Enquête conjointe sur Ashley Madison menée par le commissaire à la protection de la vie privée du Canada et le commissaire à la protection de la vie privée/commissaire à l’information par intérim de l’Australie

Rapport de conclusions d'enquête en vertu de la LPRPDE n^o 2016-005

Le 22 août 2016

---

Sommaire

1. Avid Life Media Inc. (ALM)^{Note de bas de page 1} exploite plusieurs sites Web de rencontres pour adultes. Le principal site qu’elle exploite, Ashley Madison, s’adresse aux personnes à la recherche d’une aventure en toute confidentialité. Le siège social d’ALM est établi au Canada, mais ses sites Web ont une portée mondiale et comptent des utilisateurs dans plus de 50 pays, y compris en Australie.
2. Le 15 juillet 2015, une personne ou un groupe se faisant appeler « The Impact Team » a annoncé qu’il avait piraté ALM et menaçait de publier les renseignements personnels des utilisateurs d’Ashley Madison à moins qu’ALM ne ferme ce site ainsi qu’un autre de ses sites, Established Men. L’entreprise n’a pas obtempéré. Le 20 juillet 2015, à la suite de reportages dans les médias et sur invitation du Commissariat à la protection de la vie privée du Canada (CPVP), ALM lui a fourni de son plein gré des détails concernant l’incident. Par la suite, les 18 et 20 août 2015, The Impact Team a publié des renseignements qu’il affirmait avoir volés à ALM, y compris les détails de près de 36 millions de comptes d’utilisateur d’Ashley Madison. Le piratage d’ALM par « The Impact Team » et la publication subséquente de données piratées en ligne constituent l’incident désigné dans le présent rapport par l’expression « atteinte à la sécurité des données ».
3. Étant donné l’ampleur de l’atteinte à la sécurité des données, la sensibilité des renseignements en jeu, les conséquences sur les personnes touchées et la dimension internationale des activités d’ALM, le Commissariat à l’information de l’Australie (Office of the Australian Information Commissioner — OAIC) et le CPVP ont mené une enquête conjointe sur les pratiques d’ALM en matière de protection de la vie privée au moment de l’atteinte à la sécurité des données. Leur enquête conjointe a été menée conformément à la Privacy Act de 1998 de l’Australie (Privacy Act de l’Australie) et à la Loi sur la protection des renseignements personnels et les documents électroniques du Canada (LPRPDE). La collaboration des deux organismes a été possible du fait que l’OAIC et le CPVP sont parties à l’Accord de coopération sur la protection transfrontière des données du Forum de coopération économique Asie Pacifique (APEC) et conformément aux paragraphes 40(2) de la Privacy Act de l’Australie et 11(2) et 23.1 de la LPRPDE.
4. L’enquête a d’abord examiné les circonstances entourant l’atteinte à la sécurité des données et la manière dont elle s’est produite. Elle a ensuite examiné les pratiques d’ALM en matière de traitement des données qui pourraient avoir eu une incidence sur la probabilité que cet incident se produise et sur ses conséquences. Signalons par souci de clarté que le présent rapport ne présente aucune conclusion concernant la cause de l’atteinte à la sécurité des données proprement dite. L’enquête a évalué ces pratiques en fonction des obligations incombant à ALM en vertu de la LPRPDE et des principes de protection de la vie privée (Australian Privacy Principles — APP) énoncés dans la Privacy Act de l’Australie.
5. La première question considérée consistait à déterminer si les mesures de sécurité prises par ALM pour protéger les renseignements personnels de ses utilisateurs étaient adéquates. Même si « The Impact Team » a compromis la sécurité d’ALM, cela ne signifie pas nécessairement que l’entreprise a contrevenu à la LPRPDE ou à la Privacy Act de l’Australie. Pour le déterminer, il faut savoir :
   • dans le cas de la LPRPDE : si, au moment de l’incident, ALM avait mis en œuvre des mesures de sécurité correspondant au degré de sensibilité des données qu’elle détenait;
   • dans le cas de la Privacy Act de l’Australie : si, au moment de l’incident, ALM avait pris les mesures raisonnables dans les circonstances pour protéger les renseignements personnels qu’elle détenait.
6. L’enquête a aussi examiné certains aspects des pratiques d’ALM en matière de traitement des données :
   • la conservation des renseignements personnels des utilisateurs après la désactivation ou la suppression du profil par ces derniers et en cas d’inactivité de leur compte (c. à d. lorsque l’utilisateur n’y a pas accédé depuis longtemps);
   • l’imposition de frais aux utilisateurs pour la « suppression définitive » de leur profil;
   • la non-confirmation de l’exactitude de l’adresse de courriel de l’utilisateur avant de la recueillir ou de l’utiliser;
   • la transparence d’ALM envers les utilisateurs concernant ses pratiques de traitement des renseignements personnels.
7. L’enquête a révélé de nombreuses infractions aux APP et à la LPRPDE.
8. ALM avait mis en place toute une gamme de mesures de protection des renseignements personnels, mais elle ne disposait pas d’un cadre général de sécurité de l’information adéquat pour déterminer si la sécurité de l’information était adéquate. Certaines mesures de sécurité dans certains domaines étaient insuffisantes ou inexistantes au moment de l’incident.
9. Les conclusions énoncées dans le présent rapport comportent des leçons importantes pour d’autres organisations qui détiennent des renseignements personnels. Selon la leçon qui s’applique le plus largement, les organisations qui détiennent des renseignements personnels sous forme électronique doivent adopter des processus, des procédures et des systèmes explicites et appropriés afin de gérer les risques d’atteinte à la sécurité des données. Elles doivent également posséder l’expertise adéquate (interne ou externe) pour ce faire. C’est particulièrement important lorsqu’il s’agit de renseignements sensibles dont la communication pourrait porter gravement atteinte à la réputation des personnes touchées ou leur causer préjudice autrement. Les organisations qui détiennent des renseignements personnels sensibles ou de grandes quantités de renseignements personnels, comme c’était le cas dans ce dossier, devraient mettre en place des mesures de sécurité de l’information, entre autres :
   • une ou plusieurs politiques de sécurité;
   • un processus de gestion des risques explicite qui traite des questions de sécurité de l’information, élaborée par des personnes possédant une compétence adéquate;
   • une formation adéquate sur la sécurité et la protection de la vie privée donnée à tous les employés.
10. Dans le cas d’une organisation comme ALM ou de toute autre organisation détenant de grandes quantités de renseignements personnels sensibles, il ne suffit pas de veiller à la sécurité des données; il faut également disposer d’un cadre de gouvernance adéquat et cohérent.
11. L’OAIC et le CPVP ont formulé plusieurs recommandations à ALM pour s’assurer qu’elle s’attaque aux problèmes soulevés dans le présent rapport et se conforme à la LPRPDE et à la Privacy Act de l’Australie en ce qui a trait à ces problèmes.
12. Le commissaire à la protection de la vie privée du Canada a accepté une entente de conformité et le commissaire à l’information par intérim de l’Australie a accepté un engagement exécutoire de la part d’ALM. Conformément à ces arrangements, ALM devra prendre des mesures supplémentaires considérables pour régler les problèmes relevés dans le présent rapport afin de protéger la vie privée des individus; mentionnons que certaines de ces mesures ont déjà été mises en place par ALM.

Aperçu de l’enquête

Contexte

13. ALM est une entreprise privée, constituée en personne morale au Canada, qui exploite plusieurs sites Web de rencontres pour adultes ciblant chacun un groupe particulier. Les sites Web exploités parALM sont :
    • Ashley Madison, qui s’adresse aux personnes à la recherche d’une aventure;
    • Cougar Life, qui s’adresse aux femmes d’âge mûr désireuses de rencontrer des jeunes hommes (et vice versa);
    • Established Men, qui s’adresse aux hommes d’âge mûr désireux de rencontrer des jeunes femmes (et vice versa);
    • Man Crunch, qui s’adresse aux hommes désireux de rencontrer d’autres hommes.
14. ALM indique que le site Web Ashley Madison est le plus fréquenté puisqu’il comptait près de 36 millions de profils d’utilisateur au moment de l’atteinte à la sécurité des données et que son chiffre d’affaires avait atteint plus de 100 millions $US en 2014. Au moment de l’incident, ALM comptait environ 100 employés, dont la majorité travaillait à son siège social, à Toronto^{Note de bas de page 2}.

L’atteinte à la sécurité des données

15. Le 12 juillet 2015, les employés des technologies de l’information d’ALM ont remarqué une irrégularité dans le système de gestion de la base de données de l’entreprise, ce qui les a portés à croire qu’un intrus avait accédé au système. ALM a pris immédiatement des mesures pour tenter de mettre fin aux manœuvres du pirate.
16. Le 13 juillet 2015, un message s’est affiché sur les ordinateurs utilisés par les employés du service à la clientèle d’ALM. Ce message, provenant prétendument du pirate (qui se faisait appeler « The Impact Team »), mentionnait que le site de l’entreprise avait été piraté. Le message indiquait aussi que « The Impact Team » publierait en ligne les données piratées à moins que l’entreprise ne ferme les sites Web Ashley Madison et Established Men. Le 19 juillet 2015, « The Impact Team » a affiché sur Internet un message annonçant l’attaque et réitérant l’ultimatum lancé à ALM.
17. L’entreprise n’a pas obtempéré. Les 18 et 20 août 2015, le pirate a publié en ligne un grand nombre de dossiers renfermant des fichiers tirés de la base de données d’Ashley Madison et du réseau d’entreprise d’ALM. Les fichiers de la base de données d’Ashley Madison contenaient les détails de près de 36 millions de comptes d’utilisateur. Ceux de l’entreprise comprenaient des courriels, des codes sources et d’autres documents commerciaux appartenant à ALM.

Renseignements personnels des utilisateurs touchés par l’incident

18. Les renseignements publiés par le pirate se classaient dans trois grandes catégories^{Note de bas de page 3} :
    • Renseignements du profil saisis par les utilisateurs pour se décrire et indiquer le type d’expériences qu’ils recherchaient sur le site Web Ashley Madison — entre autres : nom de l’utilisateur, code postal, état des relations, sexe, taille, poids, type de silhouette, origine ethnique et date de naissance. Ces renseignements comportaient également plusieurs champs facultatifs, y compris des cases à cocher et des champs de texte libre à l’usage des utilisateurs (par exemple pour préciser « mes désirs intimes», « mon partenaire idéal», « mes intérêts personnels » et « mes limites sont »).
    • Renseignements sur les comptes utilisés afin de faciliter l’accès au service d’Ashley Madison — entre autres l’adresse de courriel fournie au moment de l’inscription, les questions de sécurité et les réponses correspondantes ainsi que les mots de passe chiffrés.
    • Renseignements sur la facturation pour un sous-groupe d’utilisateurs ayant effectué des achats sur le site Web Ashley Madison — entre autres le nom véritable des utilisateurs, leur adresse de facturation et les quatre derniers chiffres du numéro de leur carte de crédit^{Note de bas de page 4}. D’après le contenu et le formatage des renseignements sur la facturation publiés par le pirate, il est fort probable que ces renseignements, dont ALM conservait certains sous une forme chiffrée, auraient été obtenus auprès d’un service de traitement des paiements avec lequel ALM faisait affaire, et non directement auprès d’ALM — possiblement en utilisant des renseignements d’identification d’ALM que le pirate s’était appropriés^{Note de bas de page 5}.
19. Les analyses criminalistiques effectuées par ALM n’ont pas permis d’évaluer l’ampleur réelle de l’accès obtenu par le pirate, en partie parce que celui-ci avait pu obtenir les autorisations au niveau de l’administrateur et effacer les journaux qui auraient pu renfermer des indicateurs de ses activités. D’après ce qu’ALM a affirmé à l’équipe d’enquête et indiqué par courriel aux personnes touchées, mis à part le numéro complet des cartes de paiement, que l’entreprise ne conservait généralement pas, [traduction] « le pirate aurait pu s’approprier toute autre information fournie par les visiteurs du site Web via AshleyMadison.com ». Il pouvait s’agir de photos des utilisateurs, de leurs communications avec d’autres utilisateurs et avec le personnel d’ALM ainsi que d’autres renseignements, outre les catégories de renseignements susmentionnées.

Mesures prises à la suite de l’incident

20. Après avoir constaté que ses systèmes avaient été piratés le 12 juillet 2015, ALM a pris des mesures pour limiter le plus rapidement possible l’atteinte à la sécurité des données et améliorer la sécurité de ses systèmes. Une fois les données de ses utilisateurs affichées en ligne en août 2015, elle a aussi pris d’autres mesures pour s’efforcer d’atténuer autant que possible les conséquences pour les personnes touchées et pour ses propres activités.
21. Le jour même où elle a appris l’incident, ALM a pris immédiatement des mesures pour restreindre l’accès du pirate à ses systèmes, notamment en fermant temporairement le serveur d’accès à distance à son réseau privé virtuel (virtual private network — VPN). Aussitôt après avoir confirmé qu’un incident était survenu le 13 juillet 2015, ALM a retenu les services d’un consultant en cybersécurité pour l’aider à intervenir, faire enquête sur l’incident, empêcher toute tentative d’intrusion non autorisée susceptible de se poursuivre et formuler des recommandations afin de renforcer la sécurité d’ALM.
22. Le 20 juillet et le 18 août 2015, ALM a diffusé des communiqués de presse confirmant l’atteinte à la sécurité des données. Elle a mis en place une ligne téléphonique spéciale et un service de demande d’information par courriel permettant aux utilisateurs touchés de communiquer avec l’entreprise concernant l’incident. ALM a par la suite envoyé un message par courriel directement à des utilisateurs dans certains pays, dont 1,03 million au Canada et à 0,67 million en Australie. Elle a également répondu aux demandes du CPVP et de l’OAIC, qui la priaient de leur fournir de manière volontaire de l’information supplémentaire concernant l’atteinte à la sécurité des données avant le début de leur enquête conjointe.
23. ALM a par la suite pris des mesures considérables pour améliorer la sécurité de l’information. En octobre 2015, elle a embauché un responsable de la sécurité de l’information expérimenté (qui remplaçait le directeur de la sécurité, en poste du début de 2015 au milieu de l’année), qui relève directement du président-directeur général d’ALM (et a un lien fonctionnel avec le conseil d’ALM). En octobre 2015, l’entreprise a retenu les services de Deloitte pour l’aider à améliorer ses pratiques de sécurité de l’information en commençant par un vaste examen de son cadre de sécurité, suivi de l’élaboration de politiques et de procédures détaillées. Dans le prolongement de cette démarche, ALM a donné un complément de formation aux employés et pris d’autres mesures avant de recevoir les recommandations formulées dans le présent rapport.
24. L’entreprise a déployé des efforts considérables pour limiter la diffusion des données volées en ligne. Elle a également envoyé à tous les sites connus qui affichaient des messages de « The Impact Team », des données d’entreprise d’ALM ou des fichiers de la base de données un avis leur demandant de les retirer. Les sites Web contactés par ALM n’ont pas tous retiré les renseignements comme demandé, mais un grand nombre l’ont fait. Ainsi, ces mesures ont réduit la diffusion des renseignements en ligne et ont compliqué la tâche des internautes occasionnels qui voulaient repérer l’information sur des personnes dont les renseignements personnels avaient été piratés.
25. ALM a pleinement coopéré à l’enquête menée par le CPVP et l’OAIC.

Renseignements examinés dans la préparation du présent rapport

26. Pour formuler les conclusions énoncées dans le présent rapport, l’équipe d’enquête a examiné les renseignements suivants :
    • les entretiens avec le personnel d’ALM :
      • directeur de l’exploitation;
      • avocat général;
      • vice-président, Opérations technologiques;
      • vice-président, Soutien et services.
    • une présentation du site Web Ashley Madison donnée par des employés d’ALM;
    • les messages faisant état de l’atteinte à la sécurité des données transmis par ALM au CPVP et à l’OAIC;
    • les réponses écrites d’ALM aux questions posées par le CPVP et l’OAIC;
    • les modalités d’utilisation du site Web Ashley Madison et des autres sites Web d’ALM, telles qu’elles étaient avant l’atteinte à la sécurité des données et en date du 27 octobre 2015;
    • les rapports d’incident et de conformité en lien avec les Normes de sécurité sur les données de l’industrie des cartes de paiement (PCI-DSS);
    • l’information fournie à ALM par un consultant en cybersécurité;
    • les procédures opérationnelles des technologies de l’information d’ALM;
    • le matériel de formation d’ALM sur la sécurité des données et la protection de la vie privée.
27. Le présent rapport s’appuie également sur une analyse par la Direction de l’analyse des technologies du CPVP, de l’information et des documents susmentionnés, y compris une corroboration avec les points de données affichés sur Internet par le pirate et une corroboration avec l’expérience des utilisateurs du site Web Ashley Madison.

Compétence et décision de faire enquête

LPRPDE

28. Ayant des motifs raisonnables de croire qu’une enquête devait être menée sur cette question et ayant compétence sur ALM, entreprise établie en Ontario, au Canada, le commissaire à la protection de la vie privée du Canada a pris l’initiative d’une plainte en vertu du paragraphe 11(2) de la LPRPDE et en a avisé l’entreprise le 21 août 2015.

Privacy Act de l’Australie

29. ALM est une organisation au sens de l’alinéa 6C(1)b) de la Privacy Act de l’Australie, en l’occurrence une personne morale qui n’exploite pas une petite entreprise. L’entreprise a son siège social au Canada, mais la Privacy Act de l’Australie s’applique aux actes commis ou aux pratiques adoptées à l’étranger par une organisation ayant un « lien avec l’Australie » (paragraphe 5B[1A]).
30. Une organisation ou l’exploitant d’une petite entreprise a un lien avec l’Australie lorsqu’il est :
    • un citoyen australien ou une personne dont la présence continue en Australie n’est assujettie à aucun délai prévu par la loi;
    • un partenariat formé, ou une fiducie créée, en Australie ou sur un territoire extérieur australien;
    • une personne morale constituée en Australie ou sur un territoire extérieur australien;
    • une association non constituée en personne morale dont l’administration centrale et le contrôle sont exercés en Australie ou sur un territoire extérieur australien [paragraphe 5B(2)].
31. Aucune de ces catégories ne s’applique àALM. Toutefois, une organisation qui ne se classe pas dans ces catégories aura également un lien avec l’Australie si :
    • elle exerce ses activités en Australie ou sur un territoire extérieur australien (alinéa 5B[3]b]);
    • elle recueillait ou détenait des renseignements personnels en Australie ou sur un territoire extérieur australien, soit au moment de l’acte ou de la pratique ou auparavant (alinéa 5B[3]c]).
32. ALM n’est pas présente physiquement en Australie, mais elle y exerce des activités de marketing, offre des services aux résidents australiens et recueille des renseignements auprès d’eux. L’entreprise a fait de la publicité en Australie, et le site Web Ashley Madison comportait au moment de l’incident des pages destinées expressément aux utilisateurs australiens^{Note de bas de page 6}. Pour cette raison, elle exerce des activités en Australie.
33. Pour les besoins de l’alinéa 5B(3)c) de la Privacy Act de l’Australie, des renseignements personnels sont recueillis en Australie s’ils sont recueillis auprès d’une personne physiquement présente en Australie ou sur un territoire extérieur australien, peu importe le pays où l’entité se trouve ou a été constituée en personne morale. Cette règle s’applique même si le site Web appartient à une entreprise qui est établie à l’extérieur de l’Australie ou qui n’y a pas été constituée en personne morale^{Note de bas de page 7}. En recueillant des renseignements sur des utilisateurs australiens du site Web d’ALM, l’entreprise se trouve à recueillir des renseignements personnels en Australie.
34. L’OAIC a déterminé qu’ALM est une organisation ayant un lien avec l’Australie. Par conséquent, conformément à l’article 15 de la Privacy Act de l’Australie, il lui est interdit de se livrer à un acte ou à une pratique qui contrevient à un principe australien de protection de la vie privée.
35. En vertu du paragraphe 40(2) de la Loi, le commissaire à l’information de l’Australie peut, de sa propre initiative, faire enquête sur un acte ou une pratique susceptible de porter atteinte à la vie privée d’une personne ou de contrevenir au premier principe australien (APP 1) de protection de la vie privée et s’il estime qu’il est souhaitable de faire enquête sur cet acte ou cette pratique. Le 21 août 2015, ce dernier a avisé ALM de sa décision de faire enquête en vertu du paragraphe 40(2).
36. Pour éviter le chevauchement des activités et faire progresser rapidement une enquête sur les questions en cause dans cette affaire, le CPVP et l’OAIC ont mené leurs enquêtes conjointement.

État des recommandations et rapport

37. Le présent rapport fait état de plusieurs infractions à la LPRPDE et à la Privacy Act de l’Australie et formule des recommandations à ALM pour corriger la situation. ALM a convenu de mettre en œuvre l’ensemble des recommandations contenues dans ce rapport.
38. En vertu de l’alinéa 13(1)a) de la LPRPDE, le commissaire à la protection de la vie privée du Canada peut dresser un rapport où il présente ses conclusions et recommandations. À la suite de notre enquête et suivant l’engagement d’ALM d’appliquer ces recommandations, le commissaire conclut que ces questions sont fondées et conditionnellement résolues nommément en ce qui concerne les points soulevés dans les sections suivantes de ce rapport : « Sécurité de l’information », « Conservation pour une durée indéterminée des comptes d’utilisateur et frais facturés en cas de suppression », « Exactitude des adresses de courriel » et « Transparence auprès des utilisateurs ».
39. En vertu de l’article 33E de la Privacy Act de l’Australie, le commissaire à l’information de l’Australie peut accepter de la part d’une organisation un engagement exécutoire selon lequel elle prendra certaines mesures pour se conformer à la Privacy Act ou éviter de porter atteinte à la vie privée. ALM a offert au commissaire de s’engager à résoudre les problèmes relevés dans le présent rapport.

Entente de conformité et engagement exécutoire

40. LeCPVP et l’OAIC ont toujours intérêt à s’assurer qu’ALM met en œuvre les mesures nécessaires pour se conformer pleinement à leurs lois respectives. C’est pourquoi ils suivront de près la mise en œuvre de leurs recommandations par l’organisation et ils ont conclu :
    1. une entente de conformité avec ALM en vertu du paragraphe 17.1(1) de la LPRPDE (Commissariat à la protection de la vie privée du Canada);
    2. un engagement exécutoire en vertu de l’article 33E de la Privacy Act de l’Australie (Commissariat à l’information de l’Australie).
41. Les deux commissariats apprécient qu’ALM ait démontré sa détermination à donner suite à leurs préoccupations en concluant l’entente de conformité et l’engagement exécutoire.

Sécurité de l’information

Obligation de protéger les renseignements personnels

42. Les organisations sont tenues de protéger les renseignements personnels qu’elles détiennent. Selon le principe 4.7 de la LPRPDE, les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Le principe 4.7.1 précise que les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées.
43. Dans le même ordre d’idées, selon l’APP 11.1 de la Privacy Act de l’Australie, les entités doivent prendre des mesures raisonnables dans les circonstances pour protéger les renseignements personnels qu’elles détiennent contre un mauvais usage, l’ingérence et la perte ainsi que l’accès, la modification ou la communication non autorisés. En vertu des deux lois, le niveau de protection requis varie selon les circonstances, y compris la nature et le degré de sensibilité des renseignements détenus^{Note de bas de page 8}.
44. En vertu de la LPRPDE, une évaluation valable du niveau de protection requis pour tout renseignement personnel fourni doit être fondée sur le contexte et proportionnelle au degré de sensibilité des données et prendre en compte le risque de préjudice qu’entraînerait pour les personnes concernées la consultation, la communication, la copie, l’utilisation ou la modification non autorisées de ces renseignements. Cette évaluation devrait prendre en compte non seulement le risque de pertes financières pour les personnes concernées en raison d’une fraude ou d’un vol d’identité, mais aussi leur bien-être physique et social, y compris les conséquences potentielles sur les relations et les risques d’atteinte à la réputation, d’embarras ou d’humiliation.
45. De même, en vertu de la Privacy Act de l’Australie, lorsque l’on évalue les « circonstances » dont il est question à l’APP 11.1, il est pertinent de prendre en compte le risque éventuel de préjudice pour les personnes en cas d’atteinte à la sécurité des données en question.
46. Dans le présent cas, la possibilité d’atteinte à la réputation constitue l’un des principaux risques pour les personnes. L’atteinte à la réputation peut avoir de graves conséquences, car elle est susceptible de réduire très longtemps la capacité de la personne touchée à trouver et à conserver un emploi, à entretenir des relations cruciales et à se sentir en sécurité, entre autres, selon la nature des renseignements détenus. Dans l’environnement en ligne moderne, lorsque des données (véridiques ou non) entachant la réputation d’une personne sont communiquées, celle-ci peut subir un préjudice à jamais.
47. ALM offre des services de rencontres pour adultes en ligne. À cette fin, elle recueille, détient et utilise des renseignements sensibles^{Note de bas de page 9} concernant ses utilisateurs, y compris des renseignements qui révèlent leurs pratiques, leurs préférences et leurs fantasmes sexuels. De surcroît, Ashley Madison est un site Web conçu pour les gens à la recherche d’une aventure, activité où la discrétion est attendue et primordiale. Ainsi, même des renseignements qui pourraient sembler anodins pris isolément dans un autre contexte (p. ex. le nom et l’adresse de courriel) peuvent devenir sensibles lorsqu’ils sont associés au site Web Ashley Madison^{Note de bas de page 10}.
48. À la suite de l’atteinte à la sécurité des données, le CPVP et l’OAIC ont pris connaissance, à la fois directement (par les personnes touchées) et indirectement (par l’entremise des médias), des tentatives d’extorsion qui avaient été faites contre les personnes dont les données avaient été piratées. Dans certains cas, les personnes touchées ont reçu des courriels menaçant de révéler leur adhésion à Ashley Madison aux membres de leur famille ou à leur employeur à moins qu’elles ne versent un montant en échange du silence du pirate. L’existence même et la forme de telles tentatives d’extorsion illustrent encore plus la nature très sensible de ces renseignements du point de vue de la réputation.
49. Il ne serait pas possible d’identifier tous les utilisateurs d’ALM à partir des renseignements détenus par l’entreprise. Par exemple, on n’aurait pas pu identifier certains utilisateurs qui n’avaient pas fourni leur nom véritable pour l’achat de crédits, qui avaient utilisé une adresse de courriel ne les identifiant pas et qui n’avaient communiqué aucun autre renseignement personnel, par exemple une photo. Toutefois, ALM aurait raisonnablement pu prévoir que la communication des données qu’elle détenait à une personne non autorisée ou au grand public pourrait avoir de graves répercussions pour les nombreuses personnes qui pouvaient être identifiées. L’information stockée sur le site Web Ashley Madison, y compris la simple association de l’identité d’une personne avec un compte d’utilisateur, constitue un facteur important étant donné le risque de préjudice qui découlerait de la communication de cette information.
50. Les mesures prises par ALM montrent bien que l’entreprise était consciente de la sensibilité des données qu’elle détenait. Elle faisait valoir la discrétion et la sécurité offertes à ses utilisateurs en tant qu’aspect clé de ses services, notamment sur le site Web Ashley Madison. Au cours de l’entretien mené par des représentants du CPVP et de l’OAIC le 29 octobre 2015, un membre de la haute direction d’ALM a mentionné que [traduction] « la protection de la confiance de la clientèle est au cœur de l’image de marque et des activités de l’entreprise ». Ce point de vue interne se reflète explicitement dans le marketing effectué par ALM auprès de ses utilisateurs.
51. Au moment de l’incident, on trouvait sur la page d’accueil du site Web Ashley Madison une série de marques de confiance semblant indiquer un niveau élevé de sécurité et de discrétion (voir la figure 1 ci après). Il s’agissait d’une icône de médaille mentionnant que le site s’était vu décerner une marque de confiance. L’icône de cadenas indiquant que le site était sécurisé en vertu du protocole SSL et d’un énoncé garantissant l’entière discrétion du service. À première vue, ces déclarations et marques de confiance semblaient donner aux personnes qui envisageaient d’utiliser les services d’ALM l’impression générale que le site était conforme à des normes élevées en matière de sécurité et de discrétion et qu’elles pouvaient se fier à ces affirmations. Par conséquent, la marque de confiance et le niveau de sécurité ont pu influencer leur décision d’utiliser ou non le site.
52. Lorsque ce point de vue a été exprimé à ALM au cours de l’enquête, celle-ci a signalé que les Conditions générales informaient les utilisateurs que l’entreprise ne pouvait garantir la sécurité ou la confidentialité des renseignements. Elle a indiqué que si un utilisateur consultait ou transmettait du contenu en utilisant le service d’Ashley Madison, il le faisait de son plein gré et à ses propres risques. Toutefois, cette déclaration ne dégage pas ALM des obligations lui incombant en vertu des lois canadienne et australienne.

Figure 1 : Marques de confiance affichées sur la page d’accueil du site Web australien Ashley Madison avant l’atteinte à la sécurité des données

53. Compte tenu de la nature des renseignements personnels recueillis par ALM et du type de services qu’elle offrait, le niveau des mesures de sécurité aurait dû être très élevé, conformément au principe 4.7 de la LPRPDE.
54. En vertu de la Privacy Act de l’Australie, les organisations doivent prendre les mesures « raisonnables » nécessaires dans les circonstances pour protéger les renseignements personnels. Afin de déterminer si une mesure est « raisonnable », il faut vérifier la capacité de l’organisation à la mettre en œuvre. ALM a informé le CPVP et l’OAIC qu’elle avait connu une période de croissance rapide jusqu’à l’atteinte à la sécurité des données et qu’elle s’efforçait de documenter ses procédures de sécurité et de continuer d’améliorer constamment la sécurité de l’information au moment de l’incident.
55. Pour les besoins de l’APP 11, lorsque l’on détermine si les mesures prises pour protéger les renseignements personnels étaient raisonnables dans les circonstances, il est utile de prendre en compte l’envergure et la capacité de l’organisation en question. Comme l’a mentionné ALM, on ne peut s’attendre à ce qu’elle ait des cadres de conformité documentés comparables à ceux d’une grande organisation plus complexe. Toutefois, une série de facteurs dans les circonstances actuelles indiquent qu’ALM aurait dû mettre en place un vaste programme pour assurer la sécurité de l’information. Mentionnons notamment la quantité des renseignements personnels détenus par l’entreprise, la nature de ces données, les répercussions prévisibles pour les utilisateurs du site en cas de piratage de leurs renseignements personnels et les affirmations faites par ALM à ses utilisateurs concernant la sécurité et la discrétion.

Obligation de mettre en place des pratiques, des procédures et des systèmes appropriés

56. L’APP 1.2 de la Privacy Act de l’Australie oblige les organisations à prendre des mesures raisonnables non seulement pour protéger les renseignements personnels des utilisateurs, mais aussi pour mettre en œuvre des pratiques, des procédures et des systèmes permettant de s’assurer que l’entité respecte les principes australiens de protection de la vie privée. Ce principe a pour objet d’exiger que les entités prennent des mesures proactives pour établir et maintenir des pratiques, des procédures et des systèmes internes pour respecter leurs obligations en matière de protection des renseignements personnels.
57. De même, selon le principe 4.1.4 (Responsabilité) de la LPRPDE, les organisations doivent assurer la mise en œuvre des politiques et des pratiques destinées à donner suite aux principes, notamment mettre en œuvre des procédures afin de protéger les renseignements personnels et rédiger des documents explicatifs concernant leurs politiques et procédures.
58. Tant l’APP 1.2 que le principe 4.1.4 de la LPRPDE obligent les organisations à établir des processus opérationnels assurant qu’elles se conforment à la loi. En plus de se pencher sur les mesures de sécurité particulières en place à ALM au moment de l’incident, l’enquête a examiné le cadre de gouvernance dont l’entreprise s’était dotée pour s’assurer de respecter ses obligations en matière de protection des renseignements personnels.

L’atteinte à la sécurité des données

59. Le 12 juillet 2015, ALM a pris connaissance de l’incident. Le lendemain, elle a retenu les services d’un consultant en cybersécurité afin de l’aider dans son enquête et son intervention. La description de l’incident donnée ci-après est fondée sur des entretiens avec des membres du personnel d’ALM et sur les documents à l’appui fournis par l’entreprise.
60. On croit que le pirate a d’abord réussi à s’introduire en découvrant les renseignements d’identification valides du compte d’un employé. Il s’est ensuite servi de ces renseignements d’identification pour avoir accès au réseau d’entreprise d’ALM et pirater d’autres comptes d’utilisateur et systèmes. Au fil du temps, le pirate a pu consulter de l’information l’aidant à mieux comprendre la topographie du réseau, à augmenter ses privilèges d’accès et à extraire les renseignements fournis par les utilisateurs d’ALM dans le site Web Ashley Madison.
61. Le pirate a pris de nombreuses mesures pour éviter qu’on le détecte et ainsi brouiller les pistes. À titre d’exemple, il a accédé au réseau VPN en utilisant un service de mandataire lui permettant d’usurper une adresse IP de Toronto. Il a eu accès au réseau d’entreprise d’ALM sur une longue période de temps de façon à réduire le plus possible les activités et les tendances inhabituelles figurant dans les journaux du réseau VPN de l’entreprise et susceptibles d’éveiller les soupçons. Après avoir obtenu l’accès en tant qu’administrateur, le pirate a supprimé les fichiers journaux pour brouiller encore plus les pistes, si bien qu’ALM n’a pas été en mesure de déterminer avec précision le chemin qu’il avait emprunté. Toutefois, ALM croit que le pirate a eu accès à son réseau dans une certaine mesure pendant au moins quelques mois avant que sa présence ne soit détectée en juillet 2015.
62. Les méthodes utilisées par le pirate donnent à penser qu’il était très ingénieux, et qu’il s’agissait d’une attaque ciblée et non d’une attaque opportuniste.

Mesures de sécurité en place au moment de l’atteinte à la sécurité des données

63. Les responsables de l’enquête se sont penchés sur les mesures de sécurité en place àALM au moment de l’atteinte à la sécurité des données pour déterminer si l’entreprise satisfaisait aux exigences du principe 4.7 de laLPRPDE et de l’APP 11.1.ALM a fourni auCPVP et à l’OAIC des détails sur les mesures de sécurité matérielles, technologiques et organisationnelles qui étaient en place sur son réseau au moment de l’incident. D’aprèsALM, les principales mesures de sécurité étaient les suivantes :
    • Mesures de sécurité matérielles : Les serveurs du bureau se trouvaient dans une pièce isolée et fermant à clé à laquelle seuls les employés autorisés possédant une carte clé avaient accès. Pour avoir accès aux serveurs de la production, qui se trouvaient dans une cage située dans les installations du fournisseur d’hébergement d’ALM, il fallait avoir un identificateur biométrique, une carte d’accès, une carte d’identité avec photo et un code de déverrouillage.
    • Mesures de sécurité technologiques : Les mesures de protection du réseau comprenaient notamment la segmentation du réseau, les pare-feu et le chiffrement de toutes les communications entre ALM et ses utilisateurs sur le Web ainsi que sur le canal par lequel les données de la carte de crédit étaient envoyées au tiers chargé du traitement des paiements versés à ALM. Tous les accès externes au réseau étaient consignés. ALM a fait remarquer que tous les accès externes passaient par le réseau VPN, si bien qu’il fallait pour chaque utilisateur une autorisation reposant sur une authentification au moyen d’un « secret partagé » (pour en savoir plus, se reporter au paragraphe 72). Un logiciel de lutte contre les maliciels et un logiciel antivirus étaient installés. Les renseignements particulièrement sensibles, plus précisément les nom et adresse véritables des utilisateurs ainsi que les données sur leurs achats étaient chiffrées, et l’accès interne à ces données était consigné et surveillé (tout accès inhabituel par le personnel d’ALM déclenchait une alerte). La plupart des mots de passe étaient chiffrés au moyen de l’algorithme BCrypt (certains l’étaient au moyen d’un algorithme utilisé antérieurement).
    • Mesures de sécurité organisationnelles : ALM avait commencé à donner à son personnel une formation générale sur la sécurité et la protection des renseignements personnels quelques mois avant la découverte de l’incident. Au moment de l’incident, cette formation avait été donnée aux cadres supérieurs, aux responsables des TI et aux nouveaux employés, mais la grande majorité des employés (environ 75 %) ne l’avait pas reçue. ALM a embauché au début de 2015 un directeur de la sécurité de l’information pour élaborer des politiques et des normes de sécurité par écrit, mais ces outils n’étaient pas en place au moment de l’atteinte à la sécurité des données. Au début de 2015, l’entreprise avait également mis en place un programme de prime aux bogues et examiné les codes avant de modifier les logiciels dans ses systèmes. D’après ALM, chaque examen de codes comprenait un processus d’assurance qualité, notamment un examen visant à cerner tout problème lié à la sécurité des codes.
64. L’OAIC et le CPVP cherchaient, en particulier, à comprendre les mesures de protection en place en lien direct avec le chemin emprunté par le pirate, qui s’était approprié des renseignements d’identification pour le réseau VPN et les avait utilisés pour avoir accès aux systèmes d’ALM sans être détecté pendant une période appréciable. Plus précisément, l’équipe d’enquête a cherché à connaître les politiques et les pratiques de sécurité connexes d’ALM. Elle voulait aussi comprendre comment ALM déterminait les politiques et les pratiques appropriées en fonction des risques en jeu et comment elle s’assurait que ces politiques et ces pratiques étaient dûment mises en œuvre.

Politiques

65. Au moment de l’incident, ALM n’avait aucune politique ni aucune pratique documentée en matière de sécurité de l’information pour gérer les autorisations sur le réseau. L’adoption de politiques et de procédures de sécurité documentées constitue une mesure de sécurité organisationnelle de base, en particulier pour une organisation qui détient de grandes quantités de renseignements personnels. En formulant de façon explicite les politiques et les pratiques concernant l’information, on s’assure que les attentes sont définies clairement pour faciliter ainsi l’uniformité et on contribue à éviter des lacunes dans les mesures de sécurité. On envoie aussi des signaux essentiels aux employés concernant l’importance accordée à la sécurité de l’information. En outre, il faut mettre à jour et examiner ces politiques et processus de sécurité en fonction de l’évolution du paysage des menaces, ce qui serait très difficile s’ils n’étaient pas officialisés d’une certaine manière.
66. Au début de 2015, ALM a embauché un directeur de la sécurité de l’information à temps plein. À l’époque de l’incident, celui-ci élaborait des procédures de sécurité écrites et la documentation connexe. Toutefois, ces travaux étaient incomplets au moment de la découverte de l’atteinte. D’après ALM, malgré l’absence de politiques ou de procédures documentées sur la sécurité de l’information, il existait des politiques non documentées que les employés compétents comprenaient bien et mettaient en œuvre comme il se doit.
67. Cependant, l’équipe d’enquête a relevé dans les mesures de sécurité de graves lacunes révélant l’absence de politiques et de pratiques appropriées. Par exemple, les politiques et procédures de sécurité devraient prévoir des mesures à la fois de prévention et de détection. Or, d’après l’information fournie, ALM n’avait pas mis en œuvre plusieurs contre-mesures de détection couramment utilisées qui pourraient aider à détecter les attaques ou à relever des anomalies indiquant des problèmes de sécurité. Ces systèmes n’auraient pas nécessairement permis de détecter des intrusions comme celle faite par le pirate, mais il s’agit d’importantes lignes de défense qui pourraient aider à limiter les répercussions des attaques.
68. ALM avait mis en place certains systèmes de détection et de surveillance, qui visaient toutefois surtout à détecter les problèmes de performance des systèmes et les demandes inhabituelles des employés concernant le déchiffrement de données sensibles sur les utilisateurs. L’entreprise ne s’était dotée d’aucun système de détection ou de prévention des intrusions ni d’aucun système de gestion de l’information et des incidents de sécurité ou de surveillance préventive de la perte de données. ALM faisait le suivi des ouvertures de session dans le réseau VPN et les examinait une fois par semaine, mais elle ne surveillait pas bien les comportements inhabituels, susceptibles d’indiquer une activité non autorisée. Par exemple, c’est uniquement au cours de l’enquête portant sur l’incident en question qu’un consultant en cybersécurité dont les services avaient été retenus par l’entreprise a découvert d’autres cas d’accès non autorisé aux systèmes d’ALM survenus pendant les semaines précédant immédiatement la découverte de l’incident. Dans ces cas, le pirate avait utilisé des renseignements d’identification valides. Cette constatation renforce notre point de vue selon lequel ALM ne surveillait pas ses systèmes de façon adéquate pour déceler les indices d’intrusion ou d’autre activité non autorisée.

Gestion du risque

69. Au moment de l’incident, ALM ne disposait d’aucun cadre de gestion des risques documenté pour l’aider à déterminer les mesures de sécurité qui conviendraient compte tenu des risques auxquels elle était exposée. Une évaluation des risques périodique et documentée constitue en soi une importante mesure de sécurité organisationnelle qui permet à une organisation de choisir des mesures de sécurité appropriées afin d’atténuer les risques cernés et de réévaluer la situation à mesure que le paysage des activités et des menaces évolue. Ce type de processus devrait reposer sur un savoir-faire externe ou interne adéquat correspondant à la nature et au volume des renseignements personnels en main et aux risques à maîtriser.
70. D’après ALM, malgré l’absence d’un cadre de gestion du risque documenté, son programme de sécurité reposait sur une évaluation des menaces éventuelles. L’entreprise a certes géré les correctifs et effectuer les évaluations trimestrielles de la vulnérabilité, obligatoires pour une organisation qui accepte des renseignements sur les cartes de paiement (pour se conformer aux normes PCI-DSS). Toutefois, ALM n’a pu fournir aucune preuve qu’elle avait entrepris une quelconque évaluation structurée des menaces globales auxquelles elle était exposée ou qu’elle avait évalué son cadre de sécurité de l’information au moyen de démarches normalisées, comme des vérifications ou des évaluations internes ou externes.
71. En ce qui a trait à la pertinence du processus décisionnel d’ALM concernant le choix de mesures de sécurité, l’entreprise a signalé avoir envisagé, à un certain moment, de faire appel à un spécialiste de la cybersécurité externe pour l’aider à gérer les questions de sécurité, mais qu’elle avait finalement décidé de ne pas le faire. Au début de 2015, ALM a embauché un directeur de la sécurité de l’information à temps plein. Toutefois, malgré ce pas dans la bonne direction, l’enquête a révélé certains sujets de préoccupation en ce qui a trait au processus décisionnel portant sur les mesures de sécurité. Par exemple, puisque le pirate a utilisé le réseau VPN, l’OAIC et le CPVP ont cherché à mieux comprendre les mesures de protection en place afin de limiter aux utilisateurs autorisés l’accès à ce réseau.
72. D’après ALM, pour accéder à ses systèmes à distance par le réseau VPN, un utilisateur aurait besoin d’un nom d’utilisateur, d’un mot de passe, d’un « secret partagé » (c.-à-d. une série de mots clés utilisés par tous les utilisateurs du réseau VPN pour accéder à un segment particulier du réseau), du nom de groupe du réseau VPN et de l’adresse IP du serveur du réseau VPN d’ALM. Selon le CPVP et l’OAIC, les utilisateurs n’avaient besoin que de trois éléments d’information aux fins d’authentification, mais ces trois éléments fournissaient en fait un seul facteur d’authentification (« quelque chose que l’on sait »). On considère généralement qu’une authentification est multifactorielle quand les systèmes qui contrôlent l’accès utilisent au moins deux facteurs différents^{Note de bas de page 11}, par exemple quelque chose que l’on sait, comme un mot de passe ou un secret partagé; quelque chose que l’on est, à savoir des données biométriques^{Note de bas de page 12} (p. ex. empreinte digitale ou rétinienne); et quelque chose que l’on possède, comme une clé, un appareil de connexion ou un autre jeton. Depuis l’incident, ALM a mis en œuvre un deuxième facteur d’authentification, — « quelque chose que l’on possède » — pour pouvoir se connecter à distance à son réseau.
73. Une authentification multifactorielle est une pratique industrielle couramment recommandée pour contrôler l’accès de l’administrateur à distance en raison de la vulnérabilité accrue d’une authentification à un seul facteur. Compte tenu des risques d’atteinte à la vie privée des individus dans le cas d’ALM, la décision de l’entreprise de ne pas mettre en place une authentification multifactorielle pour l’accès à distance en tant qu’administrateur constitue un grand sujet de préoccupation dans ces circonstances.

Formation et mise en œuvre

74. Pour être efficaces, les politiques et les pratiques de sécurité doivent être mises en œuvre de façon appropriée et uniforme et suivies par les employés. C’est pourquoi dans toutes les organisations qui traitent des renseignements personnels, sauf les plus petites, une formation en bonne et due forme sur les responsabilités en matière de sécurité de l’information et de protection de la vie privée est essentielle pour s’assurer que les employés comprennent de façon uniforme les obligations leur incombant et qu’ils les respectent. Au moment de l’incident, un programme de formation sur la sécurité venait d’être lancé, mais il n’avait été donné qu’à environ 25 % du personnel — principalement les nouveaux employés, les cadres supérieurs et les responsables des TI. D’après ALM, bien que la plupart des employés (y compris certains responsables des TI) n’aient pas suivi le programme de formation sur la sécurité et que les politiques et procédures pertinentes ne fussent pas documentées, les employés connaissaient leurs obligations s’appliquant aux fonctions de leur emploi. Toutefois, l’enquête a révélé que ce n’était pas systématiquement le cas.
75. L’information fournie par ALM dans la foulée de l’incident a révélé plusieurs autres lacunes dans la mise en œuvre des mesures de sécurité, particulièrement en ce qui a trait aux pratiques de gestion des clés et des mots de passe. Mentionnons notamment le « secret partagé » pour le réseau VPN, dont nous avons fait état précédemment. Ce renseignement aurait été accessible sur le « Google drive » d’ALM, si bien que toute personne ayant accès au lecteur de n’importe quel employé d’ALM sur n’importe quel ordinateur, n’importe où, aurait pu découvrir ce secret. Des cas de stockage de mots de passe en texte clair et nettement identifiable dans des courriels et des fichiers textes ont aussi été détectés sur les systèmes. Des clés de chiffrement étaient également stockées sous forme de texte clair nettement identifiable sur les systèmes d’ALM. Ainsi, des intrus auraient pu utiliser ces clés pour consulter sans autorisation des renseignements chiffrés. Enfin, une clé SSH non protégée au moyen d’un mot de passe, qui a été trouvée sur un serveur, aurait pu permettre à un intrus de se brancher à d’autres serveurs sans avoir à fournir un mot de passe.

Conclusions

76. Avant de constater que ses systèmes avaient été piratés en juillet 2015, ALM avait mis en place un train de mesures de sécurité pour protéger les renseignements personnels qu’elle détenait. Malgré ces mesures, l’incident a eu lieu. Le fait qu’il y a eu atteinte à la sécurité des données ne signifie pas nécessairement que l’entreprise a contrevenu à la LPRPDE ou à la Privacy Act de l’Australie. Il faut plutôt se demander si les mesures de sécurité en place au moment de l’incident étaient suffisantes par rapport aux exigences de la LPRPDE (degré de sensibilité des renseignements) et des principes australiens de respect de la vie privée (mesures raisonnables dans les circonstances).
77. Comme nous l’avons mentionné précédemment, compte tenu de la sensibilité des renseignements personnels détenus par ALM, des conséquences négatives prévisibles pour les utilisateurs du piratage de leurs renseignements personnels ainsi que des déclarations faites par ALM en ce qui a trait à la sécurité de ses systèmes d’information, les mesures que l’entreprise doit prendre afin de se conformer aux obligations liées à la sécurité en vertu de la LPRPDE et de la Privacy Act de l’Australie sont proportionnellement élevées.
78. Dans ce contexte, les commissaires estiment que plusieurs éléments clés étaient absents du cadre de sécurité d’ALM :
    1. des politiques ou des pratiques en matière de sécurité de l’information documentées, sur lesquelles reposerait la promotion d’une culture de sensibilisation à la sécurité et de protection des renseignements personnels mettant l’accent sur la formation appropriée, le ressourcement et la gestion;
    2. un processus de gestion des risques explicite, notamment des évaluations périodiques et proactives des menaces pour la vie privée ainsi que des évaluations des pratiques de sécurité pour s’assurer que ses dispositifs de sécurité étaient efficaces et continuaient de répondre à ses besoins;
    3. une formation adéquate pour s’assurer que tous les membres du personnel (y compris la haute direction) comprenaient les obligations adaptées à leur rôle et à la nature des activités d’ALM leur incombant en matière de sécurité et protection de la vie privée et qu’ils s’en acquittaient comme il se doit.
79. Ainsi, les commissaires estiment qu’ALM n’avait pas mis en place de mesures de sécurité appropriées compte tenu de la sensibilité des renseignements personnels sous le régime de la LPRPDE et qu’elle n’avait pas pris des mesures raisonnables dans les circonstances pour protéger les renseignements personnels qu’elle détenait sous le régime de la Privacy Act de l’Australie. Elle avait mis en place certaines mesures de sécurité, mais celles ci semblaient avoir été adoptées sans égard aux risques en jeu et en l’absence d’un cadre de gouvernance de la sécurité de l’information propre à garantir que les pratiques, procédures et systèmes sont compris de façon uniforme et mis en œuvre de façon efficace. Par conséquent, ALM n’avait aucun moyen clair de s’assurer que les risques d’atteinte à la sécurité de l’information étaient bien gérés. Cette absence de cadre adéquat l’empêchait de prévenir les multiples failles de sécurité décrites ci-dessus. Il s’agit donc d’une lacune inacceptable pour une organisation qui détient des renseignements personnels sensibles ou une quantité importante de renseignements personnels, comme c’était le cas pour ALM.
80. Outre l’absence d’un cadre adéquat, à notre avis, les points faibles particuliers (authentification à un seul facteur et piètres pratiques de gestion des clés et des mots de passe) décrits aux paragraphes 72 et 75 constituent aussi individuellement et collectivement un défaut de prendre des mesures raisonnables pour mettre en œuvre des mesures de sécurité appropriées dans les circonstances particulières, compte tenu de la nature et du volume des renseignements qu’ALM détenait.
81. En ne disposant pas d’un cadre de sécurité de l’information documenté et en ne prenant pas de mesures raisonnables pour mettre en œuvre des mesures de sécurité de l’information appropriées, ALM a contrevenu aux APP 1.2 et 11.1 ainsi qu’aux principes 4.1.4 et 4.7 de la LPRPDE.

Recommandations adressées à ALM

82. Pour donner suite aux conclusions formulées ci-dessus, leCPVP et l’OAIC ont recommandé àALM de prendre les mesures suivantes :
    1. au plus tard le 31 décembre 2016, effectuer un examen complet des mesures mises en place pour protéger les renseignements personnels;
    2. au plus tard le 31 mai 2017, étoffer son cadre de sécurité de l’information à un niveau approprié et le mettre en œuvre;
    3. au plus tard le 31 mai 2017, documenter adéquatement ce cadre et ses processus de sécurité de l’information en général;
    4. prendre des mesures afin que son personnel soit au courant des procédures de sécurité et qu’il les respecte, notamment en élaborant un programme de formation approprié et en veillant à ce que tous ses employés et les entrepreneurs ayant accès au réseau le suivent (les commissaires signalent qu’ALM a déclaré avoir mis en œuvre cette recommandation);
    5. au plus tard le 31 juillet 2017, fournir au CPVP et à l’OAIC un rapport d’un tiers indépendant documentant les mesures prises par ALM afin de se conformer aux recommandations énoncées ci-dessus ou fournir un rapport détaillé d’un tiers indépendant certifiant qu’elle se conforme à une norme de protection de la vie privée et de sécurité reconnue à la satisfaction du CPVP et de l’OAIC.

Conservation pour une durée indéterminée des comptes d’utilisateur et frais facturés en cas de suppression

Obligation de détruire ou de dépersonnaliser les renseignements personnels qui ne sont plus nécessaires

83. La LPRPDE et la Privacy Act de l’Australie imposent toutes deux des limites quant à la période pendant laquelle on peut conserver des renseignements personnels.
84. Selon l’APP 11.2, toute organisation doit prendre les mesures raisonnables requises pour détruire ou dépersonnaliser les renseignements qui ne sont plus nécessaires aux fins pour lesquelles ils peuvent être utilisés ou communiqués en vertu des principes australiens de respect de la vie privée. Ainsi, une entité assujettie aux APP doit détruire ou dépersonnaliser les renseignements personnels qu’elle détient s’ils ne sont plus utilisés aux fins prévues lors de la collecte initiale ni à d’autres fins auxquelles ces renseignements peuvent être utilisés ou communiqués en vertu de l’APP 6.
85. De même, selon le principe 4.5 de la LPRPDE, on ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des fins déterminées. Le principe 4.5.2 précise que les organisations devraient élaborer des lignes directrices précisant les durées minimales et maximales de conservation des renseignements personnels. Selon le principe 4.5.3 de la LPRPDE, on devrait détruire, effacer ou dépersonnaliser les renseignements personnels dont on n’a plus besoin et les organisations doivent élaborer des lignes directrices et appliquer des procédures régissant la destruction de ces renseignements.
86. Au cours de la présente enquête, ALM a indiqué que les renseignements figurant dans le profil associé à des comptes d’utilisateur qui ont été désactivés (mais non supprimés) ou qui n’ont pas été utilisés depuis longtemps sont conservés pour une durée indéterminée.
87. À la suite de l’incident, les médias ont rapporté que les renseignements personnels d’utilisateurs, qui avaient payé ALM pour qu’elle supprime leur compte, figuraient également dans la base de données des utilisateurs d’Ashley Madison affichée sur Internet.

Obligation de supprimer les renseignements des personnes qui en font la demande

88. Non seulement la LPRPDE interdit de conserver les renseignements personnels qui ne sont plus nécessaires, mais aussi son principe 4.3.8 précise qu’une personne peut retirer son contentement en tout temps, sous réserve de restrictions prévues par une loi ou un contrat et d’un préavis raisonnable^{Note de bas de page 13}.
89. Les renseignements personnels d’utilisateurs qui avaient désactivé leur compte, mais qui n’avaient pas voulu acquitter les frais imposés pour la suppression définitive de leur profil, figuraient dans les renseignements personnels piratés lors de l’incident.
90. L’enquête a examiné la pratique ayant cours chezALM au moment de l’incident, qui consistait à conserver les renseignements personnels des personnes qui, soit :
    1. n’avaient pas utilisé leur profil depuis longtemps (profil « inactif »);
    2. avaient désactivé leur profil;
    3. avaient supprimé leur profil.
    afin de déterminer si l’entreprise avait contrevenu à la LPRPDE ou à la Privacy Act de l’Australie.
91. Dans ce dossier, il y a deux questions à trancher. Premièrement, il faut déterminer si ALM avait conservé des renseignements concernant des utilisateurs dont le profil était désactivé, inactif ou supprimé, plus longtemps que nécessaire pour la réalisation des fins pour lesquelles ces renseignements avaient été recueillis (en vertu de la LPRPDE) ou auxquelles ils pouvaient être utilisés ou communiqués (en vertu des APP de la Privacy Act de l’Australie).
92. Deuxièmement (en ce qui concerne la LPRPDE), il faut déterminer si la pratique d’ALM consistant à imposer des frais aux utilisateurs pour supprimer définitivement tous leurs renseignements personnels dans ses systèmes contrevient à la disposition du principe 4.3.8 de la LPRPDE concernant le retrait du consentement.

Pratiques qui avaient cours lors de l’incident

93. Le site Web Ashley Madison offre aux utilisateurs deux façons de fermer leur compte, à savoir la « désactivation de base » et la « suppression définitive ». Ces deux options sont décrites ci après. ALM a indiqué que seule la désactivation de base est offerte aux utilisateurs de ses autres sites Web.

« Désactivation de base » du profil des utilisateurs

94. L’option de désactivation de base se trouve à proximité de l’énoncé : [traduction] « Soustraire votre profil des résultats de la recherche », qui est suivi de la remarque suivante :

    [traduction]

    Soustraire votre profil des résultats de la recherche signifie :

    • Que votre profil ne figurera plus dans les résultats de recherches.

    Important : Seuls les membres avec lesquels vous aurez communiqué auront accès aux renseignements de votre profil et à vos messages.

95. Les utilisateurs peuvent sélectionner gratuitement la désactivation de base et réactiver leur compte s’ils changent d’idée et décident de réutiliser les services d’Ashley Madison.
96. Les renseignements associés à un compte désactivé sont conservés pour une durée indéterminée.
97. ALM a expliqué qu’elle conservait pour deux raisons les renseignements contenus dans les profils désactivés. Premièrement, elle a déclaré devoir conserver les renseignements de ses utilisateurs pour éviter de perdre les « renseignements d’en tête » qui figurent dans les messages envoyés aux autres utilisateurs. Chaque message transmis à un autre utilisateur sur le site Ashley Madison contient un « en tête », qui fournit des renseignements de base tirés du profil de l’expéditeur. Pour que les utilisateurs continuent de voir les messages envoyés précédemment par l’expéditeur ainsi que tous les détails figurant dans l’en tête de ces messages, ALM doit conserver les renseignements contenus dans le profil de l’expéditeur pour remplir l’en tête des messages à l’aide de cette information. L’entreprise a établi un lien entre cette pratique et la conservation des courriels dans une boîte de réception, où les renseignements contenus dans le champ « De » demeurent les mêmes que l’expéditeur du courriel utilise toujours ou non cette adresse de courriel. Deuxièmement, d’après ALM, les utilisateurs qui choisissent de désactiver leur profil décident souvent de le réactiver par la suite. En conservant les renseignements contenus dans les profils désactivés, elle peut offrir une meilleure expérience client aux utilisateurs qui reviennent.
98. D’après les données fournies par ALM concernant le nombre d’utilisateurs qui avaient réactivé leur compte, 99,9 % des utilisateurs ayant désactivé leur compte l’avaient réactivé dans les 29 jours suivant la désactivation.

