Document d'information

Projet de recherche du Commissariat à la protection de la vie privée du Canada concernant les « fuites sur Internet »

Introduction

Plusieurs études internationales ont révélé que de nombreux sites Web divulguent les renseignements personnels de leurs utilisateurs aux sites Web de tierces parties. (Consultez par exemple : http://w2spconf.com/2011/papers/privacyVsProtection.pdf [en anglais seulement])

Ces résultats ont incité le Commissariat à la protection de la vie privée du Canada à effectuer des recherches sur les pratiques de certains sites Web très prisés de la population canadienne afin d’évaluer si les fuites sur Internet représentent une atteinte à la vie privée au Canada.

La recherche a permis de constater des préoccupations importantes concernant la protection de la vie privée dans un site testé sur quatre. Des sites Web divulguaient des renseignements personnels à des tierces parties apparemment sans que les personnes concernées en soient conscientes ou qu’elles y aient consenti, et peut-être en violation de la loi fédérale de protection des renseignements personnels.

Fuites sur Internet

Les « fuites sur Internet » concernent la divulgation des renseignements personnels de l’utilisateur d’un site Web à des sites de tierces parties — à l’insu ou sans le consentement de l’utilisateur. Les sites Web qui ne prennent pas soin de limiter la divulgation peuvent disséminer plusieurs renseignements personnels et d’autres données à des tiers.

Lorsqu’une personne consulte le site Web d’une certaine organisation, le contenu du site peut provenir de différentes sources extérieures à cette organisation.

À titre d’exemple, un grand nombre de sites Web tire des revenus en permettant à des organismes de passer des annonces publicitaires sur leur site.

Les étapes d’affichage de ces annonces sont comme suit : quand la page d’un site Web s’affiche, le gestionnaire du site Web envoie une requête (un « appel de publicité ») à l’annonceur demandant de passer une annonce sur les pages Web. C’est durant ce processus d’appels de publicité que les renseignements personnels des utilisateurs risquent d’être divulgués par le site Web au site des organisations tierces parties. Les requêtes de contenu des sites de tierces parties, telles que les annonces publicitaires, peuvent être simples ou elles peuvent contenir des renseignements supplémentaires — parfois des renseignements personnels — qui sont transférés à d’autres organisations.

Lorsque l’appel de publicité est effectué, le tiers peut recevoir des renseignements sur la page (appelée page Referer) que l’utilisateur est en train de consulter.

De plus, les sites Web peuvent définir un témoin dans le navigateur d’un utilisateur, lequel peut contenir des renseignements personnels. Si ce témoin est échangé avec un tiers, il y a divulgation des renseignements personnels contenus dans le témoin.

Le terme « fuites sur Internet » désigne ces formes de divulgation en ligne à des tiers par le biais de méthodes telles que les requêtes de recherche Web et les témoins.  

Plus tôt cette année, le site de réseautage social MySpace a consenti à un règlement à l’amiable avec la Federal Trade Commission aux États-Unis qui l’accusait d’avoir induit en erreur des millions d’utilisateurs sur la communication de renseignements personnels à des annonceurs publicitaires. MySpace avait divulgué l’identificateur « Friend ID » (un identificateur numérique unique), l’âge et le sexe des utilisateurs à des réseaux de publicité de tierces parties. Le règlement a exigé que MySpace divulgue ses pratiques de communication de renseignements personnels et élabore un programme complet de protection de la vie privée comportant des évaluations indépendantes.

Il est important de noter que ce sont les sites Web et non les tiers qui contrôlent la divulgation des renseignements personnels en ligne. Ce sont les services de première partie qui contrôlent les renseignements à recueillir auprès des consommateurs, l’utilisation et la façon de divulguer ces renseignements, bien que les sites Web de tierces parties telles que les sociétés de réseaux de publicité et d’analyse Web les reçoivent également.    

La recherche effectuée par le Commissariat n’a pas examiné si la divulgation de renseignements personnels était intentionnelle (par exemple, si un site Web était payé pour des renseignements personnels) ou involontaire (si une divulgation était le résultat d’un manque d’attention).

  • Pourquoi les fuites sur Internet suscitent-elles des inquiétudes en matière de protection de la vie privée?

L’un des principes garantissant la protection des renseignements personnels est de permettre aux personnes de faire des choix éclairés dans la décision de partager — ou de ne pas partager — leurs renseignements personnels. 

La protection de la vie privée est menacée lorsque des sites Web divulguent des renseignements personnels sans mettre les utilisateurs au courant de cette pratique et en omettant d’obtenir leur consentement.

