Le 30 juin 2016, après avoir effectué des vérifications relatives aux traitements entrepris dans le cadre du système d’exploitation Windows 10, la Commission nationale de l’informatique et des libertés (CNIL) a mis Microsoft en demeure de se conformer à la réglementation française concernant la protection des données à caractère personnel (décision n°2016-058 du 30 juin 2016). Elle décide par ailleurs que cette décision devrait être rendue publique compte tenu de l’importance des infractions en cause.

En effet, pas moins de six infractions à la loi dite « informatique et libertés » ont été relevées par la CNIL :

• caractère excessif de la collecte des données : la CNIL a considéré que les informations collectées dans le cadre de l’installation du « niveau de base » du système d’exploitation sont excessives au regard de la finalité du traitement, à savoir le simple fonctionnement du service ;
• caractère insuffisant de l’information des personnes concernées : les titulaires de données ne recevaient aucune des informations obligatoires au moment de la collecte des données. Par ailleurs, les informations relatives aux transferts de données vers des pays tiers ne figuraient pas dans la politique de confidentialité de Microsoft ;
• non-respect de la réglementation relative à l’utilisation des cookies et technologies similaires : pendant son enquête, la CNIL a relevé que Microsoft déposait par défaut, sur les terminaux des utilisateurs, des cookies publicitaires, en dépit du fait qu’une telle installation requiert en principe le consentement exprès de la personne concernée. Par ailleurs, la CNIL impose que des mentions très spécifiques et exhaustives soient portées à l’attention du titulaire des données avant que les cookies ne soient installés, obligation là encore non respectée par Microsoft. Enfin, la CNIL estime que les utilisateurs de Windows 10 ne disposaient pas de moyens suffisants pour s’opposer aux cookies et technologies similaires ;
• manquement à l’obligation de sécurité : un code PIN composé de 4 chiffres permettant d’ouvrir une session sous Windows 10 est systématiquement utilisé par Microsoft pour identifier la personne concernée. La CNIL a considéré que ce processus d’authentification n’était pas suffisamment sécurisé et constituait un manquement à l’obligation de sécurité conformément à la loi « informatique et libertés »;
• absence d’autorisation de la CNIL : en vertu de la loi « informatique et libertés », un responsable de traitement ne peut mettre en place un traitement sans l’avoir au préalable déclaré voire, dans certains cas, sans avoir obtenu une autorisation de la CNIL. Or, Microsoft avait mis en place un traitement destiné à détecter les fraudes, susceptible d’exclure la personne concernée du bénéfice d’un droit ou d’un contrat. Il s’agit là d’un traitement sensible nécessitant une autorisation préalable, que n’avait pas obtenue – ni sollicitée – Microsoft ;
• persistance de transferts internationaux sur la base du Safe harbor : la CNIL a averti Microsoft que le Safe Harbor n’était désormais plus un fondement légal pour le transfert des données vers les Etats-Unis (sur ce sujet, voir : « La CJUE remet en cause les modalités de transfert des données vers les Etats-Unis – la fin du Safe Harbor », dans la Lettre Propriétés intellectuelles d’octobre 2015). L’entreprise ne disposait donc pas du cadre approprié pour stocker et traiter aux Etats-Unis des données collectées en France. Microsoft doit donc mettre en place une protection appropriée des données en provenance de France (ou de tout pays membre de l’Union européenne).

Microsoft avait trois mois – jusqu’au 30 septembre 2016 – pour mettre fin à ces infractions à la loi « informatique et libertés ».

Si la société ne s’est pas conformée, dans l’intervalle, à cette mise en demeure, elle s’expose à ce qu’une sanction soit prononcée à son égard : en plus de l’amende administrative qui peut être prononcée par la CNIL (jusqu’à 150 000 euros pour une première infraction), la décision rappelle à Microsoft que des amendes pénales peuvent aussi s’appliquer (jusqu’à 7 500 euros au titre des points 2 et 3, et jusqu’à 1 500 000 euros au titre des points 4 et 5). La nouvelle décision de la CNIL devrait intervenir dans les prochaines semaines.

Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.