Conservation des profils inactifs

99. Le profil des utilisateurs n’ayant pas utilisé leur compte depuis longtemps (profil « inactif ») est également conservé pour une durée indéterminée.
100. Au moment de l’incident, on pouvait lire dans les Conditions générales d’Ashley Madison qu’ALM se réservait le droit de [traduction] « …supprimer les comptes d’utilisateur ainsi que tous les renseignements et les fichiers qui y étaient associés » sans préavis.

« Suppression définitive » des comptes d’utilisateur

101. L’option de « suppression définitive se trouve à proximité de l’énoncé : « Supprimer votre profil », qui est suivi de la remarque suivante :

     [traduction]

     La suppression définitive inclut les éléments suivants :

     • suppression du profil des résultats de recherche;
     • suppression du profil sur le site;
     • suppression des messages envoyés et reçus;
     • suppression des messages situés dans la boîte de réception des destinataires, y compris les clins d’œil et les cadeaux;
     • suppression de l’historique et des informations personnelles sur le site;
     • suppression des photos.

     Note : Il pourra s’écouler jusqu’à 48 heures pour que certaines traces de votre profil soient supprimées définitivement.

102. ALM a expliqué que l’option de suppression définitive a été élaborée à la demande des utilisateurs et qu’elle a entraîné des coûts considérables. Cette option vise à garantir une plus grande confidentialité aux utilisateurs qui choisissent de quitter Ashley Madison. ALM a déclaré qu’il était particulièrement difficile, sur le plan technique, de supprimer toute trace d’un utilisateur dans son système. Par exemple, il a été difficile de supprimer les messages envoyés de la boîte de réception des destinataires de ces messages. ALM a indiqué que la suppression des comptes entraînait un coût au titre des services à la clientèle étant donné que les membres du personnel du service à la clientèle d’ALM recevaient des demandes de renseignements des utilisateurs, qui s’expliquaient mal que des messages aient disparu de leur boîte de réception lorsque la personne avec qui ils correspondaient avait décidé de supprimer son compte.
103. Au moment de l’incident, ALM imposait des frais aux utilisateurs qui souhaitaient avoir accès au service de suppression définitive. Pour les utilisateurs canadiens, ces frais s’élevaient à 19 $CAN. À ce moment-là, ni la Charte de confidentialité d’Ashley Madison ni les Conditions générales d’utilisation du site ne renfermaient un avis précisant qu’ALM imposerait des frais aux utilisateurs pour supprimer les renseignements personnels les concernant. ALM a informé le CPVP et l’OAIC qu’à la suite de l’incident, elle n’impose plus de frais pour la suppression définitive.
104. Au moment de l’atteinte à la sécurité des données, selon la politique d’ALM, les renseignements personnels concernant un utilisateur qui acquittait les frais imposés pour une suppression définitive devenaient inaccessibles sur le site Web Ashley Madison dans un délai de 24 à 48 heures, mais ALM les conservait encore pendant 12 mois.
105. ALM a précisé qu’en raison d’une erreur, au moment de l’atteinte à la sécurité des données, des photos associées à des comptes supprimés avaient été transférées dans un dossier non accessible aux utilisateurs et qui était marqué en vue de son élimination ultérieure. Toutefois, ces photos n’avaient pas été supprimées après la période de 12 mois susmentionnée et il est possible que le pirate y ait eu accès. Depuis, ALM a supprimé dans ce dossier toutes les photos associées aux utilisateurs ayant sélectionné la suppression définitive et elle a corrigé le problème technique sous-jacent.
106. ALM a déclaré qu’elle conservait ces renseignements pour s’en servir si un utilisateur ayant cessé d’utiliser ses services tentait frauduleusement d’effectuer un « rejet de débit » par carte de crédit en prétendant n’avoir jamais utilisé le site Ashley Madison. Le rejet de débit est une procédure par laquelle l’utilisateur d’une carte de crédit peut affirmer que sa carte a été utilisée de façon frauduleuse afin d’effectuer un paiement en ligne et obtenir un remboursement du fournisseur.
107. Lorsqu’un utilisateur demande un rejet de débit, il incombe à ALM de démontrer à la banque que l’utilisateur a bel et bien eu recours à ses services. En conservant des photos, des renseignements sur le compte et l’historique d’utilisation pendant une période de 12 mois, ALM a ainsi à portée de main les données dont elle a besoin pour prouver à la banque de l’utilisateur que le paiement par carte de crédit était justifié. L’entreprise a déclaré que la nature de ses sites Web fait en sorte qu’elle reçoit des demandes de rejet de débit représentant un montant substantiel. Par conséquent, ALM devait se protéger contre les rejets de débit frauduleux pour éviter des coûts considérables.
108. Au moment de l’incident, les utilisateurs étaient informés du fait qu’ALM conservait les renseignements à leur sujet après leur suppression définitive. L’utilisateur qui acquittait les frais imposés pour une suppression définitive recevait un avis de confirmation précisant ce qui suit, mais seulement après l’acceptation de son paiement :

     [traduction]

     Le présent avis confirme que le profil de l’annonce n^o […] a été supprimé du système avec succès. Certaines données seront conservées pendant une période de 6 à 12 mois pour des raisons légales et financières, après quoi elles seront supprimées.
     […]
     Si vous souhaitez communiquer avec nous concernant le présent avis, relativement à la protection de vos renseignements personnels ou à tout autre sujet, n’hésitez pas à nous contacter.

109. Les Conditions générales d’ALM faisaient aussi état de la pratique consistant à conserver les données en vue d’intervenir en cas de rejet de débit frauduleux :

     Rejet de débit de carte de crédit

     Nous protégeons notre entreprise ainsi que les organismes chargés du traitement des cartes de crédit, les banques et les autres institutions qui nous fournissent des services liés aux paiements par carte de crédit contre les rejets de débit de carte de crédit frauduleux. Un rejet de débit de carte de crédit se produit lorsque le titulaire d’une carte de crédit conteste un débit auprès d’un organisme chargé du traitement de la carte de crédit […] Vous comprenez et acceptez qu’en cas de rejet de débit frauduleux de votre part, nous menions une enquête en collaboration avec l’entité concernée (organisme chargé du traitement de la carte de crédit, banque ou autre institution) et les autorités de police. Notre participation à cette enquête peut nous amener à fournir des informations sur les profils, des données d’authentification de carte et des conversations avec ou en relation avec notre Service ou d’autres utilisateurs ou membres.

110. ALM a présenté des statistiques sur les rejets de débit et leur fréquence. La majorité de ces rejets se produit dans les trois mois suivant l’achat. On observe ensuite une forte diminution des rejets. Ainsi, la grande majorité d’entre eux (environ 98 %) s’est présentée dans les six mois suivant la date d’achat, environ 2 % dans les 6 à 12 mois suivant la transaction et 0,1 %, plus de 12 mois après l’achat.

Conclusions

Conservation pour une durée indéterminée des comptes désactivés

111. La LPRPDE et la Privacy Act de l’Australie exigent toutes deux que les renseignements personnels soient conservés seulement s’ils sont encore nécessaires. En vertu de la LPRPDE, ils ne doivent être conservés qu’aussi longtemps que nécessaire pour la réalisation des fins pour lesquelles ils ont été recueillis. En vertu de la Privacy Act de l’Australie, ils ne doivent l’être qu’aussi longtemps qu’ils peuvent être utilisés ou communiqués à une fin déterminée dans les APP.
112. ALM a fourni une explication pour justifier le fait qu’elle conserve les données des utilisateurs qui ont opté pour la désactivation de base. Il se peut fort bien que des utilisateurs souhaitent revenir sur le site Web Ashley Madison (ou un autre site d’ALM), après avoir désactivé leur compte et qu’il soit plus facile de les réintégrer en pareil cas si les données contenues dans leur profil sont à portée de la main.
113. Cela dit, il n’y a rien ni dans la Charte de confidentialité d’ALM ni sur son site Web qui informe les utilisateurs actuels et potentiels des conséquences d’une désactivation de base sur la conservation des données. L’entreprise n’y mentionne assurément pas qu’elle conservera les renseignements personnels pour une durée indéterminée si l’utilisateur n’acquitte pas les frais imposés pour la suppression définitive.
114. À notre avis, il n’est pas raisonnable de conserver pour une période indéterminée les renseignements personnels des utilisateurs dont les comptes sont désactivés. D’après les statistiques communiquées par ALM, la grande majorité des utilisateurs ayant réactivé leur compte l’ont fait après une période extrêmement courte (dans les 29 jours pour 99,9 % d’entre eux) et la plupart des demandes de rejet de débit issues d’organismes de traitement des cartes de crédit se sont produites dans un délai de 12 mois. Ces statistiques ne justifient en rien la conservation des données pour une durée indéterminée.
115. Les données contenues dans les profils, qui ont été obtenues auprès des utilisateurs des sites d’ALM, sont recueillies principalement dans le but d’offrir un service de rencontres en ligne. Après une certaine période suivant la désactivation de base, il est très peu probable qu’un utilisateur revienne sur le site Web d’ALM, si bien que les renseignements personnels le concernant ne sont alors plus nécessaires pour assurer ce service de rencontres. En pareil cas, ALM doit détruire ou dépersonnaliser les renseignements personnels en question si elle n’a aucune autre raison légitime de les conserver.
116. Ainsi, bien qu’ALM ait le droit de conserver les données pendant une période raisonnable après la désactivation de base pour permettre à ses utilisateurs de revenir sur ses sites Web, sa pratique consistant à les conserver pour une durée indéterminée contrevient au principe 4.5 de la LPRPDE et à l’APP 11.2.
117. La LPRPDE n’établit pas de limites précises en ce qui a trait à la conservation des renseignements personnels par les organisations. En fait, selon le principe 4.5.2 de la LPRPDE, les organisations devraient élaborer des lignes directrices et appliquer des procédures pour la conservation des renseignements personnels et devraient, entre autres, préciser les durées minimales et maximales de conservation. En omettant d’établir les périodes de conservation maximales des renseignements personnels des utilisateurs associées aux comptes désactivés, ALM a contrevenu au principe 4.5.2 de la LPRPDE.

Conservation des données contenues dans les profils inactifs

118. Des considérations semblables s’appliquent en ce qui concerne les comptes inactifs depuis longtemps sur le site Web.
119. Dans le cas des comptes inactifs, bien que les utilisateurs n’aient pas clairement indiqué leur intention de ne plus utiliser les services d’Ashley Madison, il est raisonnable de conclure, après une période d’inactivité prolongée, que le compte n’est plus utilisé aux fins pour lesquelles il a été ouvert. Par conséquent, les renseignements personnels recueillis pour les besoins du compte ne devraient plus être conservés.
120. Ainsi, en conservant ces renseignements personnels à des fins autres que celles déterminées et en omettant d’établir des durées maximales de conservation des données associées aux comptes inactifs des utilisateurs, ALM a contrevenu à l’APP 11.2 et aux principes 4.5 et 4.5.2 de la LPRPDE.

Conservation des données à la suite d’une suppression définitive

121. Les Conditions générales d’ALM précisent clairement que le traitement des paiements constitue l’une des raisons pour lesquelles elle recueille des données. Il y est également précisé qu’ALM conservera et utilisera les données recueillies pour prévenir les rejets de débit frauduleux. Comme les dispositions de la Privacy Act de l’Australie et de la LPRPDE diffèrent sur ce point, nous avons examiné la question séparément pour chacun de ces textes de loi.

Privacy Act de l’Australie

122. En vertu de la Privacy Act de l’Australie, ALM est tenue de détruire ou de dépersonnaliser les renseignements personnels qui ne sont plus nécessaires aux fins auxquelles ils peuvent être utilisés ou communiqués selon les APP. Les renseignements personnels peuvent être utilisés pour la principale raison à l’origine de leur collecte. Cependant, ils ne peuvent pas être utilisés à une fin secondaire, sous réserve de certaines exceptions. Le commissaire à l’information par intérim de l’Australie considère que la principale raison pour laquelle ALM recueille des renseignements consiste à offrir des services de rencontres en ligne. Le fait qu’elle conserve et utilise les renseignements personnels dans le but de prévenir les rejets de débit frauduleux de la part de ses utilisateurs constitue une fin secondaire.
123. En outre, en vertu de la Privacy Act de l’Australie, une entité peut utiliser et communiquer des données à des fins secondaires dans une « situation générale autorisée », notamment lorsqu’elle doit prendre des mesures appropriées en réponse à une inconduite grave ou à une activité illicite présumée (voir l’article 16A de cette loi). Selon la définition donnée au paragraphe 6(1), le terme « misconduct » (inconduite en français) englobe tout cas de « fraude, de négligence, d’inexécution, d’abus de confiance et de manquement à une obligation ou à la discipline ou tout autre comportement répréhensible observé chez une personne dans l’exercice de ses fonctions ». Pour que cette exception s’applique, l’entité doit avoir des « motifs raisonnables de croire » que la collecte, l’utilisation ou la communication des renseignements personnels est « nécessaire » pour permettre à l’entité de prendre les « mesures appropriées ». ALM a expliqué de manière satisfaisante qu’elle doit conserver les données afin d’atténuer le risque de fraude.
124. Toutefois, afin de s’assurer que l’utilisation, la communication et la conservation des données des utilisateurs se limitent à ce qu’elle juge « raisonnablement » nécessaire, ALM doit conserver ces données uniquement pour une durée bien définie, qui renvoie à la probabilité de risque de fraude au cours de cette période. ALM a invoqué un motif raisonnable qui justifie sa politique consistant à conserver les données pour une durée limitée après une suppression définitive. De plus, depuis l’incident, ALM a ramené de 12 à 6 mois la période de conservation des données à la suite d’une suppression définitive.

