Accueil du siteCulture
Canada : La plainte que la CIPPIC a déposée contre Facebook comprenait 24 allégations
jeudi 16 juillet 2009
par adi

Commissariat à la protection de la vie privée du Canada

Conclusions en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

Sommaire Plainte déposée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques Introduction

- Section 1 – Collecte de la date de naissance
- Section 2 – Paramètres de confidentialité par défaut
- Section 3 – Publicités de Facebook
- Section 4 – Applications de tiers
- Section 5 – Nouveaux usages des renseignements personnels
- Section 6 – Collecte de renseignements personnels de sources externes à Facebook
- Section 7a) – Désactivation et suppression du compte
- Section 7b) – Comptes des utilisateurs décédés
- Section 8 – Renseignements personnels des non-utilisateurs
- Section 9 – Facebook Mobile et mesures de sécurité
- Section 10 – Suivi des activités irrégulières
- Section 11 – Tromperie et fausse représentation

- Résumé des conclusions
- Annexe A
- Annexe B

Sommaire

La plainte La plainte que la Clinique d’intérêt public et de politique d’Internet du Canada (CIPPIC) a déposée contre Facebook comprenait 24 allégations portant sur 11 aspects distincts. Parmi ceux-ci, on retrouve les paramètres de confidentialité par défaut, la collecte et l’utilisation des renseignements personnels des utilisateurs à des fins publicitaires, la communication des renseignements personnels des utilisateurs aux tiers développeurs d’applications, et la collecte et l’utilisation des renseignements personnels des non-utilisateurs.

Les enjeux L’enjeu de la connaissance et du consentement était au cœur des allégations de la CIPPIC. Dans le cadre de son enquête, le Commissariat s’est penché sur la question de savoir si Facebook donnait suffisamment d’information pour soutenir le consentement valable des utilisateurs en documentant les fins de la collecte, de l’utilisation et de la communication des renseignements personnels et en portant ces fins à l’attention des personnes de manière raisonnablement directe et transparente. La question de la conservation des renseignements personnels fait plus précisément surface dans les allégations relatives à la désactivation et à la suppression des comptes ainsi qu’aux renseignements des non-utilisateurs. La question des mesures de sécurité occupait une place importante dans les allégations relatives aux applications de tiers et à Facebook Mobile.

Constatations et conclusions La commissaire adjointe n’a trouvé aucune preuve d’infraction à la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi) relativement à quatre des sujets (par exemple, tromperie et fausse représentation, Facebook Mobile) ; elle a donc conclu que les allégations n’étaient pas fondées. Pour quatre autres sujets (par exemple, les paramètres de confidentialité par défaut et la publicité), la commissaire adjointe a constaté que Facebook contrevenait à la Loi, mais a conclu que les allégations étaient fondées et résolues à la lumière des mesures correctives que Facebook proposait en réponse à ses recommandations.

En ce qui a trait aux autres sujets, soit les applications de tiers, la désactivation et la suppression du compte, les comptes des utilisateurs décédés, et les renseignements personnels des non-utilisateurs, la commissaire adjointe a également constaté que Facebook contrevenait à la Loi et a conclu que les allégations étaient fondées. En ce qui concerne ces quatre éléments, des questions demeurent irrésolues dans la mesure où Facebook n’a pas encore accepté d’adopter ses recommandations. Plus particulièrement à l’égard des applications de tiers, la commissaire adjointe a déterminé que Facebook n’avait pas mis en place des mesures de sécurité adéquates pour empêcher les développeurs d’applications d’accéder sans autorisation aux renseignements personnels des utilisateurs. De plus, l’organisation ne fait pas des efforts suffisants pour obtenir le consentement valable des personnes à la communication de leurs renseignements personnels aux développeurs d’applications.

Suivi Lorsqu’elle jugeait que les allégations fondées étaient résolues, la commissaire adjointe a avisé Facebook que le Commissariat effectuerait un suivi 30 jours après la présentation du rapport pour vérifier si les mesures correctives proposées avaient été mises en œuvre. Pour ce qui est des allégations fondées qui demeurent non résolues, la commissaire adjointe a demandé à Facebook de reconsidérer ses recommandations et l’a avisée que le Commissariat, dans le cadre du suivi qu’il effectuerait 30 jours après la présentation du rapport, chercherait également des preuves que les recommandations en suspens, ou des solutions de rechange acceptables, ont été acceptées et mises en œuvre.

Plainte déposée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi)

- 1 Dans une lettre datée du 30 mai 2008, des représentants de la Clinique d’intérêt public et de politique d’Internet du Canada (CIPPIC) ont déposé une plainte à multiples volets contre Facebook Inc. portant sur des questions allant de la collecte de la date de naissance au moment de l’inscription jusqu’à la communication de renseignements personnels à des tiers développeurs d’applications. En raison de la complexité de la plainte, le présent rapport a été divisé en une série de petits rapports abordant les diverses allégations regroupées par thème. Nous avons informé Facebook du dépôt de la plainte le 3 juin 2008.

- 2 Le 20 juin 2008, la CIPPIC a fourni des renseignements supplémentaires sur les allégations liées aux applications de tiers, notamment en ce qui concerne la tendance des tiers développeurs d’applications à commercialiser leurs produits par la publicité.

- 3 Facebook a présenté ses observations le 14 juillet 2008 et a offert une présentation technique au personnel du Commissariat à la protection de la vie privée du Canada le 21 août 2008.

