Microsoft va obtenir le consentement exprès, améliorer la transparence pour les paramètres de confidentialité de Windows 10

Rapport de conclusions d’enquête en vertu de la LPRPDE n^o 2018-004

Le 20 juin 2018

Plainte déposée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « Loi » ou la « LPRPDE »)

Allégations

1. Le plaignant a expliqué au Commissariat qu’il est passé de Windows 8.1 à Windows 10 lorsque celui-ci est devenu accessible en juillet 2015. Il a alors choisi l’option des « paramètres rapides » pendant l’installation, ce qui a activé par défaut certains paramètres de confidentialité. Il a déclaré avoir eu par la suite des difficultés à comprendre ces paramètres et à les régler. Comme il était inquiet de la façon dont Microsoft allait recueillir, utiliser et communiquer ses données personnelles, il a fini par décider de réinstaller Windows 8.1. De plus, il a par la suite continué de recevoir des messages inopportuns l’invitant à faire le passage à Windows 10, et il ne savait pas comment les arrêter.
2. À partir des allégations du plaignant et de l’information communiquée au Commissariat lors de discussions ultérieures, nous avons cherché à déterminer si Microsoft avait omis de s’assurer que les utilisateurs possédaient les connaissances adéquates et d’obtenir le consentement nécessaire en ce qui concerne la collecte, l’utilisation et la communication des renseignements personnels des utilisateurs de Windows 10.
3. Par souci de clarté, nous avons limité l’enquête à ce sujet au consentement relatif à la collecte, à l’utilisation et à la communication des renseignements personnels des utilisateurs en ce qui concerne le réglage des paramètres par défaut à l’installation de Windows 10 et des mises à jour subséquentes.
4. Par ailleurs, le présent rapport ne porte pas sur les allégations du plaignant concernant les avis incitant les clients à faire le passage à Windows 10, car nous estimons que cette question déborde du cadre de la Loi.

Résumé de l’enquête

Sommaire

5. L’enquête portait à l’origine sur la version 1507 de Windows 10 qui était accessible au moment de la plainte. Pendant l’enquête, Microsoft a déployé deux nouvelles versions du système d’exploitation, à savoir la mise à jour anniversaire et, peu après, la mise à jour du créateur. Par conséquent, le rapport présente d’abord une description de l’enquête et des résultats préliminaires liés à la version 1507, qui est suivie de l’analyse de la version 1703 (mise à jour du créateur).
6. Nous avons présenté à Microsoft un rapport d’enquête préliminaire qui signalait certaines infractions et comportait des recommandations visant à amener Microsoft à se conformer à la Loi.
7. Au moment où nous avons publié le rapport préliminaire, Microsoft a lancé une nouvelle version (1803) de Windows 10 qui avait permis de régler certains des problèmes relevés. Il a par la suite accepté de prendre d’autres mesures visant à résoudre les autres problèmes. La plus récente mise à jour et les engagements subséquents de Microsoft sont traités plus bas, dans la section des recommandations.

Contexte

8. Microsoft fait la promotion de Windows 10 en tant que plateforme unifiée offrant un seul système d’exploitation, toujours à jour et compatible avec de nombreux types d’appareils. Alors que les systèmes d’exploitation précédents de Windows étaient destinés aux ordinateurs de bureau, Windows 10 est un système infonuagique conçu pour fonctionner avec les appareils mobiles comme les téléphones multifonctions et les tablettes.
9. Windows 10 a d’abord été offert aux utilisateurs de Windows 7 et Windows 8.1 en tant que mise à jour gratuite, et des centaines de millions de personnes l’ont alors installé. En juillet 2016, Microsoft a cessé d’offrir Windows 10 en tant que mise à jour gratuite.
10. Microsoft fournit de l’information relative à ses pratiques de protection de la vie privée (i) au moyen de son énoncé de confidentialité (ii) par l’entremise de l’application de réglage des paramètres et (iii) pendant l’installation^{Note de bas de page 1}.

Énoncé de confidentialité de Microsoft

11. L’énoncé de confidentialité de Microsoft^{Note de bas de page 2} est un énoncé unifié s’appliquant à l’ensemble des services de Microsoft, dont Windows. On y explique, dans des sections distinctes et de façon générale, les données personnelles que Microsoft recueille, comment il utilise celles-ci, comment elles sont communiquées, comment accéder à ces données personnelles et comment il utilise les témoins (cookies) et d’autres technologies du genre. L’énoncé donne aussi, toujours dans des sections distinctes, des précisions sur de nombreux produits offerts par Microsoft, dont Windows et Xbox Live. Les utilisateurs peuvent aussi accéder à d’autres renseignements sur la protection des données personnelles en cliquant sur le lien « En savoir plus » à la fin de chaque section traitant d’un produit particulier. De plus, la section Windows de l’énoncé de confidentialité fournit des explications détaillées concernant diverses fonctions et divers réglages qui seront traités plus loin dans le présent rapport.
12. Microsoft a fait valoir que les utilisateurs peuvent comprendre plus facilement un énoncé unifié qu’une série d’énoncés s’appliquant chacun à un produit distinct (comme cela a été le cas antérieurement). Il a déclaré qu’un tel énoncé est en harmonie avec les pratiques actuelles de l’industrie. Nous avons constaté au cours de l’enquête qu’environ 10 pages de l’énoncé unifié, qui compte environ 48 pages, sont consacrées aux fonctions de Windows 10 et accessibles à partir d’une table des matières renfermant des hyperliens, qui se trouve dans le coin supérieur gauche de l’énoncé de confidentialité.
13. À l’installation de la version 1507, les utilisateurs n’avaient pas accès à l’énoncé de confidentialité tant qu’ils n’avaient pas fait leurs choix relatifs au consentement (nous y reviendrons plus loin). L’énoncé était alors affiché uniquement sous forme de bloc de texte intégral, sans mise en page ni hyperliens facilitant la navigation entre les sections. Au début de l’installation, Microsoft fournissait l’adresse URL permettant à l’utilisateur d’accéder à l’énoncé de confidentialité à partir d’un autre appareil; de plus, les gens pouvaient (et peuvent encore) consulter à tout moment l’énoncé à partir du site Web de Microsoft. Depuis la mise à jour du créateur, il est possible d’accéder à l’énoncé de confidentialité pendant l’installation, grâce à un hyperlien y menant.

Réglage des paramètres

14. Les utilisateurs peuvent à tout moment après l’installation modifier les choix faits en matière de protection des renseignements personnels, au moyen de l’application de réglage des paramètres. Des explications des paramètres sont fournies, et des hyperliens mènent à de l’information complémentaire.

Version 1507 – Processus d’installation

15. À l’installation de cette version originale de Windows 10, les utilisateurs pouvaient choisir entre le réglage rapide des paramètres et la personnalisation de ceux-ci. Ces derniers faisaient leur choix à partir d’un écran intitulé « Débuter rapidement » (figure 1 - Get going fast). Il n’était pas possible de sauter cet écran, car les utilisateurs devaient prendre des décisions avant de poursuivre l’installation.

Version textuelle de la figure 1

Débuter rapidement

Vous pouvez les modifier en tout temps (défilez pour en afficher d’avantage). Sélectionnez Paramètres rapides pour :

Personnalisez vos entrées vocales, vos frappes et vos entrées manuscrites en les envoyant à Microsoft. Laissez Microsoft utiliser ces données pour améliorer les plateformes de suggestions et de reconnaissance.

Autorisez Windows et les applications à demander votre position, y compris votre historique de positions, à activer Localiser mon appareil et à utiliser votre ID de publicité pour personnaliser vos expériences. Envoyez à Microsoft des données de localisation pour améliorer les services de localisation.

Protégez-vous contre le contenu Web malveillant et utilisez la prédiction de pages pour améliorer la lecture, accélérer la navigation et améliorer votre expérience de façon générale dans les navigateurs Windows. Votre historique de navigation à Microsoft.

Se connecter automatiquement aux points d’accès ouverts suggérés. Tous les réseaux ne sont pas sécurisés.

Recevoir des mises à jour des PC sur Internet et leur envoyer des mises à jour. Envoyer des données de diagnostic et d’utilisation complète à Microsoft.

Connectez-vous à vos amis. Permettez à Skype d’utiliser vos contacts et vérifier votre numéro de téléphone. Des frais de messagerie SMS peuvent s’appliquer.

En savoir plus

« Personnaliser » « Utiliser Paramètres rapides »

16. Comme le montre la figure 1 (la version française de la saisie d’écran pour la version pertinente de Windows 10 n’est pas disponible), un bouton bleu bien en vue servant à sélectionner les « paramètres rapides » (Use Express settings) se trouve dans le coin inférieur droit de l’écran, alors qu’un bouton à petits caractères servant à choisir la personnalisation des paramètres (Customize settings) se trouve dans le coin inférieur gauche de l’écran.
17. L’écran « Débuter rapidement » comportait aussi dans le coin inférieur gauche un bouton Learn more (« En savoir plus ») en petits caractères. Ce lien menait à des renseignements complémentaires devant aider les utilisateurs à choisir entre le réglage rapide et le réglage personnalisé des paramètres.
18. Microsoft a fait savoir au Commissariat que les réglages par défaut (rapide ou personnalisé) correspondaient à ce à quoi, à son avis, l’utilisateur moyen était venu à raisonnablement s’attendre d’un système d’exploitation moderne.

