Le siège de Microsoft France à Issy-les-Moulineaux, près de Paris. | Serge Attal/Only France

La Commission nationale informatique et libertés (CNIL) a annoncé jeudi 29 juin qu’elle mettait un terme à la procédure qu’elle avait lancée contre Microsoft, constatant que le grand groupe spécialiste des logiciels avait procédé aux modifications qui lui étaient demandées dans le fonctionnement de Windows 10 ; la dernière version du système d’exploitation le plus utilisé dans le monde.

Il y a un an, la CNIL avait mis en demeure publiquement l’entreprise américaine de modifier plusieurs éléments de son logiciel, pour corriger une longue liste de manquements à la loi informatique et libertés. La CNIL, comme de nombreux observateurs, reprochait principalement à Microsoft de collecter une très grande quantité de données sur le comportement de ses utilisateurs, sans les informer suffisamment de la nature et de l’utilisation des données.

En janvier, Microsoft avait annoncé avoir procédé à plusieurs modifications, en réduisant notamment le volume d’informations collectées, et en modifiant son système de paramètres de vie privée. Des avancées jugées à l’époque insuffisantes par la CNIL et ses homologues européennes, qui avaient écrit en février à la direction de Microsoft pour lui demander d’expliquer « clairement quel type de données personnelles sont analysées pour quel objectif. Sans cette information, le consentement n’est pas éclairé et, par conséquent, n’est pas valide ». En droit européen, le « consentement éclairé » des utilisateurs d’un service est requis pour pouvoir collecter des données à caractère personnel ; l’utilisateur doit avoir à sa disposition une information complète et claire sur ce qu’il advient de ses données pour que son acceptation des conditions d’utilisation soit valide.

La CNIL a finalement décerné un satisfecit à Microsoft, estimant que l’entreprise avait « pris des mesures afin de se mettre en conformité avec les injonctions de la mise en demeure », écrit-elle dans un communiqué. « La société a réduit de près de la moitié le volume des données collectées dans le cadre du niveau de “base” de son service de télémétrie qui permet d’identifier des problèmes de fonctionnement du système et de les résoudre. Elle a limité cette collecte aux données strictement nécessaires pour maintenir le système et les applications en bon état de fonctionnement et assurer leur sécurité ».

La CNIL constate également que l’information des utilisateurs sur le suivi publicitaire a été largement clarifiée, et que Microsoft s’est mis en conformité avec la loi française sur plusieurs points plus techniques, notamment en améliorant le système de choix de code PIN de déverrouillage, insuffisamment sécurisé dans sa première version.