- 4 Le Commissariat a présenté un rapport préliminaire aux deux parties le 27 mars 2009. Dans le rapport que nous avons remis à Facebook, nous avons fait état de plusieurs de nos inquiétudes et émis 20 recommandations.

- 5 Nous avons ensuite eu deux rencontres avec des représentants de Facebook, les 15 avril et 8 mai 2009, afin de discuter de notre rapport préliminaire et des préoccupations que nous avons formulées dans le rapport préliminaire. À la suite de chaque rencontre, Facebook a présenté des réponses écrites aux recommandations formulées dans le rapport préliminaire. Le présent rapport de conclusions est le résultat de notre enquête et de nos discussions avec Facebook.

Introduction

- 6 Le réseautage social en ligne est un phénomène culturel. La popularité de ces sites a explosé au cours des cinq dernières années — des millions de personnes partout dans le monde s’y inscrivent pour rester en relation avec leurs amis et leur famille et pour rencontrer des gens. Ces sites représentent un tournant spectaculaire dans la façon dont les gens communiquent, et ils soulèvent d’intéressantes questions par rapport à l’idée qui prévaut depuis longtemps de la vie privée et de la protection de cette dernière.

- 7 À une époque où tout le monde semble laisser l’empreinte numérique de ses points de vue, photos, croyances et parfois même de ses aléas amoureux, notre notion du contrôle de ses propres renseignements personnels — qui constitue le fondement de la Loi sur la protection des renseignements personnels et les documents électroniques — se trouve sérieusement ébranlée.

- 8 Facebook est le site de réseautage social le plus populaire au monde — il compte plus de 200 millions d’utilisateurs à travers le monde et presque 12 millions d’utilisateurs au Canada seulement. Facebook se définit comme « un utilitaire social qui facilite la communication entre amis, parents et collègues de travail » [traduction]. Son slogan est « Facebook vous aide à garder contact avec les personnes de votre entourage » [traduction].

- 9 À titre de défenseur du droit à la vie privée et de responsable de la conscientisation à ce sujet, notre rôle est clair. Les utilisateurs et les employeurs ont besoin d’un système de signalisation pour les aider à naviguer dans cet univers de façon à atteindre un équilibre entre les avantages que le réseautage social procure à plusieurs et la prise de conscience que ce qu’on affiche en ligne n’est jamais complètement privé.

- 10 De notre point de vue d’organisme de réglementation, les sites de réseautage social comme Facebook posent un défi intéressant. L’objectif de la Loi est de trouver un équilibre entre le besoin d’une organisation de recueillir, d’utiliser et de communiquer des renseignements personnels à des fins appropriées et le droit des personnes à la vie privée relativement à leurs renseignements personnels. Dans l’univers hors ligne, les organisations peuvent recueillir certains renseignements personnels, les utiliser et les communiquer, en vue de fournir un service particulier. Les utilisateurs de Facebook choisissent les renseignements qu’ils fournissent de façon à répondre à leurs propres besoins de réseautage social. Lorsqu’une personne souhaite s’inscrire à Facebook, l’entreprise lui demande de fournir seulement quatre renseignements personnels : le nom, l’adresse de courriel, la date de naissance et le sexe. Un utilisateur peut choisir de fournir volontairement d’autres renseignements précisément aux fins d’échange avec d’autres utilisateurs.

- 11 Bien sûr, les personnes en question affichent des renseignements personnels à des fins purement personnelles. Toutefois, si les renseignements qu’une personne affiche à des fins purement personnelles échapperaient normalement à la portée de la Loi, ils y sont bel et bien assujettis et la Loi impose des obligations à Facebook dans la mesure où Facebook utilise ces renseignements personnels dans le cadre de ses activités commerciales. Ce n’est pas conflictuel : les mêmes renseignements peuvent servir à la fois à des fins personnelles et commerciales. De telles situations sont présentées de façon très claire dans les sections du rapport qui traitent de la publicité et des renseignements des non-utilisateurs.

- 12 On peut raisonnablement supposer que les fonctions du site n’ayant pas de lien évident avec le modèle opérationnel de ce dernier sont proposées afin de rehausser l’expérience de l’utilisateur sur Facebook. Il est fort possible que de rehausser l’expérience du site encouragera les membres existants à continuer d’utiliser le site et encouragera possiblement d’autres personnes à s’inscrire — contribuant ainsi indirectement au succès de Facebook à titre d’entreprise commerciale. Aussi, la collecte, l’utilisation et la communication de renseignements personnels en relation à une fonction du site et sans lien direct, commercial et apparent peuvent tout de même être considérées comme se déroulant « dans le cadre d’activités commerciales » aux termes de la Loi.