Réglage rapide des paramètres

19. Selon Microsoft, la page « Débuter rapidement » avait pour but de souligner les principales fonctions de protection des renseignements, et plus particulièrement les fonctions nouvelles ou inconnues.
20. En choisissant le réglage rapide des paramètres, les utilisateurs acceptaient un ensemble de paramètres définis par défaut par Microsoft. Ces paramètres sont présentés dans la section ci-dessous portant sur la personnalisation des paramètres.

Réglage personnalisé des paramètres

21. Lorsque l’utilisateur choisissait de personnaliser les paramètres, trois différents écrans présentant divers regroupements de paramètres s’affichaient. Certains de ces paramètres concernaient les renseignements personnels des utilisateurs. À chaque paramètre correspondait un commutateur réglé au mode « activé », qui offrait la possibilité de changer le mode à « désactivé ». Microsoft avait déclaré qu’il cherchait ainsi à fournir une description des divers paramètres sans submerger l’utilisateur de détails. Quelques exemples d’écrans sont présentés aux figures 2 et 3 ci-dessous.

Version textuelle de la figure 2

Personnaliser les paramètres

Personnalisation

Personnalisez votre voix, la saisie et l’entrée manuscrite en envoyant à Microsoft vos contacts et les détails de mes calendriers ainsi que toutes autres données d’entrée associées.

« Activé »

Envoyez à Microsoft des données de saisie et d’entrée manuscrite pour améliorer la plateforme de reconnaissance et de suggestion.

« Activé »

Permettre aux applis d’utiliser votre ID de publicité dans toutes les applis.

« Activé »

Emplacement

Laissez Windows et les applications demander votre position, y compris votre historique de position, et envoyer à Microsoft ainsi qu’à ses partenaires de confiance certaines données de localisation pour améliorer les services de localisation.

« Activé »

« Précédent » « suivant »

 

Version textuelle de la figure 3

Personnaliser les paramètres

Connectivité et rapports d’erreurs

Se connecter automatiquement aux points d’accès ouverts suggérés. Tous les réseaux ne sont pas sécurisés.

« Activé »

Se connecter automatiquement de façon temporaire aux points d’accès pour déterminer si des services réseau payants sont disponibles.

« Activé »

Envoyer à Microsoft des données de diagnostic et d’utilisation complètes. Si vous désactivez ce paramètre, seules des données de base seront transmises.

« Activé »

En savoir plus

« Précédent » « suivant »

 

22. Nous avons constaté pendant l’enquête que les écrans de réglage des paramètres ne comportaient pas de lien « En savoir plus », comme celui de la page des paramètres rapides.
23. Les paragraphes qui suivent portent sur deux paramètres ayant fait partie d’une série initiale de paramètres posant un problème, ainsi que sur les paramètres qui, à notre avis, débordent du cadre de l’enquête.

Envoyer toutes les données de diagnostic et de pistage à Microsoft (télémétrie complète)

24. Dans le cas des versions Domicile et Pro de Windows 10, les utilisateurs pouvaient choisir entre trois niveaux possibles de diagnostic, à savoir (i) de base, (ii) avancé et (iii) complet.
25. Ces choix étaient expliqués dans l’énoncé de confidentialité, sous les foires à questions portant sur la télémétrie et le pistage et sur la rétroaction, le diagnostic et la protection des renseignements dans Windows 10. Microsoft a également fourni dans le Centre de TI de Windows les définitions suivantes des trois niveaux de télémétrie :
    • De base : Information de base sur l’appareil, dont les données relatives à la qualité et à la compatibilité des applications, les données d’utilisation des applications et les données du niveau Sécurité.
    • Avancé : Informations supplémentaires concernant les modes d’utilisation et de fonctionnement de Windows, WindowsServer, SystemServer, SystemCenter et des applications, ainsi que les données d’utilisation des applications, les données de fiabilité avancées et les données des niveaux « de base » et « sécurité ».
    • Complet : Ensemble des données nécessaires à la détection et à la résolution des problèmes, et les données des niveaux « sécurité », « de base » et « avancé »^{Note de bas de page 3}.
26. Complet : Le mode de diagnostic était réglé à « complet » par défaut (« Paramètres rapides »). Microsoft a affirmé qu’à ce niveau, les activités consistent à détecter les problèmes, à supprimer les maliciels et à assurer de façon générale le fonctionnement efficace du système dans un environnement sécurisé. Le niveau complet permet à Microsoft de recueillir au besoin des données supplémentaires, comme l’information sur le registre et les données de diagnostic connexes, à partir d’un petit échantillon d’ordinateurs offrant une capacité complète de télémétrie. Selon Microsoft, de telles demandes devaient obtenir l’approbation de son équipe de gouvernance en matière de confidentialité avant que les techniciens ne puissent recueillir de telles données à partir d’ordinateurs personnels.
27. Avancé : Si l’utilisateur choisissait de régler le commutateur à « désactivé » à partir de l’écran des réglages personnalisés, le paramètre n’était pas « désactivé » ni même réglé au mode « de base »; il passait simplement au mode « avancé ». Cette situation ne faisait l’objet d’aucune explication sur les écrans de réglage personnalisé des paramètres.
28. De base : Après l’installation de Windows 10, l’utilisateur pouvait régler le niveau de télémétrie à « de base » à partir de l’application de réglage des paramètres. Microsoft a expliqué que ce niveau constituait le niveau minimal offert à la plupart des utilisateurs parce que les données qu’il permettait de recueillir étaient nécessaires à la tenue à jour de Windows et des applications ainsi qu’à leur bon fonctionnement dans un environnement sécurisé.

ID de publicité

29. L’ID de publicité est un numéro d’identification généré de façon aléatoire et attribué à l’utilisateur. Il fonctionne à la manière d’un témoin. Quand il est activé et que l’utilisateur utilise une application, celle-ci peut accéder à l’ID de publicité. Le développeur de l’application peut ainsi suivre les activités réalisées au moyen de ses applications qui sont installées sur l’appareil de l’utilisateur.
30. Microsoft a expliqué au Commissariat qu’il est possible pour les utilisateurs de désactiver l’ID de publicité afin que :
    • (i) la fonction n’envoie pas le numéro à des tiers;
    • (ii) Microsoft ne puisse pas l’utiliser. Si l’ID de publicité est ensuite réactivé, l’identifiant unique associé à l’ID est remis à zéro et un nouvel identifiant est créé.
31. Le Commissariat a remarqué des incohérences dans les explications de l’ID de publicité fournies par Microsoft dans les diverses communications sur la protection des renseignements personnels. Dans ces explications, on indiquait comme but ce qui suit :
    • (i) « pour personnaliser vos expériences » (Paramètres rapides);
    • (ii) « utiliser votre ID de publicité dans toutes les applis » (Personnaliser les paramètres);
    • (iii) « par les développeurs d’applis et les réseaux publicitaires pour assurer la réception de publicités plus pertinentes » (Énoncé de confidentialité).

Fonctions accessibles avec le consentement explicite

32. Étant donné la portée de l’enquête (décrite au paragraphe 3 du présent rapport), nous n’avons pas examiné expressément la question relative à la collecte, à l’utilisation ou à la communication de l’information en ce qui a trait aux fonctions nécessitant le consentement explicite et qui ne font pas partie du processus d’installation de Windows 10^{Note de bas de page 4}.

Premières séries de problèmes – Version 1507

33. Pendant l’enquête, nous avons relevé une première série de problèmes concernant les tentatives par Microsoft d’obtenir le consentement au moment de l’installation de la version 1507 (comme il est décrit ci-dessous). Nous avons fait part de ces problèmes à Microsoft, qui s’est engagé à y remédier lors du déploiement des mises à jour subséquentes de Windows 10.

Généralités

34. À l’origine, nous trouvions préoccupant le fait que la possibilité de personnaliser les paramètres n’était pas présentée de façon suffisamment apparente sur la version originale de la page « Débuter rapidement ». Selon nous, il n’était peut-être pas évident pour les utilisateurs qu’ils pouvaient choisir de modifier les paramètres par défaut pendant l’installation.
35. Nous trouvions également préoccupant le fait que l’information fournie par écrite par Microsoft durant le réglage personnalisé des paramètres était brève et qu’il n’y avait aucun mécanisme prévu pour en savoir plus. Même si nous comprenons que Microsoft ne voulait pas submerger les utilisateurs de détails, les explications de ce dernier ne nous semblaient pas établir un juste équilibre entre le désir de concision et l’offre d’un accès à suffisamment d’information. En particulier, pendant le réglage personnalisé des paramètres, il n’y avait aucun lien « En savoir plus » menant à des renseignements suffisamment détaillés pour permettre à l’utilisateur de se faire une bonne idée des fins pour lesquelles les renseignements personnels seraient recueillis, utilisés et communiqués pour chacun des paramètres.
36. Ainsi, pendant l’enquête, nous avons suggéré à Microsoft de prendre les mesures suivantes : (i) rendre plus évidente la possibilité de personnaliser les paramètres à l’installation; (ii) ajouter, à l’écran de réglage personnalisé des paramètres, un lien « En savoir plus » permettant aux utilisateurs d’obtenir des explications plus complètes des divers paramètres.

ID de publicité et diagnostics

37. Nous avons aussi relevé des problèmes concernant les explications écrites fournies par Microsoft aux utilisateurs relativement aux paramètres liés à l’ID de publicité et aux diagnostics.
38. Plus particulièrement, nous avons déterminé que Microsoft ne fournissait pas d’explication sur la façon dont l’ID de publicité est utilisé pour assurer la réception de publicités pertinentes. Pendant l’enquête, nous avons suggéré à Microsoft de décrire de façon plus claire, cohérente et exhaustive l’ID de publicité et ses objectifs.
39. Par ailleurs, à notre avis, les utilisateurs ne pouvaient pas clairement savoir, à partir de l’information communiquée relativement à la protection des renseignements personnels, quelles données pouvaient être transmises s’ils laissaient en mode activé le paramètre « envoyer toutes les données de diagnostic et de pistage à Microsoft »; ils ne pouvaient pas non plus savoir que la désactivation du paramètre ne mettrait pas fin à la télémétrie, mais ne ferait que baisser le niveau d’un échelon, le réglant ainsi à « avancé ». Par conséquent, nous avions aussi suggéré à Microsoft de fournir aux utilisateurs des explications claires concernant les divers paramètres de télémétrie et les réglages connexes possibles.

Mise à jour du créateur – Processus d’installation

40. Microsoft a procédé au déploiement de la mise à jour anniversaire de Windows 10 le 2 août 2016. Il a publié la mise à jour du créateur le 11 avril 2017. Il en est résulté des changements importants aux paramètres de confidentialité par défaut et aux explications connexes fournies pendant l’installation de la nouvelle version. Nous avons donc examiné les changements liés à la mise à jour du créateur ainsi que ceux liés aux mises à jour de l’énoncé de confidentialité de Microsoft en juin et en septembre 2017.
41. En gros, Microsoft a effectué les changements ci-après lors de la mise à jour du créateur.
    1. Introduction d’un processus d’installation unique, pour remplacer le processus précédent à deux volets qui obligeait les utilisateurs à choisir entre le réglage rapide et le réglage personnalisé des paramètres.
    2. Pendant l’installation, les utilisateurs sont dirigés vers une page intitulée « Choisissez les paramètres de confidentialité de votre appareil » où :
       • les paramètres Position, Publicités pertinentes, Reconnaissance vocale et Expérience personnalisée grâce aux données de diagnostic sont activés par défaut, et le paramètre « diagnostics » est réglé à « complet »,
       • un bouton « Accepter » et un bouton « En savoir plus » se trouvent au bas de la page, l’un étant aussi visible que l’autre.

Version textuelle de la figure 4

Choisissez les paramètres de confidentialité de votre appareil \

Microsoft vous permet de contrôler votre confidentialité. Choisissez vos paramètres, puis sélectionnez « Accepter » pour les enregistrer. Vous pouvez modifier ces paramètres à tout moment.

Position

Profitez d’expériences basées sur la position comme la météo locale et les itinéraires vers vos endroits préférés. Autorisez Windows et les applis à demander votre position, et envoyez à Microsoft vos données de position pour améliorer nos services de localisation.
« Activé »

Diagnostics

Aidez-nous à résoudre les problèmes et à améliorer les produits et les services Microsoft. Envoyez les données de diagnostic (notamment sur l’utilisation de navigateurs, d’applis et de fonctionnalités, et les données d’entrée manuscrite et de saisie) à Microsoft.
« Complet »

Publicités pertinentes

En autorisant les applis à utiliser l’ID de publicité, vous verrez des publicités plus intéressantes selon votre utilisation de ces applis.
« Activez »

Reconnaissance vocale

Parlez à Cortana et aux applis du Magasin qui prennent en charge la reconnaissance vocale. Envoyez à Microsoft votre entrée vocale pour nous aider à améliorer les services vocaux.
« Activé »

Expérience personnalisée grâce aux données de diagnostic

Obtenez des recommandations et des conseils plus pertinents pour adapter les produits et services Microsoft a vos besoins. Pour ce faire, autorisez Microsoft à utiliser vos données de diagnostic.
« Activé »

Sélectionnez « En savoir plus » pour plus de détails sur les paramètres ci-dessus, sur le fonctionnement de Windows Defender SmartScreen, et sur les transferts et utilisations de données connexes.

« En savoir plus » « Accepter»

Paramètres de confidentialité

42. La figure 4 présente les explications fournies par Microsoft, à l’écran d’installation, sur chacun des paramètres. Les paragraphes qui suivent présentent des renseignements complémentaires que Microsoft met à la disposition des utilisateurs (i) sur l’écran d’installation lorsque le paramètre est réglé à « désactivé » (ou « de base »), (ii) au moyen de liens « En savoir plus », (iii) dans l’énoncé de confidentialité, et (iv) dans diverses autres communications relatives à la protection des renseignements personnels.
43. Position. Microsoft explique à la section « En savoir plus » qu’il recueille des données sur la position par une combinaison de moyens, dont la géolocalisation par satellite (GPS), les points d’accès sans fil, les tours de téléphonie cellulaire et les adresses IP. Dans son énoncé de confidentialité, Microsoft explique en plus que seul le dernier emplacement connu de l’appareil est conservé et que l’historique des déplacements est stocké pour une période pouvant aller jusqu’à 24 heures.
    
    Le lien « En savoir plus » mène à un texte expliquant que le fait de laisser le paramètre Position « activé » permet aux applications, aux services et aux fonctions de Windows de demander l’autorisation d’accéder aux données sur la position et de les utiliser, et il permet à Microsoft de recueillir des données anonymisées sur la position afin d’améliorer les services de localisation. L’énoncé de confidentialité stipule que lorsque le paramètre « position » est désactivé, Microsoft peut communiquer des données anonymisées sur la position à des tiers « afin de fournir et d’améliorer les services de localisation et de cartographie ».
    
    Au moment de publier le rapport préliminaire, le Commissariat avait compris que Microsoft communiquait des données anonymisées sur la position uniquement dans le but d’améliorer ses propres services de localisation et de cartographie. Microsoft a par la suite fourni de plus amples renseignements et des éclaircissements concernant la communication de « données anonymisées sur la position », expliquant les activités autorisées lorsque ce paramètre est « activé », que voici :
    1. la collecte d’une quantité limitée de données sur les points d’accès Wi-Fi à proximité, les tours de téléphonie cellulaire ou les coordonnées GPS, ou l’ensemble de ces éléments, selon les capacités de l’appareil et « sans l’utilisation d’identifiants de l’appareil ou de l’utilisateur », de manière à ce qu’aucun « point spatio-temporel ne puisse être lié à une personne » et qu’« aucune trajectoire obtenue à l’aide de données de localisation ne puisse être associée à un utilisateur particulier »;
    2. la communication de ces données avec son partenaire HERE North America, LLC (« HERE »), afin d’améliorer les services de localisation et de cartographie que ce dernier fournit à Microsoft pour faciliter la prestation de services améliorés aux utilisateurs de Windows 10, ainsi qu’à divers clients commerciaux.
    Enfin, nous avons constaté que Microsoft explique, dans ses communications sur Windows 10 concernant la protection des renseignements personnels, que même si le paramètre Position est désactivé, les applications et les services peuvent toujours utiliser les points d’accès sans fil pour déterminer la position de l’appareil.
    
    Indépendamment de ce qui précède, il est à noter que, dans les faits, les applications et services offerts par l’entremise de la boutique Microsoft qui veulent accéder aux données de position doivent obtenir au préalable une autorisation distincte de l’utilisateur par l’entremise d’une boîte éclair de consentement.
    
    Diagnostics : Les utilisateurs peuvent maintenant laisser le réglage du paramètre des diagnostics à « complet » ou régler celui-ci à « de base » – le niveau « avancé » n’existe plus. Au moment de régler le paramètre à « de base », l’écran d’installation affiche le message suivant : « moins de données seront envoyées à Microsoft pour l’aider à corriger les erreurs que [l’utilisateur] rencontr[e]. » Des renseignements complémentaires sont fournis par l’entremise d’un lien « En savoir plus » ainsi que dans l’énoncé de confidentialité.
    1. Utilisations prévues. Microsoft explique qu’il utilise les données de diagnostic pour quatre raisons générales :
       • (i) aider à régler les problèmes ou corriger les erreurs (niveaux de base et complet);
       • (ii) tenir à jour Windows et veiller à la sécurité (niveaux de base et complet);
       • améliorer les produits et services offerts (uniquement au niveau complet);
       • (iv) offrir aux utilisateurs une expérience personnalisée (aux niveaux de base et complet, mais seulement lorsque le paramètre « expérience personnalisée » est « activé », soit le réglage par défaut).
    2. Diagnostics de base. Microsoft a expliqué que le niveau de base englobe les données qui lui permettent de connaître les capacités de l’appareil et les applications qui y sont installées, de savoir si Windows fonctionne correctement et d’assurer la tenue à jour de Windows et des applications ainsi que leur bon fonctionnement dans un environnement sécurisé. Parmi les exemples de données de base servant à cette fin figurent l’adresse IP de l’appareil, la réussite ou l’échec des mises à jour et les noms des applications installées. L’énoncé de confidentialité de Microsoft comporte un lien vers une page du site du Centre des TI de Windows, qui donne accès à une liste exhaustive de l’information recueillie au niveau de base.
    3. Diagnostics complets. Le niveau complet englobe les données recueillies au niveau de base ainsi que des données supplémentaires sur :
       • l’utilisation des applications;
       • l’utilisation du navigateur de Microsoft (historique, termes de recherche, etc.);
       • la façon dont certaines fonctions ou applications sont utilisées;
       • les saisies et les entrées manuscrites (données traitées pour éliminer les renseignements identificatoires);
       • l’état de la mémoire d’un appareil au moment où un système ou une application tombe en panne (les données peuvent comprendre une partie des éléments d’un dossier utilisé au moment où le problème est survenu);
       • la connectivité et la configuration de l’appareil.
       
