mail_outline Lettre d'informations search Rechercher
Ulys logo
Ulys logo
menu MENU

Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Accueil keyboard_arrow_right Actualités keyboard_arrow_right Detail

Microsoft XP est-il un danger pour la vie privée ? La justice tranchera

Publié le par - 0 vues

Microsoft XP est-il un espion, tapi dans l’ordinateur, qui oberve les faits et gestes de l’utilisateur et les communique à une giga-base de données comportementale ? Après les puces indiscrètes de Intel et les procédures d’enregistrement en ligne qui récoltent des information à l’insu de l’internaute, la justice américaine (FTC) a été saisie au sujet…

Microsoft XP est-il un espion, tapi dans l’ordinateur, qui oberve les faits et gestes de l’utilisateur et les communique à une giga-base de données comportementale ? Après les puces indiscrètes de Intel et les procédures d’enregistrement en ligne qui récoltent des information à l’insu de l’internaute, la justice américaine (FTC) a été saisie au sujet de Microsoft XP, le nouveau système d’exploitation qui doit être lancé au mois d’octobre par le géant de Redmond.

La plainte, déposée devant la Federal Trade Commission (FTC) est signée par quelques 16 plaignants, emmenés par l’EPIC (Electronic Privacy Information Center).

La plainte dénonce une évolution dangereuse : jusqu’à présent, les informations utilisées pour le commerce électronique (nom, carte de crédit, etc.) étaient plutôt stockées sur la machine de l’utilisateur, alors qu’avec XP, ces informations seront délocalisées dans une base de donnée centrale et partagée.

Comment cela ? Grâce aux fonctionnalités de XP :

  1. Passport. Selon Microsoft, « Passport allows consumers to create a
    single sign-in, registration, and electronic wallet that can be shared between all of
    the sites that support Microsoft Passport ».     Les informations récoltées peuvent varier à l’infini (nom, prénom, adresse, sexe, composition familiale, profil de consommation, sexe, hobbies, profession, et parfois plus comme « Name your favorite books, artists, places, gizmos, or gadgets ; include a photo of yourself, a loved one, or a favorite place, thing or pet« .

    Certes, l’information est sous le contrôle de l’utilisateur qui peut la changer ou refuser de répondre à certaines questions, mais les plaignants estiment qu’elle est surtout sous le contrôle de Microsoft « in the sense that the information is
    physically in the possession of Microsoft and may be obtained by Microsoft
    whether or not the user chooses to make the personal information public. Further,
    many of the practices described below demonstrate how Microsoft through the
    XP Registration procedures, access to MSN, use of Hotmail, and use of new
    services such as e-books seeks to obtain from the consumer detailed information
    for the Passport system ».

    Pour les plaignants, ceci est inacceptable, d’autant que sous des propos rassurants, les partenaires qui utiliseront Passport devront en réalité seulement avoir une privacy policy, mais pourront librement déterminer le contenu de celle-ci.

  2. HailStorm. Hailstrom est le logiciel qui permet l’échange des informations stockées dans Passport, ainsi que d’autres informations, entre les ordinateurs et les systèmes d’exploitation.

    De l’aveu même de Microsoft, la liste des informations échangeables par ce biais est incroyable tant l’outil est performant : « person’s home telephone number, office telephone number, fax number, home
    address, business address, and geographic locations; a person’s actual name, nickname,
    birthdate, anniversary, other special dates, and personal photograph; a complete list of all
    names of all contacts contained in an electronic datebook, including names, addresses,
    contact dates, and personal details for all friends and associates; information concerning
    location and contact information; all forms of incoming mail, including voicemail,
    electronic mail, and fax mail; tracking information; personal and business documents;
    favorite websites and other identifiers; receipts, payment instruments, coupons and other
    transaction records, devices settings and capabilities across all platforms, including PC,
    PDA, and telephones; and detailed usage reports for each one of these services    « .

    Pour les plaignants, et quoique Microsoft s’en défende, le but est clairement de forcer habilement l’utilisation de Passport et Hailstrom par l’utilisateur. Ils en veulent pour preuve que dans le business model de Hailstorm, la première source de revenu est l’utilisateur. Mais que peut-il générer comme revenu pour Microsoft, sinon par le biais de ses informations personnelles qui valent une fortune ?

  3. La procédure d’activation et d’enregistrement pernicieuses. La procédure sera dorénavant scindée : une activation et un enregistrement.

    L’activation est obligatoire et totalement anonyme. L’enregistrement est volontaire et nominatif (Le site de Microsoft explique que « Activation is different from product registration. If they wish, customers
    may voluntarily register their product by providing their name and contact
    information. Registration is for those customers who want to receive
    future communications on product updates, service releases and other
    special offers »    ).

    Pour les plaignants, ceci est un leurre : « Microsoft also claims that product registration, which requires personally identifiable
    information, is voluntary. However, users cannot receive support services for products
    without registering for Microsoft Passport. The user’s product identification number is
    then linked to his or her personally identifiable Passport information »    .

  4. Hotmail. Il n’est point besoin de présenter Hotmail.

    Par contre, ce qui est neuf, c’est que les utilisateurs Hotmail devront dorénavant créer et utiliser Passport dans lequel seront mises au moins les informations fournies à l’ouverture du compte Hotmail : « Users of Hotmail email service are required to create Passport accounts, using the
    personal information they provided to sign up with Hotmail. No notice is provided to
    Hotmail users that they are being given Passport accounts, nor does the Hotmail website
    contain an opt-out feature. When Hotmail users login to Hotmail, they are simultaneously
    logged-in to the Passport system »    .

    Ensuite, lors des visites sur des sites membres du Microsoft Network (MSN), le Passport sera automatiquement mis à jour.

    Pour les plaignants, ceci n’est pas clair et la communication de Microsoft et Hotmail sur ce point est trompeuse.

  5. Kid’s Passport. Selon la notice de Microsoft, « Microsoft Kids Passport allows parents to consent to the collection, use
    and sharing of their children’s information with Microsoft and the sites
    and services operated by or for Microsoft (including MSN) and with
    participating Passport Web sites that have agreed to utilize Kids Passport
    as their parental consent process. (…) All of these sites [participating passport websites] agree to have a posted
    privacy statement describing how they use personal information collected
    by their website. (…) It is important for you to read the Privacy Statement and Terms of Use for
    each website you are consenting for your child to visit and use »    .

    Pour les plaignants, ce système est dangereux en soi, et de surcroît trompeur, car si la privacy policy des sites concernés change après que l’autorisation parentale ait été donnée, les parents ne sont pas au courant. Bref, quand l’enfant surfe, les parents doivent être derrière son épaule et lire chaque privacy policy avant chaque entrée sur un site. Les récents déboires de Disney, qui est revenu sur un engagement et a exploité commercialement les bases de données de ses mini-clients, serait la preuve que le risque est réel.

Voilà quelques un des griefs formulés. Pour les autres, nous conseillons la lecture de la plainte sur le site de la FTC.

Les mesures demandées visent notamment à :

  • A. Initiate an investigation into the information collection practices of Microsoft
    through Passport and associated services;

  • B. Order Microsoft to revise the XP registration procedures so that purchasers of
    Microsoft XP are clearly informed that they need not register for Passport to
    obtain access to the Internet;

  • C. Order Microsoft to block the sharing of personal information among Microsoft
    areas provided by a user under the Passport registration procedures absent explicit
    consent;

  • D. Order Microsoft to incorporate techniques for anonymity and pseudo-anonymity
    that would allow users of Windows XP to gain access to Microsoft web sites
    without disclosing their actual identity

  • E. Order Microsoft to incorporate techniques that would enable users of Windows
    XP to easily integrate services provided by non-Microsoft companies for online
    payment, electronic commerce, and other Internet-based commercial activity.

Nous suivrons évidemment de près l’enquête et avertirons nos lecteurs de la décision finale.

Droit & Technologies

Publié dans

Thèmes

Auteurs

Etienne Wery

 Suivez-moi sur LinkedIn

Lui écrire Ses 1326 contributions

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK