Décision du 27 juin 2017

Commission Nationale de l'Informatique et des Libertés
Décision n°du 27 juin 2017
Décision du 27 juin 2017 Clôture de la mise en demeure n°2016-058 à l'encontre de MICROSOFT CORPORATION
Etat: VIGUEUR

La Présidente

MONSIEUR LE PRESIDENT DIRECTEUR GENERAL

MICROSOFT CORPORATION

ONE MICROSOFT WAY

REDMOND, WASHINGTON 98052-6399

Par FEDEX

Références à rappeler dans toute correspondance :

CTX 2016-050

Paris, le

Monsieur le Président directeur général,

Je fais suite à la décision n° 2016-058 que j’ai prise le 30 juin 2016 mettant en demeure la société MICROSOFT CORPORATION, ainsi qu’aux échanges qui ont suivi.

Au regard des éléments de réponse apportés, je vous informe que j’ai décidé de procéder à la clôture de votre dossier ainsi que de la procédure de contrôle n° 2016-072C.

Je prends acte de ce que vous avez mis en œuvre un nombre important de mesures afin de vous mettre en conformité avec les injonctions de la mise en demeure. En particulier, s’agissant du manquement relatif à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données, vous indiquez notamment avoir réduit de moitié le volume de données collectées au niveau de base de la télémétrie, de sorte que ne soient traitées que les informations directement en lien avec l’état du système. Vous avez par ailleurs ajouté une modalité permettant aux utilisateurs de décider si leurs données de télémétrie seront ou non utilisées pour afficher de la publicité personnalisée.

Par ailleurs, s’agissant du manquement à l’obligation d’obtenir l’accord préalable des personnes concernées avant d’accéder à des informations sur leur équipement terminal de communications électroniques, je prends acte que la procédure d’installation de votre système d’exploitation a été modifiée et que, désormais, les utilisateurs sont obligés d’exprimer leurs choix de configuration afin de finaliser l’installation. Plus particulièrement, je relève qu’un écran d’installation impose aux utilisateurs de paramétrer l’identifiant publicitaire en le désactivant ou en laissant activé, puis de valider ce choix en cliquant sur le bouton accepter . J’attire toutefois votre attention sur le fait que l’activation de l’identifiant publicitaire ne dispense pas les développeurs d’application qui utiliseront cet identifiant de recueillir également l’accord des internautes.

S’agissant du manquement relatif à la sécurité des données, je prends acte de la mise en place d’une logique interdisant les combinaisons trop communes pour le choix du code PIN ainsi que d’une temporisation d’authentification au compte en cas de saisie incorrecte, le tout assurant une meilleure sécurité des données à caractère personnel.

A toutes fins utiles, j’appelle votre attention sur les derniers travaux de la Commission relative aux mots de passe qui l’ont conduit à adopter la recommandation n° 2017-012 du 19 janvier 2017, que vous trouverez ci-joint, qui propose aux professionnels des lignes directrices en la matière.

Je vous informe, par ailleurs, que s’il était constaté à l’occasion de vérifications ultérieures la persistance ou la réitération des manquements visés dans la mise en demeure, une procédure de sanction pourrait être engagée à l’encontre de votre organisme conformément aux articles 45 et suivants de la loi du 6 janvier 1978 modifiée. Dans cette hypothèse, je pourrais procéder à la désignation d’un rapporteur, qui vous serait notifiée, sans qu’une nouvelle mise en demeure ne vous soit adressée préalablement.

Le service des sanctions reste à votre disposition pour tout complément d’information (01-53-73-22-22).

Je vous prie d’agréer, Monsieur le Président directeur général, l’expression de mes salutations distinguées.

Isabelle FALQUE-PIERROTIN

Date de la publication sur legifrance: 29 juin 2017