Résultats préliminaires du ratissage d’Internet : le bon, le mauvais et le pire

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Vous vous rappelez sans doute que le Commissariat a participé, il y a quelques semaines, au premier ratissage international d’Internet du Global Privacy Enforcement Network (GPEN), mené sous sa gouverne.

Nous avons cherché à reproduire l’expérience vécue par les consommateurs en naviguant sur différents sites pendant quelques minutes afin de déterminer comment les organisations s’y prennent pour faire connaître au public leurs pratiques de protection de la vie privée. Le « ratissage » visait à évaluer la transparence en ligne des organisations et non leurs pratiques de protection de la vie privée proprement dites. Il ne s’agissait ni d’une enquête ni d’une démarche destinée à recenser de façon concluante des problèmes de conformité ou des infractions à la loi.

Nous avons consulté plus de 300 sites ce jour-là et nous n’avons pas encore terminé le dépouillement des résultats obtenus, mais nous voulions vous donner un aperçu de nos résultats préliminaires.

Le bon

Nous avons trouvé plusieurs exemples positifs de transparence en matière de communication des pratiques de protection de la vie privée. Les meilleures politiques sont axées sur la clientèle; elles font état de renseignements que les gens sont vraiment susceptibles de vouloir connaître et de juger utiles. Nous vous présentons quelques exemples parmi nos préférés.

Tim Hortons indique les différents types de renseignements personnels que l’entreprise recueille et utilise pour plusieurs activités – par exemple, lorsque les gens font des achats en ligne, qu’ils participent à des concours ou qu’ils s’inscrivent pour obtenir une carte de paiement. Dans l’ensemble, nous estimons que la politique de l’entreprise est présentée de façon claire et directe - cliquez sur l'instantané d'écran pour lire l'extrait :

Collecte et utilisation de renseignements personnels Tim Hortons recueille et utilise des renseignements personnels de clients et d’autres personnes (un « particulier ») de la manière suivante : Tim Hortons peut recueillir et conserver des renseignements personnels, tels que les nom, coordonnées, renseignements relatifs à la carte de paiement et dossier des achats d’un particulier lorsque celui-ci s’abonne à des services ou achète des produits sur notre site Web, dans l’un de nos magasins ou à un kiosque. Tim Hortons peut recueillir les renseignements personnels d’un particulier lorsque celui-ci soumet une demande dans le cadre de programmes gérés à l’occasion par Tim Hortons, tels que le Programme des bourses d’études de Tim Hortons (les « programmes ») ou une demande d’emploi (comme ceux transmis dans un curriculum vitæ, une lettre de présentation, ou des documents semblables relatifs à l'emploi). Nous nous servons des renseignements personnels soumis en fonction de ce qui est raisonnablement nécessaire pour évaluer l’admissibilité du particulier aux programmes et pour annoncer et promouvoir les programmes ou déterminer si un particulier a les qualités requises pour pourvoir à un poste chez Tim Hortons, ainsi que pour traiter la demande et répondre au particulier. Dans le cadre de concours ou de promotions, nous pouvons recueillir des renseignements personnels, tels que le nom et la ville de résidence d’un gagnant de concours, et les prix gagnés par celui-ci, et ce, afin d’attribuer les prix et de faire la promotion de ces concours. Ces renseignements peuvent être publiés relativement aux concours. À l’occasion, nous pouvons obtenir le consentement d’un particulier à l’utilisation de ses coordonnées pour lui transmettre des bulletins d’information ou des mises à jour, des annonces et des promotions spéciales au sujet des produits et de services de Tim Hortons.