- 13 Le contrôle qu’exerce une personne sur ses propres renseignements personnels est l’une des principales notions qui sous-tend la Loi. De même, la connaissance et le consentement sont les pierres angulaires de la loi. Plusieurs des plaintes déposées auprès du Commissariat se rapportent essentiellement à des questions de consentement ; je me suis donc penchée sur la question de savoir si le consentement, pour n’importe quel cas donné, était valable. Auparavant, le Commissariat jugeait le consentement valable lorsque la personne concernée était informée en termes clairs et compréhensibles des fins de la collecte, de l’utilisation et de la communication des renseignements personnels avant même que la collecte, l’utilisation ou la communication n’aient lieu. Il est relativement simple de décrire la façon selon laquelle Facebook satisfait à cette exigence en informant les utilisateurs de ses fins par l’entremise de sa Politique de confidentialité, ses conditions de service et d’autres documents. Nous avons fait plusieurs recommandations à Facebook — ils en ont accepté plusieurs et, dans d’autres cas, ont proposé des solutions de rechange acceptables — afin de s’assurer que les utilisateurs disposent de l’information nécessaire pour prendre des décisions valables par rapport à la mesure dans laquelle ils sont prêts à échanger des renseignements personnels. Si nous sommes partisans de la notification « en temps réel », nous n’oublions pas, et nous apprécions, que Facebook souhaite proposer à ses utilisateurs une expérience sans heurts.

- 14 Toutefois, à l’instar de toute enquête sur une plainte, nous étudions le cas en fonction des preuves présentées et le modèle de cette entreprise est différent de ceux étudiés dans le passé. Notre point de vue sur la publicité s’est adapté au modèle opérationnel des sites de réseautage social. Nous reconnaissons que les utilisateurs doivent accepter la publicité dans une certaine mesure, puisque le site est offert gratuitement et l’entreprise doit générer des revenus. Toutefois, nous faisons une distinction (Facebook aussi, d’ailleurs) entre les différents types de publicité et de consentement. En ce qui a trait aux tierces parties, une organisation ayant un modèle traditionnel peut sous-traiter une partie de ses opérations à des tiers (confiant donc des renseignements personnels à une autre entité), ou communiquer des renseignements personnels à une autre entreprise qui achète des listes de clients à des fins de marketing, par exemple. Dans le cadre de cette enquête, nous constatons que l’entreprise procure en effet à des tiers développeurs d’applications la capacité de récupérer les renseignements personnels des utilisateurs (et de leurs amis) qui s’inscrivent à ces applications. Nous entretenons des préoccupations relativement aux mesures de sécurité que Facebook a mises en places ; selon nous, elles pourraient être plus efficaces. Nous croyons également que Facebook devrait en faire beaucoup plus pour s’assurer que le consentement valable des utilisateurs est bel et bien obtenu quand les développeurs d’applications accèdent aux renseignements personnels de ces utilisateurs.

- 15 Quelques commentaires sur l’enquête et les conclusions : nous avons limité la portée de l’enquête aux utilisateurs ayant plus de 18 ans. Nos commentaires et nos conclusions ne tiennent donc pas compte de l’expérience des mineurs qui utilisent le site.

- 16 De plus, Facebook est un environnement dynamique qui a subi de nombreux changements, surtout en termes d’apparence et de documentation, depuis que la CIPPIC a déposé une plainte le 30 mai 2008. Par exemple, Facebook a lancé une nouvelle interface-utilisateur à l’automne 2008 et, récemment, les Conditions d’utilisation ont été remplacées par la Déclaration des droits et responsabilités. Mes constatations se fondent sur le site tel qu’il apparaissait au moment du dépôt de la plainte. Toutefois, les sections Allégations et Constatations tiennent largement compte des changements relatifs au site et à la documentation.

- 17 Je tiens à souligner que les utilisateurs de Facebook sont réputés pour faire part à l’entreprise de leur opinion par rapport aux particularités du site (qu’ils aiment ou qu’ils n’aiment pas). Suite à nos recommandations, Facebook a indiqué qu’il leur faudrait consulter les utilisateurs sur tout changement qu’ils prévoyaient faire à la documentation du site en raison de nos demandes. Bien que nous appréciions que Facebook juge la rétroaction des utilisateurs importante, les exigences et obligations législatives en vertu de la Loi ne sont pas subordonnées à l’approbation des utilisateurs.

- 18 Cela dit, Facebook fait des efforts louables pour offrir à ses utilisateurs des mesures de protection de la vie privée détaillées. Elles renferment souvent le type d’information nécessaire pour que les utilisateurs prennent des décisions raisonnables, bien que l’information se retrouve un peu partout à travers le site. L’une de nos recommandations consiste à demander à Facebook de réunir cette information sous une seule rubrique par souci de commodité. À notre avis, cela ne nuira pas outre mesure à l’expérience de l’utilisateur — cela répondrait même aux attentes raisonnables des utilisateurs.

- Nous — les sites de réseautage social, utilisateurs, employeurs, autorités de protection des données — commençons à peine à élaborer les règles d’engagement de ce nouvel univers. Le présent rapport est notre contribution à l’élaboration de ces règles. Nous sommes reconnaissants envers Facebook de leur coopération pendant toute la durée de l’enquête et nous apprécions son engagement manifeste à permettre aux utilisateurs d’exercer un contrôle sur leurs renseignements personnels tout en leur offrant la possibilité d’entrer en contact avec d’autres.

Section 1 – Collecte de la date de naissance

Allégations
- 20 La CIPPIC a allégué dans sa plainte que Facebook :

- 1 exigeait des utilisateurs qu’ils fournissent leur date de naissance comme condition d’inscription sans raison valable, en dérogation au principe 4.3.31 ;
- 2 n’expliquait pas correctement aux utilisateurs la raison pour laquelle ils devaient fournir leur date de naissance et la façon dont celle‑ci serait utilisée, en dérogation au principe 4.3.2.

