Pas de sanction de la CNIL à l’encontre de Microsoft
Toute procédure de sanction diligentée par la CNIL n’entraîne pas nécessairement de sanction. C’est ce qu’illustre une récente décision en reconnaissant la mise en conformité du responsable du traitement après avoir été mis en demeure.
La CNIL a, en effet, décidé de clôturer le 27 juin 2017 la procédure initiée à l’encontre de Microsoft à propos de son système d’exploitation Windows 10 estimant que cette dernière s’était mise en conformité avec la loi n°78-18 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (la « Loi Informatique et Libertés« ).
Après avoir procédé à sept contrôles en ligne (nouveau moyen de contrôle introduit par loi n°2014-344 du 17 mars 2014 relative à la consommation) du système d’exploitation Windows 10 en avril et en juin 2016, la CNIL avait relevé plusieurs manquements de Microsoft concernant notamment la nature des données collectées et la sécurité de celles-ci. A ce titre, elle lui avait adressé une mise en demeure par décision en date du 30 juin 2016 qu’elle avait rendue publique le 20 juillet 2016.
La CNIL avait constaté la collecte excessive ou non pertinente de données – essentiellement techniques – pour le fonctionnement du système d’exploitation. Seules les données strictement nécessaires à la poursuite de la finalité définie par le responsable de traitement doivent être collectées (« article 6-3° de la Loi Informatique et Libertés« ).
Ce principe sera, d’ailleurs, renforcé par les dispositions du Règlement européen (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (le « RGPD ») qui entrera en vigueur le 25 mai 2018. Le RGPD pose le principe dit de « minimisation » des données en vertu duquel le responsable de traitement devra s’obliger à collecter le moins de données possible dès la mise en place d’un nouveau service ou produit collectant des données à caractère personnel.
En l’espèce, à la clôture de la procédure, la CNIL a relevé que Microsoft avait indiqué avoir réduit de moitié le nombre des données collectées de la partie élémentaire de son système d’exploitation.
Le dispositif de sécurité pour l’authentification de l’utilisateur était également insuffisant, celui-ci n’étant composé que de quatre chiffres sans possibilité de blocage du compte après un nombre défini de tentatives d’accès infructueuses. A cet égard, il a été relevé que Microsoft avait renforcé la procédure d’authentification des utilisateurs notamment en interdisant d’utiliser comme identifiant des combinaisons trop communes.
Il était aussi reproché à Microsoft de générer automatiquement un identifiant de publicité unique à des fins de ciblage publicitaire et de déposer des « cookies » sur le terminal de ses utilisateurs avant d’obtenir leur consentement.
Microsoft a pris des mesures pour se mettre en conformité avec les différents manquements constatés par la CNIL et s’est engagée à mettre fin au dépôt de cookies sans recueil préalable du consentement des internautes sur l’ensemble de ses sites web Windows 10 avant le 30 septembre 2017.
Pour remédier à l’ensemble des manquements constatés, Microsoft disposait d’un délai initial de trois mois. En pratique, dans le cadre d’une telle procédure le responsable de traitement peut demander à la présidente de la CNIL un délai supplémentaire de trois mois si la complexité du dossier l’exige. Tel a été le cas en l’espèce. A l’issue de ce nouveau délai, la CNIL a pu analyser les correctifs apportés par le responsable de traitement afin de rendre sa décision de clôture.
La CNIL précise dans son dernier bilan d‘activité 2016 que le nombre de ces demandes de prorogation a connu une augmentation significative. En effet, les organismes contrôlés font état de difficultés techniques pour se mettre en conformité dans des délais contraints sur des sujets complexes (cookies, sécurité des données, archivage massif et purge des données, etc.).
La mise en conformité à la suite d’une mise en demeure de la CNIL est un processus long qui nécessite la mise en place de mesures adaptées.
Cette décision du 27 juin 2017 permet également à la CNIL de rappeler que la réitération de manquements visés dans la mise en demeure est susceptible d’entraîner l’ouverture d’une procédure de sanction laquelle pouvant conduire au prononcé d’une amende allant jusqu’à trois millions d’euros pour les personnes morales.
Avec l’entrée en vigueur prochaine du RGPD et le récent renforcement du pouvoir de sanctions de la CNIL, il apparaît plus que jamais nécessaire pour chaque responsable de traitement de mettre en place dès l’origine les mesures adéquates.
Auteurs
Prudence Cadio, avocat, droit de la Propriété Intellectuelle et des Nouvelles Technologies
Maxime Hanriot, avocat, droit de la Propriété Intellectuelle et des Nouvelles Technologies.