Conclusions en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

Rapport des conclusions en vertu de la LPRPDE no 2012-002

Rapport de conclusions
Une enquête révèle que Facebook n’a pas obtenu le consentement des non membres en vue de l’utilisation de leurs adresses électroniques pour leur proposer des amis


Résumé

Les trois plaignants ont reçu une invitation à se joindre à Facebook par courriel ainsi que des suggestions d’amis (c’est-à-dire une liste d’utilisateurs de Facebook que les plaignants pourraient connaître et leurs photos de profil). Même si aucun des plaignants n’était membre de Facebook, l’invitation a été faite au nom d’un utilisateur qu’ils connaissaient et les liens sociaux proposés étaient dans l’ensemble assez exacts. En l’absence d’autres renseignements, les plaignants ont cru que Facebook avait eu accès à leurs carnets d’adresses électroniques (ou ceux de leurs amis).

Par ailleurs, une plaignante craignait que Facebook ait dressé son profil, à son insu et sans son consentement.

Le Commissariat n’a pu établir que Facebook aurait eu accès aux carnets d’adresses électroniques des plaignants ni que le site conserverait des profils personnels de non utilisateurs. Cependant, il a déterminé que Facebook n’avait pas respecté les exigences relatives à la connaissance et au consentement prévues dans la Loi sur la protection des renseignements personnels et les documents électroniques. Plus précisément :

  • Facebook n’a pas obtenu de consentement en vue d’utiliser les adresses électroniques de non utilisateurs dans le but de leur proposer des amis;
  • Facebook n’a pas expliqué aux non utilisateurs comment leurs adresses électroniques seraient utilisées;
  • Facebook n’a pas mis en place une procédure pratique de refus, avant l’utilisation des adresses électroniques de non utilisateurs.

À la suite de nos recommandations, Facebook indique maintenant clairement et adéquatement aux non utilisateurs que leurs adresses électroniques pourraient servir à leur proposer des amis et leur offre la possibilité de refuser facilement cette option. Étant donné les changements mis en œuvre par l’entreprise en cours d’enquête, le Commissariat a conclu que les plaintes sont fondées et résolues.

Leçons apprises

  • Lorsqu’une organisation utilise des renseignements personnels — dans le cas qui nous intéresse, les adresses électroniques de non utilisateurs en vue de leur proposer des amis —, elle doit l’indiquer à ces personnes et obtenir leur consentement à cet égard le plus tôt possible;
  • Les entreprises qui mettent en œuvre de nouvelles fonctions nécessitant l’utilisation de renseignements personnels devraient évaluer leur incidence sur la protection de la vie privée avant de les rendre publiques. Ainsi, il serait moins souvent nécessaire d’apporter des corrections après coup et une fois qu’il y ait eu une possible atteinte à la protection des renseignements personnels.

Plaintes déposées aux termes de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi)

1. Les plaignants ont allégué que Facebook, Inc. (« Facebook ») avait accédé de manière inappropriée à leurs carnets d’adresses électroniques (ou à ceux de leurs amis) et fait usage sans leur consentement des renseignements personnels qu’ils contenaient. Dans ces trois cas, les plaignants ont reçu une invitation par courriel à se joindre à Facebook qui comportait de soi-disant « suggestions d’amis » (c.-à-d., une liste d’utilisateurs de Facebook que les plaignants étaient susceptibles de connaître, avec des photos de leur profil respectif).

2. Bien qu’aucun des plaignants n’ait été lui-même utilisateur de Facebook, l’invitation portait le nom d’une personne utilisatrice de Facebook qu’ils connaissaient. Chaque invitation présentait des liens sociaux qui, dans leur ensemble, étaient relativement justes. En l’absence d’autres renseignements, les plaignants ont estimé que les suggestions d’amis de Facebook étaient fondées sur des renseignements personnels extraits de leurs carnets d’adresses électroniques ou de ceux de leurs amis.