Résumé de l’enquête

- 21 Au moment du dépôt de la plainte, un utilisateur devait fournir son nom, son adresse de courriel et sa date de naissance pour ouvrir un compte Facebook. Un lien « Pourquoi dois‑je fournir ceci ? » [traduction] se trouve sous le champ Date de naissance. Dans la fenêtre contextuelle intitulée « Pourquoi dois‑je fournir ma date de naissance ? » [traduction], on peut notamment lire ceci : « Facebook demande à tous ses utilisateurs de fournir leur vraie date de naissance par mesure de sécurité et pour assurer l’intégrité du site. Vous pourrez masquer cette information de votre profil, si vous le souhaitez » [traduction]. Il est donc à noter que les utilisateurs peuvent masquer entièrement ou partiellement leur date de naissance de leur profil.

- 22 Dans ses observations écrites au Commissariat, Facebook affirme qu’elle se sert de la date de naissance pour calculer l’âge et ainsi faire respecter l’exigence concernant l’âge minimal de 13 ans, et appliquer des dispositions particulières aux adultes qui regardent le profil de mineurs.

- 23 Facebook affirme limiter l’inscription aux personnes de 13 ans et plus en vertu d’une exigence de la Children ’s Online Privacy Protection Act (COPPA) des États‑Unis. En particulier, la COPPA interdit aux sites Internet de recueillir des renseignements personnels sur des enfants de moins de 13 ans sans le consentement parental vérifiable. Facebook indique qu’elle exige la date de naissance plutôt que de demander simplement à l’utilisateur s’il est âgé de 13 ans ou plus pour se conformer à une pratique exemplaire recommandée par la Federal Trade Commission (FTC), l’organisme américain responsable de la mise en application de la COPPA. Dans un rapport au Congrès intitulé Implementing the Children’s Online Privacy Protection Act, la FTC expose son point de vue sur la vérification de l’âge en ligne : « Un site dont la page d’inscription permet uniquement d’inscrire une année de naissance à partir de l’âge de 13 ans ou qui signale aux visiteurs que les enfants de moins de 13 ans ne peuvent participer au site risque d’encourager la falsification. Au contraire, un site qui permet aux visiteurs d’inscrire une date de naissance et qui n’indique pas la raison pour laquelle il exige ce renseignement sera plus en mesure de repérer efficacement les enfants de moins de 13 ans » [traduction].

- 24 La FTC encourage également les sites à utiliser un mécanisme de suivi afin d’éviter que les enfants reviennent en arrière pour modifier leur date de naissance après avoir été bloqués d’un site.

- 25 Dans sa réponse aux allégations de la CIPPIC, Facebook renvoie à une entente qu’elle a conclue en mai 2008 avec 49 secrétaires à la Justice des États-Unis. L’entente, qui vise à accroître la sécurité de Facebook pour les mineurs, comprend des dispositions relatives à la conception et à la mise en œuvre de technologies et de fonctionnalités qui : empêchent les utilisateurs n’ayant pas l’âge requis d’accéder au site ; protègent les mineurs contre les contacts inappropriés ; protègent les mineurs contre un contenu inapproprié ; offrent des outils de sécurité à tous les utilisateurs de sites de réseautage social. Par exemple, Facebook a convenu de mettre en place et d’appliquer le blocage de l’accès en fonction de l’âge ainsi que de surveiller et d’examiner le profil des utilisateurs qui modifient leur âge pour indiquer qu’ils ont plus ou moins de 18 ans.

- 26 Toujours dans le cadre de cette initiative, Facebook a convenu de participer au groupe de travail Internet Safety Technical Task Force, piloté par le Berkman Center for Internet and Society de l’Université Harvard. Créé à la suite d’un accord entre les secrétaires à la Justice des États-Unis et MySpace, le groupe de travail traite de l’implantation d’un logiciel de vérification de l’âge et de l’identité. Dans son rapport définitif de décembre 2008 intitulé Enhancing Child Safety and Online Technologies, le groupe établit, évalue et propose des solutions pour contrer les risques que représente le Web pour les enfants et les jeunes.

- 27 Dans ses observations au Commissariat, Facebook fait remarquer que le dialogue du groupe de travail s’est tenu en public et fait valoir qu’il est donc fallacieux de la part de la CIPPIC de suggérer que Facebook n’a pas été transparente quant aux raisons pour lesquelles elle exige la date de naissance.

- 28 En février 2009, Facebook faisait partie des 17 services de réseautage social ayant signé une entente de la Commission européenne visant à améliorer la sécurité des services de réseautage social pour les jeunes Européens. Parallèlement à cette entente, la Commission européenne a publié le document Safer Social Networking Principles for the EU, dans lequel elle défend diverses mesures de sécurité prises selon l’âge des utilisateurs.

- 29 La seconde raison invoquée par Facebook pour justifier la collecte de la date de naissance comme condition de service est de contribuer à vérifier l’identité des adultes. Les comportements interdits dans le site étaient indiqués dans les Conditions d’utilisation et le Code de conduite de Facebook au moment de la plainte. Notamment, en acceptant les Conditions d’utilisation et le Code de conduite, les utilisateurs conviennent de ne pas utiliser le service pour se faire passer pour toute personne physique ou morale, ou faire une fausse déclaration ou représentation au sujet d’eux‑mêmes, de leur âge ou de leur affiliation avec une personne physique ou morale. En date du 1er mai 2009, les Conditions d’utilisation avaient été remplacées par une Déclaration des droits et responsabilités, qui remplit en général la même fonction.

