La protection de la vie privée et le Web : comment l’enquête du CPVP sur Facebook a créé des remous à l’échelle mondiale

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires dans le cadre d’une séance KnowledgeNet de l’IAPP intitulée

Le 7 octobre 2009
Paris, France

Allocution prononcée par Elizabeth Denham
Commissaire adjointe à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Mesdames et Messieurs, bonjour et merci de cet accueil chaleureux.

Je suis très heureuse d’être ici cet après‑midi pour discuter avec mes collègues du domaine de la protection de la vie privée et, surtout, pour revivre avec vous un événement déterminant pour le Commissariat à la protection de la vie privée du Canada.

On m’a demandé de vous raconter l’enquête du Commissariat sur les politiques et pratiques de confidentialité de Facebook, le géant américain du réseautage social au rayonnement mondial.

J’ai toujours beaucoup de plaisir à raconter cette histoire, parce qu’elle représente une victoire pour la protection de la vie privée.

J’ajouterais qu’il y a une leçon à tirer de notre expérience : même dans le cadre des forums les plus publics — et rien n’est plus public qu’Internet — la protection de la vie privée compte.

Notre objectif, en tant que gardien de la protection de la vie privée du Canada, n’a jamais été d’empêcher le réseautage social, un phénomène auquel prennent part des centaines de millions de personnes au Canada et à l’étranger.

Notre but était simplement de souligner que, même lorsque nous décidons de partager une partie de notre vie avec d’autres personnes en ligne, nous n’abandonnons pas nos droits d’exercer un contrôle sur nos renseignements personnels.

Toutefois, nous ne pouvons exercer de contrôle sur nos renseignements personnels que dans la mesure où nous avons la possibilité, en tant qu’utilisateurs, de fournir un consentement explicite à la collecte, à l’utilisation et à la communication de nos renseignements personnels. Et pour être explicite, un consentement doit être véritablement éclairé par des renseignements accessibles et compréhensibles.

Les médias sociaux — qu’il s’agisse de Facebook, MySpace, LinkedIn ou le GCPedia du gouvernement fédéral — doivent faire en sorte que les utilisateurs puissent exercer un contrôle sur leurs renseignements personnels, tout comme les utilisateurs ont le devoir de lire, de comprendre et d’appliquer les paramètres et les outils disponibles pour assurer la protection de leur propre vie privée.

Vue d’ensemble de l’affaire Facebook

L’affaire Facebook a débuté en mai 2008, lorsque des représentants de la CIPPIC, la Clinique d’intérêt public et de politique d’Internet du Canada à l’Université d’Ottawa, nous ont présenté une plainte — un document de 35 pages — concernant 24 aspects des pratiques et des politiques de confidentialité de Facebook.

En réponse, nous avons lancé ce qui s’est avéré être la toute première enquête approfondie relative à ce géant du réseautage social.

La portée et la complexité de l’enquête représentaient du jamais vu au Commissariat. Nous avons établi une équipe de deux enquêteurs qui se sont consacrés pratiquement à plein temps au dossier. Ils étaient assistés d’un avocat, au besoin, et ils ont pu avoir recours aux groupes des politiques, de la recherche et des communications du Commissariat. Nous avons également engagé une entreprise de génie logiciel pour examiner certains aspects très techniques de la plainte liés à Facebook Mobile.

Je suis heureuse de dire que Facebook a collaboré avec nous tout au long de nos démarches, de sorte que de nombreux enjeux ont été résolus en cours d’enquête.

Néanmoins, nous n’avons pas pu parvenir à un accord à propos de quelques‑unes de nos préoccupations.

À la mi-juillet de cette année, nous avons diffusé publiquement nos conclusions d’enquête, attirant l’attention des médias, des experts de la protection de la vie privée et des observateurs d’Internet et ce, partout dans le monde.

À la suite du dépôt de notre rapport, Facebook disposait de 30 jours pour répondre à nos recommandations — une période marquée par des négociations et de longues discussions entre le Commissariat et l’entreprise.

Puis, à la fin du mois d’août, nous avons été en mesure d’annoncer que Facebook avait accepté d’apporter d’importantes modifications techniques et en matière de politiques, de façon à répondre à nos préoccupations et à améliorer la protection de la vie privée des utilisateurs.

Qui plus est, Facebook s’est engagée à ce que les mesures de sécurité renforcées soient mises en œuvre dans l’ensemble de ses activités à l’échelle mondiale — les 300 millions d’utilisateurs dans le monde pourront donc en profiter.

Tout le processus a été minutieusement examiné et commenté dans le monde entier. Une analyse commandée par le Commissariat a permis d’établir qu’entre le 14 juillet et le 9 septembre, plus de 3 000 articles imprimés, récits radiodiffusés, bulletins de nouvelles en ligne, blogues et messages sur Twitter avaient informé le monde de l’affaire.

