Microsoft n’a pas convaincu les autorités européennes de l’innocuité de Passport, son nouveau système de collecte, enregistrement et partage des informations fournies par les utilisateurs de XP et de .NET.

Sous couvert d'un renforcement de la sécurité, Microsoft a en effet repensé totalement la gestion de ces informations personnelles dans ses nouveaux système sd'exploitation XP et .NET. En gros, Passport « allows consumers to create a single sign-in, registration, and electronic wallet that can be shared between all of the sites that support Microsoft Passport ». Ces informations sont ensuite prises en charge par Hailstrom, le logiciel qui permet l'échange des informations stockées dans Passport, ainsi que d'autres informations, entre les ordinateurs et les systèmes d'exploitation. A cela s'ajoutent une procédure d'enregistrement en deux temps très poussée mais aussi plus dangereuse et des règles spécifiques pour les données relatives aux enfants.

Passport est surtout, pour les défenseurs de la vie privée un moyen de plus de centraliser ces informations chez Microsoft, et de permettre à celle-ci de dresser un profil de ses clients. Bref, une intolérable ingérence dans la vie privée.

La justice américaine est saisie (voir notre actualité du 6 août 2001).

Les parties (Microsoft d'une part, et la Federal Trade Commission d'autre part, ont conclu un projet d'accord somis à enquête pubmlique jusqu'au 9 septembre. Bref, ceux qui ont une remarque doivent se dépêcher. La comminiqué et le lien vers la plainte et le projet d'accord sont en ligne sur le site de la FTC.

Situation en Europe

Les autorités européennes s’inquiètent aussi (voir notre actualité du 29 mai 2002).

Dernière étape à ce jour, le « Groupe 29 » s’est saisi de la question et vient de rendre un premier avis.

Le groupe (appelé « 29 » parce qu’il a été créé par l’article 29 de la directive 95/46) se compose d'un représentant de l'autorité ou des autorités de contrôle désignées par chaque État membre, d'un représentant de l'autorité ou des autorités créées pour les institutions et organismes communautaires et d'un représentant de la Commission.

Le groupe a notamment pour mission d'examiner toute question portant sur la mise en oeuvre des dispositions nationales prises en application de la directive, en vue de contribuer à leur mise en oeuvre homogène, et de donner à la Commission un avis sur le niveau de protection dans la Communauté et dans les pays tiers.

La « Internet Task Force » du Groupe 29 s’est livrée à un travail préalable d’analyse de Passport et a jugé les risques d’atteinte suffisamment sérieux pour que le Groupe poursuive son investigation. Ce 2 juillet, le Groupe a donné une première indication des points de faiblesse détectés :

The Working Party is aware of the expansion of on-line authentication services and of the importance of secure authentication mechanisms to ensure the integrity of some electronic transactions, especially those involving on-line payments. It stresses that the development of these services needs to respect the core data protection principles. Being .NET Passport the most important initiative in this field at present, the Working Party has proceeded to an initial study of this system in the first place.

After a first analysis carried out by its Internet Task Force, the Working Party is of the opinion that, although Microsoft has put in place some measures to address data protection, a number of elements of the .NET Passport system raise legal issues and therefore require further consideration:

- The information given to the data subjects at the moment of collecting, further processing the data or transferring it to a third party, possibly located in a third country.

- The value and quality of the consent given by the data subjects to these operations.

- The data protection rules applied by the websites affiliated to .NET Passport.

- The necessity and conditions of use of a unique identifier.

- The proportionality and quality of data of the data collected and stored by .NET Passport and further transmitted to affiliated sites.

- The exercise of the rights of the data subjects.

- The security risks associated to these operations.

The Working Party therefore decides to undertake this further analysis, where necessary in dialogue with Microsoft and with other services and organisations, in order to assess where the European data protection principles are correctly complied with and, where appropriate, to identify elements of the systems that require changes.

The Working Party will consider again this matter at its next plenary meeting.

Due to the evolving nature of the .NET Passport service and of the possible developments of its future architecture and of other similar authentication services, the Working Party will continue monitoring future developments in this field.