LPRPDE

125. De même, selon le principe 4.5 de la LPRPDE, les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n’y consente ou que la loi ne l’exige. En outre, on ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des fins déterminées. Comme nous l’avons mentionné précédemment, bien qu’il soit clair qu’ALM recueille ces données en partie dans le but de traiter les paiements, les Conditions générales d’Ashley Madison précisent également que l’entreprise les conservera et les utilisera pour prévenir les rejets de débit frauduleux.
126. Toutefois, à notre avis, le fait que les photos des comptes supprimés ont été conservées par erreur au-delà de la période déterminée par ALM contrevient au principe 4.5 de la LPRPDE, car une proportion appréciable de ces photos aurait été celles d’utilisateurs. Les photos permettraient donc d’identifier les utilisateurs, même après avoir été extraites de leur profil respectif.
127. Pour les raisons mentionnées dans les paragraphes ci-dessus, nous sommes satisfaits que la politique d’ALM consistant à conserver les données de ses utilisateurs pour une durée limitée à la suite d’une « suppression définitive » uniquement dans le but de régler les problèmes de fraude de la part de ses utilisateurs est autorisée selon l’APP 11.2 de la Privacy Act de l’Australie et le principe 4.5 de la LPRPDE.

Imposition de frais pour la suppression

128. ALM a fourni une explication pour justifier le fait que certains éléments de l’option de suppression définitive sont des services offerts moyennant un supplément. Plus précisément, elle a fait référence à la nécessité de supprimer définitivement les messages transmis aux autres utilisateurs. Les utilisateurs d’une plateforme de réseau social ne s’attendent généralement pas à ce que les données qu’ils ont échangées avec d’autres utilisateurs soient supprimées de la boîte de réception de ces derniers s’ils décident de supprimer leur propre compte.
129. Cependant, l’option de suppression définitive offerte moyennant des frais était la seule méthode à la disposition des utilisateurs désireux de faire supprimer de façon permanente dans les bases de données d’ALM le profil même de leur compte. Les frais imposés étaient donc une condition que les utilisateurs devaient respecter pour exercer leur droit, selon le principe 4.3.8 de la LPRPDE, de retirer leur consentement à la conservation par ALM des renseignements personnels les concernant.
130. La LPRPDE ne précise pas si des frais peuvent ou non être imposés aux utilisateurs qui souhaitent retirer leur consentement. Selon le principe 4.3.8 de la LPRPDE, une personne peut retirer son consentement en tout temps, sous réserve de restrictions prévues par une loi ou un contrat et d’un préavis raisonnable. Dans ce cas ci, le paiement des frais ne peut pas être considéré comme une restriction prévue par une loi ou un contrat. Au moment crucial de l’inscription, lorsque les gens ont envisagé, accepté et décidé de créer un compte sur le site Ashley Madison, ni les messages reçus par les utilisateurs existants et potentiels ni les modalités générales du contrat ne faisaient état de ces frais.
131. Par conséquent, la pratique d’ALM consistant à imposer des frais, sans donner de préavis et sans avoir d’entente à cet égard, aux utilisateurs qui souhaitent retirer leur consentement contrevient au principe 4.3.8 de la LPRPDE. Comme nous l’avons mentionné précédemment, ALM n’impose plus de frais pour son service de suppression définitive et nous l’encourageons à poursuivre dans cette voie.
132. De façon générale, même si les utilisateurs avaient conclu dans ce cas-ci un contrat prévoyant l’imposition de frais pour retirer leur consentement, nous recommanderions d’évaluer le caractère raisonnable de cette pratique en fonction de facteurs tels que la pertinence et l’opportunité de l’avis, le coût réel pour l’organisation par rapport aux frais imposés et l’incidence probable des frais sur le droit d’un utilisateur de retirer son consentement.

Recommandations adressées à ALM

133. Pour donner suite aux conclusions énoncées ci-dessus, leCPVP et l’OAIC recommandent àALM de prendre d’ici le 31 mars 2017 les mesures suivantes pour l’ensemble de ses sites Web :
     1. ne plus conserver indéfiniment les renseignements personnels des utilisateurs dont les comptes sont inactifs ou désactivés; déterminer une période appropriée après la désactivation d’un compte ou après une période d’inactivité prolongée, selon les habitudes d’utilisation et les besoins opérationnels, à la fin de laquelle elle supprimera les renseignements personnels des utilisateurs; et informer ces derniers de ces politiques;
     2. s’assurer de ne pas conserver les renseignements personnels au-delà de la période de conservation susmentionnée et, par la suite, examiner régulièrement sa politique de conservation pour s’assurer que la période de conservation choisie demeure appropriée;
     3. mettre en œuvre le calendrier de conservation pour les comptes actuellement désactivés et ceux qui le seront ultérieurement;
     4. mettre en œuvre le calendrier de conservation pour les comptes actuellement inactifs et ceux qui le seront ultérieurement;
     5. s’engager à continuer d’offrir une option sans frais aux utilisateurs qui souhaitent faire supprimer les renseignements du profil de leur compte (cette mesure ne comprend pas forcément tous les services de suppression supérieurs actuellement offerts dans le cadre de la suppression définitive, par exemple la suppression des renseignements personnels envoyés à la boîte de réception d’autres utilisateurs d’ALM);
     6. présenter au CPVP et à l’OAIC de l’information détaillée sur les mesures qu’elle a prises pour donner suite aux recommandations ci dessus.

Exactitude des adresses de courriel

Obligation de maintenir la qualité et l’exactitude des renseignements personnels

134. La Privacy Act de l’Australie et la LPRPDE obligent les organisations à prendre des mesures pour maintenir la qualité et l’exactitude des renseignements personnels qu’elles recueillent et utilisent.
135. Selon le principe 4.6 de la LPRPDE, les renseignements personnels doivent être aussi exacts, complets et à jour que l’exigent les fins auxquelles ils sont destinés. Le principe 4.6.1 précise que le degré d’exactitude et de mise à jour ainsi que le caractère complet des renseignements personnels dépendront de l’usage auquel ils sont destinés, compte tenu des intérêts de la personne. Les renseignements doivent être suffisamment exacts, complets et à jour pour réduire au minimum la possibilité que des données inappropriées soient utilisées pour prendre une décision la concernant.
136. De même, selon l’APP 10.1, les entités assujetties aux APP doivent prendre les mesures (le cas échéant) qui sont raisonnables dans les circonstances pour s’assurer que les renseignements personnels recueillis par l’entité sont exacts, à jour et complets. L’APP 10.2 impose la même obligation en ce qui concerne les renseignements personnels utilisés ou communiqués par une entité assujettie aux APP, compte tenu de l’objet de cette utilisation ou de cette communication.

Pratiques qui avaient cours au moment de l’atteinte à la sécurité des données

137. Après l’atteinte à la sécurité des données, des bases de données consultables d’adresses de courriel enregistrées dans le site Ashley Madison ont été publiées en ligne. Or, des adresses de courriel, dont un sous-groupe figurant dans ces bases de données, auraient appartenu à des personnes qui n’avaient jamais utilisé le site.
138. ALM a confirmé qu’elle n’avait pas vérifié antérieurement et qu’elle ne vérifiait toujours pas les adresses de courriel fournies par les utilisateurs. Dans une communication écrite qu’elle a présentée, l’entreprise a déclaré ce qui suit :

     [traduction]

     Conformément à sa politique, ALM n’a pas vérifié par le passé et ne vérifie toujours pas l’exactitude des renseignements personnels fournis par ses clients afin de garantir leur anonymat par rapport aux autres utilisateurs.

139. ALM a aussi expliqué que sa décision de ne pas vérifier les adresses de courriel au moment de l’inscription était [traduction] « le résultat d’un processus décisionnel délibéré et réfléchi de l’entreprise, qui a choisi de renoncer à cette vérification pour assurer l’anonymat des utilisateurs » et que cette pratique « renforce la sécurité et la protection de la vie privée ». Au cours de ses discussions avec le CPVP et l’OAIC, ALM a également déclaré avoir une autre raison de ne pas exiger la vérification des adresses de courriel : cette vérification créerait un obstacle dans le processus d’inscription, ce qui pourrait dissuader certaines personnes de s’inscrire.
140. Le champ de l’adresse de courriel est obligatoire au moment de la création du compte sur le site Ashley Madison. Une personne ne peut utiliser aucun service du site Web Ashley Madison avant d’avoir terminé le processus d’inscription et fourni une adresse de courriel. Toutefois, les communications avec les autres utilisateurs se font sur la plateforme d’ALM. Par conséquent, même si les utilisateurs ne fournissent pas leur propre adresse de courriel au moment de l’inscription, ils peuvent utiliser les services d’Ashley Madison en fournissant une fausse adresse de courriel.
141. En expliquant pourquoi le champ de l’adresse de courriel était obligatoire, ALM a déclaré qu’elle oblige les utilisateurs à fournir une adresse de courriel afin de pouvoir leur envoyer des avis sur des activités du site Web et de la publicité et qu’il s’agit d’une mesure d’authentification dans le cas d’une demande de soutien émanant d’un utilisateur.
142. ALM envoie aussi un courriel de « bienvenue » lorsqu’un utilisateur s’inscrit. Tout utilisateur peut choisir de ne pas recevoir ce message. ALM affiche l’information suivante dans le bas de page du courriel de bienvenue envoyé par ALM (et des courriels ultérieurs) pour permettre aux non-utilisateurs de corriger la situation si leur adresse de courriel est associée à tort à un compte Ashley Madison.

     [traduction]

     Veuillez ne pas répondre au présent courriel. Il a été envoyé à partir d’une adresse qui ne peut recevoir aucun courriel entrant. Si vous avez des questions ou des préoccupations, veuillez aller à notre page « Pour nous joindre » : http: …..

     Vous recevez le présent avis par courriel parce vous vous êtes inscrit comme membre pour recevoir notre service ou qu’une autre personne s’y est inscrite en utilisant votre adresse de courriel. L’adresse de courriel que nous avons au dossier pour le profil n^o xxxxxxx est [adresse de courriel].

     Si nous vous avons fait parvenir le présent courriel par erreur ou que vous souhaitez vous désabonner des avis par courriel ou faire supprimer votre compte, veuillez choisir l’une des options ci-dessous :

     Pour se désabonner des avis par courriel | Pour faire supprimer un compte

     Adresse aux États-Unis ou au Canada
     C.P. 67027
     Toronto (Ontario) Canada M4P 1E4

     Adresse internationale
     9 Karpensiou, 2021 Nicosie

143. D’après le texte du pied de base, si le message a été envoyé par erreur à un individu, celui-ci peut choisir l’une des options ci-dessous, mais les deux liens présentés ensuite servent uniquement à « se désabonner des avis par courriel » ou à « supprimer un compte ». Le lien correspondant à la dernière option mène à la page de « suppression du profil » dans le compte Ashley Madison de l’utilisateur. Or, avant l’incident, ALM exigeait un paiement pour supprimer définitivement le compte.
144. ALM a expliqué que si le véritable détenteur d’une adresse de courriel la contactait pour l’informer que son adresse était utilisée sans son autorisation sur l’un des sites Web d’ALM, l’entreprise remplaçait l’adresse de courriel erronée et désactivait le compte en question. ALM a déclaré qu’elle était habituellement informée en pareil cas lorsque le détenteur d’une adresse de courriel recevait le courriel de bienvenue envoyé immédiatement après la création d’un compte.
145. ALM a indiqué être au courant que certains utilisateurs ne donnent pas leur véritable adresse de courriel lorsqu’ils s’inscrivent à Ashley Madison. Elle semblerait donc au courant de la possibilité de préjudice pour les non-utilisateurs au cas où Ashley Madison leur enverrait des communications par erreur. Au cours des premières discussions avec le CPVP suivant l’incident, ALM a indiqué avoir tenu compte de l’incidence possible sur les non-utilisateurs qui allaient recevoir un avis lorsqu’il s’agissait de déterminer si elle devait ou non aviser par courrier électronique les personnes touchées. L’entreprise a finalement décidé d’aviser directement par courriel les utilisateurs touchés, notamment des Canadiens et des Australiens, mais en prenant soin de mettre en évidence dans ces courriels un avis reconnaissant que le destinataire du courriel n’est pas nécessairement un utilisateur d’Ashley Madison. Cet avis se lisait comme suit :

     [traduction]

     VOUS RECEVEZ LE PRÉSENT COURRIEL D’AVID DATING LIFE INC. PARCE QUE VOTRE ADRESSE SE TROUVE DANS NOTRE BASE DE DONNÉES DES UTILISATEURS D’ASHLEYMADISON.COM. CETTE ADRESSE A PU ÊTRE FOURNIE PAR VOUS OU PAR QUELQU’UN D’AUTRE. PUISQUE NOUS NE VÉRIFIONS PAS LES ADRESSES DE COURRIEL QUI NOUS SONT FOURNIES PAR L’ENTREMISE D’ASHLEYMADISON.COM, LE FAIT QUE VOUS RECEVEZ CE COURRIEL NE SIGNIFIE PAS QUE VOUS AYEZ DÉJÀ VISITÉ OU UTILISÉ ASHLEYMADISON.COM.

Conclusions

L’adresse de courriel en tant que renseignement personnel

146. Il faut d’abord déterminer si l’adresse de courriel et son lien avec le site Web Ashley Madison constituent des renseignements personnels.
147. Au sens de la LPRPDE, un renseignement personnel est un « renseignement concernant un individu identifiable ». Par ailleurs, la Privacy Act de l’Australie définit le renseignement personnel comme un « renseignement ou une opinion concernant une personne identifiée ou une personne qui peut être raisonnablement identifiée ». Les deux lois prévoient que le renseignement en question doit permettre d’identifier une personne.
148. Certaines adresses de courriel permettent à elles seules d’identifier clairement une personne par son nom et d’autres données comme son lieu de travail. Par exemple l’information publiée en ligne contenait une adresse de courriel censée appartenir au premier ministre de la Nouvelle-Zélande, soit « john.key@pm.govt.nz »^{Note de bas de page 14}. Toutefois, une adresse de courriel ne permettant pas à elle seule d’identifier une personne peut permettre d’identifier une personne lorsqu’on la combine à d’autres données. Par exemple, il est possible de mener une recherche en ligne pour identifier le détenteur d’une adresse de courriel. Si cette recherche est possible, l’information associée à l’adresse de courriel constitue donc un renseignement personnel.
149. Bon nombre des adresses de courriel associées au site Web Ashley Madison, y compris les exemples que nous venons de citer, permettraient d’identifier un individu. Il s’agit donc de renseignements personnels. De plus, l’association apparente (qu’elle soit véritable ou non) entre la personne et le site Web Ashley Madison constitue également un renseignement personnel.