Les médias traditionnels ont à eux seuls atteint quelque 77 millions de personnes.

Selon l’analyse, la couverture, traditionnelle et en ligne, a été partout positive. En fait, à notre surprise, les médias américains ont marqué peu d’opposition, voire aucune, à ce que nous avions à dire.

Notre enquête a été largement saluée comme une victoire pour les « petits » — qu’il s’agisse du Commissariat, du Canada ou des étudiants universitaires qui ont déposé la plainte.

En fait, c’était une victoire pour la protection de la vie privée des utilisateurs de sites de réseautage social — non seulement au Canada, mais partout dans le monde.

Contexte

Tout de même, l’enquête n’a pas été sans controverse. Certains critiques ont remis en question la logique derrière la défense de la protection de la vie privée dans un forum où les gens affichent des photos et des commentaires personnels à l’intention de leurs amis, des amis de leurs amis et, dans bien des cas, de parfaits étrangers.

Mais alors que Facebook compte 12 millions d’utilisateurs au Canada, nous étions d’avis que notre enquête nous éclairerait sur les enjeux en matière de protection de la vie privée soulevés par les médias sociaux.

L’un des principaux objectifs était de préciser la distinction entre ce que les gens décident de faire de leurs renseignements personnels, et ce que le site de réseautage social en fait.

Les utilisateurs de Facebook choisissent les renseignements qui sont publiés à leur sujet sur le site. Les renseignements en question ne relèvent pas de la Loi sur la protection des renseignements personnels et les documents électroniques (ou LPRPDE), c’est‑à‑dire la loi sur la protection des renseignements personnels applicable au secteur privé.

Néanmoins, lorsque Facebook utilise ces renseignements à des fins commerciales, la loi s’applique. Du point de vue du Commissariat, deux principes clés de la LPRPDE entrent alors en jeu :

Tout d’abord, l’entité commerciale est tenue d’obtenir des utilisateurs un consentement explicite et éclairé en ce qui concerne la collecte, l’utilisation et la communication de leurs renseignements personnels et, ensuite, elle devient responsable de la protection des données en sa possession.

Je tiens à préciser que la LPRPDE, qui est fondée sur des principes plutôt que sur des exigences normatives, a manifestement la latitude nécessaire pour s’appliquer à des technologies et à un modèle d’entreprise qui n’existaient pas à l’époque où la loi a été rédigée.

La plainte

Une partie du nouveau modèle d’entreprise concerne la relation entre Facebook et les développeurs d’environ un million de jeux, questionnaires et autres applications en opération sur la plateforme.

Ces applications ont constitué un élément clé d’une enquête qui, en bout de ligne, comprenait 12 parties.

Selon l’allégation, les utilisateurs qui téléchargeaient ces petits programmes donnaient aux développeurs inconnus, répartis dans 180 pays à travers le monde, un accès pratiquement illimité aux renseignements de leur profil — ainsi qu’à ceux de leurs amis sur Facebook.

Il y avait aussi des préoccupations quant à la collecte de renseignements personnels, tels que la date de naissance, qu’on demandait aux nouveaux utilisateurs lors de leur inscription.

Les plaignants ont également allégué que Facebook ne faisait pas d’efforts raisonnables pour aviser les utilisateurs que leurs renseignements personnels seraient utilisés à des fins publicitaires.

D’autres préoccupations concernaient ce qui se passe quand les gens décèdent ou souhaitent quitter Facebook.

Plus particulièrement, on nous a demandé d’examiner la pratique de « commémoration » des comptes des utilisateurs décédés; la distinction entre la désactivation et la suppression de comptes; la conservation des renseignements personnels par Facebook.

Je tiens aussi à mentionner un enjeu majeur lié aux personnes qui ne sont pas sur Facebook. On peut télécharger leurs renseignements personnels sur le site de plusieurs façons, notamment par l’étiquetage de photos et les invitations de la part d’utilisateurs à se joindre au site.

Nos constatations — Non fondées / Fondées et résolues

En fin de compte, j’ai écarté quatre aspects de la plainte — ce qui, je pense, témoigne du souci de Facebook pour la vie privée des utilisateurs.

Par exemple, je n’ai trouvé aucune preuve à l’effet que Facebook trompait délibérément les utilisateurs au sujet des fins pour lesquelles elle recueille les données.

Dans quatre autres domaines, j’ai convenu que les plaintes étaient fondées, mais ces questions ont été résolues, à ma satisfaction, au cours de l’enquête.

Par exemple, il a été allégué que Facebook ne faisait pas d’efforts raisonnables pour informer les utilisateurs que leurs renseignements personnels étaient utilisés à des fins publicitaires. Au moment du dépôt de notre rapport, Facebook avait accepté en principe de décrire plus clairement ses activités publicitaires dans ses renseignements à l’intention des utilisateurs, et d’aider ces derniers à trouver cette information plus facilement.

Facebook a aussi accepté d’adopter une approche globale quant à l’information donnée aux utilisateurs sur la protection de la vie privée et les mesures de sécurité à cet effet — soit les paramètres de confidentialité. En fait, les politiques de confidentialité sur les sites de réseautage social sont parfois problématiques, parce qu’un site est souvent moins attrayant aux yeux des utilisateurs s’ils doivent passer en revue une politique de confidentialité touffue. C’est une question que nous avons dû prendre en compte dans la formulation de nos recommandations à l’entreprise.

Constatations — Fondées

J’ai maintenu que les quatre autres aspects de la plainte étaient fondés, parce que je trouvais que Facebook n’avait pas proposé ou mis en œuvre des correctifs satisfaisants par rapport à mes préoccupations.

Le plus important de ces aspects concernait les applications de tiers dont j’ai parlé plus tôt.

Dans un modèle d’entreprise traditionnel, une société peut communiquer à un tiers des renseignements personnels spécifiques au sujet des clients — avec leur consentement et moyennant des modalités bien définies.

Dans le modèle de Facebook, les choses fonctionnent différemment. En accédant à une application, les utilisateurs invitent le développeur de l’application à accéder à la base de données de Facebook pour récupérer des informations à leur sujet — ainsi qu’au sujet de leurs amis sur Facebook.

Nous trouvions que cette situation exposait beaucoup trop de renseignements personnels.

Nous souhaitions voir un mécanisme qui garantirait que les développeurs d’applications n’aient accès qu’aux renseignements nécessaires au fonctionnement de leurs applications. En outre, nous voulions que Facebook interdise l’accès aux renseignements des utilisateurs qui n’ajoutaient pas eux‑mêmes le programme en question.

Nous avons également demandé une politique de conservation en vertu de laquelle les renseignements personnels des utilisateurs qui ont désactivé leur compte seraient supprimés des serveurs du site après un laps de temps raisonnable.

Finalement, nous avons recommandé que les gens soient en mesure de consentir à ce que leur compte soit commémoré après leur décès, et j’ai demandé que la vie privée des non-utilisateurs étiquetés sur les photos ou invités à se joindre au site soit mieux protégée.

Autres négociations

Nous avons accordé 30 jours à Facebook pour démontrer les progrès effectués quant à ses engagements et pour répondre à nos recommandations sur les quatre questions en suspens.

Une période d’intenses discussions entre le Commissariat et les représentants de Facebook s’est ensuivie.

Facebook n’a sans doute pas apprécié la couverture mondiale de cette enquête, mais, de toute évidence, elle a saisi l’occasion pour confirmer son souci de la vie privée des utilisateurs, comme elle l’a si souvent affirmé.

Je crois également que l’entreprise a finalement reconnu que nos recommandations étaient raisonnables et en harmonie avec le sentiment de beaucoup d’utilisateurs.

En tout état de cause, il était encourageant de voir Facebook démontrer une réelle volonté d’améliorer les choses.

Cinq semaines plus tard, nous avons été en mesure de rendre publique une solution globale à toutes les questions en suspens.

Pour ce qui est de ma principale préoccupation, par exemple, l’entreprise a accepté de moderniser sa plateforme d’applications pour empêcher les tiers développeurs d’applications d’accéder aux renseignements personnels avant d’avoir obtenu le consentement exprès des utilisateurs pour chaque catégorie d’information qu’ils cherchent à accéder.

Facebook prévoit qu’il faudra un an pour modifier ses pratiques de façon à ce qu’elles soient tout à fait conformes à la LPRPDE.

Nous allons suivre les progrès de l’entreprise durant cette période. Elle nous fournit des rapports d’étape et nous donne l’occasion de mettre à l’essai a priori quelques-unes des solutions proposées.

Parallèlement, nous continuerons de miser sur la recherche sociologique approfondie que le Commissariat a effectuée, afin de comprendre les comportements, les motivations et les attentes en matière de protection de la vie privée des utilisateurs des sites de réseautage social.

Tout récemment, par exemple, nous avons diffusé un nouveau rapport qui compare les politiques et outils de protection de la vie privée de six sites de réseautage social. Si vous voulez en apprendre davantage sur le sujet, vous pouvez consulter ce rapport sur notre site Web.

Une victoire pour la protection de la vie privée

Comme je le disais plus tôt, tous ces efforts ont donné lieu à une victoire majeure pour la protection de la vie privée.

Les Canadiennes et des Canadiens qui possèdent en ce moment un profil sur Facebook — il s’agit en fait du tiers de la population — profiteront de protections accrues pour leurs renseignements personnels et d’un droit de regard plus éclairé et significatif sur la manière dont ces derniers sont recueillis, utilisés et communiqués.

En outre, Facebook a déjà promis d’assurer de la même façon la protection des données personnelles sur tous ses autres sites ailleurs sur la planète. D’ailleurs, les autorités responsables de la protection des données personnelles dans bien d’autres pays du monde nous ont dit utiliser l’enquête du Commissariat à titre de feuille de route pour leurs efforts de protection de la vie privée sur les sites de réseautage social. J’ai même reçu un courriel l’autre jour d’un technologue en Italie. Celui‑ci se réjouissait des conclusions de l’enquête et ajoutait que le rapport serait pour lui un guide utile dans le cadre de son travail.

D’autres sites de réseautage social désireux de prévenir une enquête similaire ont porté attention à l’affaire Facebook. En effet, MySpace a déjà communiqué avec nous pour s’assurer que ses pratiques en la matière sont à la hauteur.

En fin de compte, nous espérons que tous pourront participer aux réseaux sociaux sans avoir à renoncer à un niveau de contrôle important de leurs renseignements personnels.

Autres avantages

Je dois noter également que cette démarche a donné lieu à des avantages secondaires importants.

L’initiative a démontré l’efficacité de l’approche pragmatique, fondée sur les principes, de la LPRPDE. Elle se situe entre l’approche fondée sur le marché privilégiée aux États-Unis, et celle plus normative qui prévaut en Europe.

Par exemple, en s’appuyant sur les affaires judiciaires et les enquêtes précédentes, nous avons été en mesure d’affirmer que la LPRPDE peut s’appliquer à la collecte commerciale des renseignements personnels des Canadiennes et Canadiens par des entités étrangères, même si elles opèrent uniquement en ligne.

Possibilités d’apprentissage

L’expérience a également constitué pour le Commissariat une précieuse occasion d’apprentissage.

Tout d’abord, les répercussions de l’investissement de tant d’efforts et de temps ont été beaucoup plus vastes que le cas à l’étude, notamment parce qu’elles nous ont fourni un modèle pour d’autres grandes enquêtes et initiatives de recherche et d’élaboration de politiques qui pourraient se présenter à l’avenir.

Nous avons également appris que, même dans le monde apparemment sans frontières d’Internet, l’autorité responsable de la protection des données personnelles dans un seul État peut avoir quelque chose d’important à dire.

En fait, je ferais observer que même le plus passionné et libertaire des mordus du réseautage social comprend que le Web 2.0 est encore quelque peu anarchique. Et, bien que ce territoire en friche ait trouvé de nombreux moyens de se contrôler, certains aspects, comme la protection de la vie privée, exigent simplement la force supplémentaire de lois réelles.

Ce qui m’amène à la troisième leçon que nous avons retenue de cette expérience : si une autorité gouvernementale souhaite prendre la parole de manière crédible en ce qui a trait au monde en ligne, elle doit faire partie de ce dernier.

À ce titre, les enquêteurs du Commissariat et moi-même nous sommes véritablement immergés dans Facebook. Nous nous sommes efforcés de trouver des solutions et de faire des recommandations qui soient réalistes, équilibrées, appropriées et utiles pour les utilisateurs réels.

Nous avons par ailleurs exploité le pouvoir d’Internet lui‑même pour communiquer nos conclusions et nos recommandations aux utilisateurs au Canada et à l’étranger.

Conclusion

Nous avons effectivement senti qu’il était essentiel pour les Canadiennes et les Canadiens de comprendre leur propre rôle à ce chapitre.

Les utilisateurs doivent être en mesure de se protéger eux‑mêmes — d’être maîtres, pour ainsi dire, de leurs propres renseignements.

Néanmoins, pour communiquer seulement les renseignements qu’il leur convient de transmettre — et seulement aux amis auxquels ils souhaitent les communiquer — les utilisateurs doivent pouvoir exercer un contrôle important sur leurs renseignements personnels.

C’est pourquoi, de son côté, le site doit fournir à ces utilisateurs des renseignements compréhensibles sur les politiques de confidentialité et la manière de tirer le meilleur parti des paramètres de protection de la vie privée.

Au bout du compte, nous avons fait notre possible pour que Facebook donne aux utilisateurs un contrôle accru sur leur propre vie privée et reste en même temps un lieu de divertissement agréable pour tous.

Merci.

Date de modification :