La politique de confidentialité de TripAdvisor se démarque également. Elle explique en détail sa fonction de personnalisation instantanée, qui utilise les renseignements fournis par Facebook pour offrir aux utilisateurs une expérience mieux adaptée à leurs besoins. En plus d’indiquer en détail les renseignements qu’elle recueille et la façon dont ils sont utilisés, l’entreprise fournit des instructions sur la façon d’activer ou de désactiver cette fonction. Jetez un coup d’œil à la saisie d’écran :

Nous avons établi un partenariat avec Facebook, afin de fournir une personnalisation instantanée sur TripAdvisor aux membres de Facebook. Si votre personnalisation instantanée est activée dans vos paramètres de confidentialité Facebook et si vous êtes connecté à Facebook, TripAdvisor sera personnalisé pour vous lorsque vous visitez le site Web, même si vous utilisez le site Web de TripAdvisor pour la première fois. Par exemple, nous vous montrerons les avis de vos amis Facebook affichés sur TripAdvisor, ainsi que les lieux qu'ils ont visités. Afin de vous fournir cette expérience personnalisée, Facebook nous transmet les informations que vous avez choisies de rendre disponibles dans les paramètres de confidentialité de Facebook. Lesdites informations peuvent inclure votre nom, l'image de votre profil, votre sexe, vos listes d'amis et toute autre information que vous avez choisie de partager. Lors de votre première visite de TripAdvisor, une option vous permettra de désactiver la personnalisation instantanée en un clic. Si vous décidez de la désactiver ultérieurement, vous pourrez le faire en commençant par vous connecter à Facebook et en cliquant sur le lien de désactivation se trouvant sur cette page ou via le lien « En savoir plus » en haut de la page de TripAdvisor, en cliquant sur « Comment désactiver la personnalisation ». Vous pouvez également désactiver la personnalisation instantanée en modifiant vos paramètres de confidentialité sur Facebook. Veuillez noter que, si certains de vos amis Facebook utilisent TripAdvisor, ils peuvent également avoir partagé avec nous des informations vous concernant via Facebook. Si vous souhaitez éviter ce partage, vous pouvez modifier vos paramètres de confidentialité sur Facebook. En savoir plus sur la personnalisation instantanée sur Facebook ou lire le forum sur la personnalisation instantanée de TripAdvisor.

Allstate se distingue également. L’entreprise a mis en place un système anonyme et confidentiel qui permet à ses clients de signaler, par l’intermédiaire d’un tiers, toute atteinte à la vie privée. La promotion et la facilitation d’un véritable échange avec les clients concernant le respect de la vie privée est un élément clé de la transparence. C’est pourquoi il est réconfortant de constater qu’une entreprise comme Allstate se soucie de la façon dont ses clients souhaitent lui faire part de leurs préoccupations en matière de vie privée.

Dans le cadre de notre engagement continu à l’égard du respect de la vie privée, nous avons mis en place un système de transmission d'informations qui, au besoin, peut être utilisé de façon anonyme et qui permet aux consommateurs de relater toute violation au respect de la vie privée. Tous les commentaires reçus au moyen de ce mécanisme sont importants pour Allstate. Par conséquent, ils seront examinés le plus rapidement possible et, soyez-en assuré, avec la plus grande discrétion. Si vous avez des préoccupations au sujet de la vie privée, veuillez communiquer en ligne ou envoyer une lettre par la poste à : ClearView ConnectsMC Case postale 11017 Toronto (Ontario) M1E 1N0 1-866-505-9915

Des politiques de confidentialité qui s’appliquent à la fois aux pratiques en ligne et en magasin figurent également à notre palmarès. Dans son avis de confidentialité, IKEA Canada signale que ses magasins et ses stationnements sont équipés de caméras de surveillance en circuit fermé (CCTV). L’entreprise renvoie à sa politique en matière de surveillance par CCTV, que l’on peut obtenir en communiquant avec le Bureau de la confidentialité d’IKEA. Puisque cette technologie de surveillance est utilisée dans nombre de magasins et de stationnements, cet exemple ne devrait pas être aussi rare qu’il l’est.

