1. Introduction — objectif et public

Ce tutoriel exhaustif explique comment réduire ou désactiver la collecte de données (télémétrie, diagnostics, publicité, activité) sous Windows (10 / 11) via des méthodes graphiques et programmatique. Le contenu est destiné aux RSSI, DSI, administrateurs système, équipes poste de travail et aux utilisateurs avancés qui souhaitent un guide opérationnel, reproductible et sécurisé. Toutes les étapes sont décrites pas à pas et accompagnées de commandes/ scripts prêts à l’emploi.

Remarque importante : certaines options de télémétrie sont utilisées par Microsoft pour fournir des mises à jour de sécurité et de compatibilité. Avant toute modification à grande échelle, tester en environnement isolé.

2. Comprendre la collecte de données Windows (télémétrie)

La télémétrie Windows collecte des informations de diagnostic pour améliorer la fiabilité et la sécurité. Principaux flux :

• Diagnostic & Usage : erreurs d’application, plantages, métriques de performance.
• Expérience Utilisateur : paramètres d’usage, recherche Cortana, suggestions.
• Advertising ID : identifiant publicitaire partagé avec applications.
• Activity history / Timeline : historique des fichiers et activités.
• Services : Connected User Experiences and Telemetry (DiagTrack), dmwappushservice, etc.

Microsoft distingue plusieurs niveaux (selon version) : Security, Basic, Enhanced/Required, Full. La suppression complète de toute télémétrie peut impacter certaines fonctionnalités (Windows Insider, troubleshooting).

Sources officielles Microsoft : documentation Diagnostic Data — https://learn.microsoft.com/en-us/windows/privacy/windows-diagnostic-data

3. Précautions et prérequis

Avant toute intervention :

1. Sauvegarde : créez un point de restauration système (Windows) et sauvegardez le registre.
   • Pas à pas : Démarrer → taper Créer un point de restauration → Ouvrir → Protection du système → Créer.
2. Compte administrateur : utiliser un compte disposant des droits administratifs.
3. Plan de test : appliquer d’abord sur poste de test / VM.
4. Journaliser : noter l’horodatage, créer un dossier d’investigation pour logs (ex. C:\Forensics\TelemetryAudit\).
5. Conformité : informer DPO/Conformité si modifications sur parc contenant données personnelles.

4. Méthode 1 — Désactivation via l’interface Windows (Paramètres) — étape par étape

4.1 Désactiver la collecte de données de diagnostic limitée (Windows 10/11)

1. Cliquez sur Démarrer → cliquez sur Paramètres (icône roue dentée).
2. Sélectionnez Confidentialité & sécurité (ou Confidentialité sous Windows 10).
3. Dans la section Diagnostics et commentaires :
   • Windows 11 : Paramètres → Confidentialité & sécurité → Diagnostics et commentaires.
   • Windows 10 : Paramètres → Confidentialité → Diagnostics et commentaires.
4. Réglez Données de diagnostic sur Required (Seulement sécurité) ou Basic si disponible. Si l’option « Security » n’apparaît pas, la version n’autorise pas ce réglage graphique ; passer aux méthodes 2 ou 3.
5. Désactivez Améliorer les expériences des produits et Envoyer des données d’utilisation si présents.
6. Cliquez sur Supprimer les données de diagnostic pour effacer les données déjà collectées.

4.2 Désactiver l’accès des applications à l’Advertising ID

1. Paramètres → Confidentialité & sécurité → Général.
2. Désactivez Autoriser les applications à utiliser l’identifiant d’annonceur (ID publicitaire).

4.3 Désactiver Activity History (Chronologie)

1. Paramètres → Confidentialité & sécurité → Historique des activités.
2. Décochez Autoriser Windows à collecter mes activités et Envoyer mon historique d’activité à Microsoft.
3. Cliquez sur Effacer pour supprimer l’historique stocké.

5. Méthode 2 — Désactivation via Éditeur de stratégie de groupe locale (GPO) — (Pro/Entreprise)

Utiliser GPO sur postes de domaine via GPMC ou gpedit.msc localement.

