Le site Web MaDemocratie.ca n’a pas été conçu dans un souci de protection de la vie privée

Plainte présentée en vertu de la Loi sur la protection des renseignements personnels (la Loi)

Résumé de l’enquête

  1. Le Commissariat à la protection de la vie privée du Canada (le Commissariat) a reçu une plainte en vertu de la Loi sur la protection des renseignements personnels (la Loi) contre le Bureau du Conseil privé (BCP) au sujet du site Web MaDemocratie.ca (le site Web). Le plaignant a allégué que le site Web utilisait le module de suivi de connexion Facebook Connect mais indiquait que toutes les réponses fournies étaient anonymes. Le plaignant craignait donc que le gouvernement puisse avoir eu recours à des mesures de suivi de connexion bien qu’il ait affirmé publiquement aux citoyens que leurs réponses seraient anonymes.
  2. Nous avons soumis un rapport de conclusions préliminaire (rapport préliminaire) au BCP le 10 mai 2017, afin de présenter au BCP notre compréhension des faits et d’exprimer notre opinion préliminaire relativement à cette plainte. Notre rapport préliminaire renfermait également quatre recommandations au BCP en vue de promouvoir une saine gouvernance en matière de protection de la vie privée pour les initiatives futures. Dans sa réponse à notre rapport préliminaire, le BCP a contesté certaines des préoccupations soulevées par le Commissariat. Par contre, il a reconnu que les enjeux que nous avions cernés constituent un rappel utile et que le gouvernement doit comprendre les outils en ligne pour que la protection de la vie privée des personnes demeure une priorité importante.
  3. Le Commissariat reconnaît que l’initiative MaDémocratie a été conçue non seulement pour fournir au gouvernement des données de recherche sur l’opinion publique, mais également pour permettre au plus grand nombre possible de Canadiens de participer à la conversation sur la démocratie sur une plateforme en ligne novatrice. Toutefois, malgré cet objectif louable, il n’a pas été démontré que le site MaDémocratie ait été conçu d’une manière respectueuse de la vie privée.
  4. Notre examen a confirmé que la conception du site Web permettait l’intervention d’un tiers, ce qui a donné lieu dans certains cas à la communication de renseignements personnels à Facebook dès que l’utilisateur accédait à la page d’accueil du site MaDémocratie – avant même que celui-ci n’autorise ou n’active expressément l’option de partage sur les réseaux sociaux. Bien que notre enquête n’ait pas permis de prouver que le BCP a eu recours à des mesures pour identifier les personnes ayant participé au sondage ou pour faire le suivi des réponses des participants aux questions du sondage, nous demeurons préoccupés par le fait que les adresses IP et divers renseignements de navigation ont été partagés avec Facebook. Il s’agit d’une conséquence malheureuse de la conception du site Web qui augmente le risque que l’interaction des utilisateurs avec le site Web ne soit pas vraiment anonyme. On ne nous a pas démontré que le BCP a obtenu le consentement requis pour communiquer ces renseignements personnels à Facebook. Par conséquent, on ne nous a pas démontré que le BCP a respecté les dispositions en matière de communication prévues à l’article 8 de la Loi et nous concluons que cette plainte est fondée.
  5. À cette fin, nous réitérons nos recommandations au BCP pour qu’il s’assure que la protection de la vie privée est considérée comme un élément central de la conception et de l’administration de toute initiative similaire.
  6. Nous profitons de cette occasion pour souligner la coopération du BCP au cours de notre enquête concernant cette plainte. Nous tenons également à noter la détermination du BCP à protéger les renseignements personnels des Canadiens et à veiller à ce que l’on continue d’adapter les politiques en fonction de l’évolution rapide de l’environnement technologique et à ce que ces politiques appuient les efforts déployés par le gouvernement pour mobiliser les Canadiens de façon novatrice.
  7. La justification de nos conclusions est présentée ci-après.

Contexte

  1. MaDemocratie.caNote de bas de page 1 était un site Web qui invitait les Canadiens à partager leurs idées sur la démocratie. D’après le site, son objectif était de créer une application novatrice d’engagement et d’éducation civiques permettant aux Canadiens de mieux connaître leurs valeurs démocratiques. Dans le cadre de cette initiative, les participants étaient invités à donner leur avis sur une panoplie de questions liées à la réforme électorale. Les participants recevaient ensuite une rétroaction qui leur permettait de comparer leurs valeurs démocratiques avec celles des autres Canadiens.
  2. Après avoir répondu à une série de questions, les résultats des participants étaient présentés sous la forme d’un profil de groupe d’électeurs. D’après les réponses, le site MaDémocratie associait les participants à l’un des cinq groupes ou profils-typesNote de bas de page 2 (défenseurs, pragmatiques, critiques, coopérateurs ou innovateurs) et comparait les résultats avec ceux des autres Canadiens. Le site Web invitait également les participants à partager leurs résultats avec leurs amis et leurs contacts sur les médias sociaux. Plus particulièrement, le site contenait des liens vers Facebook et Twitter pour faciliter le partage sur les réseaux sociaux (c.-à-d. boutons de partage). Il contenait également des liens vers d’autres sites Web connexes que les utilisateurs pouvaient consulter après avoir reçu leurs résultats.
  3. Les participants pouvaient aussi fournir volontairement certains renseignements démographiques, y compris le sexe, l’année de naissance, le niveau de scolarité le plus élevé, le domaine professionnel, le revenu total avant impôt du ménage, la langue maternelle, l’appartenance à une minorité visible et le code postal. Les participants pouvaient participer à l’enquête même s’ils choisissaient de ne pas soumettre de renseignements démographiques. Cependant, il était impossible de pondérer leurs donnéesNote de bas de page 3 pour tirer des conclusions plus exactes à l’échelle de la population canadienne. Le rapport final du site MaDémocratie comprenait des données pondérées et non pondérées.
  4. La date limite de participation à l’initiative MaDémocratie était le 15 janvier 2017. L’initiative est maintenant terminée et les résultats ont été publiés en ligneNote de bas de page 4.
  5. En décembre 2016, les médias ont soulevé diverses préoccupations concernant la nature du site MaDémocratie Cela a incité le Commissariat à effectuer certaines analyses techniques préliminaires et à mener des consultations avec le BCP au sujet du site Web. Le Commissariat a signalé plusieurs points problématiques au BCP et il a fait quelques suggestions pour l’aider à renforcer les mesures de protection des renseignements personnels déjà en place. Voici les principales sources de préoccupations que nous avons cernées :
    1. Les renseignements démographiques recueillis vont au-delà des exigences relatives aux éléments de données prévues dans les Normes pour la recherche sur l’opinion publique effectuée par le gouvernement du Canada - Sondages en ligneNote de bas de page 5, et ce, sans justification apparente. Nous avons également souligné que même si l’avis de confidentialité précisait les fins visées par la collecte des renseignements démographiques, il serait préférable d’ajouter un avis supplémentaire au moment de la collecte.
    2. Les visites du site Web ont généré des requêtes au service Google Analytics. Cela signifie que le site Web facilitait la transmission de certains renseignements au service Google Analytics lorsqu’une personne consultait le site Web. Nous avons suggéré au BCP de revoir son utilisation du service Google Analytics pour s’assurer de respecter les paramètres établis dans la Norme sur la protection de la vie privée et le Web analytique du Secrétariat du Conseil du Trésor (SCT)Note de bas de page 6.
    3. Des requêtes étaient transmises aux serveurs de Facebook dès que l’utilisateur avait accès à la page d’accueil du site MaDémocratie, même si aucune fonction de partage sur les médias sociaux n’était offerte aux participants avant qu’ils aient répondu aux questions et reçu leurs résultats. Nous avons constaté que le site Web facilitait l’échange de certains renseignements avec Facebook lorsqu’une personne visitait le site, avant même qu’elle ne clique sur l’un des boutons de partage.
    4. Nous avons également constaté que des renseignements sur certains utilisateurs étaient communiqués à Facebook au moyen de témoins. Plus particulièrement, si un utilisateur de Facebook était connecté simultanément au service Facebook, l’on retrouvait dans son navigateur des témoins de Facebook qui contenaient divers renseignements à son sujet, y compris un identificateur unique utilisé par Facebook (c.-à-d. l’ID Facebook).
    5. Une fois que l’utilisateur avait répondu à toutes les questions du sondage, ses résultats étaient affichés à l’aide d’une adresse Web spéciale (l’adresse URL de la page des résultats). Cette adresse URL contenait une chaîne de caractères uniques de sorte que les résultats du participant s’affichaient lorsqu’il accédait de nouveau à l’adresse URLNote de bas de page 7. Nous avons également constaté que, lorsqu’un participant partageait ses résultats avec Facebook, l’adresse URL unique de ses résultats et le profil-type auquel le participant était associé (p. ex. pragmatique) étaient aussi communiqués automatiquement à Facebook.
  6. Le BCP a répondu par une lettre reçue le 23 décembre 2016, dans laquelle il fournissait au Commissariat des renseignements supplémentaires sur les questions soulevées et présentait les mesures qu’il proposait de prendre pour répondre à certaines de nos préoccupations.
  7. Dans l’intervalle, le Commissariat a reçu la présente plainte le 8 décembre 2016. Le BCP a répondu à la plainte dans une lettre reçue le 18 janvier 2017. À la suite de notre examen des observations du BCP, le Commissariat a envoyé un rapport préliminaire au BCP le 10 mai 2017 et il a reçu sa réponse le 9 juin 2017.
  8. Le présent rapport de conclusions (le Rapport) résume les faits et les observations reçues, et présente les conclusions de notre enquête. L’enquête et le rapport du Commissariat portent principalement sur les obligations légales dont doit s’acquitter le BCP à titre d’organisme gouvernemental responsable de l’initiative MaDémocratie. Les pratiques de Vox Pop Labs (l’Entrepreneur), l’entreprise qui a conçu et exploité le site Web au nom du BCP, ne sont pas examinées dans le Rapport et aucune conclusion n’a été tirée au sujet de ses obligations légales. En outre, le Rapport n’examine pas les pratiques de tiers, notamment de Facebook, et ne tire aucune conclusion concernant leurs activités ou leurs obligations.