À des fins de sécurité et de responsabilité, nos magasins et les zones environnantes, comme les stationnements, sont dotés de caméras de surveillance en circuit fermé. Nous conservons pendant une courte période (environ 90 jours) les images recueillies au moyen de ces caméras, sauf si elles sont liées à une enquête en cours. Des affiches en magasin avisent les visiteurs de la présence de caméras. En visitant nos magasins, vous acceptez l’utilisation de ces caméras et la collecte de renseignements vous concernant. Pour plus de détails à propos de l’utilisation de caméras de surveillance en circuit fermé dans nos magasins, consultez la politique d'IKEA en matière de surveillance par CCTV. Pour obtenir une copie de cette politique, communiquez avec le Bureau de la confidentialité, dont les coordonnées figurent à la fin du présent avis.

Le mauvais

Environ 20 % des sites que nous avons examinés ne font état d’aucune personne‑ressource en matière de protection de la vie privée ou n’indiquent pas les coordonnées de cette personne de façon à ce qu’il soit facile de les trouver.

Par exemple, plusieurs sites, notamment les sites theloop.ca et tsn.ca, renvoient à la Politique de confidentialité de Bell Média, dont voici un extrait :

QUESTIONS, COMMENTAIRES OU SUGGESTIONS? Si vous avez des questions, des commentaires ou des suggestions sur la présente Politique de confidentialité ou sur les pratiques en matière de la vie privée de Bell Média qui ne sont pas traitées dans les présentes, envoyez-nous un courriel.

Et l’adresse de courriel à utiliser est?

Eh bien, nous n’avons pas réussi à la trouver.

Sur un grand nombre des sites Web que nous avons examinés, les responsables se contentent d’aligner des milliers de mots paraphrasant la LPRPDE, mais ils donnent très peu d’information présentant un véritable intérêt pour les lecteurs. Alors que les auteurs des sites cités en exemple se sont efforcés de fournir aux consommateurs des renseignements clairs et utiles, les sites médiocres ont adopté une approche à caractère plus juridique et ont mis l’accent sur la conformité à la loi.

Jetez un coup d’œil à un extrait du Code de protection des renseignements personnels de GlaxoSmithKline, où l’entreprise explique comment elle cherche à obtenir le consentement des clients pour la collecte, l’utilisation et la divulgation des renseignements personnels. Sa Politique sur la protection des renseignements personnels est très similaire au libellé de la législation canadienne, mais elle n’est guère utile au consommateur qui tient à savoir quand on pourrait solliciter son consentement. Nous avons mis en surbrillance le texte qui reprend pratiquement mot pour mot l’annexe 1 de la LPRPDE :

PRINCIPE 3 - CONSENTEMENT Toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire. 3.1 La façon d'obtenir le consentement, explicitement ou implicitement, peut varier selon la sensibilité des renseignements et les attentes raisonnables de la personne. En tout temps, une personne peut retirer son consentement, sous réserve des restrictions prévues par une loi ou un contrat et d'un préavis raisonnable. 3.2 Généralement, GSK cherchera à obtenir, au moment de la cueillette, le consentement pour utiliser ou divulguer des renseignements personnels. Toutefois, dans certaines circonstances, le consentement peut être obtenu après la cueillette, mais il doit être reçu avant l'utilisation. 3.3 GSK demandera le consentement pour recueillir, utiliser ou divulguer les renseignements personnels comme condition d'approvisionnement ou d'achat d'un produit, uniquement si l'utilisation, la collecte ou la divulgation est requise pour satisfaire à une fin définie. 3.4 Dans certaines circonstances permises ou exigées par la loi, GSK peut recueillir, utiliser ou divulguer des renseignements personnels à l'insu et sans le consentement de la personne, notamment les suivants : renseignements personnels protégés par le secret professionnel ou accessibles au grand public conformément à la loi; renseignements recueillis et utilisés manifestement dans l'intérêt de la personne dont le consentement ne peut être obtenu à temps; renseignements divulgués dans le cadre d'enquêtes sur la violation d'un accord ou la contravention du droit; renseignements communiqués dans les situations d'urgence mettant en danger la vie, la santé ou la sécurité d'une personne; renseignements utilisés pour recouvrer des créances ou pour se conformer à une citation à comparaître, à un mandat ou à une ordonnance de la cour.

Hein?