3. En plus de ce qui précède, un plaignant s’est inquiété de ce que Facebook ait créé à son insu et sans son consentement un profil à son nom.

4. Facebook a été avisé la première fois de ces plaintes le 11 août 2010. Le Commissariat a reçu les premières observations de la société en date du 8 septembre 2010. Le présent rapport rend compte des conclusions de notre enquête.

Résumé de l’enquête

5. En octobre 2009, dans le but d’accroître son nombre d’abonnés, Facebook s’est adjoint une fonctionnalité de suggestion d’amis. Cette fonctionnalité permet à des utilisateurs de Facebook de téléverser dans leurs contacts Facebook les adresses électroniques de non utilisateurs et d’inviter des personnes qu’ils pourraient connaître à se joindre au site. Les non utilisateurs de Facebook sont incités à s’abonner au site par une série de courriels et de rappels dont certains comportent des suggestions d’amis.

6. Les suggestions d’amis sont créées automatiquement et spontanément par Facebook qui utilise pour cela des algorithmes repérant d’autres utilisateurs qui ont :

  1. importé des adresses électroniques de non utilisateurs;
  2. déjà adressé une invitation à un non utilisateur;
  3. invité un non utilisateur à une activité;
  4. identifié un non utilisateur sur une photo à l’aide d’une étiquette.

7. Facebook déclare ne pas savoir si ces personnes sont connues des non utilisateurs.

8 .Les invitations de Facebook sont lancées par des utilisateurs du site et non par Facebook lui-même. À cet égard, le Commissariat a déjà statué que Facebook pouvait, d’une manière raisonnable, s’appuyer sur ses membres afin d’obtenir le consentement de non utilisateurs aux fins d’envoyer une invitation Facebook1. Tout en procédant ainsi, Facebook est cependant tenu de veiller à ce que les utilisateurs obtiennent le consentement de leurs amis, avant de leur envoyer une demande d’invitation. Depuis 2009, la Déclaration des droits et responsabilités de Facebook informe les utilisateurs qu’ils doivent obtenir le consentement de leurs amis avant de leur envoyer une demande d’invitation.

9. Lorsqu’un utilisateur de Facebook envoie une invitation, il est informé que ses invitations ne doivent être envoyées qu’aux personnes qu’il connaît personnellement. Voici le libellé de la déclaration qui figure sur le formulaire d’invitation de Facebook, juste au‑dessous du bouton « Inviter vos amis »: « Veuillez envoyer des invitations aux seules personnes que vous connaissez personnellement et qui seront contentes de les recevoir ». Les utilisateurs de Facebook sont de plus informés que Facebook peut envoyer jusqu’à deux « rappels » d’invitation. Les utilisateurs de Facebook peuvent prévisualiser la première invitation qui sera envoyée, mais pas les rappels suivants. En effet, si l’invité omet de se désabonner, ces rappels sont automatiquement envoyés par Facebook après la première invitation.

10. L’exemple suivant illustre la manière dont fonctionne en général la suggestion d’amis de Facebook. Jeanne est utilisatrice de Facebook et souhaite inviter un ami (Mark) à se joindre au site de réseau social. Mark n’est pas utilisateur de Facebook et n’a jamais eu de relation avec cette société. Jeanne téléverse l’adresse électronique de Marc sur son compte Facebook. Elle envoie ensuite à Marc une invitation pour qu’il se joigne à Facebook en utilisant pour cela la plateforme Facebook. Avant d’envoyer une invitation Facebook, Jeanne est tenue (en vertu des Conditions d’utilisation de Facebook) d’obtenir le consentement de Marc pour utiliser ses adresses électroniques aux fins de lui envoyer une invitation Facebook. Facebook rappelle à Jeanne qu’elle doit envoyer des invitations aux seules personnes qu’elle connaît.

11. Bien que les utilisateurs aient la possibilité de personnaliser leur invitation Facebook, celle-ci peut également être envoyée avec un message d’accueil normalisé. Dans l’exemple susmentionné, le message normalisé aurait été : « Bonjour Mark, Jane vous invite à rejoindre Facebook. Une fois inscrit, vous pourrez voir les mises à jour, photos et autres informations de tous vos autres amis... et partager les vôtres ». Toutes les invitations arborent le logo de la société Facebook.

12. Une fois que Jeanne a lancé une invitation, Facebook peut rechercher dans les contacts Facebook (c.‑à‑d. dans les carnets d’adresses des utilisateurs de Facebook sur Facebook) l’adresse électronique de Marc ou d’autres, ainsi que d’autres données associées à des points communs. Bien entendu, Marc est susceptible de connaître plusieurs utilisateurs de Facebook, certains d’entre eux pouvant avoir téléversé son adresse électronique dans leurs contacts Facebook. Des liens peuvent également être établis en utilisant les renseignements fournis par Jeanne (ou par d’autres utilisateurs de Facebook) durant l’identification (ou l’« étiquetage ») de Marc sur des photos de Facebook ou au moyen d’autres informations recueillies dans des invitations à des activités lancées par des utilisateurs. Les correspondances qui peuvent en résulter, tout comme d’autres correspondances dans les données, sont ensuite exploitées pour identifier et sélectionner des utilisateurs de Facebook que Marc pourrait connaître.

13. Selon Facebook, les suggestions d’amis sont entièrement générées par le système. Des algorithmes élaborés relient des non utilisateurs de Facebook à des utilisateurs existants en se servant de jeux communs de données. Le plus fréquemment – mais non exclusivement – Facebook s’appuie sur les adresses électroniques de non utilisateurs pour créer des suggestions d’amis (pour autant que ces adresses se trouvent dans des carnets d’adresses électroniques téléversés par des utilisateurs de Facebook ou dans de précédentes invitations d’amis ou invitations à des activités.

14. Il convient de noter qu’une personne dont l’adresse électronique a été téléversée par un utilisateur de Facebook conserve un droit d’accès et de suppression de cette adresse à sa demande. Les demandes d’accès peuvent être faites directement auprès de Facebook par un non utilisateur.

15. Au début de notre enquête, les invitations de Facebook n’offraient aux invités que peu d’avis et de communications sur le processus d’invitation, ainsi que sur la fonctionnalité de suggestion d’amis de la société. Les non utilisateurs avaient certes la possibilité de se désabonner pour ne plus recevoir de nouvelles invitations électroniques, mais le bouton de désabonnement n’apparaissait pas en évidence sur les invitations de Facebook.

16. En outre, au début de notre enquête, la première invitation reçue par un non-utilisateur comportait également des suggestions de personnes se trouvant sur Facebook et qu’un non-utilisateur aurait pu connaître. Ces suggestions d’amis, incluses dans la première invitation de Facebook, indiquaient les noms de profils d’utilisateurs existants sur Facebook, ainsi que les images des profils affichés.

17. Bien que les trois plaignants se soient dans une certaine mesure irrités du fait d’avoir reçu une invitation non sollicitée à rejoindre Facebook, on notera que cette invitation n’a pas, en elle-même, joué un rôle central dans la plainte au regard du respect de la vie privée reçue par le Commissariat. L’objet de préoccupation était davantage relié à la capacité de Facebook – au moyen de sa fonctionnalité de suggestion d’amis – à mettre en relation de manière très précise chaque plaignant avec d’autres personnes, tout particulièrement quand on sait que les plaignants n’étaient pas utilisateurs de ce site.

18. Au regard des points susmentionnés, le Commissariat a entrepris un examen exhaustif de la fonctionnalité de suggestion d’amis de Facebook et s’est intéressé à l’usage fait dans ce contexte par cette société des renseignements personnels des plaignants. L’examen a donné lieu à l’ouverture de multiples comptes d’essais, ainsi qu’au lancement et à l’examen du processus d’invitation de la société. Nous avons également observé certaines caractéristiques de confidentialité et de sécurité et vérifié, lorsqu’il y avait lieu, la pertinence des communications et des avis de confidentialité.

19. Dans le cadre de notre examen technique, nous avons également examiné la nature de l’information en cause, ainsi que les attentes raisonnables de non utilisateurs de Facebook qui reçoivent une invitation de Facebook accompagnée de suggestions d’amis. En ce sens, nous pouvons dire que l’expérience commu/ne des plaignants s’est révélée particulièrement instructive.

Application

Le 8 février 2012

20. Pour trancher les points litigieux susmentionnés, nous avons examiné l’objet de la Loi et de ses dispositions aux termes de la Section 3 et appliqué les principes 4.2.4, 4.3, 4.3.2, 4.3.4, 4.3.5 et 4.3.6 de l’Annexe 1 de la Loi.

21. La Section 3 de la Loi précise l’objet de la Loi qui est « de fixer, dans une ère où la technologie facilite de plus en plus la circulation et l’échange de renseignements, des règles régissant la collecte, l’utilisation et la communication de renseignements personnels d’une manière qui tient compte du droit des individus à la vie privée à l’égard des renseignements personnels qui les concerne et du besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptable dans les circonstances ».

22. Le principe 4.2.4 prévoit qu’avant de se servir de renseignements personnels à des fins non précisées antérieurement, les nouvelles fins doivent être précisées avant l’utilisation. À moins que les nouvelles fins auxquelles les renseignements sont destinés ne soient prévues par une loi, il faut obtenir le consentement de la personne concernée avant d’utiliser les renseignements à cette nouvelle fin.

23. Le principe 4.3 précise que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir. Le principe 4.3.2 poursuit en stipulant que les organisations doivent faire un effort raisonnable pour s’assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Le principe 4.3.4 prévoit que la forme du consentement que l’organisation cherche à obtenir peut varier selon les circonstances et la nature des renseignements.

24. En dernier lieu, le principe 4.3.5 établit que, dans l’obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes. Le contexte joue donc un rôle important. Le principe 4.3.6 établit que l’organisation devrait chercher en général à obtenir un consentement explicite si les renseignements sont susceptibles d’être considérés comme sensibles, mais précise aussi qu’un consentement implicite serait normalement jugé suffisant lorsque les renseignements sont moins sensibles.

Analyse

25. Ces plaintes consistent pour l’essentiel à savoir si Facebook a bien informé chacun des plaignants avec lesquels il n’avait aucune relation préalable et obtenu leur consentement, afin d’utiliser leurs adresses électroniques aux fins de créer des suggestions d’amis.

26. Bien que les plaignants suspectent que Facebook a eu, à leur insu et sans leur consentement, accès à leurs carnets d’adresses électroniques, nous estimons que leurs soupçons ne sont pas fondés. Compte tenu du peu d’information dont ils disposaient au moment de leur plainte, les plaignants ont nourri des soupçons compréhensibles sur la capacité de Facebook à accéder à leurs carnets d’adresses électroniques et à en obtenir des renseignements. Nos enquêtes n’ont toutefois pas permis de découvrir de preuves d’un accès par Facebook aux carnets d’adresses électroniques personnels des plaignants ou à ceux de leurs amis. Notre enquête confirme donc que Facebook n’accède pas et ne peut pas accéder aux carnets d’adresses d’un non utilisateur de Facebook via sa fonctionnalité de suggestion d’amis.

27. En outre, nous avons estimé que les allégations des plaignants selon lesquelles Facebook aurait créé un profil en leur nom n’étaient pas fondées. En dépit des modes associés à la fonctionnalité de suggestion d’ami de Facebook, nous n’avons découvert aucune preuve que Facebook réalise un suivi ou une mise en mémoire de renseignements personnels de non utilisateurs. De plus, la fonctionnalité de suggestion d’amis de cette société ne donne pas lieu à la communication de renseignements personnels à des tiers; Facebook soutient que les suggestions d’amis qui sont créées durant le processus d’invitation ne sont pas communiquées ou, selon d’autres modalités, portées à la connaissance de quiconque hormis du récipiendaire de l’invitation.

28. Compte tenu de l’analyse qui précède, nous avons orienté notre enquête sur le point litigieux qui consiste à savoir si Facebook a obtenu le consentement valable de chacun des plaignants de manière à pouvoir utiliser leurs adresses électroniques aux fins de créer des suggestions d’amis.

29. Étant donné que la Loi établit que l’adresse électronique d’une personne est considérée comme un renseignement personnel, il convient d’informer une personne et d’obtenir son consentement avant de pouvoir la collecter, l’utiliser ou la communiquer, à moins que ne s’applique une exception pertinente aux termes de la Section 7 de la Loi. À notre avis, il n’y a aucune exception pertinente pouvant s’appliquer dans ce cas aux termes de la Section 7.

30. L’usage d’adresses électroniques d’un non utilisateur aux fins de créer des suggestions d’amis donne lieu au traitement de ces adresses par Facebook avec son algorithme et constitue de ce fait un usage distinct des renseignements personnels pour lesquels Facebook doit lui-même obtenir un consentement valable.

31. Au moment de notre enquête, les suggestions d’amis étaient liées à la première invitation de Facebook envoyée aux non utilisateurs. Ces invitations ne fournissaient aux personnes invitées qu’un avis très limité sur la fonctionnalité de suggestion d’amis et très peu de renseignements aux non utilisateurs sur la manière dont leurs renseignements personnels ont été utilisés pour créer des suggestions d’amis. Fait plus important, il faut savoir que Facebook a déjà utilisé des adresses électroniques de non utilisateurs pour créer des suggestions d’amis sans avoir au préalable communiqué à ces derniers les renseignements susmentionnés ou mis à leur disposition un instrument valable de consentement négatif. Au début de notre enquête, nous étions donc d’avis que Facebook utilisait des adresses électroniques de non utilisateurs aux fins de créer des suggestions d’amis à leur insu et sans leur consentement.

32. Toutefois, au fil de notre enquête et des discussions qui ont suivi avec le Commissariat et avec l’organisme chargé de la protection des données à Hambourg (Allemagne), il est apparu que Facebook avait procédé à plusieurs modifications de sa fonctionnalité de suggestion d’amis.

33. Facebook a en particulier accepté de supprimer les suggestions d’amis de la première invitation électronique et opté pour envoyer ces suggestions uniquement dans les rappels suivants. De plus, la première invitation et les rappels ultérieurs envoyés par courriel offrent aux non utilisateurs un mécanisme de consentement négatif qui est mis davantage en évidence et qui informe le non utilisateur que son adresse électronique peut être utilisée pour créer des suggestions d’amis. L’invitation comporte également une option de désabonnement et permet au non-utilisateur de a) savoir comment les suggestions d’amis sont créées et envoyées; b) d’éviter de recevoir de nouvelles invitations.

34. L’avis de désabonnement indique à présent de manière explicite : « Si vous ne souhaitez plus recevoir ces messages de la part de Facebook ou que votre adresse soit utilisée pour les suggestions de contact, veuillez cliquer sur Annuler l’abonnement » [soulignement ajouté]. Les personnes qui se désabonnent sont ajoutées à la liste de Facebook des courriels exclus et leurs adresses électroniques conservées pour veiller à que la personne ne reçoive plus de messages de Facebook.

35. En dépit de ces modifications, la question litigieuse demeure quant à savoir si la Loi autorise Facebook à s’appuyer sur le consentement implicite d’un non utilisateur pour faire usage de ses adresses électroniques aux fins de créer et d’envoyer une suggestion d’amis. En d’autres termes, Facebook pourrait‑il, dans les circonstances susmentionnées, invoquer une approche de « consentement négatif »?

