Commission de prononcer l'une des sanctions prévues par l'article 45 de la loi du 6 janvier 1978 modifiée.

La Présidente

Isabelle FALQUE-PIERROTIN




Nature de la délibération: AVERTISSEMENT
Date de la publication sur legifrance: 30 décembre 2016