       Contrairement à ce qui se fait pour le niveau de base, l’énoncé de confidentialité de Microsoft ne comprend pas de lien vers des renseignements plus détaillés sur les données recueillies au niveau complet. Toutefois, une page intitulée « Données de diagnostic Windows 10, version 1703 » du Centre des TI de Windows présente une liste des catégories de données recueillies au niveau complet, ainsi qu’une liste détaillée (mais non exhaustive) d’exemples des données recueillies pour chaque type.
       
       À la page intitulée « Configurer les données de diagnostic Windows dans votre organisation » du Centre des TI de Windows, Microsoft déclare que, au niveau complet, ses techniciens peuvent demander des données supplémentaires dans le cas d’un problème récurrent ou difficile à déterminer. L’équipe de gouvernance en matière de confidentialité de Microsoft doit alors approuver la demande de diagnostics. Microsoft a fait savoir au Commissariat que, de toute façon, les données recueillies ne déborderaient pas des catégories énumérées sans que l’organisation obtienne au préalable le consentement de l’utilisateur.
44. Expérience personnalisée grâce aux données de diagnostic : Dans la section « En savoir plus » portant sur les données de diagnostic, Microsoft précise que les données en question servent à personnaliser l’expérience de l’utilisateur lorsque le paramètre « Expérience personnalisée » est « activé » – notamment pour suggérer, recommander et offrir des fonctions, des applications, des services, du matériel et des périphériques, ainsi que des façons de personnaliser et optimiser l’utilisation de Windows.
    
    L’étendue des données utilisées dépend du niveau (complet ou de base) auquel est réglé le paramètre « Diagnostics ». Microsoft précise que, de toute façon, les données relatives aux pannes, à la voix, à la saisie ou aux entrées manuscrites ne servent pas à la personnalisation de l’expérience. Même si l’énoncé de confidentialité ne comprend pas de section portant sur l’expérience personnalisée, il présente de l’information similaire à celle décrite ci-dessus, dans la section sur les diagnostics.
    
    Nous avons demandé à Microsoft d’expliquer comment il s’assure que l’information de nature délicate ne servira pas à personnaliser l’expérience; nous avons aussi demandé des copies de toute politique ou procédure mise en place à cette fin. Microsoft a déclaré qu’il limite le traitement de ce type d’information à des fins de personnalisation de l’expérience en faisant examiner tous les « segments d’expérience personnalisée » par un avocat ou parajuriste spécialiste de Windows afin de s’assurer qu’ils ne sont pas fondés sur des caractéristiques de nature délicate (race, orientation politique, orientation sexuelle, appartenance religieuse, etc.). Microsoft a affirmé que cette protection est adéquate, car :
    • (i) elle repose sur un examen par un humain (plutôt que sur un examen algorithmique);
    • (ii) les données de diagnostic ne révèlent pas grand-chose sur la personne;
    • (iii) les utilisateurs ont donné leur consentement au moment de régler les paramètres relatifs aux données de diagnostic et à l’expérience personnalisée lors de l’installation.
    
    Microsoft n’a fourni aucune politique ou procédure écrite ayant été mise en place pour s’assurer que l’information de nature délicate ne servira pas à personnaliser l’expérience.
45. Publicités pertinentes. Le nom de cette fonction, autrefois appelée « Personnalisation […] Permettre aux applis d’utiliser votre ID de publicité […] » (non souligné dans l’original) dans la version 1507, a été remplacé par « Publicités pertinentes » lors de la mise à jour du créateur. La description fournie à l’écran d’installation demeure brève, et les utilisateurs peuvent maintenant accéder à des renseignements complémentaires en cliquant sur un bouton « En savoir plus » situé au bas de la page. Le lien mène à un document qui explique brièvement ce qui suit :
    • (i) que les applications (de Microsoft et de tiers) peuvent accéder à l’ID de publicité et utiliser celui-ci, sensiblement de la manière que le font les sites Web avec un identificateur unique stocké dans un témoin;
    • (ii) ce qui se passe quand cette fonction est désactivée et le fait qu’il suffit de régler le paramètre à « activé » pour réinitialiser la fonction;
    • (iii) que l’utilisation de la fonction par l’application d’un tiers qui accède à l’ID de publicité est assujettie à la politique de protection des renseignements personnels de ce dernier;
    • (iv) que des développeurs d’application et des réseaux publicitaires peuvent utiliser la fonction dans le but de fournir des publicités plus pertinentes. De l’information similaire est également présentée dans l’énoncé de confidentialité de Microsoft.
    
    Nous avons constaté que Microsoft met à la disposition des utilisateurs un portail de gestion des préférences en matière de publicité qui permet à ces derniers de faire des choix liés au programme de publicités pertinentes (ou personnalisés/fondées sur les intérêts). On n’en fait aucune mention sous le paramètre Publicités pertinentes de la page d’installation de Windows 10, ni dans la partie « ID de publicité » de l’énoncé de confidentialité.
46. Reconnaissance vocale. Lorsque ce paramètre est réglé à « désactivé », l’écran d’installation indique que « [l’utilisateur] ne [peut] pas communiquer avec Cortana ou les applications de [la boutique d’applications] Windows Store. »
    
    À la section « En apprendre plus », Microsoft explique qu’il recueille des enregistrements vocaux et des données à partir du « dictionnaire utilisateur » pour fournir les services de reconnaissance vocale. Le dictionnaire contient des mots uniques, comme les noms, que l’utilisateur a écrits. Microsoft affirme que les données vocales et le dictionnaire utilisateur sont également « utilisés ensemble pour améliorer [sa] capacité à reconnaître correctement la parole des utilisateurs ». Les utilisateurs peuvent permettre plus tard à Cortana d’accéder à l’information du calendrier et des contacts, qui servira à la personnalisation de l’expérience en ce qui a trait à la reconnaissance vocale. L’énoncé de confidentialité de Microsoft comporte de l’information similaire sur la reconnaissance vocale.
47. Il est à noter que certains paramètres de confidentialité de la version 1507 n’ont pas été retenus dans le processus d’installation de la mise à jour du créateur. Comme ils ont été intégrés à d’autres paramètres de confidentialité, nous ne les avons pas examinés plus à fond. Il s’agit des paramètres suivants :
    1. Personnalisation – Personnalisez votre voix, la saisie et l’entrée manuscrite en envoyant à Microsoft vos contacts et les détails de mes calendriers ainsi que toutes autres données d’entrée associées.
    2. Personnalisation – Envoyez à Microsoft des données de saisie et d’entrée manuscrite pour améliorer la plateforme de reconnaissance et de suggestion.

Application de la Loi

48. Nous avons analysé les faits en fonction du paragraphe 6.1 de la Loi, ainsi que des principes 4.3, 4.3.2, 4.3.4, 4.3.5, 4.3.6 et 4.1.4 de l’annexe 1 de celle-ci.
49. Le paragraphe 6.1 stipule que, aux fins d’application de l’article 4.3 de l’annexe 1, le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation et de la communication des renseignements personnels auxquelles il a consenti.
50. D’après le principe 4.3, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Le principe 4.3.2 stipule aussi que les organisations doivent faire un effort raisonnable pour s’assurer que la personne est informée des fins auxquelles les renseignements seront utilisés et enfin que, pour que le consentement soit valable, les fins doivent être énoncées de façon à ce que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués. Le principe 4.3.4 prévoit, en partie, que la forme du consentement que l’organisation cherche à obtenir peut varier selon les circonstances et la nature des renseignements. Pour déterminer la forme que prendra le consentement, les organisations doivent tenir compte de la nature délicate des renseignements. De plus, le principe 4.3.5 précise notamment que, dans l’obtention du consentement, les attentes raisonnables de la personne sont pertinentes. Enfin, le principe 4.3.6 stipule que la manière dont une organisation obtient le consentement peut varier selon les circonstances et le type de renseignements recueillis. En général, l’organisation devrait chercher à obtenir un consentement explicite si les renseignements sont susceptibles d’être considérés comme étant de nature délicate.
51. Le principe 4.1.4 stipule qu’une organisation doit assurer la mise en œuvre des politiques et des pratiques destinées à donner suite aux principes.

Analyse

Préoccupations préliminaires – Version 1507

52. En ce qui concerne les préoccupations préliminaires générales que nous avons soulevées auprès de Microsoft durant l’enquête, comme l’indiquent les paragraphes 34 à 36 ci-dessus, nous remarquons que le nouveau processus d’installation unique mis en œuvre par l’entremise de la mise en œuvre du créateur veille à ce que tous les utilisateurs soient dirigés automatiquement vers la page des paramètres de confidentialité afin qu’ils puissent personnaliser les paramètres durant l’installation de Windows 10. Nous remarquons également que Microsoft fournit maintenant des liens vers « En savoir plus » et son énoncé de confidentialité sur la page des paramètres de confidentialité.
53. Nous évaluons plus bas, dans le cadre de notre analyse concernant les nouveaux paramètres Diagnostics et Publicités pertinentes, la mesure dans laquelle Microsoft a réglé nos préoccupations, présentées aux paragraphes 37 à 39 ci-dessus.

Consentement après la mise à jour du créateur

Contexte législatif

54. La Loi prévoit que la forme adéquate de consentement dépend généralement du niveau de sensibilité de l’information et des attentes raisonnables de la personne.
55. La Loi prévoit également que pour qu’un consentement soit valable, l’organisation doit expliquer ses pratiques d’une façon qui permet à la personne d’avoir une compréhension raisonnable des renseignements qui seront recueillis, de la façon dont ils seront utilisés et divulgués, ainsi que de la nature, des objectifs et des conséquences de cette pratique de protection des données.
56. Le Commissariat a déjà déclaré que lorsqu’une organisation sélectionne à l’avance des paramètres par défaut, ces paramètres doivent correspondre aux attentes raisonnables des utilisateurs, et ces derniers doivent être informés adéquatement des paramètres et des conséquences du choix d’un paramètre plutôt que d’un autre^{Note de bas de page 5}.

Paramètres individuels de confidentialité

57. Dans la nouvelle page d’installation des paramètres de confidentialité, tous les paramètres suivants (décrits ci-dessus) sont maintenant réglés à « activé » (ou « complet » pour Diagnostics) par défaut, avec la possibilité de se retirer par consentement explicite (ou de régler le diagnostic au niveau de base) :
    1. Position
    2. Diagnostics
    3. Expérience personnalisée
    4. Publicités pertinentes (ID de publicité)
    5. Reconnaissance vocale
58. Nous présentons ci-dessous nos points de vue sur la validité du consentement qu’obtient Microsoft, durant l’installation, concernant ses pratiques associées à chacun de ces paramètres de confidentialité. Pour chaque paramètre, nous avons examiné si Microsoft a obtenu la forme adéquate de consentement (p. ex. le consentement explicite ou implicite), et si ce consentement était valable.

A. Position

59. Nous sommes d’avis que Microsoft pourrait utiliser le « consentement exprès de se retirer » pour le paramètre Position de Windows 10, mais qu’il devrait apporter certaines améliorations à ses messages sur la confidentialité pour mieux expliquer l’utilisation et la divulgation des renseignements aux termes de ce paramètre.
60. Selon notre examen des messages de Microsoft relatifs à la confidentialité, nous comprenons que conformément au paramètre Position de Windows 10, Microsoft peut utiliser ou divulguer des renseignements précis sur la position de la façon suivante :
    1. pour permettre aux applications, aux services et aux fonctions de Windows d’utiliser les données sur la position;
    2. dans un format « anonymisé », pour fournir et améliorer ses services de localisation et de cartographie.
61. Même si les données sur la position peuvent être de nature délicate selon le contexte (par exemple, quand elles révèlent un lieu de culte ou une clinique médicale en particulier que l’utilisateur fréquente), nous remarquons que le fait de laisser en mode « activé » le paramètre Position n’autorise pas en soi la divulgation des données sur la position. Les utilisateurs doivent accorder une permission distincte et subséquente avant que Windows permette à une application en particulier ou à d’autre contenu numérique obtenu dans Microsoft Store d’accéder à des données sur la position. Par exemple, quand la position est activé, une application qui souhaite accéder à la position doit d’abord demander à l’utilisateur la permission de le faire, y compris par l’entremise d’une fenêtre contextuelle de consentement bien visible. À notre avis, cela n’excéderait pas les attentes raisonnables des utilisateurs.
62. Nous avons accepté initialement, d’après notre compréhension des pratiques de Microsoft au moment de la publication de notre rapport préliminaire, qu’il serait conforme aux attentes raisonnables des utilisateurs si Microsoft (par défaut, moyennant une option de consentement implicite) utilisait les données sur la position, en format anonymisé, pour fournir et améliorer ses propres services de localisation et de cartographie.
63. Selon cette compréhension, nous avons accepté, de façon préliminaire, que Microsoft puisse compter sur le consentement implicite, durant l’installation, pour ses pratiques relatives au paramètre Position.
64. Après avoir reçu notre rapport préliminaire, Microsoft a fait savoir qu’il divulgue de tels renseignements à HERE afin d’en améliorer les services de localisation et de cartographie, qu’elle fournit à Microsoft et à d’autres. Microsoft a fait remarquer que ces données ne constituent pas des renseignements personnels. Reconnaissant que Microsoft s’est engagé, comme il est indiqué plus loin dans ce rapport, à obtenir un consentement explicite pour le paramètre Position, et pour tous les paramètres de confidentialité durant l’installation, nous n’avons pas pleinement étudié la question de savoir si les données communiquées à HERE sont des renseignements personnels, ni l’ampleur dans laquelle une telle pratique, si elle incluait la divulgation de renseignements personnels, constituerait une attente raisonnable des utilisateurs de Windows.
65. Nous avons toutefois trouvé certaines lacunes dans les explications de Microsoft qui font que les utilisateurs ne comprendront peut-être pas suffisamment la nature et les conséquences de leur choix relatif au paramètre Position.
66. À notre avis, il se pourrait que les utilisateurs ne comprennent pas de façon raisonnable, à partir des messages relatifs à la confidentialité fournis durant l’installation, que le paramètre de la position comporte des exceptions (comme l’indique le paragraphe 43 ci-dessus). Tout particulièrement, puisque l’explication donnée dans « En savoir plus » précise que Microsoft utilisera les « points d’accès sans fil » pour la fonction de localisation, il devrait également expliquer que même si la position est « désactivé », les applications et services pourraient tout de même être en mesure de déterminer la position d’un utilisateur au moyen des points d’accès sans fil comme le balayage des réseaux Wi-Fi et Bluetooth^{Note de bas de page 6}.
67. De plus, Microsoft n’a pas expliqué clairement aux utilisateurs qui est le destinataire des renseignements anonymisés ni la façon dont ils seront utilisés et divulgués pour améliorer les services de localisation et de cartographie.

B. Diagnostics

68. Nous ne sommes pas convaincus que Microsoft assure un consentement valide, dans le cadre de son processus d’installation, pour sa collecte, son utilisation et sa divulgation de données de diagnostic. À notre avis, le paramètre du diagnostic devrait être réglé par défaut à « de base ». De plus, Microsoft devrait veiller à une plus grande transparence en ce qui a trait à certaines de ses pratiques relatives au diagnostic, afin de permettre aux utilisateurs de comprendre de façon raisonnable la façon dont leurs données peuvent être utilisées ou divulguées.
69. À titre préliminaire, nous estimons que l’« expérience personnalisée » (une des quatre grandes raisons pour lesquelles l’information de diagnostic est utilisée) comprend un marketing ciblé. Microsoft effectue le marketing de ses propres produits et services, ainsi que ceux de tierces parties, par l’entremise de l’expérience personnalisée. Cela est vrai même quand les suggestions visent à améliorer l’expérience de l’utilisateur dans Windows 10, et quand Microsoft n’est pas rémunéré directement pour en faire la suggestion^{Note de bas de page 7}.
70. À notre avis, les utilisateurs ne s’attendraient pas raisonnablement à ce que Microsoft recueille et utilise par défaut les renseignements de diagnostic « complet ». Les attentes raisonnables des personnes dépendent habituellement de la nature de leur relation commerciale avec l’organisation. Windows est un système d’exploitation, dont l’utilisation est généralement payante, et représente le fondement technique nécessaire qui permet aux utilisateurs de réaliser toutes les activités à partir de leurs appareils. Ils peuvent donc raisonnablement s’attendre à ce que leur système d’exploitation limite la collecte, l’utilisation et la divulgation de leurs renseignements personnels à ce qui est nécessaire pour fournir les services de base du système d’exploitation.
71. Les utilisateurs ne s’attendraient pas raisonnablement à ce que Microsoft recueille la gamme de renseignements inclus dans l’option « complet » pour le diagnostic à des fins de marketing ciblé (dans le cadre de l’expérience personnalisée) ou pour améliorer ses produits et services, particulièrement quand l’option « de base » représente les données qui selon Microsoft sont nécessaires pour régler les problèmes et erreurs et tenir Windows à jour et en assurer la sécurité.
72. De plus, les utilisateurs peuvent estimer qu’un grand nombre de leurs activités en ligne, qu’ils doivent réaliser au moyen de leur système d’exploitation, sont privées, et les renseignements associés à ces activités pourraient être de nature très délicate (p. ex., des recherches dans un navigateur concernant un problème médical, ou l’utilisation d’une application de rencontre pour les personnes appartenant à une religion en particulier).
73. Nous sommes d’avis que Microsoft devrait recueillir les données « de base » par défaut et que rien ne l’empêcherait d’encourager plus tard les utilisateurs à choisir le paramètre du diagnostic « complet » en expliquant les avantages potentiels (et les autres conséquences) de cette option.
74. Dans sa mise à jour du créateur, Microsoft a, au moyen d’une approche à plusieurs niveaux, amélioré considérablement la transparence concernant sa collecte, son utilisation et sa divulgation des données de diagnostic
    1. À l’écran d’installation, Microsoft a expliqué brièvement les renseignements qu’il va recueillir par l’entremise du paramètre Diagnostics ainsi que les raisons pour lesquelles ils seront utilisés, et des détails supplémentaires sont fournis durant l’installation grâce à l’approche à multiples niveaux de Microsoft. Ces explications portaient sur les principaux types de renseignements susceptibles d’être de nature délicate qui peuvent être recueillis à chaque niveau de diagnostic (p. ex., au niveau complet – navigateur, utilisation des applications ainsi que données relatives aux saisies et aux entrées manuscrites).
    2. De plus amples détails et des exemples concernant les renseignements recueillis à chaque niveau étaient disponibles au moyen de « En savoir plus » et de l’énoncé de confidentialité.
    3. Microsoft a assuré la pleine transparence concernant les renseignements recueillis au niveau « de base », au moyen d’un hyperlien menant à un document qui présente en détail tous les renseignements recueillis à ce niveau. Nous remarquons que Microsoft a également publié, sur son site Web, une liste exhaustive des catégories des données, assortie d’exemples pertinents, qui sont recueillies au niveau « complet ». Cette liste n’était toutefois pas disponible au moyen d’un lien dans l’énoncé de confidentialité.
75. Nous convenons que les documents mentionnés à l’alinéa (iii) ci-dessus fournissent un niveau adéquat de détails pour aider les utilisateurs à comprendre les renseignements qui seront recueillis au niveau « complet ». Cependant, nous craignions que les renseignements détaillés sur les catégories/exemples de renseignements recueillis à ce niveau ne soient pas aussi facilement accessibles aux utilisateurs que ceux pour le niveau « de base », alors que Microsoft recueille des données potentiellement beaucoup plus délicates au niveau « complet ».
76. Nous sommes donc d’avis que les explications de Microsoft, même si elles ont été nettement améliorées, ne suffisaient pas pour obtenir un consentement valable des utilisateurs pour le paramètre Diagnostics.