Exactitude suffisante

150. Dans ses observations formulées au CPVP et à l’OAIC, ALM a soutenu que le principe 4.6 de la LPRPDE et les APP 10.1 et 10.2 visaient à protéger uniquement les utilisateurs qui fournissent de l’information aux organisations, et non des tiers qui ne sont pas parties prenantes et dont les renseignements pourraient être soumis d’une manière abusive par un utilisateur, et par conséquent, recueillis ou utilisés par une organisation. En ce qui a trait à la LPRPDE, ALM soutient que [traduction] le terme « personne », dans l’énoncé du principe 4.6.1, renvoie uniquement dans ce cas aux personnes qui se sont inscrites à ALM et non aux autres personnes dont l’adresse de courriel a été soumise de façon abusive par un utilisateur et utilisée sans le consentement du véritable propriétaire de cette adresse.
151. Les commissaires estiment qu’il ne s’agit pas d’une interprétation correcte de la loi canadienne ou australienne. Ils ne trouvent aucun motif, dans l’une ou l’autre des dispositions, pour limiter les obligations incombant à une organisation en ce qui a trait à l’exactitude des renseignements personnels concernant des individus avec lesquels elle entretient une relation directe. Par analogie, selon cette logique, les dispositions concernant l’exactitude n’obligeraient pas un prêteur à envisager les répercussions du vol d’identité pour une victime, car la personne avec laquelle il traite n’est pas la victime (c’est plutôt la personne se faisant passer pour la victime^{Note de bas de page 15}).
152. D’après les commissaires, conformément aux mesures de protection prévues dans d’autres dispositions de la loi, les dispositions concernant l’exactitude sont censées s’appliquer à tous les individus dont les renseignements personnels sont recueillis, utilisés ou communiqués par une organisation, peu importe que l’individu en question ait ou non fourni ces renseignements directement à l’organisation.
153. Par conséquent, puisque l’association entre les adresses de courriel et le site Web d’ALM constitue un renseignement personnel, ALM est tenue, en vertu de la LPRPDE et de la Privacy Act de l’Australie, de s’assurer de l’exactitude de ces renseignements.
154. Toutefois, aucune des deux lois n’exige que les renseignements personnels recueillis, utilisés et communiqués soient absolument exacts dans tous les cas. En vertu des APP, une organisation doit prendre des mesures « raisonnables dans les circonstances » lorsqu’elle recueille, utilise ou communique des renseignements personnels; pour les utiliser et les communiquer, elle doit évaluer l’exactitude compte tenu de la « fin de l’utilisation ou de la communication ». En vertu de la LPRPDE, les renseignements personnels doivent être aussi exacts, complets et à jour que l’exigent « les fins auxquelles ils sont destinés ». Le principe 4.6.1 de cette loi précise que « le degré d’exactitude et de mise à jour ainsi que le caractère complet des renseignements personnels dépendront de l’usage auquel ils sont destinés, compte tenu des intérêts de la personne ».
155. Il faut déterminer si les mesures prises par ALM pour assurer l’exactitude étaient raisonnables dans les circonstances (en vertu des APP) pour veiller à ce que les adresses de courriels recueillies et utilisées par ALM soient aussi exactes que l’exigeaient les fins auxquelles elles étaient destinées compte tenu des intérêts de la personne (en vertu de la LPRPDE).
156. Dans les observations qu’elle a formulées au CPVP et à l’OAIC, ALM a fait valoir que la principale fin de la collecte et de l’utilisation des adresses de courriel consistait pour elle à contacter des utilisateurs. Elle a soutenu qu’un utilisateur qui fournit sciemment une fausse adresse de courriel au moment de l’inscription renonce dans les faits à recevoir ces communications. Pour sa part, ALM est prête à admettre que l’obtention d’adresses de courriel inexactes entrave les communications avec ses utilisateurs, dans ce qu’elle considère comme l’intérêt supérieur de l’amélioration de la protection de leur vie privée. D’après elle, les adresses de courriel qu’elle recueille et utilise sont par conséquent aussi exactes qu’il le faut. À notre avis, cette évaluation selon laquelle ALM a satisfait aux obligations en matière d’exactitude lui incombant en vertu des APP et de la LPRPDE comporte de graves lacunes pour les raisons énoncées ci-après.
157. Au moment de déterminer si les mesures prises par ALM concernant l’exactitude des adresses de courriel étaient raisonnables en vertu des APP, il faut prendre en compte le contexte dans lequel les renseignements ont été recueillis, utilisés et communiqués. Ce contexte est tout aussi important en vertu du principe 4.6 de la LPRPDE, comme nous l’expliquons en détail ci-après. Dans le cas d’Ashley Madison, le contexte se présente comme suit :
     1. la possibilité pour les individus qui ont recours à ce type de service de fournir de faux renseignements;
     2. la sensibilité particulière de la nature du service et de toute communication connexe ainsi que les graves répercussions d’une fausse association avec Ashley Madison;
     3. le fait qu’ALM savait qu’un sous-groupe de ses utilisateurs fournissait une fausse adresse de courriel.
158. Dans ce contexte, les commissaires estiment qu’il était insuffisant, dans les circonstances particulières du site Web Ashley, qu’ALM présume que puisqu’une adresse de courriel était fournie par un utilisateur, il devait s’agir de sa propre adresse de courriel (et non de celle d’un non-utilisateur).
159. ALM prend certaines mesures pour régler le problème des adresses de courriel de non-utilisateurs associées à tort avec Ashley Madison. Elle recueille les coordonnées directement auprès des utilisateurs au moment de l’inscription. Elle envoie ensuite un courriel de bienvenue à l’adresse fournie par l’utilisateur. Ce courriel renferme une mention en bas de page indiquant qu’un individu peut contacter ALM si elle lui a envoyé le courriel par erreur. Elle offre ainsi aux non-utilisateurs une certaine possibilité de détecter si leur adresse de courriel a été utilisée par une autre personne et de remédier à cette inexactitude.
160. En ce qui a trait à cette approche, les commissaires estiment que la mention en bas de page dans le courriel de bienvenue est une méthode insuffisante pour répondre aux préoccupations concernant l’exactitude des adresses, plus précisément les adresses de courriel de non-utilisateurs associées à tort avec le service Ashley Madison. Avec cette approche, il incombe au non-utilisateur de réagir de façon proactive à un courriel non sollicité d’origine inconnue. À juste titre, cette pratique est considérée comme une activité comportant des risques que les individus devraient généralement éviter^{Note de bas de page 16}.
161. En vertu des principes 4.6 et 4.6.1 et de l’APP 10.2, l’évaluation d’ALM selon laquelle les renseignements sont suffisamment exacts n’est pas proportionnelle à la fin importante à laquelle ces courriels serviront. Plus précisément, la fin à laquelle les adresses de courriels sont utilisées pour contacter les utilisateurs, et non les non-utilisateurs, concernant une question extrêmement sensible, personnelle et confidentielle (à savoir des communications pour faciliter les aventures en toute confidentialité). Pas plus que l’approche adoptée par ALM pour prendre en compte les intérêts des personnes, y compris les non-utilisateurs dont l’adresse de courriel est utilisée sans leur consentement et qui peuvent recevoir d’ALM des communications « importunes » les associant à tort (à leurs propres yeux et à ceux d’autres personnes) avec les services offerts par l’entreprise.
162. En outre, le principe 4.6.1 de la LPRPDE exige que les renseignements soient suffisamment exacts pour réduire au minimum la possibilité que des renseignements inappropriés soient utilisés pour prendre une décision concernant une personne. Même en l’absence d’une atteinte à la sécurité des données, en vertu de l’envoi de courriels par ALM, y compris au minimum un courriel de bienvenue, aux adresses de courriel fournies par les utilisateurs au moment de l’inscription. ALM expose la prétendue association avec Ashley Madison à toute personne qui lit le courriel ou qui y a accès. En conséquence, si des courriels provenant du site Web Ashley Madison étaient envoyés par erreur à une adresse professionnelle ou à une adresse de courriel résidentielle partagée, le lien présumé avec Ashley Madison pourrait avoir des répercussions sur les décisions prises concernant cette personne par un employeur, un membre de sa famille ou toute autre connaissance et porter une atteinte grave à sa réputation à court et à long terme.
163. Compte tenu des circonstances susmentionnées et, en particulier, de la nature extrêmement exceptionnelle et sensible du site Web Ashley Madison, les commissaires estiment qu’ALM doit prendre des mesures supplémentaires pour mieux s’assurer de l’exactitude des adresses de courriel qu’elle recueille et utilise.
164. Une gamme d’options raisonnables sont à la disposition d’ALM pour réduire l’inexactitude des adresses de courriel qu’elle détient et le risque que des non utilisateurs soient par le fait même faussement associés avec le site Web. Par exemple, si ALM rendait optionnel le champ de l’adresse de courriel, les utilisateurs seraient moins enclins à fournir un faux renseignement, ce qui réduirait le risque d’atteinte à la vie privée des non-utilisateurs. Cette mesure serait conforme au principe 4.4 de la LPRPDE (Limitation de la collecte). Autrement, ALM pourrait mettre en œuvre des mesures techniques pour réduire les imprécisions, par exemple un processus automatisé pour s’assurer que l’adresse de courriel fournie appartient bien au nouvel utilisateur.
165. Enfin, ALM a fait valoir qu’en ne vérifiant pas les adresses de courriel, elle renforce la protection de la vie privée de ses utilisateurs, car elle leur permet de nier toute association avec le site Web. Elle a également affirmé que son choix de rendre obligatoire le champ de l’adresse de courriel renforce la protection de la vie des utilisateurs, soutenant que [traduction] « si elle rendait optionnel le champ du courriel, seuls les utilisateurs qui souhaitent recevoir des courriels à leur adresse professionnelle utiliseraient cette fonction », ce qui réduirait la capacité des utilisateurs ayant fourni une adresse de courriel valide de nier leur association avec le site Web.
166. Les commissaires ne sont pas d’accord avec le fait que la pratique d’ALM consistant à rendre obligatoire le champ de l’adresse de courriel, sans vérifier ce renseignement, renforce la protection de la vie privée des utilisateurs. Une approche qui crée inutilement un risque d’atteinte à la réputation dans la vie de non-utilisateurs, pour offrir à des utilisateurs la possibilité de nier leur association avec Ashley Madison, ne cadre pas avec l’intention de la LPRPDE ni avec celle de la Privacy Act de l’Australie. En fait, selon la façon de procéder actuelle, un plus grand nombre de personnes auraient au-dessus de leur tête une épée de Damoclès en raison de l’association potentielle avec Ashley Madison. Dans ce contexte, une « association réfutable » n’en demeure pas moins une « association possible » susceptible de porter atteinte à la réputation d’une personne aux yeux des décideurs, des membres de sa famille et des personnes d’influence. On ne peut envisager l’avantage éventuel pour les utilisateurs d’ALM isolément sans égard au préjudice éventuel pour les non-utilisateurs.
167. En conclusion, les commissaires estiment que, dans les circonstances particulières du site Web Ashley Madison, les mesures prises par ALM pour assurer l’exactitude des adresses de courriel associées au compte des nouveaux utilisateurs ne répondent pas aux exigences du principe 4.6 de la LPRPDE et de l’APP 10. En ne prenant pas de mesures raisonnables pour s’assurer que les adresses de courriel sont aussi exactes que l’exigent les fins auxquelles elles sont destinées et en ne prenant pas en compte les intérêts des personnes touchées (y compris les non utilisateurs), ALM a contrevenu au principe 4.6 de la LPRPDE. Dans les circonstances, en ne prenant pas de mesures raisonnables pour assurer l’exactitude des adresses de courriel qu’elle recueille, ALM a contrevenu à l’APP 10.1 et en ne prenant pas des mesures pour s’assurer que les adresses de courriel qu’elle utilise ou communique sont aussi exactes que l’exigent les fins auxquelles elles sont traitées, ALM a contrevenu à l’APP 10.2.

Recommandations adressées à ALM

168. Pour donner suite aux conclusions formulées ci-dessus, leCPVP et l’OAIC recommandent àALM de prendre les mesures suivantes d’ici le 31 mars 2017 :
     1. modifier le processus de création des comptes pour permettre aux utilisateurs de s’inscrire au site Web Ashley Madison sans fournir d’adresse de courriel ou, si elle continue de demander une adresse de courriel aux nouveaux utilisateurs, mettre en œuvre des mesures techniques pour améliorer l’exactitude des adresses de courriel obtenues, de façon raisonnablement satisfaisante pour le CPVP et l’OAIC;
     2. présenter au CPVP et à l’OAIC et de l’information détaillée sur les mesures qu’elle a prises pour se conformer à cette décision.

Transparence auprès des utilisateurs

Obligation de transparence et de consentement éclairé

LPRPDE

169. En vertu de l’article 6.1 de la LPRPDE, le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti.
170. Selon le principe 4.8 de la LPRPDE, une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne. Le principe 4.8.1 précise que ces renseignements doivent être fournis sous une forme généralement compréhensible.
171. Selon le principe 4.3, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Le principe 4.3.5 précise que, dans l’obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes.
172. Enfin, selon le principe 4.3.5, entre autres exigences, le consentement ne doit pas être obtenu par un subterfuge.
173. La transparence et un consentement valable sont des principes importants sans lesquels une personne ne peut prendre de décisions éclairées concernant les organisations à qui confier ses renseignements personnels. Pour qu’un consentement soit valable, la LPRPDE n’exige pas comme condition générale la communication aux utilisateurs d’information sur les mesures de sécurité prises pour assurer la confidentialité des données confiées par les utilisateurs. Cependant, elle exige que les personnes soient en mesure de comprendre la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles elles consentent. Les enquêteurs ont donc vérifié si l’information fournie par ALM aux utilisateurs au moment de décider s’ils lui confieraient ou non des renseignements personnels était adéquate.

Privacy Act de l’Australie

174. Dans la Privacy Act de l’Australie, les APP 1 et 5 obligent les organisations à informer les personnes de certaines questions concernant leurs pratiques de gestion de l’information. Ainsi, selon l’APP 1.3, les organisations doivent publier une politique de confidentialité concernant « la gestion des renseignements personnels par une entité »; il peut notamment s’agir d’information générale sur les mesures de sécurité^{Note de bas de page 17}. Toutefois, aucune disposition des APP n’exige qu’une organisation explique en détail ses mesures de sécurité ou fournisse des détails concernant sa procédure de fermeture des comptes d’utilisateur.
175. Par conséquent, l’analyse exposée dans la présente section du rapport porte uniquement sur les obligations incombant à ALM en vertu de la LPRPDE.

Pratiques qui avaient cours au moment de l’atteinte à la sécurité des données

176. Au moment de l’incident, une personne qui envisageait de s’inscrire comme utilisateur sur le site Web Ashley Madison pouvait se renseigner sur les pratiques d’ALM en matière de gestion des renseignements personnels en consultant les sources d’information mises à sa disposition par l’entreprise.
177. La première source d’information est la page d’accueil du site Web Ashley Madison. Comme il est indiqué au paragraphe 51, au moment de l’atteinte à la sécurité des données, la page d’accueil du site Ashley Madison affichait de manière bien visible une série de marques de confiance qui semblaient indiquer un niveau élevé de sécurité et de discrétion. Il s’agissait d’une icône de médaille mentionnant que le site s’était vu décerner une marque de confiance, d’une icône de cadenas indiquant que le site était « sécurisé en vertu du protocole SSL » et d’un énoncé garantissant l’« entière discrétion du service ».
178. Depuis, ALM a modifié la page d’accueil du site Ashley Madison. Elle a supprimé l’icône de médaille indiquant que le site s’était vu décerner une marque de confiance et l’énoncé garantissant la discrétion du service.
179. Les Conditions générales et Charte de confidentialité d’ALM (que l’on peut consulter grâce à un lien sur la page d’inscription) constituent la deuxième source d’information. En ce qui a trait aux mesures de sécurité, la Charte de confidentialité prévoyait ce qui suit au moment de l’atteinte à la sécurité des données :

     Sécurité

     Nous traitons les données comme un bien qui doit être protégé contre la perte et l'accès non autorisé. Pour garantir la confidentialité et la sécurité de vos IPI, nous avons recours aux pratiques et technologies standards de l'industrie, y compris, entre autres, les « pare-feu », la transmission cryptée via SSL (Secure Socket Layer) et le cryptage puissant de données de renseignements personnels et/ou financiers sensibles quand ils sont stockés sur le disque.

     L’information suivante sur la confidentialité et l’utilisation des données figure dans les Conditions générales, mais non dans la Charte de confidentialité :

     I. Confidentialité et utilisation des données

     Vous acceptez le fait que, bien que nous nous efforcions de préserver au mieux vos données personnelles, nous ne puissions vous garantir la sécurité ou la confidentialité des informations que vous fournissez par le biais d’Internet et dans vos e-mails. Notre charte de confidentialité est incluse dans les Conditions sous cette référence. Vous acceptez de nous dégager de toute responsabilité, nous, nos sociétés mères, nos filiales et nos sociétés affiliées ainsi que nos et leurs actionnaires, administrateurs, dirigeants, employés, agents, successeurs et ayants-droits à l’égard des réclamations, demandes, dommages-intérêts, pertes et responsabilités, quelle qu’en soit la nature, connus et inconnus, directs et contingents, divulgués ou non, découlant de ou autrement liés à la divulgation ou l’utilisation de telles données par des tiers.

180. Au sujet des options pour la fermeture du compte et la conservation des renseignements personnels, la Charte de confidentialité d’ALM renferme les dispositions suivantes :

     Pendant combien de temps conserverez-vous les informations que je vous ai fournies?

     Nous conservons les informations que vous nous avez fournies au moins pendant la période où votre profil d’annonce reste actif ou caché. […] Vous avez la possibilité d’annuler certaines communications et de modifier les informations personnelles ou informations démographiques que vous nous avez fournies et de masquer des informations visibles aux utilisateurs publics du Site à tout moment dans les rubriques « Gestion du profil » ou « Centre de messages » sur votre profil d’annonce.

     […] Veuillez noter également que la modification ou la suppression de vos informations via les rubriques « Gestion du profil » ou « Centre de messages » du système, ou l’annulation de nos notifications par e mails, ne feront que modifier ou supprimer les données dans notre base de données aux fins des activités et des communications à venir. Ces modifications et suppressions ne modifieront ni ne supprimeront pas les informations ou e mails qui sont en attente d’envoi ou qui ont déjà été envoyés.

181. Les Conditions générales d’ALM prévoient ce qui suit :

     C. Annulation de votre compte pour absence d’utilisation

     Si vous ne vous êtes pas connecté à votre compte après un délai de 90 jours à compter de la dernière connexion, nous nous réservons le droit d’annuler vos crédits restants. […]

     F. Résiliation

     […] Vous pouvez résilier votre accès au Service à tout moment via notre Site ou en nous envoyant par courrier ou par e-mail un avis de résiliation. Vous ne pouvez prétendre à aucun remboursement des crédits non utilisés ou des frais d’adhésion payés si vous résiliez votre accès à notre Service, quelle qu’en soit la raison.

     G. Suppression définitive de profil

     Vous pouvez également sélectionner l’option « Suppression définitive du profil » qui est proposée séparément à la résiliation de base. Cette fonctionnalité supprimera toute existence du compte sur le Service, y compris tous les messages reçus et envoyés (classiques, demandes de message, prioritaires), clins d’œil, cadeaux, toutes les photos téléchargées, tout historique et toute donnée personnelle identifiable. En utilisant le Service, vous acceptez par les présentes que les conversations échangées avec un Membre puissent ne plus être disponibles si le Membre a procédé à une suppression définitive de son profil.

182. C’est uniquement après avoir créé un profil sur le site Web Ashley Madison que l’utilisateur a accès à un lien dans les paramètres de son profil pour supprimer le profil. Quand l’utilisateur clique sur ce lien, une page s’ouvre pour lui expliquer, pour la première fois, qu’il pourrait supprimer définitivement son profil (en suivant la procédure expliquée précédemment) moyennant des frais (19 $ pour un utilisateur canadien) ou « cacher » son profil gratuitement.
183. Comme l’explique le paragraphe 108, l’utilisateur qui choisit d’acquitter les frais imposés pour la suppression de son profil recevra, après le traitement du paiement, un avis libellé ainsi :

     [traduction]

     Le présent avis confirme que le profil de l’annonce n^o […] a été supprimé du système avec succès. Certaines données seront conservées pendant une période de 6 à 12 mois pour des raisons légales et financières, après quoi elles seront supprimées.

184. La seule autre mention renvoyant au fait que toute information serait conservée après la suppression définitive figure séparément dans la section « Informations financières » de la Charte de confidentialité » d’ALM, où l’on peut lire que les utilisateurs qui fournissent des informations financières à ALM « […] consent[ent] à ce que nous transmettions vos informations financières à nos fournisseurs de services et aux tiers que nous jugeons nécessaires pour soutenir et traiter vos activités et opérations, ainsi qu’à l’émetteur de votre carte de crédit aux fins nécessaires ».
185. ALM a confirmé que tous les renseignements des utilisateurs, à savoir les renseignements financiers et non financiers, étaient en réalité conservés pendant 12 mois.
186. Il y a deux questions à trancher. Premièrement, il faut déterminer si la communication de données aux utilisateurs comme il est expliqué ci-dessus, était conforme au principe 4.8 de la LPRPDE.
187. Deuxièmement, il faut déterminer si les données susmentionnées, transmises aux utilisateurs au moment où ils devaient décider s’ils fourniraient des renseignements personnels à ALM, était adéquate pour que le consentement soit valable et obtenu sans le recours à un subterfuge.

Conclusions

188. ALM fournissait de l’information concernant ses mesures de sécurité, les options relatives à la fermeture d’un compte et les pratiques de conservation des renseignements personnels. Toutefois, certains aspects essentiels de ses pratiques qui auraient pu jouer pour beaucoup dans la décision d’éventuels utilisateurs d’ouvrir un compte sur le site Ashley Madison étaient soit absents, soit difficiles à comprendre ou trompeurs. En particulier :
     1. Même si ALM fournissait dans sa Charte de confidentialité et ses Conditions générales de l’information concernant les mesures de sécurité, elle a confirmé que la marque de confiance que le site s’était vu décerner et qui figurait sur sa page d’accueil, avait été inventée de toutes pièces par l’entreprise et ne constituait pas une reconnaissance officielle par une tierce partie.
     2. Même après une lecture attentive de la Charte de confidentialité et des Conditions générales, on ne peut savoir avec certitude si le profil d’un utilisateur sera conservé indéfiniment à moins qu’il opte pour une suppression définitive de son profil. Pour reprendre le libellé exact de la Charte de confidentialité, l’information sera conservée « au moins pendant la période où [son] profil d’annonce reste actif ou caché ». Pourtant, selon une autre section des Conditions générales, si l’utilisateur ne s’est pas connecté à son compte après un délai de 90 jours, ALM se réserve le droit d’annuler ses crédits restants. Cette ambiguïté pourrait être une source de confusion supplémentaire pour les utilisateurs ou bien les amener à s’attendre à ce que l’inactivité puisse à elle seule entraîner la désactivation ou la suppression de leur compte. Dans ce contexte, on ne sait trop si un profil d’annonce « actif » est simplement n’importe quel profil qui n’a pas été caché ou supprimé, peu importe la date à laquelle il a été créé. D’après ALM, le fait que les Conditions générales font état de l’existence de l’option de « suppression définitive du profil », qui est présentée séparément de la « résiliation de base », montre clairement que la résiliation de base n’inclut pas la suppression des renseignements personnels. Nous sommes en désaccord. Cette description à elle seule n’efface pas l’impression créée par les autres énoncés et, en fait, elle pourrait rendre la question encore plus confuse.
     3. Les utilisateurs qui choisissent de faire supprimer définitivement leur profil apprendront seulement après avoir acquitté les frais imposés pour la suppression définitive que les données les concernant seront, en réalité, conservées pendant une période supplémentaire de 12 mois.
189. Dans ce contexte, ALM ne respecte pas les obligations découlant du principe 4.8.1 de la LPRPDE, selon lequel elle doit faire preuve de transparence au sujet de ses politiques et de ses pratiques concernant la gestion des renseignements personnels et fournir ces renseignements sous une forme généralement compréhensible.
190. Puisqu’ALM n’a pas fait preuve de transparence au sujet de ses pratiques de gestion des renseignements personnels, il convient de déterminer si le consentement obtenu par l’entreprise pour recueillir les renseignements personnels des utilisateurs était valable et s’il a été obtenu par un subterfuge.
191. En vertu de l’article 6.1 de la LPRPDE, le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti. Selon le principe 4.3.5, dans l’obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes et le consentement ne doit pas être obtenu par un subterfuge.
192. Vu la nature particulière du service offert par le site Web Ashley Madison, notamment les conséquences potentielles pour les utilisateurs en cas de communication non autorisée des renseignements personnels les concernant, il est raisonnable de s’attendre à ce que la transparence concernant la sécurité de l’information et les pratiques de conservation constitue un élément essentiel d’un consentement valable dans ce contexte. De même, compte tenu de la nature des services offerts (c. à d. des services de rencontres pour les personnes à la recherche d’une aventure) et de la discrétion recherchée et attendue par les utilisateurs, il est raisonnable de présumer que certains d’entre eux auraient pu choisir de ne pas communiquer leurs renseignements personnels à ALM s’ils n’avaient pas été induits en erreur lors de l’inscription par une marque de confiance fictive en matière de sécurité et s’ils avaient été informés qu’ALM conserverait ces renseignements personnels pour une durée indéterminée, à moins qu’ils n’acquittent les frais imposés pour la suppression définitive de leur profil.
193. ALM semble d’ailleurs avoir utilisé cette marque de confiance fictive dans le but délibéré de susciter chez les utilisateurs potentiels la fausse impression générale que les pratiques de protection des renseignements personnels de l’entreprise avaient été jugées de qualité par une tierce partie indépendante à l’issue d’un examen en bonne et due forme. Il s’agit là de l’un des quelques éléments d’« information » mis bien en évidence concernant les pratiques de gestion des renseignements personnels d’ALM auxquels les utilisateurs potentiels avaient accès au moment de décider s’ils s’inscriraient ou non. Comme cette marque de confiance influe grandement sur le jugement d’un utilisateur raisonnable lorsqu’il évalue la sécurité et la discrétion dans ces circonstances particulières, nous concluons que sa présence sur la page d’accueil du site Web Ashley Madison invalide le consentement et contrevient au principe 4.3.5 de la LPRPDE.
194. Qu’on les examine séparément ou en lien l’un avec l’autre, le CPVP est d’avis que le manque de clarté concernant les pratiques de conservation des renseignements personnels et la présence d’une marque de confiance trompeuse sur la page d’accueil du site ont pu jouer pour beaucoup dans le consentement éclairé d’un utilisateur potentiel à ouvrir un compte sur le site d’Ashley Madison et à autoriser la collecte, l’utilisation et la communication de ses renseignements personnels.
195. Par conséquent, le manque de transparence d’ALM concernant ses pratiques de gestion des renseignements personnels revêt une importance incontestable quant à la validité du consentement. Dans ces circonstances, nous concluons que le consentement obtenu par ALM pour recueillir des renseignements personnels lors de l’inscription d’un utilisateur n’était pas valable et contrevenait par conséquent à l’article 6.1 de la LPRPDE.
196. 196. En fournissant des renseignements trompeurs au sujet de ses mesures de sécurité et en omettant de communiquer de l’information importantes au sujet de ses pratiques de conservation des renseignements personnels, ALM a contrevenu à l’article 6.1 ainsi qu’aux principes 4.3 et 4.8 de la LPRPDE.

Recommandations adressées à ALM

197. Pour donner suite aux conclusions formulées ci-dessus, leCPVP recommande àALM de prendre les mesures suivantes d’ici le 28 février 2017 :
     1. réviser ses Conditions générales, sa Charte de confidentialité et d’autres renseignements pouvant être consultés par les utilisateurs afin d’en assurer l’exactitude et la clarté concernant ses pratiques de gestion des données. Entre autres, elle devrait indiquer clairement dans ses Conditions générales et sur la page où les utilisateurs choisissent la manière dont ils désactiveront leur profil, de l’information détaillée sur toutes les options de désactivation et de suppression à leur disposition;
     2. revoir toutes les déclarations figurant sur son site Web et ailleurs concernant ses pratiques de gestion des renseignements personnels afin de s’assurer de ne pas donner d’indications trompeuses;
     3. présenter au CPVP de l’information détaillée sur les mesures qu’elle a prises pour se conformer aux recommandations formulées ci dessus.