5.1 Pas-à-pas (Local)

1. Appuyez sur Win + R, tapez gpedit.msc → Entrée.
2. Dans l’arborescence : Configuration de l’ordinateur → Modèles d’administration → Composants Windows → Collecte de données et compilations préliminaires (Data Collection and Preview Builds).
3. Double-cliquez Autoriser la télémétrie (Allow Telemetry).
4. Définit la stratégie sur Désactivé ou 0 — Security si option disponible ; sinon sélectionner 1 — Basic (selon version). Cliquez Appliquer → OK.
5. Exécutez en admin : gpupdate /force pour appliquer immédiatement.
   • Ouvrir Invite de commandes en admin : taper gpupdate /force → Entrée.

5.2 GPO via domaine (GPMC)

1. Ouvrir la console Group Policy Management sur un contrôleur de domaine.
2. Créer / éditer GPO cible sur OU contenant les postes.
3. Configurer la même clé : Computer Configuration → Administrative Templates → Windows Components → Data Collection and Preview Builds → Allow Telemetry → définir sur 0.
4. Lier et forcer la réplication, puis exécuter gpupdate /force sur clients.

Remarque : la valeur 0 (Security) est disponible pour Windows 10 Enterprise/IoT/Server. Pour Windows Home/Pro, utiliser méthode registre.

6. Méthode 3 — Désactivation via Registre Windows (Home / universel) — étapes et commandes

6.1 Rappels de sécurité

Modifier le registre incorrectement peut rendre le système instable. Sauvegarder le registre avant.

• Sauvegarde registre : Win+R → tapez regedit → Fichier → Exporter → sauvegarder.

6.2 Valeurs de registre importantes

• Clé : HKLM\SOFTWARE\Policies\Microsoft\Windows\DataCollection
  • Valeur : AllowTelemetry (DWORD)
    • 0 = Security (limité, pas toujours disponible)
    • 1 = Basic
    • 2 = Enhanced (deprecated)
    • 3 = Full

6.3 Pas-à-pas (Regedit)

1. Win + R → tapez regedit → Entrée.
2. Naviguez : HKEY_LOCAL_MACHINE → SOFTWARE → Policies → Microsoft → Windows.
3. Si dossier DataCollection absent : clic droit sur Windows → Nouveau → Clé → nommez-la DataCollection.
4. Sélectionnez DataCollection → clic droit dans la zone droite → Nouveau → Valeur DWORD (32 bits) → nommez AllowTelemetry.
5. Double-clic sur AllowTelemetry → choisissez Valeur = 0 (ou 1 si 0 non supporté) → Base Hexadécimale/ Décimale → OK.
6. Redémarrez la machine.

6.4 Commandes PowerShell pour automatiser le registre

Ouvrir PowerShell en tant qu’administrateur et exécuter :

# Définit AllowTelemetry à 0 (Security) ; si non supporté, remplacez par 1 (Basic)
New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows" -Name "DataCollection" -Force | Out-Null
New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection" -Name "AllowTelemetry" -PropertyType DWord -Value 0 -Force
# Forcer actualisation des stratégies locales
gpupdate /force

Si la valeur 0 est rejetée par l’OS (Home), mettre 1. Toujours tester.

6.5 Désactiver les services télémétrie (DiagTrack & dmwappushservice)

Attention : désactiver certains services peut causer des effets secondaires. Tester.

Pas à pas pour service :

1. Win + R → tapez services.msc → Entrée.
2. Rechercher Connected User Experiences and Telemetry (DiagTrack).
3. Clic droit → Propriétés → Type de démarrage → Désactivé → Arrêter → OK.
4. Rechercher dmwappushservice (si présent) → même procédure.

Commande PowerShell (admin) :

# Arrêter et désactiver DiagTrack
Stop-Service -Name "DiagTrack" -ErrorAction SilentlyContinue
Set-Service -Name "DiagTrack" -StartupType Disabled
# Arrêter et désactiver dmwappushservice
Stop-Service -Name "dmwappushservice" -ErrorAction SilentlyContinue
Set-Service -Name "dmwappushservice" -StartupType Disabled

6.6 Supprimer tâches planifiées liées à la télémétrie

Exemple : supprimer tâche Connected Devices Platform / Customer Experience Improvement

# Liste des tâches liées à diagnostics (prévisualiser avant suppression)
Get-ScheduledTask | Where-Object { $_.TaskName -match "Diag|CustomerExperience" } | Format-Table TaskName,TaskPath

# Pour supprimer (exemple)
Unregister-ScheduledTask -TaskName "ScheduledTelemetryTask" -Confirm:$false

Toujours lister et vérifier avant suppression.

7. Méthode 4 — Script PowerShell automatisé (audit + durcissement)

Le script ci-dessous effectue : audit (état actuel), applique les modifications de registre, arrête et désactive services, sauvegarde artefacts. Exécuter en tant qu’administrateur.

Fichier : Hardening_DisableTelemetry.ps1

# Hardening_DisableTelemetry.ps1
# Usage: Executer en admin. Crée un dossier C:\Forensics\TelemetryAudit\ pour logs.

$logDir = "C:\Forensics\TelemetryAudit"
New-Item -Path $logDir -ItemType Directory -Force | Out-Null

# Audit : état actuel
Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection" -Name "AllowTelemetry" -ErrorAction SilentlyContinue | Out-File -FilePath "$logDir\registry_allowtelemetry.txt"

Get-Service -Name "DiagTrack","dmwappushservice" -ErrorAction SilentlyContinue | Select-Object Status,Name,StartType | Out-File -FilePath "$logDir\services_status.txt"

Get-ScheduledTask | Where-Object { $_.TaskName -match "Diag|CustomerExperience|Telemetry" } | Out-File -FilePath "$logDir\scheduledtasks.txt"

# Appliquer registre (0 = Security ; si erreur, 1 = Basic)
New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows" -Name "DataCollection" -Force | Out-Null
Try {
    New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection" -Name "AllowTelemetry" -PropertyType DWord -Value 0 -Force -ErrorAction Stop
    "Set AllowTelemetry=0" | Out-File "$logDir\actions.txt" -Append
} Catch {
    New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection" -Name "AllowTelemetry" -PropertyType DWord -Value 1 -Force
    "Set AllowTelemetry=1 (fallback)" | Out-File "$logDir\actions.txt" -Append
}

# Stop & disable services
$services = @("DiagTrack","dmwappushservice")
foreach ($s in $services) {
    Try {
        Stop-Service -Name $s -Force -ErrorAction Stop
        Set-Service -Name $s -StartupType Disabled
        "Stopped & Disabled $s" | Out-File "$logDir\actions.txt" -Append
    } Catch {
        "Failed to stop/disable $s : $_" | Out-File "$logDir\actions.txt" -Append
    }
}

# Flush policy
gpupdate /force | Out-File "$logDir\gpupdate.txt"

Write-Host "Audit et durcissement terminés. Logs : $logDir"

Déploiement : exécuter sur VM test puis déployer via Intune / SCCM / GPO.

8. Autres composants à neutraliser (Cortana, Advertising ID, Activity history, Diagnostic Data Viewer)

8.1 Désactiver Cortana (interface)

1. Paramètres → Apps → Apps installées → Rechercher Cortana → Options avancées → Désinstaller (si possible) ou Désactiver / supprimer l’autorisation de l’application.

8.2 GPO pour Cortana

GPO : Computer Configuration → Administrative Templates → Windows Components → Search → Allow Cortana → définir sur Disabled.

8.3 Advertising ID (GUI)

Paramètres → Confidentialité & sécurité → Général → Décocher Autoriser les applications à utiliser l’identifiant d’annonceur.

8.4 Clear Diagnostic Data + Diagnostic Data Viewer

• Supprimer données : Paramètres → Confidentialité & sécurité → Diagnostics et commentaires → Supprimer les données de diagnostic.
• Visualiser : télécharger Diagnostic Data Viewer depuis le Microsoft Store (optionnel) pour audit : https://www.microsoft.com/store/productId/9nblggh4r324 (https://www.microsoft.com/store/productId/9nblggh4r324)

9. Outils recommandés et contrôles post-opérationnels

9.1 O&O ShutUp10++ (outil tiers pour privacy)

• Téléchargement : O&O ShutUp10++ — https://www.oo-software.com/en/oo-shutup10
• Ce logiciel propose une interface centralisée pour appliquer recommandations de privacy. Utiliser après validation interne.

