Windows 10, le nouveau système d’exploitation de Microsoft, est disponible depuis mercredi dernier. S’il semble, après plusieurs jours d’utilisation, convaincre les utilisateurs, la question de la protection des données personnelles continue de faire débat. Au cœur des critiques, le nouveau texte encadrant la collecte et l’utilisation des données personnelles des utilisateurs par Microsoft, qui vient d’entrer en vigueur.
« Ce qui mériterait un article, ce sont les options de confidentialité désastreuses imposées par Windows 10 » s’inquiète ainsi un lecteur en commentaire de notre test. En juin, lorsque ces nouvelles dispositions avaient été rendues publiques, l’ONG de défense des libertés numériques EDRi relevait que « Microsoft s’arroge largement le droit de collecter tout ce que vous faites, dites ou écrivez avec et sur vos appareils afin de vendre davantage de publicité ciblée ou de revendre ces données à des tiers ».
Une vaste collecte de données
Par le biais de ce nouveau document, plutôt clair mais extrêmement long, Microsoft se donne en effet le droit de collecter de nombreuses données personnelles. Parmi ces dernières figurent notamment les intérêts des utilisateurs (« comme les équipes que vous suivez dans une application sportive ou les actions que vous suivez dans une application financière »), qui peuvent être collectés de manière indirecte, « déduits des autres données que [Microsoft collecte] ».
Les « données d’usage » sont aussi amassées par Microsoft, comme par exemple les recherches faites dans les moteurs de recherche ou les sites visités. Les contacts de l’utilisateur sont également moissonnés si ce dernier utilise un service de Microsoft pour gérer son carnet d’adresses, ainsi que les données de localisation (plus ou moins précises selon la technique utilisée) et, « lorsque c’est nécessaire pour offrir [à l’utilisateur] l’accès à un service », des données très personnelles comme le contenu des e-mails.
Une fois collectées, ces données servent notamment à la « fourniture des services de Microsoft » : pour l’amélioration de ses services, ou pour la « sécurité » (les documents stockés dans le nuage par Microsoft sont « scannés » pour détecter les virus ou les contrefaçons).
De la publicité ciblée
Mais les données peuvent aussi servir pour cibler des publicités. L’entreprise a notamment mis en place un identifiant unique à chaque utilisateur, commun à tous les services qu’elle propose, pour centraliser les données qu’elle récupère. C’est justement à ce sujet que Microsoft avait attaqué son concurrent, Google, en mettant en ligne en 2014 le site Scroogled.com. Microsoft y dénonçait violemment le fait que Google utilise les données personnelles des utilisateurs de son service de courriel, Gmail, pour leur soumettre des publicités ciblées.
Même si Microsoft dit s’interdire d’utiliser le contenu des courriels pour afficher des publicités ciblées – contrairement à ce que fait Gmail – la nouvelle politique en matière de données rend cette posture offensive plus difficile à tenir. En janvier, Scroogled.com avait d’ailleurs cédé la place à Whymicrosoft.com, un site au ton beaucoup plus policé, destiné à comparer les solutions de Microsoft pour les entreprises à celles offertes par ses concurrents.
Examen de la CNIL
La nouvelle politique de Microsoft en matière de données personnelles a fait des remous jusque sur la scène politique française puisque Marine Le Pen a adressé une lettre ouverte à la Commission nationale informatique et libertés (CNIL) dans laquelle elle ne dénonce pas moins que « l’espionnage généralisé des ordinateurs des Français ». A la CNIL, on précise que cette sollicitation sera étudiée, comme toutes les autres, alors que Microsoft avait déjà présenté à la commission sa nouvelle politique de confidentialité.
La CNIL affirme d’ailleurs que certains éléments de ce nouveau texte ont été amendés à la suite de ces échanges et qu’une analyse, notamment avec le G29, le groupe des autorités de protection des données européennes, est en cours. En attendant, les utilisateurs de Windows 10 peuvent bien désactiver une partie de cette collecte de données lorsqu’ils procèdent à l’installation du nouveau système d’exploitation.
Source: Le Monde
