Fiche documentaire

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Le suivi de l'enquête sur Facebook est terminé

Versión en español

OTTAWA, le 22 septembre 2010 — Le Commissariat à la protection de la vie privée a terminé le suivi de l’enquête achevée l’an dernier sur les pratiques et les politiques de gestion des renseignements personnels du site de réseautage social Facebook. Voici un résumé de l’enquête et du travail de suivi du Commissariat.

Contexte

L’enquête a été effectuée à la suite d’une plainte déposée auprès du Commissariat à la protection de la vie privée par la Clinique d’intérêt public et de politique d’Internet du Canada (CIPPIC), un groupe de défense de l’intérêt public.

Elle a été menée au titre de la Loi sur la protection des renseignements personnels et les documents électroniques, ou LPRPDE, la loi fédérale en matière de protection des renseignements personnels applicable au secteur privé.

En juillet 2009, le Commissariat a terminé son enquête et annoncé ce qui suit :

  • Quatre questions ont été rejetées, car elles n’étaient pas fondées;
  • Quatre questions étaient fondées, mais on les a considérées comme réglées après que Facebook a accepté d’apporter des changements précis à ses politiques ou pratiques;
  • Quatre autres aspects de la plainte étaient fondés et demeurent non résolus.

La commissaire avait déclaré qu’après 30 jours le Commissariat examinerait les mesures prises par Facebook pour se conformer aux recommandations et considérerait ensuite de faire appel à la Cour fédérale pour faire appliquer ses recommandations.

Un mois plus tard, soit en août 2009, la commissaire était en mesure d’annoncer qu’au terme de discussions approfondies, Facebook avait pris un certain nombre d’engagements pour donner suite aux préoccupations relatives à la protection de la vie privée qui n’étaient pas réglées. Ces changements devaient être apportés au cours d’une période d’un an et le Commissariat suivrait de près les progrès réalisés. Étant donné les engagements pris par Facebook, on a considéré que les questions en litige étaient réglées. On a alors mis officiellement fin à l’enquête.

Le rapport d’enquête complet est disponible à l’adresse http://www.priv.gc.ca/index_f.cfm.

Calendrier

Mai 2008 — Plainte déposée par la Clinique d’intérêt public et de politique d’Internet du Canada (CIPPIC).

Juillet 2009 — La commissaire à la protection de la vie privée annonce que son enquête a fait ressortir un certain nombre de préoccupations relatives à la protection de la vie privée sur le site Facebook et que certaines d’entre elles ne sont pas encore réglées. Elle demande à Facebook d’y donner suite d’ici 30 jours.

Août 2009 — Facebook accepte d’apporter une série de modifications pour donner suite aux préoccupations de la commissaire. Facebook et le Commissariat établissent un calendrier d’un an pour apporter les changements en question.

Septembre 2010 — La commissaire annonce qu’elle a terminé son examen des changements et que les questions soulevées par l’enquête ont été résolues de façon satisfaisante.

Questions soulevées par l’enquête et suivi

L’enquête avait mis en lumière huit objets d’inquiétude pour le Commissariat à la protection de la vie privée.

Deux grandes questions — les paramètres par défaut et les applications conçues par des tiers — étaient celles qui devaient prendre le plus de temps à résoudre en raison notamment du caractère plus onéreux des changements sur le plan technique. Les six autres questions entraînaient des modifications à la politique de confidentialité et à d’autres libellés sur le site. Le Commissariat a demandé à Facebook de donner à ses utilisateurs des explications plus détaillées et plus intelligibles sur ses pratiques et de clarifier les responsabilités de l’utilisateur du site.

Voici une description plus détaillée des questions préoccupantes et des changements apportés par Facebook.

1. Tiers développeurs d’applications

La communication des renseignements personnels aux tiers qui conçoivent les applications Facebook comme les jeux et les quiz compromettait la protection des renseignements personnels, et était l’un des points saillants de l’enquête. Comme il y a des centaines de milliers de développeurs dans le monde, le Commissariat craignait, au moment de l’enquête, que Facebook n’avait pas de mesures techniques lui permettant de limiter l’accès, par les développeurs, aux renseignements personnels des utilisateurs et de leurs « amis » en ligne. De plus, les utilisateurs ne savaient pas à quels renseignements l’application pouvait avoir accès et la raison de cet accès.

Facebook a modifié sa plateforme pour empêcher à toute application d’avoir accès aux renseignements personnels jusqu’à ce qu’elle obtienne un consentement explicite pour chaque catégorie de renseignements personnels à laquelle elle désire avoir accès. Grâce au nouveau modèle d’autorisation, les utilisateurs qui ajoutent une application sont informés que cette dernière voudra avoir accès à certaines catégories de renseignements. Les utilisateurs doivent cliquer sur « Autoriser » pour consentir à la communication des renseignements provenant des catégories précisées.

Le Commissariat a développé une application d’essai et confirmé que les applications ne peuvent avoir accès qu’aux catégories de renseignements personnels considérés comme nécessaires et que l’accès n’est possible qu’après que l’utilisateur a cliqué sur « Autoriser ».

La commissaire à la protection de la vie privée est convaincue que ces changements correspondent aux engagements de Facebook et satisfont aux exigences des lois canadiennes sur la protection de la vie privée.

2. Paramètres de confidentialité par défaut

Pendant l’enquête, le Commissariat s’est dit préoccupé que les paramètres de protection des renseignements personnels n’étaient pas suffisamment transparents et accessibles aux utilisateurs. Facebook a donc apporté des modifications importantes pour rendre ses pratiques conformes aux lois canadiennes sur la protection des renseignements personnels. Parmi ces changements, on retrouve les suivants :

  • Permettre aux utilisateurs de sélectionner le degré de protection des renseignements personnels (faible, moyen ou élevé).
  • Ajouter un outil de gestion de la confidentialité par objet, qui permet aux utilisateurs de régler facilement les paramètres pour chaque élément de contenu au moment du téléchargement ou de toute autre communication d’information.
  • Présenter un outil de protection à tous les utilisateurs pour les encourager à revoir les paramètres de protection des renseignements personnels qu’ils ont sélectionnés.
  • Expliquer les paramètres de protection des renseignements personnels aux nouveaux utilisateurs.

Facebook a respecté l’engagement qu’il a pris de rendre les paramètres de protection des renseignements personnels plus faciles à comprendre et à utiliser. Les utilisateurs peuvent maintenant consulter un guide qui explique ces paramètres. Chaque page de Facebook permet d’avoir accès à ce guide. Il y a aussi une meilleure explication des paramètres dans la politique de confidentialité de Facebook.

L’implantation de l’outil de gestion par objet est entièrement terminée. Facebook a introduit des paramètres de protection plus simples, permettant aux utilisateurs qui veulent restreindre l’accès aux renseignements personnels les concernant de régler les paramètres de protection à « Amis » par un seul clic de souris. Il convient également de mentionner que les utilisateurs on dû confirmer les paramètres de protection sélectionnés après la restructuration du site de décembre 2009.

Toutefois, d’autres changements apportés au site après l’enquête ont également eu une incidence sur la protection des renseignements des utilisateurs de Facebook et ont rendu plus complexe le travail de suivi de la commissaire.

  • « Tous »

Une fois que l’enquête a été terminée, Facebook a mis en place de nouveaux réglages de confidentialité qui étendent la signification de « Tous » dans ses paramètres de protection de la vie privée. Alors que l’ancienne définition signifiait que l’on autorisait tous les utilisateurs de Facebook à voir l’information déterminée, la nouvelle définition permet à tous les internautes d’avoir accès à cette information.

Dans son rapport d’enquête, le Commissariat recommandait que les paramètres par défaut qui concernent les albums de photos et les listes de recherche publique en restreignent l’accès. Pourtant, dans les deux cas, le paramètre par défaut est le plus permissif.

En ce qui concerne les albums de photos, les préoccupations à l’égard de la protection de la vie privée ont été atténuées en grande partie grâce au nouvel outil de gestion par objet de Facebook. La question des paramètres par défaut pour les listes de recherche publique était plus compliquée à évaluer en raison des changements notables apportés au site depuis le dépôt de la plainte, en mai 2008. Finalement, la commissaire a déterminé que cette question sortait du cadre du processus de suivi de l’enquête.

  • Transparence des renseignements personnels

La commissaire à la protection de la vie privée a également informé Facebook qu’elle était préoccupée par les changements apportés après l’enquête et qui rendent le site plus accessible. En décembre, Facebook a effectué un changement qui a fait que les utilisateurs ne pouvaient pas restreindre l’accès à certaines catégories de renseignements personnels. Après que la commissaire ait exprimé les craintes que lui inspirait ce changement, ces catégories ont été réduites. Au départ, il y avait sept catégories de renseignements qui ne pouvaient être protégées par des paramètres de confidentialité. Ces catégories ont été ramenées à quatre (nom, photo du profil, sexe et réseaux, et les responsables de Facebook ont confirmé qu’ils prévoyaient supprimer les réseaux de ces catégories).

Même si cette réduction est une bonne nouvelle, la commissaire a informé Facebook qu’elle demeure préoccupée par les intentions de Facebook au sujet de cette catégorie d’information, et elle a exhorté le site à s’abstenir à lui donner plus d’ampleur.

3. Politique de confidentialité et problèmes de libellé

Les préoccupations de la commissaire à la protection de la vie privée à propos de la façon dont Facebook présentait l’information concernaient les points suivants :

  • Date de naissance

Facebook a mis en œuvre la recommandation visant à indiquer aux utilisateurs pourquoi ils devaient fournir leur date de naissance lorsqu’ils s’inscrivaient.

  • Publicités

Facebook a mis en œuvre la recommandation visant à mieux expliquer dans sa politique de confidentialité le mode de fonctionnement des publicités dans le site. Facebook explique maintenant comment les renseignements personnels sont utilisés pour cibler les publicités. La commissaire considère que cette question est réglée, mais elle a constaté que le modèle de publicité ciblée a changé considérablement depuis le dépôt de la plainte.

  • Désactivation et suppression du compte

Facebook fournissait des informations confuses sur la différence entre la désactivation du compte — qui suppose que les renseignements personnels sont conservés dans une mémoire numérique — et la suppression du compte — qui suppose que, dans la mesure du possible, les renseignements personnels sont effectivement effacés dans les serveurs de Facebook. Il est maintenant indiqué clairement dans la politique de confidentialité de Facebook que les utilisateurs peuvent soit désactiver leur compte, soit le supprimer.

  • Comptes des utilisateurs décédés

Facebook a changé le libellé de sa politique de confidentialité pour expliquer dans quelles circonstances le profil d’un utilisateur restera en ligne après son décès afin que ses amis puissent afficher des commentaires et lui rendre hommage.

  • Renseignements personnels des non‑utilisateurs

Le Commissariat a recommandé que Facebook protège mieux les renseignements personnels des non‑utilisateurs invités à se joindre au site. Facebook fournit maintenant davantage d’information dans la déclaration des conditions d’utilisation.

  • Suivi des activités irrégulières

Facebook a mis en œuvre la recommandation lui demandant d’expliquer dans sa politique de confidentialité la pratique qui consiste à surveiller les activités irrégulières.

Prochaines étapes et nouvelles enquêtes

Le Commissariat à la protection de la vie privée continuera de travailler avec Facebook pour résoudre d’autres questions. Le site Facebook est en constante évolution. Le Commissariat surveillera les changements apportés à Facebook et aux autres sites de réseautage social, et il prendra des mesures s’il estime que de nouvelles infractions aux lois canadiennes de protection de la vie privée sont susceptibles de se produire.

Par ailleurs, le Commissariat a reçu plusieurs plaintes portant sur des questions qui ne faisaient pas partie de la première enquête, et est en voie de les examiner. Par suite de ces plaintes, le Commissariat a ouvert des enquêtes qui portent sur le service d’invitation (le processus par lequel Facebook propose des amis à de nouveaux utilisateurs) et les extensions sociales de Facebook (les boutons « j’aime » de Facebook que d’autres peuvent ajouter à leur propre site). Ces enquêtes sont en cours, et la commissaire à la protection de la vie privée n’est pas en mesure d’émettre de commentaires à leur sujet présentement.

Personne-ressource (à l’intention des médias seulement) :

Commissariat à la protection de la vie privée du Canada
Anne‑Marie Hayden
Tél. : 613‑995‑0103
Courriel : Anne-Marie.Hayden@priv.gc.ca

Date de modification :