Microsoft et son fichier clandestin

-----------
netizen 002. 21 oct 1995
Diffusion News + Parution Planète Internet (nov-dec 95)
-----------

La condamnation n'est encore qu'une eventualite, mais il s'avere que Microsoft, en commercialisant en France le 24 aout 1995 son W95 et le MSNetwork integre, n'a pas respecte la loi informatique et libertes. Et oui, la loi 78-17 du 6 janvier 1978 est sans appel : "les traitements automatises d'informations nominatives effectues pour le compte de [personnes morales privees] doivent, prealablement a leur mise en oeuvre, faire l'objet d'une declaration" aupres de la CNIL (verbatim, article 16.)

Or, comme l'a revele le Centre d'expertise des logiciels (Celog), qui a saisi la CNIL le 31 aout dernier, cette "declaration prealable" (pourtant une petite formalite) n'avait pas ete faite lors de la sortie en grande pompe de MSN. Confirmation dans la revue juridique "Expertises des sources d'informations" (dirigee par Daniel Duthil du Celog), qui reproduit un communique de la CNIL du 14 septembre : "Microsoft Network LLC a fait parvenir a la CNIL, le 1er septembre 1995, une declaration relative au fichier des abonnes au service en ligne 'The Microsoft Network', qui est actuellement en cours d'instruction". C'est une "tentative de regularisation d'un traitement clandestin", analyse la revue Expertises.

Netizen a contacte la CNIL le 17 octobre -- et le fameux recepisse de declaration n'etait toujours pas delivre. Donc, depuis le 24 aout, le brillant produit du roi Bill Gates est en totale infraction. "Expertises" confirme : "Microsoft s'est d'ores et deja rendue coupable de constitution de fichier clandestin, infraction passible en France de 3 ans d'emprisonnement et de 1.500.000 F d'amende pour les personnes morales".

Pour ne pas sombrer dans de l'anti-Gates primaire, il faut tout de meme noter que la "volonte" d'enfreindre la loi est determinante pour convaincre un procureur. Une source un peu genee a la CNIL souligne que le dossier de declaration aurait ete redige bien avant le 24 aout, mais n'a pu etre depose plus tot. Il faut donc noter que l'infraction est loin d'etre constituee... Mais dans l'eventualite de poursuites, qui est responsable? Celui qui "a le pouvoir de creation du fichier". Serait-ce donc Russ Siegleman, le directeur general de Microsoft Online Services? Ou faut-il remonter dans la hierarchie? Apres tout, 1,5 millions de F, au bas mot, ca ne fait que 0,0023% de la fortune perso du roi Gates -- selon l'estimation de Forbes, qui l'evalue a 13 milliards de dollars.


---------Follow-up--------

Mea Culpa de Microsoft-France

Netizen 002/2 - 22 oct 95

Un porte-parole de Microsoft-France, charge du dossier MSN, m'a confirme que la declaration du fichier constitue par les informations nominatives contenues dans le listing d'abonnement au Microsoft Network, etait toujours etudie par la CNIL. D'apres la loi informatique et libertés (6/1/78), cette déclaration, qui doit faire l'objet d'un retour de la CNIL sous la forme d'un récépissé, est obligatoire pour tout traitement de fichier.

Notre source chez Microsoft fait son mea culpa : "Nous pensions qu'il n'y avait pas de declaration a faire, puisque les abonnes MSN en France seront integres directement dans notre fichier client, une base de donnees qui a deja fait l'objet d'une declaration de la CNIL, au debut de l'annee 1994."

"Pour nous, il s'agissait du meme fichier, MSN est un produit Microsoft comme un autre. La CNIL a considere que le mode d'enregistrement, qui s'e ablit en ligne, etait une forme nouvelle et qui meritait une attention particuliere. Nous nous sommes execute. Et nous nous rencontrons regulierement depuis." Ce qui n'enleve rien a l'infraction presumee, selon laquelle le fichier ne pouvait pas etre traite au moment de la sortie du Microsoft Network le 24 aout dernier.

Le porte-parole a precise que le listing des abonnes francais sera gere en France, "comme il l'est precise dans le contrat d'abonnement". Mais une fois le "clic" effectue sur la fenetre du contrat MSN, qui declenche la procedure d'abonnement, les informations partent directement aux Etats-Unis, au siege de la compagnie americaine. "Tous les 15 jours ou tous les mois", pretend notre interlocuteur, le fichier repart vers la France, "sans qu'il ait ete modifie". C'est cet aspect technique qui devrait interesser la CNIL, qui devront s'assurer qu'aucune information nominative n'ait pu etre modifiee, copiee et exploitee par ailleurs.

C'est bien la mise en place d'un fichier en ligne qui pose des problemes aux regulateurs. Si le cas Microsoft est etudie a la loupe, notons que la constitution d'un fichier "clandestin" a partir de services en ligne parait un jeu d'enfant. Par ailleurs, le caractere international de la procedure (passage par les USA) semble tomber sous le coup de la directive europeenne (certes encore en preparation), relative a la libre circulation des donnees a caractere nominatif, qui encadre toute transmission de fichier à l'exterieur des frontieres de l'UE.

Microsoft devra aussi s'expliquer sur le fameux "Registration Wizard", une sorte de sniffer qui irait se renseigner sur le contenu du disque dur de l'utilisateur. Dans un premier temps, toutes les branches nationales de Microsoft du monde ont precise que cette manoeuvre etait "optionnelle". Meme dans ces conditions contractuelles, ce mouchard pose quelques problemes de droit. Citons les arguments de Yanik Crepeau, de Montreal :

"Il s'agit ni plus ni moins d'une perquisition et d'une saisie abusive d'informations appartenant a l'utilisateur de la machine. Combattre la piraterie informatique est une chose, se donner les pleins pouvoirs en est une autre. Pour entrer chez moi, un policier doit obtenir un mandat de perquisition d'un juge. Le policier doit expliquer pourquoi il a de bonnes raisons de croire qu'un crime grave s'est produit que que la seule façon d'accumuler des preuves c'est de suspendre mon droit a ma vie privee.
La police ne pourrait pas fouiller systematiquement toutes les maisons pour traquer un criminel en fuite, trouver des armes ou de la drogue. Débusquer un criminel en fuite, saisir de la drogue et des armes sont de bien bonnes choses mais jamais au point où de manière arbitraire et sans contrôle judiciaire n'importe quel policier peut passer a l'action sans avoir a rendre de comptes."


Retour vers la page d'acceuil de netizen.