Pour se rendre plus RGPD compatible, Microsoft a annoncé que les utilisateurs de son OS en version pro pourront désormais désactiver complètement la remontée de données de diagnostic à l’éditeur.
Le Data Processor Service n’est accessible qu’aux utilisateurs de Windows 10 Enterprise et Windows 10 Education. (Crédit : Microsoft)
La semaine dernière, Microsoft a lancé en avant-première une option réservée aux entreprises, qui empêche la télémétrie de Windows d’atteindre les serveurs de Redmond. Cette dernière n’a pas reçu un nom spécifique dans l’annonce du 23 juillet dernier, mais sur le site d’inscription, elle est appelée « The Data Processor Service for Windows Enterprise ».
Marisa Rogers, responsable de la protection de la vie privée pour Windows et les navigateurs de Microsoft, a souligné que les entreprises et autres organisations (les universités surtout) ont désormais deux choix pour savoir ce que leurs PC rapportent à la firme de Redmond. « Soit ils autorisent Microsoft à être le contrôleur de leurs données de diagnostic de Windows 10, soit ils désactivent complètement ces flux de données ». Cette seconde option s’intitule désormais « Données de diagnostic désactivées », quand elle était auparavant labellisée d’un vague « Sécurité ». Elle n’est cependant accessible qu’aux utilisateurs de Windows 10 Enterprise et Windows 10 Education, les plus chères des différentes UGS (Unités de gestion des stocks).
Devenir « sous-traitant » des données pour se dédouaner de leur gestion
Les autres paramètres de collecte de données de télémétrie – pour une raison quelconque, Microsoft préfère le terme « données de diagnostic » – ont été ramenés à deux seulement : les « Données de diagnostic obligatoires » et les « Données de diagnostic optionnelles », cette dernière permettant de recueillir plus d’informations que la première. Depuis début 2019, l’option par défaut est celle des données obligatoires.
Ce dernier dispositif de télémétrie permettra aux entreprises de continuer à collecter des données à partir de leurs PC, mais ces données ne seront pas transmises à Microsoft pour analyse. « Dans le cadre de cette approche, Microsoft agira comme un sous-traitant de données, traitant les données de diagnostic Windows pour le compte du responsable du traitement », a écrit Mme Rogers. Les termes « sous-traitant » (processor en anglais) et « responsable du traitement » (controller) sont ceux utilisés par le RGPD, la loi sur la protection des données et de la vie privée en Union européenne.
Aucune utilisation des données de télémétrie, vraiment ?
Mais rien n’est vraiment clair sur le fait de savoir si Microsoft, en tant que responsable du traitement, aura accès à ces données télémétriques d’une manière ou d’une autre voire pourrait les utiliser. Selon notre confrère d’IDG, le fait que l’éditeur demande au client, dans le formulaire d’inscription à l’aperçu de ce dispositif, de reconnaître que « pour les appareils inscrits à ce programme d’aperçu public, [ils] n’aur[ont] pas accès à des fonctionnalités comme Desktop Analytics et Update Compliance », pourrait être un indice que les données n’iront effectivement pas chez Microsoft. Desktop Analytics est l’ensemble de services cloud qui offrent des informations et des conseils sur la mise à jour des terminaux en exploitant les données télémétriques de Windows.
Toujours en application du RGPD, Mme Rogers a fait valoir que proposer ce réglage de la télémétrie en amont permettra aux entreprises de gérer leurs propres « obligations de conformité ». Mais si Microsoft indique avoir proposé cette fonctionnalité pour redonner aux entreprises un plus grand contrôle sur leurs données, il est aussi fort probable que l’éditeur ait voulu se libérer des problèmes juridiques liés à la fonction de responsable du traitement.