- 30 Facebook encourage les personnes à présenter leur véritable identité, car elle considère que cela favorise un environnement en ligne sécuritaire, en incitant les internautes à assumer la responsabilité de leurs actes. Dans le cadre de la surveillance des comportements anormaux, Facebook tient compte de l’âge de l’utilisateur et de ses activités dans le site, notamment les réseaux dont il est membre et l’âge de ses amis. Tout écart déclenche un signalement.

- 31 Dans ses observations au Commissariat, Facebook affirme ce qui suit :

« La responsabilité des propos tenus et des activités réalisées sur Facebook est la norme ; cette disposition a permis de réduire le risque d’usage abusif, mais non de l’éliminer. » [traduction].

- 32 Facebook mentionne la limite d’âge minimale de 13 ans à plusieurs reprises dans sa Politique de confidentialité, dans la nouvelle Déclaration des droits et responsabilités et dans la section Aide du site, sous le titre Sécurité. Pour s’inscrire, les utilisateurs doivent reconnaître qu’ils ont lu et accepté la Politique de confidentialité et les Conditions d’utilisation (maintenant remplacée par la Déclaration des droits et responsabilités). Cependant, aucune mention précise de la collecte de la date de naissance n’est faite dans ces documents.

- 33 En fait, le site Facebook ne contient aucune mention précise de la collecte de la date de naissance, à l’exception de la fenêtre contextuelle mentionnée ci‑dessus. Interrogée à ce sujet, Facebook a indiqué ce qui suit : « L’avis au moment de la collecte constitue une pratique exemplaire de l’industrie. [...] Notre Politique de confidentialité traite des exigences d’âge et il est fait explicitement mention des utilisateurs de moins de 13 ans et de ceux âgés de 13 à 18 ans. Cette section ne serait pas pertinente si nous ne recueillions pas la date de naissance. En outre, les avis réguliers d’anniversaires, par l’entremise de la page d’accueil et du service de courriel, rappellent aux utilisateurs que les dates de naissance ont été demandées et qu’elles peuvent être utilisées pour le fonctionnement du site » [traduction].

- 34 Facebook a également confirmé que l’âge des utilisateurs servait à des fins publicitaires. Elle signale notamment ceci : « L’âge de l’utilisateur ne peut être utilisé que sous une forme non nominale à des fins publicitaires, conformément aux dispositions de ciblage des données du profil de la Politique de confidentialité : “Facebook peut utiliser les données de votre profil sans vous identifier en tant qu’individu vis‑à‑vis des tiers” » [traduction].

- 35 Selon les observations de Facebook présentées au Commissariat et une revue des documents contenus sur le site, le Commissariat a d’abord cru que, si un utilisateur choisissait de masquer sa date de naissance du profil, celle‑ci ne serait pas utilisée à des fins publicitaires. Cependant, il a été porté à notre attention qu’une utilisatrice de Facebook ayant choisi de « masquer », pour reprendre l’expression de Facebook, sa date de naissance de son profil avait néanmoins reçu une publicité de Facebook destinée aux personnes de son âge.

- 36 À partir d’autres observations de Facebook à cet égard, nous avons établi ceci : En offrant aux utilisateurs la possibilité de « masquer » leurs dates de naissance de leurs profils, Facebook ne permet en fait que de rendre celles‑ci « invisibles », et n’empêche pas leur utilisation à des fins publicitaires ou par des applications de tiers. Facebook considère donc une date de naissance « masquée » d’un profil comme une information de « profil » qui peut être utilisée à des fins publicitaires. Par information de « profil », Facebook n’entend pas nécessairement les renseignements qui apparaissent à l’onglet Profil du compte de l’utilisateur.

- 37 Ces nouveaux renseignements clarifient un commentaire formulé précédemment par Facebook : « Nous ne croyons pas qu’il y ait une différence d’ordre juridique entre l’information d’inscription et celle du profil, puisque ces renseignements sont fournis par la même personne à la même entité, aux fins générales mentionnées dans la Politique de confidentialité et indiquées à l’utilisateur par le fonctionnement du service » [traduction].

- 38 Il est à noter toutefois que Facebook ne mentionne aucunement, dans sa Politique de confidentialité ou ailleurs dans le site, qu’elle ne fait aucune distinction entre l’information d’inscription et celle du profil et que le masquage de la date de naissance du profil n’empêche pas l’utilisation de celle‑ci à des fins de publicités ciblées. En fait, Facebook ne définit clairement nulle part ce qu’elle entend par « information du profil ».

Application

- 39 Pour en arriver à nos conclusions, nous avons appliqué les principes 4.1.4d), 4.2.1, 4.2.3, 4.3, 4.3.2, 4.3.3 et 4.8, ainsi que le paragraphe 5(3).

- 40 Le principe 4.1.4d) stipule notamment que les organisations doivent assurer la mise en œuvre des politiques et pratiques destinées à donner suite aux principes, y compris la rédaction des documents explicatifs concernant leurs politiques et procédures.

- 41 Le principe 4.2.1 prévoit qu’une organisation doit documenter les fins auxquelles les renseignements personnels sont recueillis afin de se conformer au principe 4.8 (transparence) et au principe 4.9 (accès aux renseignements personnels).

- 42 Le principe 4.2.3 établit notamment qu’il faudrait préciser à la personne auprès de laquelle on recueille des renseignements, avant la collecte ou au moment de celle‑ci, les fins auxquelles ils sont destinés.

- 43 Le principe 4.3 précise, entre autres, que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire.

- 44 Le principe 4.3.2, s’appuyant sur les notions de connaissance et de consentement énoncées au principe 4.3, stipule que les organisations doivent faire un effort raisonnable pour s’assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon à ce que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués.

- 45 Le principe 4.3.3 prévoit qu’une organisation ne peut pas, pour le motif qu’elle fournit un bien ou un service, exiger d’une personne qu’elle consente à la collecte, à l’utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires pour réaliser les fins légitimes et explicitement indiquées.

- 46 Le principe 4.8 précise qu’une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne.

- 47 Le paragraphe 5(3) établit qu’une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances.

Constatations

- 48 Dans la pratique, Facebook exige la date de naissance des utilisateurs aux fins : - 1d’appliquer la politique d’âge minimum requis du site afin de protéger la sécurité des mineurs ; - 2 d’assurer que les utilisateurs recourent à leur véritable identité sur le site afin de réduire l’incidence de contenu et de comportements inappropriés et de promouvoir un environnement sécuritaire et respectueux à l’endroit de tous les utilisateurs.

- 49 À mon avis, ces fins sont légitimes et appropriées aux termes du paragraphe 5(3) ; la collecte de la date de naissance est nécessaire à la réalisation de ces fins. Il est donc raisonnable que la prestation des services de Facebook soit conditionnelle à l’obtention de la date de naissance.

- 50 Néanmoins, puisque la Loi indique clairement que le consentement dépend de l’entendement des fins, et compte tenu du besoin accru de transparence relativement à la collecte et l’utilisation d’un renseignement personnel tant convoité par les voleurs d’identité, je suis préoccupée à l’idée qu’à certains égards, Facebook ne fait pas des efforts raisonnables, conformément au principe 4.3.2, pour documenter, préciser et expliquer les fins de la collecte de la date de naissance des utilisateurs.

- 51 Je trouve que l’énoncé des fins « assurer l’intégrité du site », tel qu’il apparaît dans la fenêtre contextuelle, est vague. Le principe 4.3.3 stipule que les fins doivent non seulement être légitimes, mais « explicitement indiquées ». Je doute que la phrase en question soit raisonnablement compréhensible pour l’utilisateur moyen de Facebook. Comme je considère que la notification en temps réel est le meilleur moyen d’informer les gens sur l’utilisation de leurs renseignements personnels dans un environnement en ligne, je vois d’un œil favorable que Facebook ait choisi la notification en temps réel par le biais d’une fenêtre contextuelle expliquant la collecte de la date de naissance. Toutefois, il me semble contre-productif de poser une question si claire pour ensuite fournir une réponse si vague. À mon avis, la phrase n’est pas assez claire, ni assez précise pour garantir la compréhension de l’utilisateur afin que ce dernier fasse des choix éclairés relativement au consentement, conformément au principe 4.3.

- 52 Je remarque que la fenêtre en question traite des fins pour lesquelles Facebook demande la date de naissance, mais elle ne donne aucune précision quant à d’autres fins de son utilisation — notamment la publicité ciblée selon l’âge. À mon avis, ayant adopté ce qu’ils qualifient eux-mêmes de « pratique exemplaire » relativement à la notification au moment de la collecte de la date de naissance, Facebook devrait tirer profit au maximum de cette pratique en avisant les utilisateurs, au moment de l’inscription, de toutes les fins auxquelles la date de naissance servira.

- 53 La fenêtre contextuelle est le seul endroit du site qui fait mention spécifiquement de la date de naissance dans le contexte des fins de la collecte et de l’utilisation. Bien que la Politique de confidentialité aborde de façon générale les fins possibles à l’utilisation de l’information du profil, y compris la publicité ciblée, il n’est pas spécifiquement question de la date de naissance dans ce contexte. Puisque la date de naissance est un renseignement exigé qui sera utilisé à des fins essentielles ainsi qu’à d’autres fins, il serait nécessaire, à mon avis, de faire la distinction et d’expliquer clairement toutes les utilisations dans la Politique de confidentialité.

- 54 À défaut de documents présentant des définitions et des explications claires, Facebook fait en sorte que les utilisateurs risquent d’avoir l’impression qu’ils peuvent refuser de recevoir de la publicité ciblée selon l’âge. Facebook avise les utilisateurs qu’on pourrait utiliser l’information du profil à des fins de publicité ciblée ou pour des applications tierces, mais indique aussi qu’il est possible de « masquer » la date de naissance dans leur profil. À mon avis, les utilisateurs peuvent raisonnablement présumer que l’information du profil consiste en les renseignements apparaissant dans le profil et qu’en masquant la date de naissance dans le profil, celle-ci ne serait plus considérée comme de l’information de profil et, par conséquent, ne serait pas utilisée à des fins de publicité. Il appert cependant que « masquer » la date de naissance signifie simplement que les autres utilisateurs de Facebook ne le verront pas. Pour Facebook, une date de naissance « masquée » fait tout de même partie de l’information de profil et demeure accessible à des fins de publicité ciblée. Facebook se doit d’expliquer ce que signifie « information de profil » et de préciser que même si une date de naissance est masquée dans le profil, elle pourra tout de même être utilisée à des fins publicitaires. La publicité est abordée plus en détail à la section 3 du présent rapport.

