Conclusions en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

Rapport des conclusions en vertu de la LPRPDE no 2011-006

Rapport de conclusions
Une enquête révèle qu’aucune preuve ne permet d’établir que Facebook communique des renseignements personnels à d’autres sites par l’entremise d’extensions sociales


Résumé

Le plaignant allègue que Facebook aurait utilisé des extensions sociales, comme les boutons « J’aime » et « Recommander », pour communiquer ses renseignements personnels à son insu et sans son consentement. Plus précisément, il allègue que les sites Web de tierces parties hébergeant les extensions sociales de Facebook recueilleraient des renseignements personnels des utilisateurs de Facebook à leur insu et sans leur consentement.

À la suite d’une enquête, le Commissariat a conclu que la plainte était non fondée.

L’enquête du Commissariat a permis de déterminer que, même si Facebook « louait » effectivement un espace sur des sites Web de tierces parties, elle ne communiquait pas les renseignements personnels des utilisateurs aux organisations hébergeant les extensions sociales. Bien qu’il n’existe pas de mécanisme permettant précisément aux membres de Facebook de retirer leur consentement à la réception de contenu personnalisé des sites tiers hébergeant les extensions sociales de l’entreprise, les membres peuvent empêcher la réception d’un tel contenu en fermant leur session Facebook avant de consulter les sites hébergeant ses extensions sociales.

Le Commissariat est d’avis que Facebook offre des renseignements clairs et faciles à comprendre sur le fonctionnement des extensions sociales sur le site. Il est notamment précisé que l’information n’est pas communiquée aux sites Web de tierces parties qui hébergent les extensions sociales de Facebook.

L’enquête du CPVP portait sur l’examen des renseignements communiqués aux sites hébergeant les extensions sociales de Facebook et non sur l’utilisation des témoins à des fins de suivi sur le Web.

Leçons apprises

  • Les organisations doivent expliquer, d’une manière claire et facile à comprendre, comment elles utilisent les renseignements personnels de leurs clients, y compris lorsqu’elles lancent de nouvelles fonctions.
  • Les utilisateurs des sites de réseautage social ont la responsabilité de lire et de comprendre les renseignements fournis par l’organisation au sujet de l’utilisation de leurs renseignements personnels.

Plaintes déposées en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi)

1. Le plaignant a allégué que Facebook Inc. (« Facebook » ou le « mis en cause ») recueille, utilise et communique ses renseignements personnels à son insu et sans son consentement au moyen de modules sociaux (c.-à-d. des scripts fonctionnant avec le Web sur des sites de tiers qui offrent un contenu personnalisé aux utilisateurs de Facebook).

2. Le plaignant a également allégué que les sites Web des tiers qui hébergent les modules sociaux de Facebook recueillent, utilisent et communiquent les renseignements personnels des utilisateurs de Facebook à leur insu et sans leur consentement.

3. Les préoccupations du plaignant concernent les flux de données entre Facebook et les sites Web des tiers qui hébergent les modules sociaux de Facebook. Le plaignant craint qu’en fournissant un contenu personnalisé dans les modules sociaux, Facebook ne transmette de l’information aux sites Web en question et que les autres sites Web transmettent l’information à Facebook. Le plaignant estime qu’il devrait avoir la possibilité de refuser de tels échanges d’information.

4. Étant donné la nature de la plainte, le Commissariat a également examiné l’information recueillie par Facebook auprès de tous les visiteurs des sites Web de tiers dotés de modules sociaux, y compris les personnes qui ne sont pas membres de Facebook.

Contexte

5. Le 21 avril 2010, Facebook a élargi ses outils de réseautage social afin de fournir à des sites Web de tiers les moyens de personnaliser l’expérience de navigation sur le Web pour ses utilisateurs par la prestation de données de réseautage social. Cette opération est possible en grande partie grâce à l’utilisation, par Facebook, de modules sociaux, qui permettent à un utilisateur de consulter un contenu produit au moyen de son profil Facebook sur un autre site Web.

6. Selon Facebook, les modules sociaux sont des boutons et des cases visant à afficher certaines fonctionnalités de Facebook sur les sites Web de tiers. Parmi les exemples de modules sociaux, mentionnons les icônes « J’aime » ou « Recommandé ».

7. La visite d’un site Web doté d’un module social produit des résultats différents selon que l’utilisateur est inscrit à Facebook, et s’il est connecté ou non à son compte Facebook. La personne inscrite à Facebook et qui est connectée à son compte peut voir un contenu personnalisé dans le module social portant sur n’importe quelle activité que ses amis peuvent avoir lancée sur le site, comme la recommandation d’un article de presse ou d’un site Web de nouvelles.