9.2 Vérifications à effectuer (post-changement)

• Confirmer AllowTelemetry via Regedit ou PowerShell :

Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection" -Name "AllowTelemetry"

• Vérifier services : Get-Service DiagTrack, dmwappushservice
• Scanner les tâches planifiées : Get-ScheduledTask | Where-Object { $_.TaskName -match « Diag|Telemetry » }
• Vérifier connectivité updates et Windows Update logs (WindowsUpdate.log) pour s’assurer que les mises à jour ne sont pas bloquées.

10. Bonnes pratiques organisationnelles (MDM, Intune, GPO, tests)

• MDM / Intune : déployer configuration via Intune : Policy “Configure Windows diagnostic data” — doc Microsoft : https://learn.microsoft.com/en-us/mem/intune/configuration/device-restrictions-windows-10 (https://learn.microsoft.com/en-us/mem/intune/configuration/device-restrictions-windows-10)
• Test & Validation : avant déploiement, valider chemins de restauration et support Microsoft (certains tickets requièrent télémétrie pour diagnostics).
• Processus : inclure ces changements dans le CMDB, workflows de changement, et procédure d’urgence rollback.

11. Limites, conséquences et conformité

• Impact fonctionnel : certaines analyses de compatibilité ou services Microsoft nécessitent la télémétrie. Désactiver peut limiter diagnostics avec le support Microsoft.
• Conformité RGPD : réduire la collecte est favorable ; documenter la justification et les impacts dans registre des traitements.
• Preuves & Audit : conserver logs d’avant/après pour audits.
• Support éditeur : informer fournisseurs (si SLA) que la télémétrie est restreinte.

12. Checklist opérationnelle imprimable (à copier/coller)

• Sauvegarde & point de restauration créés
• Audit initial : état registre AllowTelemetry, services, tâches planifiées (logs sauvegardés)
• Application GPO/Registre (AllowTelemetry) testée sur VM
• Services DiagTrack & dmwappushservice stoppés et désactivés (testés)
• Tâches planifiées liées à télémétrie revues/supprimées
• Cortana, Advertising ID, Activity History désactivés
• Outils tiers validés (O&O ShutUp10++) et politiques Intune prêtes
• Tests Windows Update et support IT validés
• Documentation interne / changement / rollback planifiée

13. Étude de cas de mise en œuvre en entreprise (plan d’action résumé)

Contexte : entreprise de 200 postes Windows 10 Pro; exigence RGPD stricte ; besoin d’audit.

Plan en 6 étapes :

1. POC sur 5 postes : appliquer script PowerShell, valider fonctionnalité applicative.
2. Documenter incidents et impact sur Windows Update, outils de monitoring.
3. Pack GPO pour Enterprise : définir AllowTelemetry=0 et déployer.
4. Déployer via Intune pour postes distants (policy device configuration).
5. Monitorer 30 jours : incidents de support, erreurs log.
6. Finaliser et intégrer en standard sécurité, informer DPO.

Conclusion

La maîtrise de la collecte de données Windows est un élément clé d’une stratégie de confidentialité et de conformité. Les méthodes présentées — GUI, GPO, registre et scripts PowerShell — permettent de réduire significativement la télémétrie tout en conservant un dispositif reproductible et auditable.

Pour une mise en œuvre sécurisée à l’échelle (POC, déploiement Intune/GPO, validation compatibilité), nous proposons :

• Audit gratuit initial de 60 minutes ;
• Pack POC (déploiement script et test sur x postes) ;
• Déploiement centralisé (Intune/SCCM/GPO) avec documentation et rollback plan.

Liens externes recommandés

• Microsoft — Diagnostic Data (Documentation) : https://learn.microsoft.com/en-us/windows/privacy/windows-diagnostic-data
• Microsoft — Configure Windows diagnostic data via Intune : https://learn.microsoft.com/en-us/mem/intune/configuration/device-restrictions-windows-10
• O&O ShutUp10++ (outil privacy) : https://www.oo-software.com/en/oo-shutup10
• Microsoft Store — Diagnostic Data Viewer : https://www.microsoft.com/store/productId/9nblggh4r324
• NCSC UK — Guidance on Privacy & Telemetry (recommandations générales) : https://www.ncsc.gov.uk/collection/end-user-device-security