Le site Web de GlaxoSmithKline contient aussi une politique sur la protection des renseignements personnels sur Internet qui, à certains égards, explique mieux que le Code de protection des renseignements personnels de quelle manière les renseignements d’un client peuvent être recueillis et utilisés. Nous avons cependant trouvé que cette politique, à l’instar d’autres politiques consultées au cours de notre ratissage, met l’accent sur l’utilisation des témoins et sur d’autres données techniques recueillies par l’entremise du site et ne renferme pas suffisamment d’information sur la façon dont l’organisation recueille et utilise d’autres types de renseignements au sujet du client.

Le pire

Environ 10 % des sites que nous avons examinés ne semblent renfermer aucune politique de confidentialité.

Dans 10 % des sites également, la politique de confidentialité est difficile à trouver, voire quasi‑ introuvable, puisqu’elle est noyée dans un long avis juridique ou dans un document de modalités.

Près de 90 % des sites examinés renferment une politique ou un avis de confidentialité sous une forme quelconque. Toutefois, dans certains cas, la transparence de la politique ou de l’avis laisse tellement à désirer que le site pourrait aussi bien être muet sur la question.

Par exemple, A&W Canada, qui recueille des renseignements personnels comme des photos, des adresses et des dates de naissance dans le cadre de diverses initiatives, a ajouté à la fin de ses Modalités une politique sur le respect de la vie privée de 144 mots qui n’est en fait qu’une vague promesse de se conformer à la loi. Même si l’entreprise fournit quelques autres détails sur ses pratiques en matière de vie privée ailleurs sur son site et que les visiteurs désireux d’en savoir plus peuvent s’adresser au responsable du respect de la vie privée à l’adresse de courriel indiquée, nous croyons que les organisations peuvent faire mieux. Les gens ne devraient pas avoir à se fendre en quatre et à fournir leurs coordonnées pour savoir comment une organisation s’en servira.

Politique du Respect de la vie privée Services Alimentaires A&W du Canada Inc. s’engage à protéger la confidentialité de l’information nominative personnelle. L’information nominative personnelle obtenue dans le cadre de l’exploitation de notre entreprise ne sera colligée, utilisée ou révélée sauf en conformité avec la législation en vigueur, incluant la Loi sur la protection des renseignements personnels et documents électroniques du Canada et la Loi sur la protection des renseignements personnels de la Colombie-Britannique. Pour obtenir plus d’informations sur notre Politique du Respect de la vie privée, veuillez communiquer avec notre Officier au Respect de la vie privée à privacyofficer@aw.ca. Nous pourrons réviser cette Politique du Respect de la vie privée de temps à autre. Vous êtes responsable de prendre connaissance de cette Politique lorsque vous visitez notre site afin de réviser la politique en vigueur. Si vous n’êtes pas d’accord avec la Politique, vous devez cesser d’utiliser ce site immédiatement.

Paternity Testing Centers of Canada recueille et traite les échantillons d’ADN de ses clients. Bien qu’il s’agisse là de renseignements hautement confidentiels, l’avis de confidentialité de l’entreprise est si court qu’il tiendrait à l’intérieur d’un gazouillis : [traduction] « Paternity Testing Centers of Canada se soucie de ses clients et s’assure que tous les tests effectués sont strictement confidentiels. »

Confidentiality Uncertainty about parentage can have life-long psychological consequences. DNA paternity testing is the most advanced and accurate method available for resolving these parentage questions. Paternity Testing Centers of Canada can perform both Legal (court approved) and Non-legal tests. With advanced DNA technology, paternity testing is accurate, rapid and an affordable means for obtaining conclusive answers with respect to parentage. Paternity Testing Centers of Canada care about our clients and ensure that every test performed is strictly confidential.

Nous tenions à vous présenter certains résultats préliminaires qui sont ressortis de notre ratissage. Lorsque nous aurons terminé le dépouillement des résultats du Commissariat et des organismes étrangers ayant participé au ratissage, nous déterminerons, en concertation avec nos partenaires étrangers dans cette initiative, les mesures de suivi qui s’imposent, s’il y a lieu.

Date de modification :