De même, certaines pratiques inappropriées de communication de renseignements personnels entre sites Web peuvent miner les efforts des utilisateurs souhaitant protéger leur vie privée lorsqu’ils effectuent, par exemple, l’activation des paramètres de protection de la vie privée du navigateur Web.  

Comment les sites Web que nous avons évalués ont-ils été sélectionnés?

Le projet de recherche du Commissariat consiste en un échantillon de sites Web qui satisfont aux critères suivants :

  • Le site Web présente un volume élevé de trafic canadien;
  • Le site Web cible la population canadienne, génère des revenus provenant d’interactions avec les utilisateurs canadiens ou est exploité par une organisation ayant un bureau situé au Canada;
  • Le site comprend la saisie de renseignements personnels telle que la création d’un compte d’utilisateur;
  • Le site comprend des outils de commercialisation appartenant à des tiers, à des fins de publicité directe ou autres, comme l’analyse Web.

À partir des sites qui satisfont à ces critères, nous avons sélectionné des échantillons d’un large éventail de secteurs, notamment les médias, les achats en ligne et les services de voyages.

  • Pourquoi le Commissariat ne nomme-t-il pas les sites qu’il a évalués?

La commissaire à la protection de la vie privée du Canada n’a pas usé de son pouvoir discrétionnaire afin de nommer publiquement les sociétés soumises au test à cette étape-ci. La recherche a été conçue de manière à offrir un instantané du contexte canadien. Il est probable qu’un nombre important d’autres sites canadiens transmettent des renseignements personnels.    

Principales conclusions de la recherche

Les chercheurs ont testé 25 sites. Au moment où les tests ont été menés (juillet et août 2012), les chercheurs ont recensé d’importantes préoccupations en matière de protection de la vie privée dans six sites. Les chercheurs avaient également des questions concernant les pratiques de cinq autres sites, tandis que 14 sites ne semblaient pas transmettre de renseignements personnels. 

Les organisations recevant de tels renseignements se distinguent en trois catégories principales :

  • Les sociétés de publicité (qui sont responsables de fournir les annonces publicitaires des tiers);
  • Les sociétés d’analyse Web (qui mesurent, collectent, analysent et rendent les données d’utilisation de sites Web à des fins telles que l’amélioration des aspects d’un site Web, y compris la commercialisation); 
  • Les services de circulaire électronique (qui fournissent des services tels que les prospectus hebdomadaires à des sites Web, notamment les promotions spéciales, souvent adaptées à une région spécifique).

La plupart des organismes récepteurs étaient de grandes entreprises internationales de publicité sur Internet, mais il y avait aussi d’autres petits organismes canadiens.

Exemple de fuites de renseignements personnels sur Internet

  • Un site d’achats en ligne basé au Canada demandait aux gens de s’inscrire pour recevoir des promotions, le site divulguait ensuite leur nom d’utilisateur ou leur adresse électronique à 11 organisations, notamment des sociétés de publicité et d’analyse Web.
  • Un site canadien bien connu du secteur des médias, où les utilisateurs s’inscrivent pour gérer leur abonnement et afficher des commentaires, divulguait le nom d’utilisateur, l’adresse électronique et le code postal à un service d’acheminement de contenu et de commercialisation, à un réseau publicitaire et à un diffuseur de presse électronique.

Comment les sites Web ont-ils été évalués?

Les chercheurs du Commissariat ont utilisé un outil logiciel de productivité (proxy Web) appelé Charles (www.charlesproxy.com [en anglais seulement]) pour saisir et analyser les données échangées entre le navigateur d’un utilisateur et un site Web, ainsi que les données échangées entre le navigateur de l’utilisateur et les sites de tierces parties.

Ces données se composaient de renseignements personnels fournis par les utilisateurs qui avaient créé un compte sur le site Web. Des comptes ont été créés aux fins de l’évaluation et une analyse a été effectuée pour vérifier si ces données (telles que les coordonnées) étaient envoyées à des tiers après avoir été enregistrées sur le site.

Des logiciels qui testent les fuites sur Internet sont disponibles en ligne et bon nombre de ces outils ne nécessitent pas un haut niveau d’expertise technique pour leur installation et leur utilisation.  

Les étapes suivantes

La commissaire à la protection de la vie privée du Canada a envoyé des lettres à 11 organisations identifiées dans la recherche comme propriétaires de sites Web qui divulguaient des renseignements personnels. La commissaire leur a demandé de l’informer quant à leurs pratiques en matière de protection de la vie privée et, le cas échéant, d’expliquer comment elles comptent corriger tout problème afin d’assurer le respect de la loi. 

Le Commissariat à la protection de la vie privée communique également avec les associations de l’industrie et demande qu’elles travaillent à sensibiliser leurs membres au problème des fuites sur Internet. 

Consultez également :

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :