Conclusions en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

Rapport de conclusions en vertu de la LPRPDE no 2011-005

L’enquête conclut que les pratiques d’authentification de Facebook sont raisonnables

La plaignante allègue que Facebook a recueilli plus de renseignements personnels qu’il n’était nécessaire aux fins d’identification en tant que condition pour lui donner accès à son compte Facebook.

Par ailleurs, elle allègue que Facebook ne lui a pas donné l’occasion de porter plainte à l’égard du non‑respect des principes de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) en communiquant avec les personnes responsables de les faire respecter au sein de l’organisation concernée.

Le Commissariat a conclu que les deux plaintes n’étaient pas fondées.

Facebook a clairement avisé ses utilisateurs de l’objectif de la collecte de renseignements, c’est‑à‑dire que la collecte de renseignements personnels est une mesure de sécurité utilisée afin de s’assurer que l’utilisateur est une vraie personne ayant un seul compte Facebook. Facebook a également présenté à ses utilisateurs diverses options pour confirmer leur identité.

En ce qui concerne la question de la possibilité de porter plainte contre le non‑respect des principes, Facebook a fourni un formulaire Web au début de sa Politique de confidentialité qui permet aux utilisateurs de porter plainte auprès de Facebook sur un enjeu lié à la protection de la vie privée. Par conséquent, le Commissariat a conclu que les procédures relatives aux plaintes concernant la protection de la vie privée de Facebook étaient accessibles et simples à utiliser.

Leçons retenues

  • Dans certains cas, les organisations peuvent exiger des renseignements dans le but de confirmer l’identité de ses utilisateurs. Elles doivent toutefois offrir aux utilisateurs divers moyens par le biais desquels elles peuvent authentifier leurs identités; il est important d’offrir des options qui correspondent aux différents niveaux de communication pour veiller à ce que le droit à la vie privée de l’utilisateur soit respecté.
  • Les organisations doivent offrir des procédures relatives aux plaintes concernant la protection de la vie privée qui sont facilement accessibles et simples à utiliser.

Plainte déposée aux termes de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi)

  1. La plaignante allègue que Facebook Inc. (Facebook) a recueilli plus de renseignements personnels qu’il n’était nécessaire aux fins d’identification en tant que condition pour lui donner accès à son compte Facebook.
  2. La plaignante allègue également que Facebook ne lui a pas donné l’occasion de porter plainte à l’égard du non‑respect des principes de la Loi en communiquant avec les personnes responsables de les faire respecter au sein de l’organisation concernée.

Résumé de l’enquête

Limitation de la collecte

  1. La plaignante a créé un compte personnel Facebook en septembre 2010. Elle allègue qu’elle a été en mesure d’utiliser son compte Facebook durant quelques jours, mais qu’on lui a ensuite demandé de fournir son numéro de téléphone cellulaire afin de confirmer son identité pour qu’elle puisse avoir accès à son compte de nouveau.
  2. La plaignante allègue qu’étant donné qu’elle n’a pas de numéro de téléphone cellulaire, elle n’a pas été en mesure de confirmer son identité auprès de Facebook. Elle affirme également qu’elle a tenté d’accéder à son compte en changeant son mot de passe, mais qu’il fallait toujours qu’elle fournisse son numéro de téléphone cellulaire. La plaignante n’a été en mesure d’accéder à son compte Facebook qu’après avoir fourni un numéro de téléphone cellulaire.
  3. Dans ses observations, Facebook décrit la façon dont l’organisation utilise les numéros de téléphone cellulaire dans le cadre de son processus de vérification des comptes. Facebook a informé le Commissariat que ce processus est utilisé lorsqu’un compte Facebook est balisé en raison de la présence d’un réseau zombie suspect ou d’activités liées aux pourriels.
  4. Afin de vérifier un compte à l’aide d’un téléphone cellulaire, les utilisateurs de Facebook fournissent leur numéro de téléphone cellulaire à l’organisation en inscrivant leur numéro dans leur navigateur, puis un court code numérique est envoyé à ce numéro par message texte. Quand l’utilisateur entre le code numérique sur Facebook, il est en mesure d’accéder à son compte Facebook.
  5. Facebook informe le Commissariat qu’une fois qu’un utilisateur lie son numéro de téléphone cellulaire à son compte Facebook, il sera en mesure de recevoir des notifications de Facebook liées à la sécurité par téléphone cellulaire. Par exemple, un utilisateur pourrait être avisé par message texte du fait que son compte a été ouvert sur un ordinateur inconnu. Facebook déclare qu’un utilisateur peut choisir de cesser de recevoir ce type de notifications. En plus de recevoir des notifications, un utilisateur pourrait changer son mot de passe à partir de son téléphone cellulaire, au besoin.
  6. Selon Facebook, le numéro de téléphone cellulaire est stocké dans le compte d’utilisateur pour la période durant laquelle l’utilisateur décide de garder un compte Facebook ou jusqu’au moment où il décide de retirer son numéro de téléphone cellulaire de son profil. Le numéro de téléphone cellulaire de l’utilisateur apparaît dans les coordonnées de l’utilisateur et peut être supprimé lorsque l’utilisateur le désire. Un utilisateur peut également vérifier si son numéro de téléphone cellulaire apparaît sur son profil dans les paramètres de confidentialité de Facebook.
  7. Facebook souligne que, si un deuxième compte Facebook est créé et lié au même numéro de téléphone cellulaire, le compte Facebook peut être balisé parce que cette pratique constitue une violation potentielle de la Déclaration des droits et responsabilités de Facebook. Le compte peut alors être désactivé par Facebook pendant que l’organisation vérifie que l’utilisateur a bel et bien accès au numéro de téléphone cellulaire lié au compte.
  8. Sur sa page d’aide, Facebook informe ses utilisateurs que l’objectif du processus de vérification des comptes est de confirmer qu’une vraie personne possède le compte et de s’assurer que Facebook demeure une communauté de personnes qui utilisent leur vraie identité pour réseauter et partager des renseignements.
  9. Facebook allègue que la vérification par courriel ne serait pas aussi efficace que la vérification par téléphone cellulaire afin de détecter des comptes frauduleux ou d’autres activités qui violent la Déclaration des droits et responsabilités de Facebook. Facebook déclare que, contrairement aux numéros de téléphone cellulaire, les adresses courriel sont faciles à créer et à utiliser par les polluposteurs. De plus, il est facile de créer plusieurs adresses courriel auprès de différents services gratuits de courrier électronique.
  10. Au cours de son enquête interne, Facebook a déterminé que le compte de la plaignante avait été balisé afin qu’il fasse l’objet d’une vérification approfondie par les responsables de son programme continu de détection et de surveillance de la fraude en raison d’activités qui semblaient correspondre à une tentative de créer plusieurs comptes, ce qui constitue une violation de la Déclaration des droits et responsabilités de Facebook.
  11. Facebook déclare que la vérification par téléphone cellulaire n’est qu’une des options de vérification d’un compte Facebook. L’utilisateur pourrait également confirmer les noms de ses amis Facebook en nommant ceux qui sont étiquetés sur des photographies affichées sur Facebook. De plus, l’utilisateur pourrait vérifier son compte en fournissant son nom complet figurant dans Facebook, sa date de naissance et son adresse courriel servant à l’ouverture d’une session et en téléversant une carte d’identité émise par le gouvernement et en s’assurant que son nom complet, sa date de naissance et sa photographie sont lisibles. Facebook souligne que l’organisation encourage ses utilisateurs à cacher tout renseignement personnel sur la carte d’identité émise par le gouvernement qui n’est pas nécessaire à la vérification de leur identité.
  12. Facebook allègue que l’organisation a donné l’option à la plaignante d’utiliser une autre méthode afin de vérifier son compte, mais n’a pas précisé quelle autre option lui avait été présentée.

Possibilité de porter plainte à l’égard du non‑respect des principes

  1. En plus de sa plainte relative à la collecte de renseignements, la plaignante allègue que Facebook ne lui a pas permis de porter plainte à l’égard du non–respect des principes de la Loi en communiquant avec les personnes responsables de les faire respecter au sein de l’organisation concernée.
  2. La plaignante allègue qu’elle a envoyé plusieurs courriels au service à la clientèle de Facebook ainsi qu’à d’autres services concernant la confirmation de son identité, mais n’a reçu que des messages automatisés de Facebook lui indiquant d’utiliser le bouton d’aide sur le site.
  3. La plaignante affirme également qu’elle est entrée en contact avec Facebook et a dressé les grandes lignes des problèmes qu’elle avait rencontrés relativement à son compte, c’est–à–dire que son compte semblait être désactivé. La preuve indique que Facebook a répondu par un message automatisé qui comportait des instructions sur la façon de confirmer que le compte en question lui appartenait.
  4. Dans un autre courriel, la plaignante a informé Facebook que, même si son compte semblait être désactivé, ses amis étaient toujours en mesure de publier des messages sur son « mur ». La plaignante a déclaré qu’elle a continué à recevoir des notifications par courriel chaque fois que quelque chose était publié sur son mur, mais ne pouvait pas contrôler le contenu étant donné qu’elle n’avait pas accès à son compte. Facebook a alors communiqué à la plaignante la procédure à suivre pour réactiver son compte. Après avoir suivi les étapes recommandées, la plaignante était cependant toujours incapable d’accéder à son compte.
  5. à la suite de l’intervention du Commissariat dans cette affaire, Facebook a mené une enquête et a découvert que deux comptes étaient liés à l’adresse courriel de la plaignante : un compte désactivé et son compte actif. Facebook a reconnu que l’erreur avait été causée par un bogue dans le système. Afin de résoudre le problème, Facebook a dissocié l’adresse courriel du compte désactivé et a informé la plaignante que son problème avait été résolu.
  6. La plaignante confirme qu’elle a maintenant pleinement accès à son compte Facebook.
  7. Dans ses observations, Facebook fait valoir que l’organisation a différents formulaires de contact liés aux questions et aux commentaires en matière de vie privée. Facebook affirme que les formulaires de contact liés à la vie privée sont acheminés à l’équipe responsable de la confidentialité des activités des utilisateurs, qui traite les commentaires, les préoccupations, les questions et les plaintes des utilisateurs concernant la Politique de confidentialité de Facebook et les questions en matière de vie privée liées à sa plateforme. De plus, Facebook informe le Commissariat que son équipe responsable de la confidentialité rencontre régulièrement l’équipe juridique et peut renvoyer les préoccupations des utilisateurs au besoin, y compris à son avocat en chef responsable de la protection de la vie privée.
  8. En outre, la Politique de confidentialité de Facebook souligne qu’une personne peut déposer une plainte en matière de vie privée contre Facebook auprès du Programme de surveillance de TRUSTe pour la résolution des litiges. Le programme de sceaux garants de TRUSTe s’assure que les sites Web qui en sont membres, y compris Facebook, protègent la confidentialité des renseignements personnels de leurs utilisateurs. TRUSTe fait également appel à la vigilance des utilisateurs afin de tenir les membres responsables. TRUSTe fournit aux utilisateurs un formulaire de résolution des litiges en ligne, ce qui leur permet de faire rapport des violations des énoncés de confidentialité affichés et de préoccupations précises en matière de vie privée liées aux sites Web membres de TRUSTe.

Champ d’application

  1. Nos décisions sont fondées sur le paragraphe 5(3) et les principes 4.3.3, 4.4, 4.10 et 4.10.2 de l’annexe 1 de la Loi.
  2. Selon le paragraphe 5(3), l’organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances.
  3. Selon le principe 4.3.3, une organisation ne peut pas, pour le motif qu’elle fournit un bien ou un service, exiger d’une personne qu’elle consente à la collecte, à l’utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires pour réaliser les fins légitimes et explicitement indiquées.
  4. Le principe 4.4 prévoit entre autres que l’organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées.
  5. Le principe 4.10 énonce entre autres que toute personne doit être en mesure de se plaindre du non–respect des principes énoncés ci-dessus en communiquant avec la ou les personnes responsables de les faire respecter au sein de l’organisation concernée.
  6. Selon le principe 4.10.2, les organisations doivent établir des procédures pour recevoir les plaintes et les demandes de renseignements concernant leurs politiques et pratiques de gestion des renseignements personnels et y donner suite. Les procédures relatives aux plaintes doivent être facilement accessibles et simples à utiliser.

Constatations

Rendues le 26 septembre 2011

Limitation de la collecte

  1. De manière générale, les organisations authentifient l’identité des utilisateurs avant de leur donner accès aux systèmes et/ou aux applications informatiques ou avant de fournir des renseignements personnels permettant de confirmer l’identité en personne ou au téléphone afin d’assurer le respect des exigences en matière de protection et de conformité juridique. L’authentification de personnes comprend toujours la collecte de renseignements personnels et peut appeler à la divulgation de renseignements de nature délicate selon la méthode d’authentification utilisée.
  2. Lorsqu’un compte est balisé en raison d’activités suspectes, Facebook exige qu’une authentification soit effectuée afin de confirmer qu’une vraie personne possède le compte et de s’assurer que Facebook demeure une communauté de personnes qui utilisent leur vraie identité afin de réseauter et d’échanger des renseignements conformément à la Déclaration des droits et responsabilités.
  3. à cette fin, le Commissariat estime qu’il est raisonnable que Facebook utilise un mécanisme qui permet d’authentifier ses utilisateurs et d’éviter les réseaux zombies et les activités liées aux pourriels et qui tient compte de la nature délicate des renseignements personnels qui sont protégés.
  4. Nous soulignons que Facebook avise clairement ses utilisateurs de l’objectif de la collecte de renseignements, c’est-à-dire que la collecte de renseignements personnels est une mesure de sécurité utilisée afin de s’assurer que l’utilisateur est une vraie personne ayant un seul compte Facebook. De plus, nous estimons que cet objectif servira à protéger la confidentialité des utilisateurs et l’intégrité de leur compte.
  5. Dans cette affaire, Facebook fournit aux utilisateurs un choix d’authentification. Chaque option d’authentification correspond à un différent niveau d’atteinte à la vie privée. La forme d’authentification qui porte le moins atteinte à la vie privée est celle qui demande aux utilisateurs de confirmer les noms de leurs amis sur Facebook en nommant ceux qui sont étiquetés sur les photographies publiées sur le site.
  6. Après avoir examiné la preuve, nous arrivons à la conclusion que la procédure de vérification de Facebook répond à un besoin de confirmer l’identité de l’utilisateur quand Facebook découvre des activités suspectes sur un compte et permet aux utilisateurs de vivre une expérience communautaire sécuritaire. Puisque Facebook offre différents choix d’authentification, le Commissariat estime que Facebook n’exige pas que les utilisateurs consentent à la collecte de renseignements personnels au–delà de ce qui est requis afin d’atteindre l’objectif en question.
  7. Cependant, même si Facebook offre différentes méthodes d’authentification des utilisateurs, la plaignante allègue qu’on ne lui a pas offert d’autre choix afin de confirmer son identité et qu’elle a dû fournir son numéro de téléphone cellulaire à Facebook afin de confirmer son identité.
  8. Après avoir examiné la capture d’écran que la plaignante a fournie au Commissariat, il est clair que Facebook a demandé à la plaignante de fournir son numéro de téléphone cellulaire et de l’ajouter à son compte afin de confirmer son identité. La capture d’écran ne semble pas présenter d’autres options afin d’atteindre le même objectif. Cependant, le Commissariat n’est pas convaincu que cette capture d’écran ne faisait pas partie d’une série de pages faisant état du besoin de confirmer l’identité de l’utilisateur et des options pour ce faire.
  9. De manière générale, notre enquête a confirmé que l’utilisateur d’un compte Facebook peut prouver son identité d’au moins trois (3) façons : 1) en fournissant son numéro de téléphone cellulaire; 2) en confirmant les noms de ses amis Facebook; 3) en téléversant une carte d’identité émise par le gouvernement. Facebook allègue que ces options ont été présentées à la plaignante. Après avoir examiné la preuve, nous arrivons à la conclusion qu’il est plus probable que la plaignante a reçu de l’information sur d’autres méthodes d’authentification.
  10. Par conséquent, nous estimons qu’une personne raisonnable s’attendrait à ce que Facebook vérifie et authentifie l’utilisateur, et jugerait cette procédure appropriée, si des soupçons sont éveillés du fait des activités de son compte. De plus, nous estimons que les renseignements personnels recueillis se limitent à ce qui est nécessaire pour atteindre l’objectif cerné par Facebook. Nous arrivons donc à la conclusion que Facebook n’a pas enfreint le paragraphe 5(3).
  11. Ainsi, la preuve est insuffisante afin de soutenir l’allégation de la plaignante selon laquelle le service lui a été refusé en raison d’un manque d’autres options permettant de confirmer son identité. Par conséquent, nous ne pouvons conclure que Facebook ne s’est pas conformé aux principes 4.3.3 et 4.4.