8. Cependant, les personnes qui ne sont pas inscrites à Facebook ou les membres de Facebook qui ne sont pas connectés à leur compte ne verront que du contenu non personnalisé dans le module social. Par exemple, ils pourraient voir combien de membres de Facebook ont recommandé un article donné sur un site Web de nouvelles.

9. Depuis l’introduction par Facebook des modules sociaux, il y a un peu plus d’un an, l’entreprise estime que plus de 2 millions de sites Web les utilisent.

Résumé de l’enquête

10. En réponse aux allégations, Facebook maintient qu’elle ne communique aucun renseignement personnel aux sites Web qui hébergent les modules sociaux, que ce soit sur les utilisateurs ou les non-utilisateurs de Facebook.

11. Facebook explique que, techniquement parlant, le module social fait partie d’une « image I » sur le site Web qui l’héberge et fait en sorte que l’outil de navigation de l’utilisateur extrait des éléments de l’image I directement à partir de Facebook. Facebook compare l’image I à un local fourni par un tiers. Le module sert de portail à Facebook pour l’utilisateur, mais ne donne pas aux sites tiers qui l’hébergent accès aux données des utilisateurs de Facebook.

12. Nous avons examiné les arguments techniques fournis par Facebook et les fonctionnalités des images I. Chaque fois qu’un utilisateur visite un site Web doté d’une image I contenant un contenu externe, comme un module social de Facebook, son outil de navigation envoie au serveur Web du site une demande relative au contenu. Par exemple, un site Web de nouvelles peut avoir un module social de Facebook qui indique à l’outil de navigation de l’utilisateur qu’il peut trouver un contenu additionnel pour la page à l’adresse facebook.com. L’outil de navigation de l’utilisateur demande ensuite au serveur Web de Facebook l’autorisation d’extraire le contenu demandé pour l’utilisateur.

13.Dans chaque cas, le serveur Web respectif recevra une demande relative à un dossier et enverra le contenu demandé à l’ordinateur qui le demande. Si l’utilisateur est connecté à Facebook lorsqu’il visite le site Web de nouvelles, l’image I de Facebook chargera le contenu personnalisé recueilli à partir du profil de l’utilisateur de Facebook. Ces informations ne se rendent pas au site Web de nouvelles, mais bien directement de Facebook à l’utilisateur.

14. En réponse à la partie de l’allégation portant sur la collecte des renseignements personnels, Facebook confirme qu’elle reçoit des données de fichier journal chaque fois qu’un utilisateur visite un site Web qui héberge un module social. Selon Facebook, ces données d’« impression » contiennent :

  • la date et l’heure auxquelles le visiteur a consulté la page Web;
  • l’adresse de la page Web que le visiteur consulte (aussi appelée adresse URL de l’aiguilleur);
  • le secteur géographique général du visiteur;
  • l’identifiant du témoin du navigateur du visiteur;
  • l’adresse IP associée à l’ordinateur du visiteur;
  • l’outil de navigation et le système d’exploitation utilisés par le visiteur.

15. Pour les utilisateurs qui sont inscrits à Facebook et connectés à leur compte au moment où ils visitent un site Web doté d’un module social, Facebook enregistre également leurs identifiants Facebook. Facebook a besoin de l’identifiant pour personnaliser le contenu du module social pour cet utilisateur en particulier. Par exemple, elle peut ensuite remplir le module social de renseignements sur les recommandations des amis de l’utilisateur sur le site. Facebook a précisé que si un utilisateur n’est pas connecté à son compte Facebook, elle ne reçoit alors pas l’identifiant de l’utilisateur.

16. Comme l’ont remarqué nos spécialistes techniques, Facebook enregistre toutes les demandes de contenu par défaut, ce qui constitue une pratique courante pour les fournisseurs de contenu en ligne.

17. Pendant notre enquête, nos spécialistes ont également examiné le type de témoins présents dans les flux de données entre Facebook et les sites qui hébergent les modules sociaux. Notamment, nous avons examiné les témoins que Facebook établit lorsqu’un utilisateur interagit avec un site de nouvelles canadien. Nos spécialistes techniques ont relevé la présence de deux témoins en particulier, qui sont tous deux susceptibles de fournir à Facebook de l’information sur la visite d’un utilisateur à un site doté d’un module social. Il s’agit d’un témoin de séance appelé « présence » et d’un témoin persistant appelé « datr ». En examinant plus en détail le témoin de présence, nos spécialistes techniques ont constaté que Facebook recevait l’identifiant d’utilisateur d’un membre même si celui-ci s’était déconnecté de son compte Facebook, mais n’avait pas fermé son outil de navigation. Cette découverte a semblé contredire l’affirmation de Facebook voulant que, lorsqu’un utilisateur se déconnecte, elle n’enregistre plus l’identifiant de l’utilisateur.

18. Après avoir constaté ce qui précède, nous avons fait part de nos conclusions à Facebook et permis à l’entreprise de revoir nos résultats d’examen. Facebook a détecté un bogue dans son logiciel qui semble avoir empêché la suppression du témoin de « présence » après la déconnexion d’un utilisateur. Facebook a depuis lors réglé le problème, et nos experts en TI ont confirmé que le témoin de présence est désormais supprimé comme il se doit dès qu’un utilisateur met fin à sa session Facebook.

19. Au sujet du témoin persistant « datr » de Facebook, nos experts en TI confirment que celui-ci est renvoyé à Facebook pour toutes les visites effectuées aux pages ayant des modules sociaux. Facebook soutient que le témoin « datr » consiste en un horodateur, un numéro au hasard et un code d’autorisation. Les données produites par le témoin « datr » pourraient être liées à d’autres renseignements que Facebook a recueillis dans ses registres, y compris une adresse IP. Étant donné que le témoin « datr » peut demeurer en place jusqu’à deux ans, il peut servir à suivre les habitudes de navigation de toute personne qui visite un site hébergeant un module social. On peut donc imaginer que Facebook peut lier les habitudes de navigation à des utilisateurs de Facebook identifiables.

20. Nous avons abordé ces préoccupations avec Facebook et demandé à quoi sert le témoin « datr ». Facebook a précisé que le témoin « datr », qu’elle qualifie de témoin « machine », sert à détecter les activités malveillantes ou le pollupostage et constitue un élément essentiel de sa stratégie de sécurité en ligne. Les témoins permettent aux serveurs Web de détecter si des demandes Web ou de contenu proviennent d’une même machine. Facebook soutient que pour les utilisateurs connectés à leur compte, le témoin machine peut être associé au compte d’un utilisateur. Cette association sert à déterminer si une personne utilise activement Facebook à partir d’une machine donnée. Selon Facebook, une fois que l’utilisateur s’est déconnecté comme il se doit, l’entreprise n’associe pas le témoin machine au compte de l’utilisateur. Facebook a confirmé au Commissariat qu’elle ne suit pas les données au sujet de l’utilisation du Web par les membres ou les non-membres de Facebook au moyen des modules sociaux, sinon par l’entremise des données de fichier journal limitées qu’elle reçoit au sujet des interactions des utilisateurs avec le module social.

21. Nous avons demandé à Facebook ce qu’elle fait avec les données d’impression, qui comprennent les adresses IP de toutes les personnes et les identifiants des membres connectés à Facebook. Selon Facebook, une fois qu’ils sont recueillis, les renseignements extraits des serveurs Web de Facebook sont réunis et conservés pendant 90 jours. L’entreprise soutient qu’elle dépersonnalise les données d’impression en supprimant l’identifiant des utilisateurs pendant les 30 premiers jours de la collecte. Elle utilise ensuite les données d’impression dépersonnalisées pour créer des paramètres cumulatifs. Selon Facebook, les données de fichier journal relatives aux non-utilisateurs de Facebook qui visitent un site au moyen d’un module social ne permettent pas l’identification.

22. Facebook soutient qu’elle utilise les renseignements qu’elle obtient par l’analyse des données de fichier journal afin d’évaluer le fonctionnement des modules sociaux et d’améliorer l’expérience des utilisateurs. Par exemple, Facebook examinera le nombre d’impressions ou de domaines principaux pour différents groupes démographiques. Facebook maintient que cette utilisation des données de fichier journal en vue de la création de données cumulatives représente une pratique normale de l’industrie.

23. Les statistiques produites à partir des données de fichier journal dépersonnalisées et cumulatives peuvent également être communiquées aux partenaires de produit de Facebook. Elles pourraient inclure, par exemple, des données démographiques compartimentées sur le type d’utilisateurs qui interagissent avec un module social donné sur un site donné. Bien que les données de fichier journal soient supprimées après 90 jours, les données statistiques sont conservées plus longtemps.

Analyse et conclusions

Le 28 juillet 2011

24. Pour rendre notre décision sur cette question, nous avons analysé le sens de l’expression « renseignements personnels », qui est définie comme suit au paragraphe 2(1) de la Loi : « Tout renseignement concernant un individu identifiable, à l’exclusion du nom et du titre d’un employé d’une organisation et des adresse et numéro de téléphone de son lieu de travail ».

25. Nous avons également appliqué le principe 4.3 de l’annexe 1 de la Loi, selon lequel toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire.

26. La question à trancher consiste à savoir si Facebook recueille, utilise ou communique les renseignements personnels d’un visiteur à un site Web d’un tiers qui héberge un module social, à l’insu et sans le consentement du visiteur.

27. En ce qui concerne la question de savoir si Facebook communique des renseignements personnels aux sites Web tiers à l’insu et sans le consentement des utilisateurs, même si les modules sociaux de Facebook permettent la prestation d’un contenu personnalisé, notre enquête a confirmé que les modules sociaux, tels qu’ils sont conçus et utilisés, ne communiquent pas de renseignements personnels à des sites Web tiers. Facebook a fait savoir qu’elle peut communiquer des paramètres produits au moyen des données de fichier journal qu’elle reçoit des modules sociaux; cependant, les paramètres sont suffisamment dépersonnalisés et combinés pour rendre impossible l’identification des particuliers.

28. Nous constatons, de plus, que lorsque les modules sociaux fournissent un contenu personnalisé, ce n’est que pour les utilisateurs de Facebook qui sont connectés au site. Un utilisateur qui ne veut pas recevoir de contenu personnalisé peut se déconnecter de Facebook avant d’aller sur des sites Web dotés de modules sociaux.

29. Cependant, pour chaque visiteur à un site Web contenant un module social, qu’il soit un utilisateur de Facebook ou non, Facebook recueille des informations générées par la visite au site Web tiers, que l’on appelle des données de fichier journal d’« impression ». Comme il a été mentionné précédemment, les renseignements en question comprennent l’heure et la date de la visite, l’adresse URL de l’aiguilleur, le secteur géographique général du visiteur, l’identifiant des témoins de l’outil de navigation du visiteur, l’adresse IP associée à l’ordinateur du visiteur, l’outil de navigation et le système d’exploitation utilisés par le visiteur et, pour les utilisateurs de Facebook connectés à leur compte, l’identifiant d’utilisateur Facebook.

30. De telles données peuvent constituer des renseignements personnels en vertu de la Loi lorsqu’il existe une possibilité sérieuse que la personne puisse être identifiée au moyen de l’information, seule ou combinée à d’autres informations disponibles. Pour les utilisateurs de Facebook qui sont connectés, les données de fichier journal recueillies par Facebook sont les renseignements personnels de l’utilisateur de Facebook.

31. Le Commissariat a déjà conclu qu’une adresse IP peut être considérée comme un renseignement personnel dans certaines circonstances, y compris lorsqu’elle peut être associée à un individu identifiable.1

32. En ce qui concerne les personnes qui ne sont pas inscrites à Facebook, ou les membres qui ne sont pas connectés à Facebook, Facebook soutient que l’adresse IP n’est pas identifiable. Dans ces deux circonstances, nous n’avons relevé aucun élément de preuve indiquant que Facebook lie ou peut lier l’adresse IP recueillie à un individu identifiable. Par conséquent, pour les personnes qui ne sont pas inscrites à Facebook ou les utilisateurs de Facebook qui ne sont pas connectés, Facebook ne recueille ou n’utilise pas les renseignements personnels des personnes dans les circonstances relatées dans la plainte du plaignant.

33. Cependant, pour les utilisateurs de Facebook qui consultent des sites dotés de modules sociaux quand ils sont connectés, Facebook recueille l’identifiant d’utilisateur de Facebook. Cette information permet à Facebook de clairement identifier une personne et pourrait être considérée comme un renseignement personnel au sens de la Loi. De la même façon, toutes les autres données « d’impression » produites lorsqu’un utilisateur de Facebook qui est connecté à son compte visite un site Web doté d’un module social représentent des renseignements personnels en vertu de la Loi, y compris l’adresse IP.

34. Bien qu’il n’existe pas de moyen précis de refuser la collecte et l’utilisation des renseignements personnels, les utilisateurs peuvent se déconnecter du site avant de visiter le site Internet pour éviter que leurs renseignements personnels soient consignés par Facebook.

35. De l’avis de Facebook, les utilisateurs consentent implicitement à la collecte de certaines données techniques lorsqu’ils interagissent avec le site Web. Le Commissariat convient que les mécanismes de base de communication Web nécessitent une telle transmission de renseignements, et que les utilisateurs y consentent implicitement. Cependant, dans la mesure où les données en question représentent des renseignements personnels, comme c’est le cas pour les données de fichier journal qui sont recueillies d’un utilisateur de Facebook lorsque celui-ci est connecté, Facebook doit s’assurer que la collecte et l’utilisation des renseignements personnels sont expliquées aux utilisateurs d’une manière claire et facile à comprendre de sorte qu’ils soient au courant de la collecte et y consentent.

36. Voilà qui nous amène aux dispositions relatives aux avis et à l’information que Facebook et ses partenaires qui hébergent les modules sociaux fournissent aux utilisateurs. Dans le cadre de notre enquête, nous avons examiné la politique de confidentialité et les avis affichés dans le centre d’aide de Facebook. Ce faisant, nous avons pris en considération la qualité et l’exhaustivité des dispositions d’avis concernant les modules sociaux et la question de savoir si les dispositions en question sont suffisamment claires pour permettre un consentement éclairé. Bien que la nature et le rôle des modules sociaux puissent être difficiles à comprendre, le Commissariat estime que Facebook s’est employée à informer ses utilisateurs respectifs du fonctionnement des modules sociaux d’une manière claire et compréhensible. Les utilisateurs de Facebook qui choisissent le lien « Confidentialité » situé au bas de chaque page de Facebook reçoivent une courte explication des modules sociaux. Au moment de l’enquête, l’explication disait :

Les modules sociaux sont des boutons, cases et actualités (comme le bouton J’aime) que d’autres sites Web peuvent utiliser pour vous présenter des contenus Facebook et vous faire profiter d’une expérience plus sociale et personnelle. Les sites que vous visitez ne reçoivent aucun de vos renseignements personnels. Bien que ces boutons, cases et actualités apparaissent sur certains sites Web, le contenu provient directement de Facebook.[traduction]

37. À partir de cette page, l’utilisateur peut également accéder à une courte vidéo animée qui décrit les modules sociaux. La vidéo indique également aux membres qu’aucune information n’est communiquée à des sites Web tiers.

38. Les utilisateurs peuvent également obtenir de l’information sur l’utilisation que fait Facebook des renseignements personnels contenus dans les modules sociaux en consultant les questions les plus fréquemment posées sur la confidentialité de l’entreprise (« Questions les plus fréquemment posées sur la confidentialité »). Ce lien conduit l’utilisateur au Centre d’aide de Facebook, qui contient des renseignements plus détaillés sur les modules sociaux. Dans cette section, Facebook fournit des réponses détaillées aux questions comme :

  • Quelles sont les informations reçues par Facebook lorsque je visite un site contenant les boutons Recommander ou J’aime d’autres modules sociaux?
  • Comment indiquer que je ne souhaite pas voir les modules sociaux?
  • Si je consulte un site qui utilise des modules sociaux avec lesquels je n’interagis pas, des informations qui me concernent peuvent-elles être partagées?

39. Nous avons constaté que l’information présentée dans les questions les plus fréquemment posées sur la confidentialité de Facebook se rapportant à l’utilisation des modules sociaux est satisfaisante et facile à lire. Il est souligné dans chaque réponse que Facebook ne communique ou ne vend pas l’information recueillie lorsque les utilisateurs de Facebook consultent un site Web doté d’un module social.

40. La politique de confidentialité de Facebook offre des renseignements de base sur la collecte d’information relative aux outils d’accès et de navigation, l’utilisation qu’elle fait des témoins lorsque les personnes interagissent avec des « widgets », et signale qu’elle utilise l’information recueillie pour « gérer le service ».

41. Globalement, nous estimons que Facebook décrit de façon adéquate les modules sociaux afin d’obtenir un consentement éclairé pour la collecte et l’utilisation des renseignements personnels des utilisateurs de Facebook, lorsque ceux-ci sont connectés et lorsqu’ils visitent un site Web d’un tiers contenant un module social. En général, nous estimons que Facebook fournit aux utilisateurs suffisamment de renseignements se rapportant à l’utilisation et au fonctionnement des modules sociaux chaque fois qu’un utilisateur visite un site doté d’un module social.

42. Sur la foi de tout ce qui précède, nous concluons que la plainte n’est pas fondée.


[1] Résumé de cas du CPVP 2009-010, 2005-319