Principaux concepts et définitions

  1. Les définitions suivantes s’appliquent aux fins du Rapport :
    1. « Caractéristiques du navigateur » ou « information du navigateur » : renseignements relatifs à la marque et à la version du navigateur avec lequel l’utilisateur navigue sur Internet (p. ex. Internet Explorer, Firefox, Safari ou Google Chrome). Ces renseignements peuvent inclure le type de navigateur et la version, ainsi que divers réglages du navigateur, comme la langue et les polices utilisées.
    2. « Élément » : les contributions de tiers à un site Web prennent habituellement la forme d’éléments : de petits objets numériques distincts transmis au navigateur d’un utilisateur (p. ex. images, polices, publicités, bibliothèques de logiciels).
    3. « Témoin » : lorsqu’un site Web est consulté, il n’offre pas seulement de l’information ou des services; l’ordinateur est aussi susceptible de recevoir un témoin. Un témoin est un petit fichier qui est transmis par un site Web à votre ordinateur. Il sert à stocker des données sur vos interactions avec le site : justificatifs d’identité, préférences, tâches en cours et autres. Votre navigateur (Internet Explorer ou Firefox, par exemple) stocke automatiquement le fichier témoin sur votre disque dur local. Le site Web pourra le récupérer plus tard.
    4. « Facebook Connect » : une extension de la plateforme Facebook. Elle permet aux développeurs de sites Web d’aider leurs utilisateurs à accéder à différents services en utilisant leur authentifiant de Facebook ou à partager de l’information avec leurs amis. Le service Facebook Connect a été intégré aux éléments du site MaDemocratie.ca et ses fonctions de partage sur les médias sociaux ont été utilisées (c.-à-d. un bouton « Partager » de Facebook).
    5. « ID Facebook » : une série de chiffres qui permet à un utilisateur de se connecter à son compte Facebook. Un ID Facebook peut être utilisé pour voir le profil d’un utilisateur de Facebook ainsi que toute information publique. Il permet également aux applications de personnaliser l’expérience de l’utilisateur sur Facebook lorsqu’il se connecte avec son compte Facebook.
    6. « GET » : un type de demande HTTP qui permet d’accéder à une page ou à un fichier particulier. La demande envoyée par un navigateur contient habituellement un ensemble de renseignements supplémentaires, incluant l’adresse IP du demandeur et les caractéristiques du navigateur. C’est ce que l’on appelle communément des métadonnées.
    7. « Google Analytics » : un service d’analytique Web gratuit qui offre des statistiques et des outils d’analyse de base pour l’optimisation des moteurs de recherche et le marketing. Notre analyse technique du site MaDémocratie a révélé que le service Google Analytics a également été utilisé.
    8. « Adresse IP » : une adresse du protocole Internet (IP) est une série unique de nombres séparés par des points qui identifie chaque ordinateur utilisant le protocole Internet pour communiquer sur un réseau.
    9. « JavaScript » : un langage de programmation couramment utilisé à l’étape du développement pour ajouter des éléments dynamiques et interactifs sur un site Web.
    10. « Lien » : un lien est une connexion entre un mot, une image ou un objet d’information et un autre élément. En cliquant sur un lien, l’utilisateur peut accéder à une nouvelle page Web ou à un site Web complètement différent.
    11. « Referer » : métadonnée incluse dans de nombreuses demandes pour indiquer la page Web consultée précédemment par l’utilisateur. Si un en-tête referer figure dans une demande envoyée à un tiers, elle peut révéler la page Web de la première partie qui contenait l’élément du tiers.
    12. « Tiers » : un tiers est une autre organisation qui participe au contenu d’un site Web, qui facilite l’accès au contenu ou qui en ajoute. En règle générale, les tiers comprennent des fournisseurs de service Internet, des réseaux sociaux, etc.
    13. « URL » : une adresse URL (localisateur de ressources uniforme) est l’adresse globale des documents et d’autres ressources sur le Web. Par exemple, l’adresse Web du Commissariat (http://www.priv.gc.ca) est une adresse URL.

Observations du BCP

  1. Selon le BCP, le gouvernement du Canada a lancé un dialogue national sur la réforme électorale en créant une application novatrice d’engagement et d’éducation civiques qui permettrait aux Canadiens de mieux connaître leurs valeurs démocratiques. Le BCP a demandé à l’Entrepreneur de créer une plateforme en ligne conçue pour permettre au plus grand nombre possible de Canadiens de prendre part à la conversation sur le renforcement de la démocratie et fournir au gouvernement des données sur l’opinion publique statistiquement valides. Le BCP a précisé que des profils-types ont été créés à partir de données empiriques pour favoriser la conversation et la diffusion dans les médias sociaux - une stratégie clé visant à accroître la participation et à rejoindre un public peu mobilisé.
  2. Le BCP a indiqué que la protection des renseignements personnels est un point important qui a été pris en considération tout au long de la conception du site Web. Le BCP a affirmé qu’un certain nombre de mesures ont été prises avant la mise en œuvre pour s’assurer que les risques potentiels liés à la protection des renseignements personnels soient déterminés et atténués avant le lancement et que les renseignements démographiques sélectionnés dans le cadre de l’initiative soient conformes aux Normes pour la recherche sur l’opinion publique effectuée par le gouvernement du Canada - Sondages en ligne. Le BCP a déclaré que l’initiative nécessitait suffisamment de données démographiques sur les participants pour pondérer les réponses d’après les données existantes sur la population, y compris le Recensement et l’Enquête sociale générale. Le BCP a examiné chaque question et il soutient que tous les renseignements démographiques demandés dans le cadre de l’initiative étaient requis pour effectuer des analyses statistiques. Le BCP a également souligné que les participants étaient avisés sur le site Web qu’il n’était pas obligatoire de fournir des données démographiques et qu’ils pourraient consulter tous leurs résultats même s’ils décidaient de ne pas répondre aux questions démographiques.
  3. Le BCP a fait valoir qu’il n’a pas recueilli ou reçu directement des renseignements des participants dans le cadre de l’initiative MaDémocratie et que l’Entrepreneur s’est chargé de toutes les tâches de collecte, d’administration et d’analyse des données. En outre, les renseignements démographiques recueillis par l’Entrepreneur ont été seulement communiqués au BCP sous forme de données agrégées et anonymisées avec le rapport final sur les résultats de l’initiative. Le BCP a fait valoir qu’il n’est pas possible d’associer à un individu identifiable des données démographiques d’un tel niveau d’abstraction.
  4. Le BCP soutient que toutes les réponses aux questions du sondage sont demeurées anonymes. L’application ne recueillait pas le nom des participants ni aucun renseignement permettant de les identifier. Il soutient également qu’à aucun moment les réponses d’un participant n’étaient identifiables pour un tiers, y compris par suite de l’intégration de la fonctionnalité Facebook Connect ou de l’utilisation de Google Analytics dans le cadre de l’initiative MaDémocratie.
  5. Selon le BCP, le site Web recueillait les enregistrements de transaction auxquels tous les sites Web ont accès, par exemple, l’adresse IP et l’information sur le navigateur. Le BCP a fait valoir que les données sur les transactions Web ne constituent pas des renseignements permettant d’identifier une personne, que l’Entrepreneur n’avait aucun moyen d’associer les adresses IP à des personnes identifiables et que le BCP n’avait, à aucun moment, obtenu les adresses IP des participants. Le BCP a expliqué qu’une fois que ces données avaient été utilisées pour valider des réponses uniques, elles étaient supprimées de l’ensemble de données. En ce qui a trait aux tiers, le BCP a indiqué qu’ils n’ont reçu que des données courantes sur les transactions en ligne, y compris l’adresse IP de l’utilisateur, les renseignements sur le navigateur et les adresses URL des sites consultés par l’utilisateur à l’aide de l’application.
  6. Le BCP a donné les réponses suivantes aux premières préoccupations soulevées par le Commissariat :
    1. Le BCP a modifié le module du profil du site Web de façon à fournir des renseignements supplémentaires aux participants pour s’assurer qu’ils choisissent de répondre aux questions démographiques en toute connaissance de cause. En plus de cette modification, le BCP a expliqué que les raisons de la collecte de données démographiques étaient expliquées dans la foire aux questions, dans la politique de confidentialité et sur la page Web où l’information était recueillie.
    2. Le BCP a fait valoir que l’utilisation de Google Analytics sur le site MaDemocratie.ca est conforme aux normes applicables sur la protection des renseignements personnels et l’analytique Web et qu’il s’agit d’une pratique courante sur les sites Web du gouvernement du Canada. Google Analytics ne recueille que l’adresse IP de l’utilisateur, l’information sur le navigateur (p. ex. le type de navigateur, la langue d’utilisation) et les adresses URL des sites consultés par l’utilisateur. Ce service ne transmet pas d’autres renseignements et Google n’a reçu à aucun moment les réponses d’un participant à des questions du sondage.
    3. Pour permettre le partage sur Facebook, le BCP a indiqué que la bibliothèque JavaScript fournie par Facebook devait s’afficher dans l’en-tête du site Web pour activer la fonctionnalité permettant aux utilisateurs de partager leurs résultats. Même si les utilisateurs accèdent à différents modules lorsqu’ils remplissent le sondage de l’initiative MaDémocratie, le site Web a été conçu comme une application à une seule page et l’en-tête de l’application se trouve donc sur la page de renvoi. Le BCP a indiqué que ce processus permettait effectivement à Facebook de déterminer si l’un de ses utilisateurs consulte le site MaDémocratie, mais que la politique d’utilisation des données de Facebook l’explique clairementNote de bas de page 8.
    4. Selon le BCP, l’architecture de programmation initiale du site Web est conforme à la norme de l’industrie. Toutefois, pour répondre à nos préoccupations, l’Entrepreneur a modifié le site Web de façon à ce que le JavaScript de Facebook ne soit activé que lorsqu’un utilisateur clique sur le bouton de partage de Facebook dans le module des résultats. En d’autres termes, le JavaScript de Facebook Connect était chargé dans le navigateur de l’utilisateur lors de la première visite du site, mais il n’était plus activé avant que l’utilisateur décide de partager ses résultats sur Facebook. Compte tenu de cette modification du site Web, le BCP soutient, que la personne soit connectée simultanément à Facebook ou non, que les seuls renseignements que Facebook aurait pu recueillir sont l’adresse IP et l’information sur le navigateur d’un utilisateur, et le BCP prétend qu’il n’est pas possible d’associer ces renseignements à une personne en particulier. Le BCP affirme qu’il n’aurait pas été possible d’empêcher Facebook de recueillir l’adresse IP et l’activité du navigateur des utilisateurs sans éliminer complètement la fonction de partage sur Facebook. Cela aurait probablement limité la portée de la diffusion dans les médias sociaux, une méthode de mobilisation de cette initiative, puisque la fonction de partage des résultats sur les médias sociaux faisait partie intégrante de l’application.
    5. Le BCP a indiqué qu’il a également modifié la politique de confidentialité pour préciser que le site Web comporte des éléments de tiers.
    6. Le BCP a réitéré que les seuls renseignements que reçoivent les tiers sur les utilisateurs du site MaDemocratie.ca sont l’adresse IP, l’information sur le navigateur et les adresses URL des sites consultés par l’utilisateur dans l’application. À aucun moment les réponses aux questions du sondage ne sont divulguées aux tiers.
    7. Le BCP a indiqué que des modifications ont également été apportées au contrat entre le BCP et l’Entrepreneur pour indiquer clairement que les parties conviennent que le BCP ne recevra que des données agrégées et l’analyse qui en résultera et qu’il n’aura pas accès aux données non agrégées, et ce, à tout moment au cours du processus.
  7. Selon le BCP, la suggestion du plaignant à l’effet que l’utilisation de la fonction Facebook Connect compromettrait l’anonymat des personnes ayant répondu au sondage sur le site MaDemocratie.ca n’est pas fondée. Le BCP a fait valoir qu’à aucun moment les réponses données aux questions sur le site MaDemocratie.ca ne pouvaient être associées à un participant par l’Entrepreneur, le gouvernement, Facebook ou tout autre tiers par suite de l’intégration de la fonction Facebook Connect et que le site MaDemocratie.ca ne recueillait pas les ID Facebook des participants. Ainsi, il n’existe aucun lien entre Facebook Connect et MaDemocratie.ca qui permettrait d’associer des réponses à une personne à l’aide de ce mécanisme.
  8. Le BCP estime qu’il n’a pas manqué à ses obligations en vertu de la Loi. Toutefois, en collaboration avec l’Entrepreneur, il a adopté des mesures spéciales en réponse aux préoccupations du Commissariat concernant le partage avec des tiers.

Rapport de conclusions préliminaire

  1. Le Commissariat a fait parvenir un rapport préliminaire au BCP en mai 2017 afin de lui présenter ses recommandations et ses vues préliminaires. Nos conclusions préliminaires étaient fondées sur notre examen technique du site Web, lequel portait également sur les liens et les éléments facilitant le partage sur les réseaux sociaux, ainsi que sur les observations du BCP et les changements que ce dernier a apportés en réponse à certaines de nos préoccupations.
  2. Lors de l’examen de la version initiale du site Web, nous avons constaté que certains renseignements étaient communiqués à Facebook lorsqu’une personne visitait le site MaDémocratie. Plus particulièrement, nous avons constaté que l’adresse IP de l’utilisateur, les caractéristiques du navigateur et l’adresse URL du site MaDémocratie étaient transmises à Facebook dès le chargement de la page d’accueil du site MaDémocratie. Nous avons également remarqué que l’adresse URL unique des résultats affichés au terme du sondage et le groupe du participant (profil-type) étaient aussi transmis à Facebook, même si l’utilisateur n’avait pas encore autorisé explicitement le partage sur les réseaux sociaux. En outre, notre analyse a révélé que lorsqu’une personne consultait le site Web alors qu’elle était connectée simultanément à Facebook, des renseignements permettant de l’identifier, notamment l’ID d’utilisateur de Facebook, étaient également partagés au moyen de témoins, ce qui permettait d’associer tous les renseignements susmentionnés à un utilisateur de Facebook.
  3. Nous n’avons trouvé aucune preuve indiquant que le BCP avait recours aux adresses IP ou aux autres éléments de données susmentionnés pour identifier certaines personnes. Cependant, nous estimons que, dans le cas des utilisateurs qui étaient connectés à leur compte Facebook pendant une visite du site Web, les renseignements transmis à Facebook constituaient clairement des renseignements personnels puisqu’il était possible de les associer à ces utilisateurs et de les identifier au moyen de leur ID Facebook.
  4. En outre, nous avons indiqué dans notre opinion préliminaire que, même dans le cas des utilisateurs qui n’étaient pas connectés à Facebook, il y avait une réelle possibilité que ces personnes puissent être identifiées d’après les renseignements partagés avec Facebook, notamment leur adresse IP, en particulier lorsqu’ils sont combinés avec d’autres renseignements comme les caractéristiques du navigateur et les adresses URL des sites consultés par l’utilisateur; ce qui constitue donc des renseignements personnels. De plus, nous avons déterminé que, en ce qui a trait à la politique du gouvernement, les adresses IP et les renseignements sur le comportement de navigation de l’utilisateur sont considérés comme des renseignements personnels.
  5. Notre examen a confirmé que le partage de cette information était effectué automatiquement lors de la visite de la page d’accueil du site Web, y compris l’adresse IP, les caractéristiques du navigateur et l’adresse URL du site MaDémocratie, et ce, avant même que la personne puisse prendre connaissance des pratiques du site Web et décider en toute connaissance de cause si elle souhaite ou non interagir avec le site. Nous avons indiqué au BCP que notre analyse technique a révélé qu’une conception différente du site Web aurait pu permettre d’éviter l’échange prématuré de renseignements avec Facebook. Nous avons également constaté que le BCP a choisi d’intégrer la fonction de partage de Twitter d’une manière plus respectueuse de la vie privée.
  6. Nous avons constaté que le BCP a modifié le site Web pour répondre à certaines de nos préoccupations initiales. Plus particulièrement, le BCP a conçu et mis en œuvre une approche personnalisée selon laquelle JavaScript de Facebook Connect n’est activé qu’une fois que l’utilisateur a cliqué sur le bouton de partage de Facebook dans le module des résultats. Bien que cela ait permis de répondre à certaines de nos préoccupations, nous avons constaté que de l’information était toujours transmise à Facebook avant que l’utilisateur n’active le partage sur les réseaux sociaux.
  7. Nous avons également constaté que le BCP a modifié la politique de confidentialité du site Web de façon à indiquer clairement la présence de composants de tiers; toutefois, on ne nous a pas démontré que cet avis, même modifié, aurait été suffisant pour obtenir un consentement valable des utilisateurs à divulguer cette information. Un aspect particulièrement préoccupant était le moment de la communication des renseignements. En effet, l’information était transmise lors du chargement de la page d’accueil avant que la personne puisse prendre connaissance des pratiques du site Web.
  8. Cela n’était pas l’objet principal de la plainte et de l’enquête, mais notre examen a confirmé que certains renseignements étaient également partagés avec Google en raison de l’intégration du service Google Analytics. Ce faisant, les caractéristiques du réseau, y compris l’adresse IP et l’adresse URL de MaDémocratie, étaient aussi transmises à Google. Nous avons indiqué au BCP qu’il n’était pas clair si les exigences de la Norme sur la protection de la vie privée et le Web analytique du SCT avaient été satisfaites lors du développement du site MaDémocratie.
  9. Le Commissariat a également signalé au BCP qu’il n’a pas effectué d’évaluation des facteurs relatifs à la vie privée (EFVP) pour l’initiative MaDémocratie, alors que cela est exigé par la Directive sur l’évaluation des facteurs relatifs à la vie privée du SCTNote de bas de page 9. Compte tenu de la nature de l’initiative MaDémocratie et des renseignements personnels recueillis, le BCP n’a pas répondu à nos attentes à cet égard en omettant d’évaluer les effets de l’initiative sur la vie privée des utilisateurs.
  10. Bien que l’initiative MaDémocratie ait été terminée, nous avons profité de l’occasion pour faire au BCP plusieurs recommandations visant à assurer une bonne gouvernance de la protection des renseignements personnels dans le cadre des initiatives à venir. Nous avions recommandé ce qui suit :
    1. Veiller à ce que les évaluations nécessaires relatives à la protection des renseignements personnels soient effectuées pour déterminer si une activité ou un programme nouveau ou modifié aura une incidence sur la vie privée et si cela justifierait la réalisation d’une EFVP, conformément à la Directive sur l’évaluation des facteurs relatifs à la vie privée du SCT.
    2. Prendre des mesures pour s’assurer que l’utilisation de composantes de tiers n’expose pas les utilisateurs à des risques relatifs à la vie privée (sauf si une exception au consentement appropriée s’applique) et que toute communication de renseignements personnels soit effectuée avec leur consentement. Par exemple, seulement une fois que l’utilisateur a effectué délibérément un partage sur les réseaux sociaux.
    3. Les utilisateurs doivent être informés de toutes les fins de l’utilisation ou de la communication de leurs renseignements personnels au moment de la collecte ou au préalable. La politique de confidentialité d’un site Web doit rendre compte des pratiques de protection de la vie privée du site, y compris la collecte, l’utilisation et la communication des renseignements personnels, et cette information doit être présentée de façon claire et concise et elle doit être facile à trouver sur le site (p. ex. aux points de décision clés).
    4. Veiller à ce que les exigences appropriées soient satisfaites à l’égard de l’utilisation du Web analytique, et ce, en conformité avec la Norme sur la protection de la vie privée et le Web analytique du SCT.
  11. Nous avons aussi signalé au BCP que nous estimons que les renseignements démographiques recueillis pour les besoins de l’initiative MaDémocratie pouvaient effectivement constituer des renseignements personnels en vertu de la Loi. À cette fin, nous avons exhorté le BCP à veiller à ce que, lors de futures initiatives, la collecte de cette information ait non seulement un lien direct avec le programme ou l’activité conformément à l’article 4 de la Loi, mais qu’elle soit manifestement nécessaire, en conformité avec la Directive sur les pratiques relatives à la protection de la vie privée du SCTNote de bas de page 10.
  12. En réponse à notre rapport préliminaire et à nos recommandations, le BCP a fait les commentaires suivants :
    1. Le BCP a réitéré que l’inclusion à MaDemocratie.ca de services fournis par des tiers comme Facebook Connect ou Google Analytics n’a en aucun cas compromis le caractère anonyme des réponses des utilisateurs, car ces réponses n’ont jamais été transmises à un tiers et n’ont jamais été associées à une personne pouvant être identifiée. Le gouvernement du Canada n’a jamais utilisé de « mesures de suivi de connexion » relativement aux réponses du plaignant ou de l’un ou l’autre des 360 000 participants.
    2. Le BCP a souligné que, bien que l’adresse URL des résultats comportant l’un des cinq profils-types ait parfois été communiquée, elle ne l’était pas « automatiquement ».
    3. Le BCP a réitéré qu’une version personnalisée de Facebook Connect a été mise en œuvre et que l’adresse URL unique des résultats n’était transmise que lorsque l’utilisateur choisissait délibérément de partager ses résultats en cliquant sur le bouton de partage de Facebook sur la page des résultats. Les réponses elles-mêmes n’ont jamais été divulguées à Facebook, et le risque d’une telle communication n’a même jamais existé.
    4. Le BCP a fait valoir que les métadonnées transmises à Facebook en raison de l’intégration de la fonction de partage au site MaDémocratie sont visibles par l’intermédiaire des réseaux d’acheminement, des fournisseurs de services Internet (FSI), etc., pendant la durée de vie d’une demande. Elles ne peuvent être cachées pendant la transmission. Leur transmission fait partie intégrante de l’architecture fondamentale d’Internet. Elles sont aussi visibles sur le réseau de diffusion de contenu (RDC) de Facebook lors du chargement de ses fichiers JavaScript. Toutefois, ces renseignements ne contiennent pas de témoins volatils de Facebook ni d’autres données relatives à l’identité de l’utilisateur.
    5. En ce qui a trait à la mise en œuvre différente des fonctions de Facebook et de Twitter dont il est question dans le rapport préliminaire, le BCP a précisé que Facebook a établi des limites différentes relativement au partage de renseignements. Plus précisément, Facebook nécessite l’utilisation d’une bibliothèque JavaScript, tandis que Twitter permet le partage de renseignements au moyen d’une adresse URL, et même si Facebook permettait le partage au moyen d’une adresse URL auparavant, le BCP a déclaré que cette fonctionnalité a été supprimée.
    6. Le BCP a précisé que les personnes désirant ouvrir un compte sur Facebook doivent accepter les conditions d’utilisation de Facebook. Ce faisant, les utilisateurs acceptent non seulement que Facebook recueille les données de leur navigateur pendant que leur session est ouverte, mais aussi que Facebook ait accès aux données sauvegardées dans leur navigateur quand leur session est fermée. Si un utilisateur ne souhaite pas communiquer à Facebook ses activités sur Internet et ses renseignements personnels, il dispose de diverses options, par exemple utiliser un mode de navigation privée, consulter des sites Web à partir d’un ordinateur (et d’une adresse IP) qu’il n’utilise pas pour se connecter à Facebook, supprimer les données de son navigateur avant de se connecter à Facebook, ou encore supprimer son compte Facebook.
    7. Le BCP a précisé que l’Entrepreneur n’avait aucun mécanisme pour associer les centaines de milliers d’adresses IP aux personnes qui visitaient le site. Par conséquent, le BCP a fait valoir qu’on ne peut affirmer avec certitude que la transmission de ces renseignements de cette façon représentait une possibilité sérieuse qu’une personne puisse être identifiée, ce qui ne cadrerait donc pas avec la définition de « renseignements concernant un individu identifiable » établie à l’article 3 de la Loi.
    8. Le BCP a indiqué qu’il n’a pas effectué d’EFVP parce que le gouvernement du Canada ne recueillait pas de renseignements personnels et qu’aucun nouveau compte du gouvernement du Canada n’a été créé sur les médias sociaux pour les besoins de l’initiative MaDémocratie. En rétrospective, le BCP a déclaré qu’il est regrettable qu’aucune EFVP n’ait été effectuée dans le cadre de cette initiative, puisqu’elle aurait pu révéler des façons d’améliorer certains éléments conceptuels et qu’il s’agit d’une pratique exemplaire. À l’avenir, le BCP entend mener des EFVP au sujet de la conception d’un nouveau projet et de ses répercussions sur la protection des renseignements personnels.
    9. Le BCP a expliqué que le site MaDemocratie.ca était hébergé sur le site Web d’un tiers (celui de l’Entrepreneur) et non sur le site Web du gouvernement du Canada, ce qui explique en partie pourquoi aucun contrat distinct n’a été conclu pour l’utilisation de l’analytique.
    10. Le BCP a réitéré que les données démographiques avaient été recueillies conformément aux Normes pour la recherche sur l’opinion publique effectuée par le gouvernement du Canada - Sondages en ligne. Le BCP continuera de choisir judicieusement les données démographiques qu’il recueillera lors des futures initiatives de cette nature.

Analyse

  1. Pour rendre notre décision, nous avons pris en considération les articles 3 et 8 de la Loi.
  2. L’article 3 de la Loi définit les renseignements personnels comme les renseignements, quels que soient leur forme et leur support, concernant un individu identifiable, notamment : les renseignements relatifs à sa race, à son origine nationale ou ethnique, à sa couleur, à sa religion, à son âge, ou à sa situation de famille, à son éducation, à son dossier médical, à son casier judiciaire, à ses antécédents professionnels ou à des opérations financières auxquelles il a participé, à tout numéro qui lui est propre, à ses empreintes digitales ou à son groupe sanguin, à ses opinions personnelles, etc.
  3. Les renseignements seront des renseignements concernant un individu identifiable lorsqu’il y a « de fortes possibilités que l’individu puisse être identifié par l’utilisation de ces renseignements, seuls ou en combinaison avec des renseignements d’autres sources »Note de bas de page 11.
  4. En vertu de l’article 8 de la Loi, les renseignements personnels qui relèvent d’une institution fédérale ne peuvent être communiqués, à défaut du consentement de l’individu qu’ils concernent, que dans les cas prévus au paragraphe 2 de cet article.
  5. Nous expliquons en détail dans les paragraphes qui suivent notre analyse et nos conclusions définitives au regard de l’enquête menée au sujet de cette plainte.
  6. Notre enquête a confirmé les faits suivants :
    1. Le site Web MaDemocratie.ca permettait le partage de renseignements avec Facebook lorsqu’une personne visitait le site à la suite d’une requête GET (cette requête servait à charger les composants JavaScript de Facebook), notamment l’adresse IP, les caractéristiques du navigateur et l’adresse URL du site MaDémocratie. Ces informations étaient transmises à la page d’accueil du site Web, avant même que le participant au sondage puisse choisir d’utiliser les boutons de partage sur les réseaux sociaux.
    2. Lorsqu’un participant répondait au sondage, ses résultats s’affichaient grâce à une adresse Web unique (l’adresse URL de la page des résultats). Cette adresse URL était composée d’une chaîne aléatoire de caractères attribuée à l’ensemble unique des résultats agrégés du participant. Notre analyse technique a confirmé que lorsqu’une procédure de partage sur les réseaux sociaux était lancée, l’adresse URL unique de la page des résultats était partagée avec Facebook au moyen d’un en tête referer, et ce, même si le participant changeait d’avis en cours de route et décidait de ne pas partager ses résultats sur les réseaux sociaux. En d’autres mots, lorsqu’un utilisateur cliquait sur le bouton de partage de Facebook, le site Web affichait une fenêtre pour que l’utilisateur puisse s’identifier. C’est à cette étape, soit avant que l’utilisateur ait ouvert une session sur Facebook, que son adresse IP, les caractéristiques de son navigateur et l’adresse URL unique de la page de résultats étaient partagées avec Facebook.
    3. Lorsqu’un participant menait à terme la procédure de partage sur les réseaux sociaux avec Facebook, l’adresse URL unique de la page des résultats ainsi que le type d’électeurs correspondant le plus au participant selon les réponses qu’il avait fournies (le profil type) étaient également communiqués à Facebook au moyen d’un en tête referer et de témoins.
    4. Dans le cas des utilisateurs dont la session sur Facebook était ouverte pendant qu’ils répondaient au sondage, nous avons constaté que l’information était également communiquée à Facebook au moyen de témoins. Plus particulièrement, l’on retrouvait dans le navigateur des utilisateurs des témoins de Facebook qui contenaient une panoplie de renseignements à leur sujet, notamment une valeur qui permettait de remonter précisément à l’utilisateur Facebook (c. à d. l’ID Facebook). Nous avons cependant constaté que l’Entrepreneur avait apporté une modification personnalisée au site Web pendant l’enquête, à la suite de laquelle l’information transmise par témoins concernant les utilisateurs ayant ouvert une session simultanée sur Facebook (et, par le fait même, l’ID Facebook) n’était plus transmise tant que l’utilisateur ne décidait pas de partager ses résultats.
    5. Le site Web permettait le partage d’informations avec Google Analytics lorsqu’une personne visitait le site par suite d’une requête GET, notamment l’adresse IP, les caractéristiques du navigateur et l’adresse URL du site MaDémocratie.
  7. D’après notre enquête, rien n’indique que le BCP utilisait les adresses IP ou d’autres éléments de données susmentionnés pour identifier les participants au sondage ou pour connaître les réponses individuelles aux questions du sondage. De même, il n’y a aucun élément de preuve montrant que les réponses individuelles aux questions du sondage du site MaDémocratie étaient communiquées à des tiers.
  8. En dépit des constatations susmentionnées, il n’a pas été démontré que le site MaDémocratie a été conçu dans un souci de protection de la vie privée.
  9. Selon le BCP, le site Web a été conçu à la manière d’une application Web à une seule page, et le module Facebook Connect était initialisé sur la première page visitée, et non à de multiples reprises à mesure que l’utilisateur passait d’un point à l’autre dans l’application. Le BCP a soutenu que la conception initiale du site Web rattachée au chargement et à l’activation de la bibliothèque JavaScript de Facebook sur la page d’accueil est commune à tous les sites Web. Il a également laissé entendre que cette conception améliorait la convivialité, compte tenu du temps nécessaire au chargement de la bibliothèque Facebook.
  10. L’approche conceptuelle choisie permettait le chargement de toutes les composantes nécessaires sur une seule page, mais elle n’empêchait pas le chargement de composantes, par exemple Facebook Connect, pendant l’interaction d’un utilisateur avec le site Web. À notre avis, le BCP aurait pu choisir une autre approche de conception qui aurait permis le chargement des composantes de Facebook seulement lorsque c’était nécessaire, c’est à dire lorsqu’un utilisateur décidait de partager sur les réseaux sociaux le sondage auquel il venait de participer, en optant pour un chargement dynamique des composantes ou l’utilisation de pages Web statiques.
  11. Afin d’éviter la communication de l’adresse URL unique de la page des résultats au moment où l’utilisateur lançait la procédure de partage sur les réseaux sociaux, le BCP aurait pu créer une page de renvoi différente pour cette activité de partage. Ainsi, si le BCP tenait absolument à la fonctionnalité rattachée à la création d’une page de résultats unique pour chaque participant au sondage, il aurait pu concevoir le site de manière à diriger les participants vers une page de résultats générique (p. ex. une page de résultats pour tous les participants correspondant à un certain profil type) avant de lancer la procédure de partage.
  12. Une autre option sur le plan de la conception aurait pu être de faire en sorte que les utilisateurs visitent une page d’accueil statique ne contenant pas les éléments de tiers. Cette page d’accueil aurait pu comporter un avertissement informant l’utilisateur de la participation de tout tiers et lui demandant son consentement avant d’envoyer toute donnée à celui ci.
  13. À notre avis, ce genre de conception n’aurait pas eu pour effet de diminuer la convivialité dans ce cas. Notre analyse technique a révélé que la bibliothèque Facebook peut se charger dans un délai approximatif de 300 à 400 millisecondes; soit en un clin d’œil.
  14. Nous souhaitons également aborder la déclaration du BCP selon laquelle Facebook utilise des contraintes différentes de celles de Twitter puisque Facebook exige l’utilisation d’une bibliothèque JavaScript, tandis que Twitter permet le partage par le biais d’une adresse URL. Le BCP a fait valoir que la fonctionnalité de partage sur Facebook au moyen d’adresse URL avait été éliminée; cela dit, nous notons que Facebook permet toujours le partage par l’entremise d’une adresse URL à en croire sa documentation à l’intention des concepteursNote de bas de page 12. Le partage au moyen d’une adresse URL fonctionne sans JavaScript, ce qui présente en outre l’avantage d’un chargement plus rapide et d’une diminution des données transférées (en éliminant la dépendance envers les bibliothèques JavaScript nécessaires)Note de bas de page 13.
  15. Cela nous amène à nos conclusions relatives à l’information précise qui a été partagée. Bien que la Loi comporte des exemples clairs de ce qui constitue un renseignement personnel, des renseignements qui ne semblent pas d’emblée porter sur une personne en particulier peuvent, lorsqu’ils sont conjugués à d’autres renseignements et dans certains contextes, constituer des renseignements personnels et brosser un portrait relativement juste des activités, des points de vue, des opinions et du mode de vie d’une personne.
  16. Une adresse IP peut, lorsqu’elle est combinée à d’autres renseignements, être utilisée pour dresser des profils complets associés à une personne identifiable et être révélatrice de ses activités en ligne, comme notre recherche l’a démontréNote de bas de page 14. Ce fait a non seulement été reconnu dans une résolution prise lors de la Conférence internationale des commissaires à la protection des données et de la vie privée sur les données collectées sur le Web et la vie privéeNote de bas de page 15, mais également par le gouvernement du Canada dans une norme à cet effetNote de bas de page 16.
  17. L’ajout des caractéristiques du navigateur peut améliorer l’exactitude du couplage des données puisque l’ensemble des caractéristiques peut être relativement uniqueNote de bas de page 17. Une analyse des caractéristiques communes du navigateur répertoriées dans des journaux d’activités Web a révélé qu’une seule personne sur 1 500 partageait les mêmes caractéristiquesNote de bas de page 18. Or, la combinaison de l’adresse IP et des caractéristiques du navigateur peut s’avérer très efficace pour jumeler différentes activités Web. Un rapport de recherche récent a révélé que ces données combinées pourraient être utilisées pour reconnaître, dans une proportion allant de 75 à 90 %, les visiteurs qui fréquentent un site plusieurs foisNote de bas de page 19.
  18. Comme nous l’avons souligné dans notre rapport préliminaire, c’est le BCP en l’occurrence, et non les tiers, qui contrôle la communication en ligne de renseignements personnels. Bien que des sites Web de tiers, par exemple Facebook, reçoivent l’information, ce sont les services de l’auteur du site qui contrôlent les éléments contenus dans ses pages Web et, par conséquent, les renseignements qui sont recueillis auprès des utilisateurs, les fins auxquelles ils servent, et la manière dont ils sont communiquésNote de bas de page 20.
  19. Nous avons examiné les observations du BCP voulant qu’il n’y avait aucun moyen pour l’entrepreneur de faire un lien entre les centaines de milliers d’adresses IP et les utilisateurs à qui elles appartiennent et qu’il était par conséquent difficile d’établir avec certitude si l’information ayant été partagée de cette façon avait entraîné de fortes possibilités qu’une personne puisse être identifiée. Le BCP a également fait valoir que le gouvernement du Canada n’a jamais utilisé de « mesures de suivi de connexion » relativement aux réponses du plaignant ou de l’un ou l’autre des 360 000 participants.
  20. Il est vrai que notre enquête n’a pas permis d’établir avec certitude que le BCP pouvait utiliser ou a utilisé les adresses IP ou d’autres éléments de données susmentionnés pour identifier des personnes parmi les participants au sondage sur le site MaDémocratie. Nous n’avons pas non plus été en mesure de démontrer que le BCP utilisait des mesures de suivi de connexion pour identifier des participants ou pour révéler leurs réponses au sondage. Nous sommes malgré tout d’avis que le BCP doit être conscient de la possibilité que les tiers pour lesquels il facilite la transmission de l’information le fassent.
  21. Pour éviter toute ambiguïté, nous n’avons rien trouvé qui démontre que Facebook utilisait des mesures pour identifier les participants au sondage à l’aide des renseignements reçus du site Web, ni n’avons consulté Facebook à ce sujet. Facebook n’étant pas le sujet de notre enquête, nous n’avons pas examiné ses pratiques.
  22. Cela dit, nous avons constaté que la conception du site Web était propice à la transmission des adresses IP et des autres éléments de données mentionnés dans ce rapport qui, dans certains cas, auraient sans l’ombre d’un doute constitué des renseignements personnels (dans le cas, notamment, d’utilisateurs dont la session sur Facebook était ouverte pendant leur visite sur le site Web, puisque cette information aurait pu permettre de remonter à un utilisateur et, par le fait même, de l’identifier à l’aide de son ID Facebook). Dans d’autres cas (c. à d. dans le cas d’utilisateurs dont la session sur Facebook n’était pas ouverte lors de leur visite sur le site ou de visiteurs n’ayant pas de compte Facebook), nous estimons qu’il existait un risque, si minime soit-il, que des personnes puissent être identifiées grâce à ces renseignements.
  23. À cet égard, nous sommes d’avis que les avancées dans les domaines de la technologie et de l’analytique des données ont engendré des risques que l’information recueillie auprès des personnes au fil du temps puisse être utilisée pour faire le lien entre elles et leurs activités en ligne. Or, comme nous l’avons mentionné précédemment, le gouvernement considère comme des renseignements personnels les adresses IP et d’autres renseignements relatifs au comportement de navigation en ligne, comme en témoignent ses politiques.
  24. Par conséquent, nous nous attendons du BCP, dans un souci d’adhésion aux pratiques exemplaires et de respect de la Loi lorsqu’il y a de fortes possibilités que des personnes puissent être identifiées à partir de leurs adresses IP et d’autres renseignements de navigation en ligne, qu’il assure la protection de ces renseignements, comme l’exige la Loi, notamment en veillant à obtenir le consentement pour la communication de ces renseignements, à moins qu’une exception au consentement prévue par la Loi s’applique. À notre avis, aucune des exceptions au consentement prévues au paragraphe 8(2) de la Loi ne s’appliquait dans les circonstances.
  25. Nous tenons à revenir sur l’observation du BCP portant sur les conditions d’utilisation de Facebook et les options mises à la disposition des utilisateurs ne souhaitant pas partager leurs activités en ligne et leurs renseignements personnels avec Facebook. Le BCP a fait valoir qu’en vertu de ces conditions d’utilisation, les utilisateurs acceptent que Facebook recueille leurs données de navigation et ils disposent de diverses options s’ils ne veulent pas qu’elles soient partagées, par exemple utiliser un mode de navigation privée, consulter des sites Web à partir d’un ordinateur (et d’une adresse IP) qu’ils n’utilisent pas pour se connecter à Facebook, supprimer les données de leur navigateur avant de se connecter à Facebook, ou encore supprimer leur compte.
  26. Sans nous prononcer sur le caractère adéquat des conditions d’utilisation de Facebook, nous estimons que les conditions d’utilisation entre Facebook et ses utilisateurs n’exemptent pas le BCP de ses obligations en matière de protection de la vie privée dans les circonstances. Plus précisément, nous notons que le site Web était une initiative gouvernementale ayant pour but de demander l’avis des citoyens sous le couvert de l’anonymat, un thème central de l’initiative. Dans ce contexte, nous ne sommes pas convaincus que les utilisateurs du site se seraient nécessairement attendus à ce que le site comporte des éléments de tiers, comme ce fut le cas.
  27. Nous reconnaissons que le BCP a pris des mesures pour modifier sa politique de confidentialité afin d’expliquer plus clairement la présence d’éléments de tiers. Bien qu’il s’agisse d’un pas dans la bonne direction, nous ne sommes pas convaincus que la politique, même après cette modification, aurait été suffisante pour obtenir un consentement éclairé de la part des personnes quant à la communication de l’information en question. Le moment où s’effectuait cette communication nous semble particulièrement préoccupant, puisqu’elle se déroulait lorsque la personne arrivait sur la page d’accueil du site, avant même qu’elle ait eu la chance de se renseigner sur les pratiques du site Web et de décider en toute connaissance de cause d’interagir avec celui ci.
  28. Une personne doit disposer de toute l’information nécessaire au bon moment et d’une façon qui lui permet d’exercer le contrôle qu’elle souhaite sur ses renseignements personnels. Ceci est particulièrement important lorsque des promesses, des garanties ou des affirmations sont formulées quant à l’anonymat. Nous sommes d’avis qu’une personne est en droit d’avoir des attentes plus élevées envers le gouvernement et que la protection de la vie privée doit arriver en tête de liste des facteurs à prendre en considération lors de l’élaboration initiale et de l’administration de ce genre d’initiative afin que les renseignements personnels des personnes susceptibles d’y participer soient protégés.
  29. Nous constatons également dans le cas présent que le BCP aurait pu choisir une autre conception qui aurait évité la communication prématurée d’information en restreignant le chargement des éléments de tiers aux seuls cas où ils étaient nécessaires (c. à d. lorsqu’un utilisateur lançait la procédure de partage sur les réseaux sociaux) ou par le partage au moyen des adresses URL. Comme nous l’avons mentionné plus tôt, afin d’éviter la communication de l’adresse URL unique de la page des résultats lors du lancement de la procédure de partage sur les réseaux sociaux, le BCP aurait pu tout simplement créer une page de renvoi différente pour l’activité de partage. Ainsi, si le BCP tenait absolument à la fonctionnalité rattachée à la création d’une page de résultats unique pour chaque participant au sondage, il aurait pu concevoir le site de manière à diriger les participants vers une page de résultats générique (p. ex. une page pour tous les participants correspondant à un certain profil type de résultats) avant d’enclencher la procédure de partage.

Constatations

  1. Le Commissariat reconnaît que le gouvernement du Canada doit suivre le rythme des technologies modernes et des outils de communication offerts en ligne et les adopter. L’Internet offre de nombreuses méthodes novatrices de renforcer, de transformer et d’améliorer la prestation des services et l’exécution des programmes gouvernementaux. Les médias sociaux représentent l’un de ces outils, puisqu’ils offrent une plus grande connectivité et la possibilité de se servir des interactions sociales pour entrer en contact avec les Canadiens.
  2. À l’instar du BCP, nous croyons que l’innovation est, en raison de sa nature, une question d’apprentissage et d’amélioration continue qui ne doit pas être jugulée par la protection de la vie privée. Cependant, en n’accordant pas l’attention qu’il se doit à la protection de la vie privée, nous courrons le risque de perdre la confiance des Canadiens, particulièrement lorsque nous promettons de préserver leur anonymat. L’initiative MaDémocratie était une plateforme novatrice dont le but consistait à recueillir les opinions et les points de vue des Canadiens. Toutefois, le BCP aurait dû redoubler de prudence dans son évaluation de l’initiative afin de recenser les risques d’atteinte à la vie privée que posait le site et de les atténuer avant son lancement.
  3. Notre enquête a révélé que la conception du site Web MaDémocratie avait nécessité l’apport d’un tiers, ce qui a occasionné la communication d’adresses IP et d’autres caractéristiques de navigation à Facebook dès le chargement de la page d’accueil, alors qu’il était possible pour les participants d’effectuer un partage sur les réseaux sociaux seulement après avoir répondu au sondage. Nous sommes arrivés à la conclusion que cette information aurait pu être associée à certaines personnes, ce qui aurait constitué une communication de leurs renseignements personnels. Or, on ne nous a pas démontré que le BCP avait obtenu le consentement des participants afin de divulguer de tels renseignements.
  4. Au vu de ces constatations, nous concluons que le BCP n’a pas satisfait aux exigences énoncées à l’article 8 de la Loi et considérons que cette plainte est fondée.
  5. Il est vrai que le BCP avait apporté des modifications pour remédier à ce problème, et il est également vrai que notre enquête n’a rien révélé sur une possible utilisation, par le BCP, de mesures pour identifier des personnes ayant visité le site Web ou de mesures pour associer des réponses aux questions du sondage à une personne. Il n’empêche que nous demeurons préoccupés par le fait que les adresses IP et d’autres renseignements de navigation sur le Web étaient partagés avec Facebook, conséquence malencontreuse de la conception du site Web, ce qui a fait courir aux utilisateurs du site un risque plus grand que leurs activités sur celui ci n’aient pas été véritablement anonymes. Selon nous, une conception différente du site aurait permis d’atténuer le risque d’atteinte à la vie privée exposé dans le présent rapport.

Recommandations

  1. En guise de conclusion à notre enquête, nous saisissons cette occasion pour réitérer les recommandations que nous avions formulées au BCP dans notre rapport préliminaire. Nous espérons que ces facteurs seront utiles au BCP ainsi qu’au gouvernement du Canada dans son ensemble pour ce qui est de promouvoir une saine gouvernance en matière de protection de la vie privée lors de futures initiatives :
    1. Veiller à ce que les évaluations nécessaires relatives à la protection de la vie privée soient effectuées pour déterminer si une activité ou un programme nouveau ou modifié aura une incidence sur celle-ci et si cela justifierait la réalisation d’une EFVP, conformément à la Directive sur l’évaluation des facteurs relatifs à la vie privée du SCT.
    2. Prendre des mesures pour s’assurer que l’utilisation de composantes de tiers n’expose pas les utilisateurs à des risques relatifs à la vie privée (sauf si une exception au consentement appropriée s’applique) et que toute communication de renseignements personnels soit effectuée avec leur consentement. Par exemple, seulement une fois que l’utilisateur a effectué délibérément un partage sur les réseaux sociaux.
    3. S’assurer, avant ou au moment de la collecte, que les personnes sont informées de toutes les fins de l’utilisation ou de la communication de leurs renseignements personnels, et que cette information est présentée aux principaux points de décision.
    4. Indiquer, dans la politique de confidentialité d’un site Web, les pratiques qui sont employées pour gérer la protection de la vie privée, notamment la collecte, l’utilisation et la communication des renseignements personnels.
    5. Voir à ce que les exigences qui régissent l’utilisation du Web analytique soient respectées, conformément à la Norme sur la protection de la vie privée et le Web analytique du SCT, dont l’objet est de faciliter le recours à l’analyse Web en appliquant des pratiques saines de protection de la vie privée qui préservent le caractère confidentiel des renseignements personnels des visiteurs sur les sites Web du gouvernement du Canada.
  2. Tout comme le BCP, nous sommes d’avis que le gouvernement se doit de rester en phase avec un milieu en constante évolution en offrant des services, en fournissant de l’information et en communiquant avec les Canadiens en ligne. Nous sommes heureux de constater que le BCP a reconnu que les problèmes que nous avions soulevés constituent un rappel utile de la nécessité de comprendre les outils en ligne de manière à ce que la protection de la vie privée des personnes demeure une priorité importante. Nous notons aussi avec satisfaction qu’à compter de maintenant, le BCP s’est engagé à réaliser des EFVP portant sur la conception des nouveaux projets et leurs conséquences sur la protection de la vie privée.

Annexe

Définitions des profils-types sur le site MaDemocratie.ca :

1. Défenseurs — ma démocratie est « décidée et responsable »

Les défenseurs tendent à préférer les gouvernements décidés capables d’agir rapidement et d’offrir une structure de responsabilités claire aux électeurs. Bien qu’ils s’attendent à ce que les députés représentent fidèlement les électeurs de leurs comtés, ils croient également, plus que les autres groupes, que la fidélité à un parti devrait être respectée. Ils ont tendance à croire que les grands partis gouverneront et représenteront les Canadiens de manière plus efficace et efficiente. Les défenseurs sont plus susceptibles de croire que les candidats de tous les milieux ont des chances égales d’être élus et moins susceptibles de croire que des mesures spéciales sont nécessaires pour accroître la diversité chez les députés. Les défenseurs tendent à croire fortement que les bulletins de vote devraient être faciles à utiliser et à comprendre pour les électeurs. Ils sont moins susceptibles de voir le taux de participation au scrutin comme un sujet de préoccupation et accordent une plus grande importance à la sécurité du scrutin que d’autres groupes. Plus que d’autres profils types, ils considèrent qu’il est important que les gens soient libres de choisir de voter plutôt que d’y être contraints. Les défenseurs sont les plus réticents à abandonner les bulletins de vote en format papier au profit d’un bulletin de vote électronique.

2. Critiques — ma démocratie est « réceptive et transparente »

Les critiques croient en général que la démocratie devrait avant tout être réceptive aux citoyens. Ils ont tendance à être plus sceptiques envers le gouvernement et, par le fait même, à être ouverts aux idées susceptibles de renforcer l’imputabilité des gouvernements et de donner plus de pouvoir aux électeurs. Pour la plupart, ils préfèrent des gouvernements décisifs et ont moins tendance à préconiser les compromis avec les autres partis. Ils attendent habituellement des partis qu’ils assument leurs décisions et voudraient que les électeurs disposent de plus de moyens d’influencer les politiques. À cette fin, les critiques dans leur ensemble voient d’un bon œil les initiatives visant à mettre à la disposition des électeurs des options ou des moyens additionnels d’exprimer leurs choix sur le bulletin de vote lors d’une élection. Les critiques sont moins susceptibles de croire que des mesures spéciales s’imposent pour accroître la diversité au Parlement et plus enclins à voir le scrutin comme un choix personnel et non un devoir du citoyen. Ils sont divisés sur la question de savoir si les Canadiens devraient se voir offrir l’option de voter en ligne.

3. Pragmatiques — ma démocratie est « équilibrée et tournée vers l’avenir »

Dans l’ensemble, les pragmatiques veulent que les gouvernements trouvent un juste milieu entre l’action décisive et le compromis. Ils tendent à privilégier une chaîne de responsabilité claire envers les électeurs, mais pas au détriment de la collaboration entre les partis. Les pragmatiques sont divisés sur la question des mesures spéciales nécessaires pour accroître la diversité de la représentation au Parlement. Ils préfèrent pour la plupart que les bulletins de vote soient faciles à utiliser et à comprendre, voient dans l’ensemble le scrutin comme un devoir démocratique plutôt que comme un choix personnel et sont légèrement plus enclins à appuyer le vote obligatoire. Ils figurent parmi les profils types les moins favorables au scrutin en ligne.

4. Coopérateurs — ma démocratie est « accessible et axée sur la collaboration »

Dans l’ensemble, les coopérateurs sont plus ouverts à la modernisation de notre démocratie. Ils tendent à encourager une plus grande coopération sur la scène politique et dans le fonctionnement du Parlement. Ils préfèrent pour la plupart des gouvernements qui privilégient le consensus et cherchent des compromis avec d’autres partis. Les coopérateurs sont, dans l’ensemble, le profil type qui souhaite le plus que des mesures précises soient prises pour accroître la diversité de la représentation au Parlement. Ils ont plus tendance à vouloir que les députés soient davantage à l’image de la population diversifiée du Canada. Ils tendent à appuyer fortement les mesures visant à accroître le nombre de femmes et de candidats appartenant aux minorités visibles élus au Parlement. Les coopérateurs sont également enclins à encourager une plus grande diversité d’idées et de points de vue politiques au Parlement. En règle générale, les coopérateurs croient que les bulletins de vote devraient être faciles à utiliser et à comprendre pour les électeurs et que l’accessibilité est plus importante pour les électeurs que le fait de disposer de nouvelles manières d’exprimer leurs préférences sur le bulletin de vote. Les coopérateurs ont tendance à se préoccuper du taux de participation au scrutin. Bien qu’ils soient ouverts au scrutin en ligne comme moyen d’accroître le taux de participation, ils ne sont que passablement favorables à l’idée du vote obligatoire.

5. Innovateurs — ma démocratie est « diversifiée et représentative »

Les innovateurs figurent généralement parmi ceux qui sont les plus ouverts aux nouvelles idées visant à améliorer la manière dont le Parlement fonctionne. Les innovateurs tendent à préconiser la coopération au détriment de la compétition lorsqu’il s’agit de politique et à préférer que les gouvernements cherchent les compromis avec les autres partis. Ils appuient généralement l’idée que les partis travaillent ensemble et partagent la responsabilité des décisions. Les innovateurs se montrent pour la plupart intéressés aux nouvelles manières d’accroître la diversité au Parlement. Ils ont tendance à vouloir que les députés soient plus à l’image de la population diversifiée du Canada, ce qui suppose d’élire plus de femmes et de candidats appartenant à des minorités visibles. De tous les profils types, ils sont les plus favorables à une plus grande diversité dans les idées et les opinions politiques exprimées et représentées au Parlement. Ils ont également tendance à croire que les électeurs devraient disposer de plus d’options ou de moyens pour exprimer leurs choix sur le bulletin de vote pendant une élection. Les innovateurs se montrent généralement très préoccupés par le taux de participation au scrutin au Canada. Ils sont ceux qui se montrent le plus favorables à la possibilité de voter en ligne comme moyen d’augmenter le taux de participation aux élections. Les innovateurs sont les plus susceptibles d’appuyer l’idée du vote obligatoire puisqu’ils ont tendance à considérer le vote comme une obligation démocratique.

Date de modification :