Possibilité de porter plainte à l’égard du non–respect des principes

  1. Durant notre enquête, nous avons découvert que la Politique de confidentialité de Facebook indique qu’une personne peut se renseigner sur la politique en communiquant avec Facebook par courrier et/ou avec son équipe responsable de la confidentialité à partir de la page d’aide. De plus, la Politique de confidentialité de Facebook souligne qu’une personne peut déposer une plainte auprès du Programme de surveillance de TRUSTe qui permet aux utilisateurs de faire part des violations des énoncés de confidentialité affichés et de préoccupations précises en matière de vie privée qui découlent de sites Web membres de TRUSTe.
  2. Même si Facebook semble avoir toutes les pages de contact disponibles afin d’aider à résoudre les problèmes que les utilisateurs pourraient rencontrer, il semble que certaines pages d’aide ne sont accessibles qu’une fois que l’utilisateur a ouvert une session. De toute évidence, cet outil est peu utile aux utilisateurs qui, comme la plaignante, ne sont pas en mesure d’avoir accès à leur compte.
  3. La plaignante n’a pas confirmé avoir informé Facebook de ses préoccupations en matière de vie privée. Tous les courriels qu’elle a envoyés à Facebook portent sur le problème technique qu’elle a rencontré au moment d’accéder à son compte. En réponse, l’équipe de soutien de Facebook a décrit la procédure que la plaignante devait suivre afin de réactiver son compte. Cependant, la plaignante n’a pas été en mesure de réactiver son compte, et Facebook a rectifié le problème seulement après l’intervention du Commissariat.
  4. Même si la plaignante a rencontré des difficultés dans la résolution de ses problèmes techniques avec Facebook, ces problèmes n’étaient pas liés au caractère confidentiel de la collecte d’un numéro de téléphone cellulaire permettant à Facebook de confirmer l’identité d’un utilisateur.
  5. Selon le principe 4.10.2 de la Loi, Facebook doit fournir des procédures relatives aux plaintes à l’égard du non–respect des principes facilement accessibles et simples à utiliser. Notre enquête a établi que Facebook fournit un formulaire en ligne au début de sa Politique de confidentialité qui permet aux utilisateurs de porter plainte à Facebook au sujet d’une question de vie privée. Ainsi, il semble que Facebook est doté de procédures facilement accessibles et simples à utiliser.
  6. Même si le traitement des problèmes techniques de la plaignante n’a pas été parfait, le Commissariat n’est pas convaincu que la confusion à laquelle la plaignante a fait face sous–entend que Facebook ne présente pas de procédures relatives aux plaintes facilement accessibles et simples à utiliser en matière de confidentialité.
  7. La preuve montre que Facebook fournit aux utilisateurs des mécanismes leur permettant de porter plainte à l’égard du non–respect des principes et a des procédures en place qui sont « facilement accessibles et simples à utiliser ». Par conséquent, le Commissariat conclut que Facebook s’est conformé à ses obligations aux termes des principes 4.10 et 4.10.2.

Conclusion

  1. Ainsi, nous jugeons que les plaintes liées à la limitation de la collecte de renseignements et à la possibilité de porter plainte à l’égard du non–respect des principes ne sont pas bien fondées.