- 55 En somme, en ce qui a trait à la collecte de la date de naissance, je constate que Facebook contrevient aux principes précités, notamment les principes 4.2.3 et 4.3.2.

Recommandations et réponse

- 56 Dans mon rapport préliminaire, je recommandais à Facebook : - 1 de revoir la phrase de la fenêtre contextuelle « pour assurer l’intégrité du site » afin de mieux représenter la véritable fin et de la rendre plus compréhensible pour les utilisateurs ;
- 2 de modifier sa Politique de confidentialité afin d’expliquer les raisons pour lesquelles la date de naissance est précisément exigée et les fins auxquelles elle est utilisée ;
- 3 de revoir les documents du site, au besoin, y compris la fenêtre contextuelle de la page d’inscription, afin de définir clairement ce qu’elle entend par « information du profil » et de dissiper l’impression que masquer la date de naissance de son profil signifie qu’elle ne sera pas utilisée à des fins de publicités ciblées ;
- 4 d’indiquer, dans la fenêtre contextuelle qui précise l’objectif de la collecte de la date de naissance, que celle‑ci est également exigée à des fins de publicités ciblées ; Facebook devrait également mentionner toute autre fin à laquelle elle prévoit utiliser ou communiquer la date de naissance des utilisateurs.

- 57 En réponse aux recommandations, Facebook a accepté de modifier le libellé dans la fenêtre contextuelle concernée comme suit : « Facebook demande à tous les utilisateurs de fournir leur date de naissance réelle pour promouvoir l’authenticité et fournir un accès au contenu approprié selon l’âge. Vous pourrez masquer cette information si vous le souhaitez et son utilisation est régie par la Politique de confidentialité de Facebook » [traduction]

- 58 Facebook a également accepté d’apporter des modifications à la formulation de sa Politique de confidentialité relativement à l’utilisation des renseignements personnels à des fins publicitaires et a déclaré s’engager à « faire preuve de transparence en ce qui a trait à la collecte et l’utilisation de renseignements à des fins publicitaires » [traduction].

- 59 Facebook a indiqué que tout changement au libellé de sa Politique de confidentialité serait soumis aux utilisateurs pour une « période de préavis et de réception des commentaires ». Toutefois, indépendamment de l’assentiment des utilisateurs, le Commissariat s’attend à ce que Facebook respecte son engagement à satisfaire à ces recommandations.

Conclusion

- 60 Je suis confiante qu’une fois mises en œuvre, les mesures correctives que propose Facebook, telles que présentées ci-dessus, sauront satisfaire à nos recommandations et permettront à Facebook de se conformer à la Loi. Aussi, je conclus que les allégations à cet effet sont fondées et résolues.

- 61 Nous effectuerons un suivi auprès de Facebook au sujet de la mise en œuvre de ces mesures dans les 30 jours suivant la présentation de ce rapport. 1 Tous les principes auxquels on fait référence dans le présent rapport sont tirés de l’annexe 1 de la Loi sur la protection des renseignements personnels et les documents électroniques, L.C., 2000, ch. 5.

Section 2 – Paramètres de confidentialité par défaut m m m

 

Répondre à cet article
Articles de cette rubrique
  1. Multiculturalistes : Le Festival Tumbuktum à Saint-Hubert (Québec)
    18 mai 2006

  2. UNESCO : Prix Houphouët-Boigny pour la Recherche de la Paix 2005
    17 mai 2006

  3. Canada International portal
    15 juin 2006

  4. Miss Univers, une 4è couronne à l’Afrique ?
    22 juillet 2006

  5. Zuleyka Rivera, Miss Porto Rico, couronnée Miss Univers 2006
    24 juillet 2006

  6. La Tchèque Tatana Kucharova, couronnée Miss Monde 2006
    2 octobre 2006

  7. Filantropica, film roumain aux Archives Canada
    1er décembre 2006

  8. La presse chinoise riche d’un nouveau site web
    2 février 2007

  9. La gastronomie chinoise à l’honneur
    22 février 2007

  10. Le Canada savoure son oscar et félicite Torill Kove
    26 février 2007

  11. Vernissage de "Images du Mexique"
    15 mai 2007

  12. Palme d’Or au cinéma roumain
    27 mai 2007

  13. Riyo Mori du Japon, sacrée Miss Univers 2007
    28 mai 2007

  14. Découvrons les communautés culturelles à Gatineau
    31 mai 2007

  15. Le gouvernement français en partenariat avec RFI
    31 mai 2007

  16. TTYL means Talk To You Later
    1er juin 2007

  17. UNESCO : Patrimoine mondial, la liste s’allonge
    4 juin 2007

  18. Archaeology : Tomb of King Herod Discovered at Herodium
    8 juin 2007

  19. President Bush Celebrates Black Music Month at the White House
    22 juin 2007

  20. La planète à Gatineau
    29 juin 2007

  21. Hull, 150 ans auparavant
    29 juin 2007

  22. Bienvenu au Stampede de Calgary 2007
    6 juillet 2007

  23. The New 7 Wonders of the World are
    7 juillet 2007

  24. Malgré les efforts héroïques des 6 soldats, porteurs du corps, le cercueil refusait de partir
    14 juillet 2007

  25. Inauguration du Pavillon du Niger au Parc Safari de Hemmingford (Québec)
    25 juillet 2007

  26. La momie du pharaon Toutankhamon exposée pour la première fois
    5 novembre 2007

  27. Une tournée africaine pour faire ses adieux au public
    10 novembre 2007

  28. Miss Canada Jessica Nicole Trisko crowned Miss Earth 2007
    11 novembre 2007

  29. MISS ZI LIN ZHANG OF CHINA PR , CROWNED MISS WORLD 2007
    1er décembre 2007

  30. La Sénégalaise Diallo Aminata sacrée Miss CEDEAO 2007
    2 décembre 2007

  31. Priscila Perales, Miss International 2007
    15 octobre 2007

  32. "African Spirit" of Soweto Gospel Choir won the second Grammy Award
    11 février 2008