C. Expérience personnalisée

77. À notre avis, Microsoft n’obtient pas de consentement valable pour sa fonction d’expérience personnalisée dans le cadre de son processus d’installation de Windows 10.
78. Comme l’indique le paragraphe 71 ci-dessus, les utilisateurs ne s’attendraient pas raisonnablement à ce que Microsoft utilise toute la gamme de renseignements inclus, lorsque l’option « complet » est activée (qu’il recueille par défaut pour le motif principal de garder le système d’exploitation à jour, sécurisé, fiable et performant) pour le motif secondaire de fournir du marketing ciblé.
79. De plus, nous n’étions pas convaincus que Microsoft assure une protection adéquate contre l’utilisation de renseignements personnels de nature délicate lorsqu’il donne ses suggestions aux utilisateurs, que ce soit au niveau « complet » ou « de base ». Même si Microsoft a expliqué certaines pratiques qu’il a adoptées pour assurer une protection contre l’utilisation de renseignements délicats, nous n’avons reçu aucune preuve qu’il existe des politiques ou procédures écrites à cet égard. En l’absence de telles preuves, nous n’avons pas été en mesure de confirmer que Microsoft utilise uniquement des renseignements de diagnostic de nature non délicate pour procurer une expérience personnalisée. Cela représente également, à notre avis, le non-respect par Microsoft des exigences de responsabilité aux termes du principe 4.1.4 de la Loi.

    Note : Si Microsoft réglait son paramètre Diagnostics par défaut à « de base », cela résoudrait notre préoccupation concernant l’ampleur des renseignements utilisés par défaut pour l’expérience personnalisée. À notre avis, si Microsoft met en œuvre également des mesures adéquates (p. ex., politiques et processus documentés, formation et surveillance) pour veiller à ce que l’information délicate ne soit pas utilisée pour de telles fins, il pourrait alors se servir du consentement implicite obtenus des utilisateurs pour l’expérience personnalisée.

D. Publicités pertinentes (ID de publicité)

80. Nous convenons que Microsoft peut compter sur le consentement implicite concernant son paramètre « Publicités pertinentes », sous réserve de l’amélioration de la transparence concernant la distinction entre ce paramètre et son propre programme de publicité pertinente.
81. Le paramètre « Publicités pertinentes », qui est « activé » par défaut, donne lieu à la création d’un ID de publicité que Microsoft rend disponible pour les applications aux fins de présentation de publicités pertinentes et de prestation d’une expérience personnalisée dans des applications connexes. L’ID de publicité, un identifiant unique aléatoire, n’est pas en soi un renseignement de nature délicate. Dans le contexte du secteur de la publicité en ligne au Canada, la création et la divulgation d’ID de publicité par les systèmes d’exploitation mobiles sont courantes, et une telle pratique devrait correspondre aux attentes raisonnables des utilisateurs. Par conséquent, nous estimons que le consentement implicite pourrait être approprié pour la création par Microsoft de son ID de publicité, et la divulgation de cet identifiant aux applications.
82. Nous nous préoccupons toutefois de la validité du consentement que Microsoft obtient de la part des utilisateurs en ce qui a trait au paramètre Publicités pertinentes. Nous sommes d’avis que Microsoft, dans ses messages concernant ce paramètre, associe deux pratiques distinctes – c.-à-d. : (i) dans son rôle de système d’exploitation, la création de l’ID de publicité et sa divulgation aux applications; et (ii) dans son rôle d’annonceur publicitaire, l’utilisation de l’ID de publicité pour son propre programme de publicité.
83. Afin de fournir un contexte pertinent, le programme^{Note de bas de page 8} de publicité pertinente de Microsoft fonctionne à l’échelle de ses services en ligne, y compris à l’extérieur de Windows, au moyen de divers identifiants non limités à l’ID de publicité. Microsoft explique ses pratiques publicitaires pertinentes par l’entremise de divers messages approfondis relatifs à la confidentialité, y compris dans son énoncé de confidentialité, et permet aux utilisateurs de faire des choix détaillés concernant ses pratiques publicitaires au moyen d’un portail concernant la publicité.
84. Parallèlement, le nom de ce paramètre a changé, d’ID de publicité (version 1507) à Publicités pertinentes. De plus, dans la section « En savoir plus », Microsoft mentionne son propre usage de l’ID de publicité, sans expliquer comment les utilisateurs peuvent faire des choix séparément en ce qui a trait à son programme de publicité pertinente. À notre avis, une telle mention des pratiques publicitaires de Microsoft pourrait entraîner de la confusion chez l’utilisateur, et ce dernier pourrait ne pas comprendre raisonnablement la nature de ces pratiques auxquelles il consent par l’entremise du paramètre Publicités pertinentes.

E. Reconnaissance vocale

85. À notre avis, Microsoft n’obtient pas un consentement valide pour sa collecte, son utilisation et sa divulgation de renseignements personnels par l’entremise de la reconnaissance vocale. Le consentement implicite n’est pas approprié pour les pratiques associées à ce paramètre. De plus, les explications de Microsoft à propos de la reconnaissance vocale ne présentent pas de façon suffisamment claire la nature du choix que le système demande aux utilisateurs de faire. Pour terminer, notre analyse révèle que Microsoft ne respecte pas de manière systématique les choix faits par les utilisateurs au sujet de la reconnaissance vocale.
86. La fonction de reconnaissance vocale, offerte par l’entremise de Cortana, va au-delà de l’utilisation des données vocales dans l’appareil pour répondre aux demandes des utilisateurs; il s’agit d’un service infonuagique pour lequel Microsoft recueille et utilise :
    1. de grandes quantités de données vocales;
    2. le « dictionnaire de l’utilisateur » (décrit au paragraphe 47), et ce, même avant que l’utilisateur ait interagi avec l’appareil au moyen des commandes vocales.
87. Le contenu des instructions vocales que Microsoft recueille et utilise par l’entremise de la reconnaissance vocale pourrait souvent être de nature délicate. Par exemple, il pourrait s’agir d’instructions pour créer un rendez-vous médical dans le calendrier de l’utilisateur, ou pour envoyer un message texte privé à un époux.
88. De plus, nous sommes d’avis que l’utilisateur qui a, au début du processus d’installation, choisi expressément de ne pas utiliser Cortana (voir les paragraphes 91 et 92), ne s’attendrait pas raisonnablement à ce que la reconnaissance vocale, associée à l’utilisation de Cortana, soit activée par défaut.
89. Nous sommes donc d’avis que la reconnaissance vocale devrait être désactivée par défaut. Nous tenons à faire remarquer que cela n’empêcherait pas Microsoft d’encourager ultérieurement les utilisateurs à activer ce paramètre, en expliquant les avantages de son service infonuagique de reconnaissance vocale.
90. Nous avons une autre préoccupation : Microsoft n’a pas expliqué de façon évidente et claire que la désactivation de la reconnaissance vocale ne désactive que les services infonuagiques de reconnaissance vocale, et n’empêche pas l’utilisation de son service de reconnaissance vocale fourni par l’appareil, ce qui constitue un élément important. Nous craignons qu’un utilisateur puisse choisir de laisser activée la reconnaissance vocale afin de pouvoir interagir avec son appareil au moyen des commandes vocales, sans comprendre qu’il pourrait toujours le faire (au moyen de l’application de reconnaissance vocale de Windows) même si le paramètre est désactivé.
91. Cette confusion potentielle peut s’accroître lors du processus d’installation, où les utilisateurs peuvent choisir de permettre à Cortana d’être leur assistant personnel, au début de l’installation de Windows 10, ce qui permet à Microsoft de recueillir et d’utiliser les données vocales et les façons de s’exprimer. Plus particulièrement :
    1. Même si l’utilisateur choisit de ne pas activer Cortana comme son assistant personnel, la reconnaissance vocale demeure activée par défaut durant l’installation, ce qui permet apparemment à l’utilisateur de « parler avec Cortana et les applications du Store ». Cela semble incompatible avec le choix antérieur fait par l’utilisateur.
    2. Si un utilisateur choisit d’activer Cortana, mais de désactiver la reconnaissance vocale, ses paramètres de confidentialité après l’installation indiqueront toujours que le paramètre Voix, saisies et entrées manuscrites est activé.
92. Il semble que le choix d’un utilisateur concernant Cortana remplace son choix subséquent concernant la reconnaissance vocale, ce qui fait que son choix pour ce paramètre n’est pas respecté.

Recommandations

93. Avant de publier le présent rapport de conclusions, nous avons recommandé que Microsoft apporte certains changements pour veiller à l’obtention d’un consentement valable pour ses pratiques de confidentialité associées aux paramètres par défaut durant le processus d’installation de Windows 10. Plus particulièrement, nous avons recommandé à Microsoft ce qui suit :

    Position

    • i. Expliquer les exceptions au paramètre de la position sur la page d’installation concernant les paramètres de confidentialité ou dans la section « En savoir plus », plus particulièrement pour souligner que même si la position est désactivé, Microsoft et les applications peuvent encore être en mesure de déterminer la position de l’utilisateur au moyen des points d’accès sans fil tels que le balayage des réseaux Wi-Fi et Bluetooth.
      
      Nous avons également encouragé Microsoft à mettre en œuvre des messages améliorés relatifs à la confidentialité pour expliquer son utilisation et sa divulgation des « renseignements anonymisés sur la position » afin de fournir et d’améliorer les services de localisation et de cartographie.

    Diagnostics

    • ii. Mettre le diagnostic par défaut à « de base », en donnant aux utilisateurs le choix de le régler à « complet ».
    • iii. Améliorer les messages relatifs à la confidentialité pour veiller à ce que les utilisateurs puissent comprendre raisonnablement les renseignements personnels qui seront recueillis et la façon dont cette information sera utilisée pour le diagnostic, et plus particulièrement, ajouter un hyperlien dans l’énoncé de confidentialité, sous « diagnostics », menant à la page Web qui présente en détail les catégories de renseignements recueillis quand le mode « complet » est activé.

    Expérience personnalisée

    • iv. Dans l’hypothèse où le diagnostic de base serait défini comme le diagnostic par défaut, mettre en œuvre des mesures adéquates (p. ex., politiques et procédures documentées, formation et surveillance) pour veiller à ce que les renseignements de nature délicate ne servent pas à la proposition d’expériences personnalisées.

    Publicités pertinentes

    • v. Clarifier la nature du choix qu’il est demandé aux utilisateurs de faire pour le paramètre Publicités pertinentes, en expliquant dans la page d’installation ou à la section « En savoir plus » : (i) les utilisateurs ne consentent pas, au moyen de ce paramètre, au programme de publicité pertinente de Microsoft; et (ii) la façon dont les utilisateurs peuvent exercer leurs choix concernant les pratiques publicitaires de Microsoft.

    Reconnaissance vocale

    • vi. Mettre par défaut la reconnaissance vocale à « désactivé », ce qui donne aux utilisateurs la possibilité de choisir cette fonction.
    • vii. Améliorer les messages relatifs à la confidentialité pour veiller à ce que les utilisateurs puissent comprendre raisonnablement les renseignements personnels qui seront recueillis et la façon dont cette information sera utilisée pour fournir des services de reconnaissance vocale. Plus particulièrement, sur la page d’installation concernant les paramètres de confidentialité, expliquer clairement :
      1. que la désactivation de la reconnaissance vocale ne concerne que les services infonuagiques de reconnaissance vocale, et n’empêche pas l’utilisation de son service de reconnaissance vocale fourni par l’appareil;
      2. la relation ou la distinction entre l’utilisation des données vocales par l’entremise de Cortana et la reconnaissance vocale;
      3. la relation ou la distinction entre la reconnaissance vocale et les paramètres de confidentialité des utilisateurs après l’installation.
    • viii. Veiller à ce que Windows 10 permette aux utilisateurs de faire un choix concernant la reconnaissance vocale (de façon à ce qu’il ne soit pas remplacé par un choix précédent lié à Cortana).
    • ix. Supprimer toute donnée liée à la voix et au dictionnaire de l’utilisateur connexe que Microsoft a recueillie, quand l’utilisateur a désactivé la reconnaissance vocale durant l’installation (p. ex., quand les données ont été recueillies parce que l’utilisateur avait choisi d’activer Cortana auparavant).

Réponse de Microsoft à nos recommandations

Mise à jour d’avril 2018

94. Microsoft a expliqué qu’en avril 2018, au moment où nous avons publié notre rapport préliminaire, il a lancé une nouvelle version (1803) de la mise à jour du créateur, ce qui a donné lieu, de façon générale, à deux changements : (i) deux nouveaux paramètres de confidentialité durant l’installation (Localiser mon appareil et Saisies et entrées manuscrites), en plus des cinq^{Note de bas de page 9} paramètres initiaux, et chacun d’eux est réglé à « activé » (ou « complet ») par défaut; et (ii) certains ajustements des messages d’appui pour chacun de ces paramètres de confidentialité.
95. Le paramètre « Localiser mon appareil » était décrit dans l’écran d’installation comme suit : [TRADUCTION] « Activez Localiser mon appareil et utilisez les données sur la position de votre appareil pour vous aider à le retrouver si vous l’égarez. Vous devez ouvrir une session dans Windows avec votre compte Microsoft pour utiliser cette fonction ». Microsoft a clarifié que même si la fonction « Localiser mon appareil » est activée par défaut, elle ne fonctionnera que si le paramètre Position est lui aussi activé.
96. Le paramètre Saisies et Entrées manuscrites est décrit comme suit dans l’écran d’installation : [TRADUCTION] « Envoyez des données de saisie au clavier et manuscrite à Microsoft pour améliorer les capacités de reconnaissance de la langue et de suggestion des applications et services qui fonctionnent dans l’environnement Windows ». Microsoft a clarifié que cette fonction a d’abord été incluse dans le mode de diagnostic de base (version 1507), dans le mode de diagnostic complet (version 1703) et maintenant comme paramètre distinct (version 1803).

Engagements (et clarifications associées)

Consentement explicite – tous les paramètres

97. Microsoft s’est engagé à mettre en œuvre, d’ici la fin de 2018^{Note de bas de page 10}, des paramètres d’installation qui correspondent à ceux mis en œuvre récemment dans l’Espace économique européen^{Note de bas de page 11} et en Suisse (la version européenne). Une fois ces paramètres mis en œuvre, les utilisateurs canadiens (qui ont sélectionné le Canada comme leur région durant l’installation) verront des pages distinctes pour chacun des sept paramètres de confidentialité. Sur chaque page, le choix ne sera pas présélectionné. Les utilisateurs devront sélectionner leur choix favori et cliquer sur « Accepter ». À côté du bouton « Accepter », il y aura un bouton « En savoir plus », l’un étant aussi visible que l’autre.
98. À notre avis, ce nouveau mécanisme de consentement donnera suite de manière adéquate à nos recommandations (ii) et (vi), selon lesquelles Microsoft doit obtenir un consentement exprès pour le diagnostic complet et la reconnaissance vocale, respectivement.

Position – Suivi quand la position ou le paramètre de la position est désactivé

99. Microsoft s’est engagé à ajouter du texte, dans la section « En savoir plus », pour expliquer l’ampleur dans laquelle le paramètre Position peut ne pas contrôler tous les types de données sur la position. Il expliquerait que même quand la position est désactivé, les applications et les services peuvent encore utiliser d’autres renseignements, comme les points d’accès Wi-Fi, pour déterminer la position d’un appareil.
100. Après avoir examiné l’ébauche du texte de Microsoft, nous avons fait part à ce dernier d’une préoccupation supplémentaire connexe : une application ou un service ne devrait pas utiliser d’autres renseignements obtenus par l’entremise de Windows 10 pour déterminer la position d’un utilisateur quand ce dernier a choisi expressément de désactiver la position, sauf s’il a obtenu le consentement valable et distinct de la part de l’utilisateur.
101. Microsoft a déclaré que, selon une enquête interne sur ses pratiques de développement de logiciels et sur ses politiques de confidentialité organisationnelles, aucune de ses applications ne calcule la position précis quand le paramètre Position est désactivé sans obtenir un consentement explicite distinct.
102. Microsoft a également expliqué que les applications de tierces parties publiées par l’entremise de Microsoft Store sont déjà assujetties à des limitations telles que des obligations contractuelles qui atténuent le risque que ces applications calculent la position précis d’un appareil Windows 10 quand la position est désactivé.
103. À la suite de la recommandation supplémentaire du Commissariat, Microsoft a également pris les engagements suivants :
     1. en ce qui concerne les applications de tierces parties publiées par l’entremise de Microsoft Store, ajouter du texte précis dans la prochaine révision de ses politiques pour les applications de Microsoft Store visant à interdire aux développeurs de logiciels de publier dans Microsoft Store des applications qui déterminent la position précis d’un appareil Windows 10 quand le paramètre Position est désactivé, sauf si l’utilisateur final de cette application a donné son consentement distinct et suffisant sur le plan juridique (au plus tard le 31 décembre 2018);
     2. pour gérer les applications bureautiques, qui ne sont pas publiées généralement par l’entremise de Microsoft Store, ajouter une interdiction semblable dans la prochaine révision de la Trousse de développement Windows (« SDK ») (au plus tard le 31 décembre 2018);
     3. expliquer aux utilisateurs, dans « En savoir plus », que :
        1. même s’il est interdit aux applications et services d’utiliser les renseignements de Windows 10 pour estimer la position précis d’un appareil sans consentement préalable, il est possible qu’ils puissent le faire sur le plan technique;
        2. les utilisateurs peuvent éviter cette situation en désactivant tous les éléments radio de l’appareil (Wi-Fi, Bluetooth, communication cellulaire et GPS); cela influera sur les fonctions de l’appareil qui dépendent de telles connexions.

Position – Communication des renseignements « anonymisés » sur la position

104. En ce qui concerne la communication par Microsoft des renseignements « anonymisés sur la position »^{Note de bas de page 12}, nous comprenons maintenant (comme l’indique la « mise à jour » au paragraphe 43 du présent rapport) que Microsoft communique de telles données à HERE à des fins autres que l’amélioration des services de localisation et de cartographie de Microsoft.
105. Microsoft s’est engagé à obtenir le consentement explicite pour le paramètre Position, et pour tous les autres paramètres de confidentialité durant l’installation. Microsoft a également accepté, selon la recommandation supplémentaire faite par le Commissariat, d’améliorer ses messages relatifs à la confidentialité pour veiller à ce que les utilisateurs comprennent raisonnablement comment les « renseignements anonymisés sur la position » seront utilisés et divulgués, y compris en :
     1. expliquant aux utilisateurs que Microsoft communique de tels renseignements à HERE afin d’améliorer ses services de localisation et de cartographie, que l’entreprise fournit à Microsoft, et pour faciliter la prestation de services améliorés aux utilisateurs de Windows 10, ainsi qu’à divers autres clients commerciaux;
     2. incluant un lien menant au site Web^{Note de bas de page 13} de HERE qui permet aux utilisateurs d’obtenir plus de renseignements sur l’entreprise, ses pratiques et des politiques de confidentialité.
106. Nous convenons que les engagements susmentionnés donneront suite à la recommandation (i) ainsi qu’aux recommandations supplémentaires que nous avons faites en fonction des nouveaux renseignements obtenus de la part de Microsoft après la publication de notre rapport préliminaire.

Diagnostics - Transparence

107. Dans la version 1803, Microsoft a inclus dans « En savoir plus » : (i) un lien menant à la liste à jour des types de données recueillies aux deux niveaux de diagnostic; et (ii) une explication de la façon d’accéder à la visionneuse de données de diagnostic, dans l’application des paramètres, qui permet aux utilisateurs de voir exactement les données de diagnostic que Microsoft a recueillies. Dans les paramètres, les utilisateurs peuvent maintenant supprimer les données de diagnostic.
108. Nous convenons que cela donne suite à notre recommandation (iii).

Expériences personnalisées – Utilisation des données de nature délicate

109. Microsoft a fourni au Commissariat des renseignements et des documents supplémentaires pour confirmer son affirmation selon laquelle il possède des procédures pour veiller à ce que les renseignements de diagnostic de nature délicate ne servent pas à proposer des expériences personnalisées. Plus précisément, Microsoft nous a fourni :
     • (i) une copie du formulaire d’intégration que, d’après les explications de Microsoft, seul un petit nombre d’ingénieurs peut utiliser pour demander que des données précises servir à proposer des expériences personnalisées;
     • (ii) une copie de la procédure d’intégration, qui exige que la demande soit approuvée par un membre de l’équipe juridique de Microsoft et un professionnel de la confidentialité durant une réunion tenue régulièrement chaque semaine;
     • (iii) sa définition interne de renseignements de nature délicate^{Note de bas de page 14}, qui sert de référence aux fins de la procédure d’intégration.
110. Microsoft a fait remarquer que même si sa procédure n’inclut pas de fait de règle empêchant l’utilisation de données de nature délicate pour une expérience personnalisée, l’entreprise n’approuverait jamais, conformément à ses politiques de confidentialité interne, l’utilisation de données de nature délicate pour une expérience personnalisée. Microsoft a toutefois accepté d’ajouter une telle règle à sa procédure d’intégration et de communiquer ce changement au personnel concerné au plus tard le 30 juin 2018.
111. Nous convenons que cette documentation, sous sa forme modifiée, donnera suite adéquatement à la recommandation (iv).

Publicités pertinentes – ID de publicité

112. Dans la version 1803, Microsoft est revenu à l’ancien nom de ce paramètre : « ID de publicité ». Il s’est engagé à améliorer l’information communiquée dans « En savoir plus » pour expliquer la distinction entre le paramètre ID de publicité et les programmes publicitaires de Microsoft, et à fournir des renseignements sur des contrôles supplémentaires par l’utilisateur concernant la publicité fondée sur les intérêts dans les produits Microsoft, ainsi que sur les liens connexes.
113. Nous convenons que ces améliorations donneront suite adéquatement à la recommandation (v).

Reconnaissance vocale – Services infonuagiques par rapport à ceux fournis par l’appareil

114. Microsoft a souligné certaines améliorations apportées à « En savoir plus » dans la version 1803 qui, à notre avis, décrivent de façon plus claire et évidente la nature infonuagique de la reconnaissance vocale, ainsi que la capacité d’utiliser la reconnaissance vocale fournie par l’appareil même quand la reconnaissance vocale est désactivée.
115. À notre avis, cela donne suite adéquatement à la recommandation (vii).

Reconnaissance vocale – Mauvais fonctionnement

116. Microsoft a expliqué que ce paramètre ne fonctionne pas comme prévu. Il a été capable de recréer, au moyen de tests internes, le problème que nous avons relevé au paragraphe 91 du présent rapport, mais il n’a pas encore déterminé la source exacte du problème ni une solution.
117. Microsoft a toutefois proposé de résoudre ce problème, initialement au moyen d’au moins une mise à jour qui sera lancée au plus tard en août 2018, en : (i) empêchant le problème lié au produit de se reproduire dans l’avenir; et en (ii) demandant à tous les utilisateurs d’accorder un consentement explicite pour l’activation de la plateforme vocale (très probablement par l’entremise de questions posées « juste à temps » qui sont déjà mises en œuvre dans le système d’exploitation). Il s’est engagé à corriger le problème pour de bon dans le cadre de sa prochaine mise à jour majeure au plus tard à la fin de 2018.
118. Microsoft s’est également engagé à supprimer les données vocales et autres données connexes, au plus tard le 31 août, pour tout utilisateur canadien touché qui n’a pas activé la reconnaissance vocale et n’a pas consenti à l’utilisation rétroactive de ses données par l’entremise d’une nouvelle expérience de consentement (p. ex., par la demande de consentement explicite décrite dans le paragraphe précédent).
119. Nous convenons que les engagements décrits dans les deux paragraphes précédents donneront suite à nos recommandations (viii) et (ix), sous réserve de la mise en garde voulant que le consentement explicite que Microsoft obtient pour son utilisation continue ou sa conservation des données de reconnaissance vocale doit être valable et conforme au paragraphe 6.1 et au principe 4.3.2 de la Loi. Pour l’obtention de ce consentement, nous encourageons Microsoft à consulter les Lignes directrices pour l’obtention d’un consentement valable^{Note de bas de page 15} que le Commissariat a publiées récemment, et en particulier, les sept principes directeurs qui y sont présentés.

Conclusion

120. Selon les engagements de Microsoft et les changements récents apportés à Windows 10, comme il est mentionné ci-dessus, nous estimons que cette question est fondée et conditionnellement résolue.
121. Comme preuve de l’intention continue du Commissariat de poursuivre l’étude de ce cas, nous ferons un suivi auprès de Microsoft au plus tard à la fin de 2018. Durant cette période, nous nous attendons à ce que Microsoft nous fournisse des mises à jour mensuelles pour confirmer que : (i) les mesures proposées aux fins de mise en œuvre résoudront les enjeux déterminés dans le présent rapport; et (ii) tous les engagements seront exécutés dans les délais convenus.