36. Le principe 4.3.4 établit que la forme du consentement que l’organisation cherche à obtenir pour l’usage des renseignements personnels d’une personne peut varier selon les circonstances et la nature des renseignements. Pour déterminer la forme que prendra le consentement, les organisations doivent tenir compte de la sensibilité des renseignements, ainsi que des attentes raisonnables de la personne.

37. Aux termes du principe 4.3.6, une organisation devrait en général chercher à obtenir un consentement explicite (ou une option d’adhésion) si les renseignements devant être utilisés sont susceptibles d’être considérés comme sensibles. Lorsque les renseignements sont moins sensibles, un consentement implicite (ou option de retrait) serait normalement jugé suffisant.

38. Dans le cadre de cette plainte, il importe de garder à l’esprit qu’un non utilisateur ne devrait raisonnablement pas s’attendre à ce qu’un site comme Facebook fasse usage de son adresse électronique pour établir des relations sociales. Cela est d’autant plus vrai dans le cadre de cette plainte où les plaignants, qui n’étaient pas des utilisateurs de Facebook, n’avaient jamais eu de relations avec Facebook.

39. En outre, bien qu’une adresse électronique ne puisse à première vue être considérée comme un renseignement personnel sensible, on pourrait dans certains contextes tout à fait particuliers, considérer comme sensibles des relations sociales existantes ou présumées établies entre des personnes et ayant découlé de l’utilisation d’adresses électroniques, dans le cadre de la fonctionnalité de suggestion d’amis de Facebook.

40. Par contre, rien dans le contexte actuel ne permet d’établir qu’une personne raisonnable serait amenée à penser que l’utilisation d’une adresse électronique aux fins de créer des suggestions d’amis revête normalement un caractère sensible, sachant que cette adresse n’a été vue de quiconque à l’exception du récipiendaire lui-même.

41. De surcroît, Facebook a fait valoir que l’adoption d’un régime de consentement positif serait tout à fait irréaliste pour sa fonctionnalité de suggestion d’amis. Selon la société, un tel processus entraînerait une réduction considérable du nombre de nouveaux abonnés créés par les invitations d’amis, sans compter l’impossibilité sur le plan technique de procéder à des modifications pour les seuls besoins du Canada.

42. Bien qu’il puisse toujours se trouver des circonstances très particulières qui rehaussent le caractère sensible de renseignements personnels autrement non sensibles, notre interprétation de la Loi est qu’elle favorise une approche raisonnable et pragmatique. De plus, conformément à l’objet de la Loi, il convient de parvenir à un juste équilibre entre la protection de la vie privée d’une personne et la nécessité de faciliter l’utilisation de renseignements personnels pour des motifs commerciaux valables. À l’endroit de chacun de ces points, Facebook a fait part au Commissariat d’observations que nous avons trouvées convaincantes.

43. Ayant examiné la question litigieuse du point de vue des deux parties, nous sommes arrivés aux conclusions suivantes.

44.En considération de l’objet de la LPRPDE et de l’équilibre sous-jacent que la Loi cherche à trouver entre la protection des renseignements personnels et la permission accordée à des organisations d’utiliser ces renseignements personnels à des fins raisonnablement valables, la Loi favorise une méthode contextuelle dans son évaluation du caractère sensible des renseignements personnels aux fins de déterminer la forme appropriée de consentement qu’une organisation devrait rechercher.

45. Compte tenu du fait qu’une adresse électronique pourrait être considérée dans certaines circonstances très particulières comme un renseignement personnel sensible, nous estimons, dans le contexte de la présente plainte, que l’adresse électronique d’un non utilisateur utilisée aux fins de suggérer des relations sociales et qui est vue seulement du non utilisateur n’est normalement pas considérée comme de nature sensible.

46. Nous convenons donc qu’une méthode de consentement négatif permettant d’obtenir le consentement de l’intéressé est valable dans le contexte présent, sous réserve du respect de certaines conditions.

47. Comme le Commissariat l’a déjà mentionné dans une Fiche d’information intitulée Détermination de la forme de consentement approprié aux termes de la Loi sur la protection des renseignements personnels et les documents électroniques, ainsi que dans des documents d’orientation ultérieurs, un consentement négatif ou implicite peut être acceptable lorsque :

  • Des renseignements personnels sont à l’évidence non sensibles quant à leur nature et au contexte;
  • Le contexte dans lequel les renseignements sont communiqués est bien circonscrit et bien défini quant à la nature des renseignements personnels visés ou communiqués et à la portée de leur utilisation ou de leur communication;
  • L’objet des organisations est circonscrit, bien défini et énoncé de manière claire et compréhensible;
  • L’organisation obtient lors de la collecte le consentement de personnes pour l’usage et la communication ou informe ces personnes de la communication ou de l’usage qui est projeté et leur offre le plus tôt possible une option de retrait;
  • L’organisation offre une procédure pratique de désistement ou de retrait du consentement à des fins secondaires, le désistement prenant immédiatement effet et avant communication des renseignements personnels pour les nouvelles fins projetées.

48. Dans le cas où il existe un usage ou une communication à des fins secondaires, l’organisation doit offrir à l’intéressé un moyen permanent de retrait de son consentement à des fins secondaires et veiller à ce que le désistement prenne effet le plus tôt possible.

49. Au début de notre enquête, Facebook ne satisfaisait pas aux normes établies aux termes de la Loi du point de vue de l’information de l’intéressé et de son consentement. Les premières invitations de la société ne fournissaient aux invités que peu d’avis et de communication au regard de sa fonctionnalité de suggestion d’amis. Les non utilisateurs n’étaient pas informés des fins pour lesquelles leurs adresses électroniques étaient utilisées et ne pouvaient pas non plus faire valoir leur option de retrait au regard de l’utilisation de leurs renseignements personnels pour créer des suggestions d’amis.

50. Compte tenu du fait que Facebook a omis d’indiquer de manière adéquate les nouvelles fins pour lesquelles les renseignements personnels collectés allaient être utilisés (en violation du principe 4.2.4), omis de faire les efforts raisonnables afin de veiller à ce que les personnes soient informées de ces fins (en violation du principe 4.3.2) et omis d’informer les non utilisateurs et d’obtenir leur consentement avant de faire usage de leurs adresses électroniques pour créer des suggestions d’amis (en violation du principe 4.3), nous avons jugé que la société avait contrevenu à la Loi.

51. Toutefois, suite aux recommandations du Commissariat, force est de constater que Facebook offre à présent un avis clair et suffisant quant à l’usage qui est fait des adresses électroniques pour créer des suggestions d’amis. La société offre également aux non utilisateurs un moyen pratique et convivial pour renoncer à recevoir des suggestions d’amis.

Conclusions

52. Compte tenu : (i) des modifications diverses apportées par Facebook à la fonctionnalité de suggestion d’amis; (ii) de la nature normalement non sensible d’une adresse électronique dans le contexte de son usage pour créer des suggestions d’amis; (iii) des attentes raisonnables de personnes recevant une invitation de Facebook sous sa forme actuelle et améliorée, nous sommes d’avis que, dans les circonstances très particulières de ces plaintes, Facebook peut invoquer la connaissance et le consentement implicites des non utilisateurs à faire usage de leurs adresses électroniques pour créer des suggestions d’amis. Nous tenons à souligner que le mécanisme de désabonnement ou de consentement négatif qu’utilise à présent Facebook apparaît de manière plus visible et que les non utilisateurs bénéficient de renseignements sur la fonctionnalité de suggestions d’amis.

53. Étant donné ce qui précède, nous concluons que les présentes plaintes sont bien fondées et résolues.

[1] Voir le résumé de plainte en vertu de la LPRPDE no 2009-008.