voir le bulletin au format PDF
Vancouver
Calgary
Toronto
Ottawa
Montréal
Québec
Londres
Johannesburg
www.fasken.com
Bulletin Protection de l’information et de la vie privée
Août 2009 Fasken Martineau DuMoulin S.E.N.C.R.L., s.r.l.
Facebook a contrevenu à plusieurs dispositions de la Loi sur la protection
des renseignements personnels et les documents électroniques
Julie Cuddihy et Charles Lupien, Montréal
À la fin du mois de mai de l'année
2008, la Clinique d’intérêt public et de
politique d’Internet du Canada
(« CIPPIC ») a déposé une plainte
contre Facebook auprès du
Commissariat à la protection de la vie
privée du Canada (le
« Commissariat »). Selon la plainte, le
site web de réseautage social
contrevenait à plusieurs dispositions et
principes de la Loi sur la protection
des renseignements personnels et les
documents électroniques (la « Loi »).
Le 16 juillet 2009, le Commissariat a
publié ses conclusions relatives aux
allégations de la CIPPIC qui portaient
sur le principe fondamental du
consentement éclairé prévu à la Loi.
Le Commissariat a étudié
24 allégations. Pour les fins du présent
article, nous examinerons trois aspects
qui suscitent un intérêt particulier.
D’abord, le Commissariat a enquêté
pour savoir si Facebook avait obtenu
un consentement éclairé des
utilisateurs en leur expliquant
adéquatement le but pour lequel il
recueillait, utilisait ou divulguait des
renseignements personnels.
Deuxièmement, le Commissariat a
porté une attention toute particulière
aux pratiques de Facebook
relativement à la conservation des
renseignements personnels de
l’utilisateur au moment de la
désactivation ou de la suppression du
compte. Finalement, la question des
mesures de sécurité des
renseignements personnels des
utilisateurs à l'égard des applications
de tiers a occupé également une partie
importante de l’enquête.
1. Renseignements personnels et la
Loi
La Loi a été adoptée en 1999 et est
entrée en vigueur sur une période de
plusieurs années jusqu’en 2004. Elle
s’applique aux organismes du secteur
privé au Canada exerçant des activités
commerciales, à moins qu’une
province n’ait adopté une loi
essentiellement semblable, auquel cas
la loi provinciale s’appliquera en règle
générale. À ce jour, seules les
provinces du Québec, de l’Alberta et
de la Colombie-Britannique ont
adopté une législation semblable.
De façon générale, la Loi a pour but
de protéger les renseignements
personnels d'un individu. Lorsqu’un
organisme privé tel Facebook recueille
des renseignements personnels auprès
d’une personne, elle doit informer
ladite personne des fins pour
Fasken Martineau DuMoulin S.E.N.C.R.L., s.r.l. 2
Bulletin Protection de l’information et de la vie privée
lesquelles ces renseignements sont recueillis et
obtenir le consentement de celle-ci à une telle
collecte et à tout usage approprié ou divulgation
ultérieure de ces renseignements. De plus, la
collecte de renseignements doit se limiter aux
renseignements nécessaires pour réaliser les fins
indiquées. Une fois les renseignements
recueillis, ils ne peuvent être utilisés ni
divulgués à aucune autre fin que celle pour
laquelle ils ont été initialement recueillis, à
moins d'obtenir le consentement de la personne.
En vertu de la Loi, les renseignements
personnels sont définis de façon générale
comme étant « tout renseignement concernant
un individu identifiable ». Il n’existe pas de liste
exhaustive ou de catégorie de renseignements
qui pourraient être considérés comme
« identifiables ». La norme utilisée en vertu de
la législation canadienne sur les renseignements
personnels repose plutôt sur le caractère
raisonnable. En bref, les parties qui recueillent,
utilisent ou divulguent des renseignements
doivent se demander si les renseignements
peuvent raisonnablement permettre d’identifier
une personne. Si la réponse est positive, dès lors
les renseignements sont considérés comme des
« renseignements personnels » et les parties
doivent respecter les obligations prévues par la
Loi.
Dans le cas de Facebook, les utilisateurs sont
tenus de fournir des renseignements personnels
au moment de l’inscription. Des
renseignements personnels se retrouvent aussi
dans le contenu qu’ils ont créé ou téléchargé sur
Facebook par leur utilisation du site web.
2. Comprendre Facebook
Facebook est souvent décrit dans les médias
comme un site de « réseautage social ».
L’expérience de réseautage social commence
lorsqu’un visiteur s’inscrit en créant un profil
personnel pour lequel il fournit des
renseignements personnels à Facebook. Le
profil comprend au minimum les mêmes
renseignements que ceux fournis au moment de
l’inscription, à savoir : le nom de la personne,
son âge (qui peut être masqué en totalité ou en
partie), son sexe et son adresse courriel.
Toutefois, les profils sur Facebook peuvent
contenir d’autres renseignements portant, entre
autres, sur la scolarité, le lieu de travail, les
loisirs, les intérêts et plus encore. Ces
renseignements constituent tous des exemples
de renseignements personnels fournis par un
utilisateur.
L’aspect « social » est la façon dont un profil
interagit avec un autre. Les profils deviennent
connectés lorsque les utilisateurs deviennent des
« amis » sur Facebook; un processus aux termes
duquel un utilisateur demande à l’autre la
permission de l’ajouter à sa « liste d’amis ».
Une fois qu’un utilisateur a établi sa liste
d’amis, il recevra des mises à jour périodiques
des activités de ses amis sur Facebook. Par
exemple, si un ami accepte une invitation à un
événement, cette information figurera dans les
« Actualités » de l’utilisateur. La somme des
renseignements qui sont diffusés à des amis via
cette application peut être limitée au moyen des
paramètres de confidentialité.
Le type de contenu qui peut être téléchargé sur
Facebook se compose en règle générale de
textes (sous forme de messages ou de
renseignements de profil), de photos et de
vidéos. Ce genre de renseignements est
considéré constituer des « renseignements
personnels » au sens de la Loi.
Les utilisateurs conservent la propriété de tous
les renseignements et du contenu qu’ils
affichent sur Facebook. Toutefois, comme
condition de l’utilisation du site, les utilisateurs
doivent accorder à Facebook une licence
mondiale, non-exclusive, cessible, pouvant
donner lieu à l’octroi de sous-licences et sans
Fasken Martineau DuMoulin S.E.N.C.R.L., s.r.l. 3
Bulletin Protection de l’information et de la vie privée
redevances lui permettant d’utiliser le contenu
de l’utilisateur comme il le souhaite. Par
exemple, avec cette licence, Facebook pourrait
utiliser une photo de l’utilisateur pour
promouvoir la marque Facebook dans sa
publicité ou permettre à un tiers d’en faire
autant. La licence est résiliée lorsque le contenu
est retiré de Facebook ou lorsque le compte de
l’utilisateur est supprimé.
Cette question n’a pas été examinée par le
Commissariat puisqu’elle ne faisait pas partie de
son mandat et des objectifs de l’enquête du
Commissariat. Elle n’en demeure pas moins, à
notre avis, une question très importante dont
l’utilisateur devrait être conscient au moment
d’accéder à Facebook.
L’aspect social de Facebook est beaucoup plus
complexe que la description que l’on pourrait en
faire ici dans ces quelques lignes.
Essentiellement, Facebook constitue un outil de
communication. Les utilisateurs peuvent
communiquer de façon active entre eux en
s’ajoutant mutuellement comme amis, en
s’envoyant des messages, etc. Les utilisateurs
peuvent aussi communiquer de façon passive en
permettant à Facebook de diffuser à leurs amis
leurs activités sur le site web.
3. Publicités
L’accès à Facebook est gratuit pour tous les
visiteurs et détenteurs de comptes. Plutôt que de
procéder à la perception de frais d’abonnement
mensuels ou annuels auprès des utilisateurs, le
modèle opérationnel de Facebook utilise la
publicité comme principale source de revenus.
Le Commissariat a conclu que la publicité est
essentielle à la prestation des services de
Facebook et que les utilisateurs Facebook
doivent accepter de recevoir une certaine
quantité de publicité en contrepartie de
l'utilisation du site Web. Le système de
publicité Facebook est composé de publicités
sociales et de publicités Facebook. Les
publicités sociales tiennent compte des
interactions sociales sur Facebook, par exemple
devenir « fan » d’une page ou se joindre à un
groupe. En faisant le suivi de ces interactions
sociales, Facebook peut afficher des publicités
sociales dans certaines sections stratégiques du
site comme les Actualités. Par opposition, les
publicités Facebook utilisent les profils
démographiques enregistrés dans la base de
données de Facebook et ciblent des mots clés ou
données clés du profil des utilisateurs,
notamment l’âge. Les publicités Facebook
apparaissent dans le même espace publicitaire
sur toutes les pages du site Web.
La CIPPIC alléguait que Facebook ne faisait pas
d’efforts raisonnables pour expliquer pourquoi
et comment il utilisait les renseignements qui
figurent dans le profil de l’utilisateur dans son
système de publicité, et qu’il n’obtenait pas le
consentement approprié pour le faire.
À la lumière de sa conclusion, selon laquelle
l’affichage de publicités sur le site Web était
nécessaire pour préserver l’accès gratuit à ce
site, le Commissariat a recommandé que
Facebook explique plus en détail son système de
publicité. Une demande a aussi été formulée à
Facebook visant à lui faire étoffer sa Politique
de confidentialité. La recommandation devrait
être respectée par Facebook, mais les
utilisateurs doivent savoir que Facebook utilise
les renseignements qui figurent dans leur profil
ainsi que leurs habitudes en ligne à des fins de
publicité ciblée, et qu'ils peuvent refuser de
recevoir les publicités sociales mais pas les
publicités Facebook.
4. Plateforme Facebook (Applications de tiers)
La Plateforme Facebook permet au public,
utilisateur ou non, de programmer ses propres
applications (jeux, casse-têtes, etc.) pour une
utilisation sur Facebook. À l’heure actuelle,
Fasken Martineau DuMoulin S.E.N.C.R.L., s.r.l. 4
Bulletin Protection de l’information et de la vie privée
Facebook compte environ 350 000 applications
et plus d’un million de développeurs à l’échelle
mondiale. N’importe qui peut devenir un
développeur de Plateforme Facebook en
téléchargeant les fichiers de la Plateforme
Facebook et en acceptant les « Conditions de
service » (ou maintenant « la Déclaration des
droits et responsabilités »). La Plateforme
Facebook permet à un développeur
d’applications d’interagir avec la base de
données Facebook.
La Plateforme Facebook constituait la plainte la
plus importante de la CIPPIC. Selon les
allégations de la CIPPIC à l’égard de la
Plateforme Facebook, Facebook ne divulguait
pas adéquatement aux utilisateurs comment et
pourquoi leurs renseignements personnels
étaient recueillis et utilisés, puis divulgués à des
tiers développeurs et utilisés par ceux-ci. De
plus, le Commissariat a fait remarquer que les
utilisateurs devaient fournir beaucoup plus de
renseignements que ce qui était réellement
nécessaire au fonctionnement d’une application
donnée.
Facebook a constamment soutenu que la
Plateforme Facebook incite les développeurs
d’application à se comporter de façon
responsable étant donné que chaque fois qu’un
utilisateur utilise une application, et que
l’application se connecte avec la base de
données Facebook, elle y est autorisée au moyen
d’une « clé » d’accès individuel qui identifie le
développeur d’application. Un développeur
d’application obtient accès à l’intégralité de la
base de données Facebook en présentant cette
clé à chaque consultation de la base de données
Facebook. Ainsi, Facebook peut retracer quelle
application et quel développeur accède aux
renseignements personnels d'un utilisateur. Le
Commissariat a conclu que même si cette
pratique favorise effectivement un niveau
modéré de responsabilité, il s’agissait d’une
mesure insuffisante compte tenu du manque de
supervision de la part de Facebook et de
l’absence de contraintes technologiques pour
accéder aux renseignements personnels des
utilisateurs.
Le Commissariat a également conclu que
Facebook avait fait défaut d’obtenir le
consentement valable des utilisateurs qui
intègrent des applications de tiers à leur
compte.
Pour remédier à cette situation, le Commissariat
a recommandé que Facebook utilise des moyens
technologiques pour restreindre l’accès des
développeurs d’application aux renseignements
des utilisateurs qui ne sont pas essentiels au
fonctionnement de l’application. Ensuite, le
Commissariat a proposé que les utilisateurs
soient clairement informés des renseignements
précis auxquels accède une application donnée,
et que le consentement soit obtenu de chaque
utilisateur quant à l’accès à ces renseignements.
Enfin, le Commissariat a recommandé fortement
à Facebook d’interdire la divulgation de
renseignements concernant les amis des
utilisateurs qui ajoutent une application.
En date des présentes, Facebook n’a pas encore
accepté de mettre en œuvre les
recommandations du Commissariat relativement
à la divulgation de renseignements personnels
par l’intermédiaire de la Plateforme Facebook.
En fait, Facebook s’est vigoureusement objecté
aux conclusions du Commissariat, faisant valoir
que l’exonération juridique de responsabilité
qu’il utilise est une clause type dans les contrats
Web et que la structure de la Plateforme
Facebook « permet l’identification et le retrait
d’applications possiblement problématiques ».
5. Désactivation et suppression d’un compte
Enfin, une autre allégation qui, selon le
Commissariat, était bien fondée et demeure non
résolue par Facebook, est la question de la
désactivation et de la suppression d’un compte.
Fasken Martineau DuMoulin S.E.N.C.R.L., s.r.l. 5
Bulletin Protection de l’information et de la vie privée
Lorsqu’un utilisateur se lasse d’utiliser
Facebook, deux options s’offrent à lui. Il peut
décider de désactiver son compte, ce qui
constitue une forme de suspension de compte
initiée par l’utilisateur, ou il peut demander la
suppression permanente de son compte.
Dans le cas d’une désactivation, l’utilisateur
disparaît de Facebook, c’est-à-dire qu’il
n’apparaît plus sur les listes d’amis, dans les
résultats de recherche, et son profil n’est plus
accessible. Cependant, les renseignements qui
figurent dans le compte de l’utilisateur
demeurent sur les serveurs de Facebook pour
une période indéterminée. Facebook offre cette
option à ceux qui pourraient souhaiter réactiver
leur compte Facebook à un moment ultérieur
sans avoir à reconstruire leur réseau social. La
deuxième option est la suppression du compte et
elle constitue le retrait permanent des
renseignements personnels d’un utilisateur du
site, des serveurs et de la base de données.
Cependant, Facebook prétend que cette option
est plus compliquée et prend plus de temps tant
pour l’utilisateur que pour le personnel
Facebook, et qu’il est possible qu’elle ne puisse
être complétée avant plusieurs jours.
En réponse aux conclusions du Commissariat,
Facebook a accepté d’ajouter de l’information
sur la suppression de comptes dans sa Politique
de confidentialité. Cependant, jusqu’à présent,
elle a refusé d’élaborer une politique de
rétention selon laquelle les comptes des
utilisateurs désactivés seraient supprimés après
un délai raisonnable. Sans cette politique de
rétention, il est possible que les renseignements
personnels d’un utilisateur désactivé demeurent
sur les serveurs de Facebook pendant des
années, voire même indéfiniment.
6. Incidence sur votre entreprise
Même si Facebook et le réseautage social peut
sembler très éloigné de votre entreprise, les
commentaires, conclusions et recommandations
du Commissariat constituent un rappel de la
façon dont les entreprises doivent interpréter et
appliquer les principes de la Loi. Au coeur de la
saga de la protection des renseignements
personnels sur Facebook se retrouvent les
questions liées au consentement éclairé et à la
restriction de la collecte des renseignements
personnels à ce qui est « nécessaire ». Les
entreprises doivent savoir que les
renseignements personnels qu’elles recueillent,
utilisent ou divulguent ne peuvent l’être qu’aux
fins pour lesquelles une personne a donné son
consentement et qu’elles ne peuvent recueillir
plus de renseignements que ceux qui sont
nécessaires pour les fins mentionnées et pour
lesquelles l'individu a donné son consentement.
Le Commissariat réfère régulièrement à la
norme « raisonnable », ce qui signifie
essentiellement que les entreprises doivent
déterminer si la cueillette, l’utilisation ou la
divulgation des renseignements personnels de
leurs employés, clients et clients éventuels est
raisonnable compte tenu des circonstances. En
conséquence, il n’existe pas de réponse
universelle étant donné que chaque cas est un
cas d’espèce.
Il est intéressant de souligner que Facebook a
collaboré avec le Commissariat. En fait, le
Commissariat a expressément remercié
Facebook pour sa coopération et pour avoir
répondu aux questions soulevées dans la plainte
de la CIPPIC. Étant donné que la Loi est
pionnière en matière de protection des
renseignements personnels au monde, le fait de
se conformer à celle-ci représente certainement
une excellente occasion pour Facebook de
démontrer à ses utilisateurs, de même qu’aux
autorités en matière de protection des
renseignements personnels à travers le monde,
qu’elle s'engage à protéger les renseignements
personnels.
6
7
1
/
7
100%
![[VDD] Facebook Power Volume1](http://s1.studylibfr.com/store/data/009052136_1-ce4c1a3d400417983bfd11b8a49bb2a0-300x300.png)
