En France, Microsoft est dans le collimateur de la CNIL (Commission Nationale de l’Informatique et des Libertés). Elle accuse la société américaine de collecter et s’emparer de données personnelles des utilisateurs de Windows 10 et lui donne trois mois pour se mettre en conformité avec la loi. Passé ce délai le gendarme français des libertés numériques infligera à la firme de Redmond une amende qui pourrait dépasser les deux milliards de dollars. Selon un communiqué mis en ligne sur son site web, la CNIL a effectué des tests étendus sur les données récoltées par Microsoft via son nouveau système d’exploitation. La performance des tests parle d’elle-même. Les données collectées concernent la totalité des applications téléchargées et installées sur le terminal. « Microsoft corporation traite par exemple des données d’usage des applications Windows et de Windows Store, qui permettent notamment d’avoir connaissance de toutes les applications téléchargées et installées sur le système par un utilisateur, et du temps passé sur chacune d’elles. Ce faisant, elle se livre à une collecte excessive, ces données n’étant pas nécessaires au fonctionnement du service », indique la CNIL dans un communiqué.
« La société transfère les données personnelles de ses membres aux Etats-Unis sur la base du (mécanisme) Safe Harbor, ce qui n’est plus possible depuis la décision de la Cour de Justice de l’Union Européenne du 6 octobre 2015 », rappelle la Commission. Le gardien des identités numériques des Français reproche également à la firme de Redmond de pister ses clients sans autorisation et de déposer des cookies publicitaires sur tous les types de terminaux sans informer les usagers. La CNIL a exhorté Microsoft à renforcer la sécurité du code PIN. Pour la Commission, permettre aux utilisateurs de choisir un code PIN à quatre chiffres pour s’authentifier en ligne et accéder à leur compte Microsoft favorise les tentatives infructueuses d’authentification. Autre aspect menaçant la sécurité des données: le nombre de tentatives de saisie de ce code PIN n’est pas limité. Les réponses d’erreur retournées par le terminal permettent alors de faciliter l’identification du code PIN. Ainsi, la CNIL reproche à Microsoft un manquement dans sa stratégie de bâtir un business model sur la collecte des données personnelles. Pire, elle l’accuse carrément de vol de données et l’exhorte à être en premier lieu le gardien de l’identité numérique de ses clients.