  33. Celine Dion sets foot on African soil
    12 février 2008

  34. L’UNICEF réunit 19 millions de dollars pour reconstruire l’enseignement primaire
    26 février 2008

  35. President Mbeki to attend the launch a biography on his mother, Epainette Nomaka Mbeki
    7 mars 2008

  36. Photographie : Carla Bruni-Sarkozy se vend nue à 91000 dollars
    11 avril 2008

  37. Des avancées vers la connectivité du continent africain
    14 mai 2008

  38. Une fierté à partager !
    21 mai 2008

  39. Tant d’histoires, chanson officielle du 400e anniversaire de Québec
    23 mai 2008

  40. John McCain, un "mec ridé aux cheveux blancs" selon Paris Hilton
    7 août 2008

  41. Les éditions des grands quotidiens américains réimprimées
    8 novembre 2008

  42. Dalida encore présente dans nos mémoires,
    12 novembre 2008

  43. Le Vatican va nommer une fillette de six ans "docteur de l’Eglise"
    14 novembre 2008

  44. Exposition d’œuvres d’art
    17 novembre 2008

  45. Démarrage à Abidjan du Forum africain des Rois, Sultans et Chefs coutumiers Côte d’Ivoire
    2 décembre 2008

  46. Mireille Nanie, Miss Côte d’Ivoire élue Miss CEDEAO
    9 décembre 2008

  47. Fermeture définitive de la Cathédrale Jean-Marie-Vianney
    28 décembre 2008

  48. Miss Kseniya SUKHINOVA of Russia is crowned Miss World 2008
    18 janvier 2009

  49. La mère de Cléopâtre était africaine
    16 mars 2009

  50. Concours : Quand les femmes jugent les hommes
    23 mars 2009

  51. Kamaliya Shmarenkova de l’Ukraine, Mrs. World 2008
    2 avril 2009

  52. UNESCO : La Bibliothèque numérique mondiale est lancée
    21 avril 2009

  53. How do you kiss in your country ?
    18 mai 2009

  54. UNESCO : Nouvelle liste du patrimoine mondial
    26 juin 2009

  55. Le Président Lula da Silva a reçu à l’UNESCO le Prix Félix Houphouët-Boigny pour la recherche de la paix
    7 juillet 2009

  56. Canada : La plainte que la CIPPIC a déposée contre Facebook comprenait 24 allégations
    16 juillet 2009

  57. Unesco : Un premier tour pour rien
    18 septembre 2009

  58. Le jury du Goncourt récompense, dès le premier tour, Marie NDiaye
    3 novembre 2009

  59. Une belle fête de fin d’année scolaire avec des jeunes enfants
    17 juin 2010

  60. La fin du « Larry King Live »
    2 juillet 2010

  61. L’Angolaise Leila Lopes élue Miss Univers 2011
    13 septembre 2011

  62. Nécrologie : Sylvie et Guy rendent un ultime et émouvant hommage à papa Florent
    24 octobre 2011

  63. La Vénézuélienne Ivian Lunasol Sarcos Colmenares, couronnée Miss Monde 2011
    6 novembre 2011

  64. Miss Awoulaba fait des émules à Toronto : Serwaa originaire du Ghana, sacrée Miss de la 2ème édition
    18 février 2012

  65. Célébration du sixième mariage du président sud-africain
    21 avril 2012

  66. RFI/France 24 : une dizaine de candidats pour la présidence de l’AEF
    3 septembre 2012

  67. En Russie, Depardieu se voit offrir maison et poste de ministre de la Culture en Mordovie
    6 janvier 2013

  68. Le bateau-livre, rencontre poétique entre deux rives
    28 août 2013

  69. Edilivre : "Le Chef d’entreprise face à la crise", une oeuvre de Soumahoro Alfa Yaya
    19 septembre 2013

  70. La Canadienne Alice Munro, prix Nobel de littérature 2013
    10 octobre 2013

  71. Noël messe de 21 h : 5 dollars par personne
    24 décembre 2013

  72. Berlin accueillera-t-elle la première église-mosquée-synagogue ?
    22 juin 2014

  73. Miss Guinée Canada 2014 : Quand la beauté retient l’attention
    1er septembre 2014

  74. Déchue, une reine de beauté birmane s’enfuit avec sa couronne
    2 septembre 2014

  75. 23 year old Megan Young was earlier this evening crowned Miss World 2013 !
    28 septembre 2013

  76. 24 juin, le Québec en fête
    24 juin 2007

  77. 47 nouveaux sites demandent leur inscription sur la Liste du patrimoine mondial
    20 juin 2008

  78. 400 films, 116 pays, voici la 57e Berlinale de Berlin
    2 février 2007

  79. 500 artistes du monde entier exposent à Kassel
    18 juin 2007