Communiqué

Un site de réseautage social pour les jeunes a enfreint la loi canadienne sur la protection des renseignements personnels

Une enquête approfondie menée par le Commissariat à la protection de la vie privée au sujet de Nexopia entraîne la formulation de 24 recommandations visant à mieux expliquer les pratiques de protection des renseignements personnels du site aux utilisateurs et à fournir un plus grand contrôle sur la communication des renseignements personnels.

Ottawa, le 1er mars 2012 — Une enquête sur un site de réseautage social destiné aux jeunes, Nexopia, fait ressortir des lacunes au chapitre de la protection des renseignements personnels. Des lacunes qui doivent être corrigées pour que le site respecte la loi canadienne sur la protection des renseignements personnels et réponde mieux aux besoins de ses utilisateurs, affirme la commissaire à la protection de la vie privée, Jennifer Stoddart.

« Notre enquête démontre que les paramètres de confidentialité par défaut du site sont inappropriés, que Nexopia a fourni des renseignements inadéquats sur un certain nombre de pratiques de protection des renseignements personnels et que l’entreprise conserve des renseignements personnels indéfiniment, même si une personne a choisi l’option “supprimer un compte” », ajoute‑t‑elle.

« Nexopia a bien collaboré tout au long de l’enquête et nous nous réjouissons du fait que l’organisation a accepté la plupart de nos recommandations, mais certaines questions importantes ne sont pas encore résolues. »

C’était la première enquête du Commissariat à la protection de la vie privée du Canada sur un site de réseautage social conçu spécialement pour les jeunes.

Nexopia est une entreprise basée à Edmonton qui a été fondée en 2003, avant de nombreux autres sites de réseautage social très fréquentés. Le site compte plus de 1,6 million d’utilisateurs inscrits. Près de la moitié d’entre eux habitent en Alberta ou en Colombie‑Britannique.

L’enquête réalisée à la suite d’une plainte déposée par le Centre pour la défense de l’intérêt public, basé à Ottawa, a permis de découvrir que Nexopia contrevenait à plusieurs aspects de la loi fédérale sur la protection des renseignements personnels dans le secteur privé, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), notamment :

  • des paramètres par défaut particulièrement inappropriés pour le jeune public cible de Nexopia et le manque de clarté relativement aux paramètres de confidentialité disponibles;
  • l’absence d’un consentement valable au sujet de la collecte, de l’utilisation et de la communication des renseignements personnels recueillis au moment de l’inscription;
  • la communication de renseignements personnels à des annonceurs et à d’autres tierces parties sans consentement valable;
  • la conservation de renseignements personnels pour une durée indéterminée.

Au total, 24 recommandations ont été formulées à la suite de l’enquête.

La commissaire à la protection de la vie privée est satisfaite de la réponse de Nexopia à 20 d’entre elles. Ces allégations sont fondées et résolues sous conditions. Cette conclusion, qui a été instaurée par le Commissariat à la protection de la vie privée du Canada le 1er janvier 2012, signifie qu’une organisation a enfreint la LPRPDE, mais qu’elle s’est expressément engagée à prouver qu’elle a pris des mesures correctrices à l’intérieur d’une période précise après la publication des conclusions du Commissariat.

Les questions non résolues concernent quatre recommandations visant à répondre aux préoccupations soulevées par la conservation des renseignements personnels des utilisateurs par Nexopia. L’entreprise conserve ces renseignements indéfiniment, même si la loi fédérale sur la protection des renseignements personnels oblige les entreprises à élaborer des politiques sur la conservation.

Nous avons recommandé à Nexopia de préparer une telle politique et d’offrir une véritable option « supprimer » aux utilisateurs. Nexopia a cependant rétorqué que les coûts des changements à apporter au système pour permettre de supprimer définitivement des renseignements sont prohibitifs.

L’entreprise soutient également que l’archivage des renseignements personnels pour une durée indéterminée est utile dans l’éventualité où un organisme d’application de la loi demande de consulter les données. À notre avis, bien que de telles demandes puissent justifier une période de conservation plus longue pour certains cas particuliers, elles ne justifient pas la conservation entière et indéfinie de tous les dossiers, sous prétexte qu’une demande pourrait être faite un jour.

« Nous sommes déçus de la position de Nexopia en ce qui a trait à ces questions non résolues. Nous aborderons celles‑ci à l’aide des pouvoirs qui me sont conférés par la LPRPDE, ce qui comprend la possibilité de demander à la Cour fédérale que les recommandations soient appliquées », explique la commissaire Stoddart.

Nexopia se targue d’être « la place pour les adolescents qui désirent s’exprimer devant le monde entier. [traduction] » Plus du tiers des utilisateurs actifs de Nexopia sont âgés de 13 à 18 ans.

« Le fait que le site soit destiné aux jeunes a grandement influencé notre démarche au cours de cette enquête. Puisqu’il y a tant de jeunes utilisateurs de Nexopia, il faut redoubler d’efforts pour s’assurer qu’ils comprennent bien les pratiques du site en matière de protection des renseignements personnels », selon la commissaire Stoddart.

« Les autres sites Web destinés aux jeunes doivent prendre note de cette enquête et s’assurer qu’ils ont bien étudié les facteurs relatifs à la protection des renseignements personnels propres à un contexte où les jeunes sont concernés. »

Les jeunes doivent également tenir compte des répercussions possibles lorsqu’ils affichent leurs renseignements personnels en ligne. Au cours des dernières années, le Commissariat à la protection de la vie privée du Canada a élaboré un certain nombre d’outils et de programmes de sensibilisation visant à aider les jeunes à protéger leurs renseignements personnels en ligne. De plus, le Commissariat a récemment publié des conseils pour aider les parents à parler de ces enjeux avec leurs enfants.

Le Parlement a confié au Commissariat à la protection de la vie privée du Canada le mandat d’agir à titre d’ombudsman et de défenseur du droit à la vie privée au Canada. La commissaire est responsable de l’application de deux lois fédérales relatives à la protection des renseignements personnels : la Loi sur la protection des renseignements personnels, qui s’applique au secteur public fédéral, et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui s’applique aux organisations menant des activités commerciales dans les provinces de l’Atlantique, en Ontario, au Manitoba, en Saskatchewan et dans les territoires. Le Québec, l’Alberta et la Colombie‑Britannique possèdent leur propre loi sur la protection des renseignements personnels applicable au secteur privé. Toutefois, même dans ces provinces, la LPRPDE vise les entreprises du secteur privé sous réglementation fédérale ainsi que les renseignements personnels obtenus dans le cadre d’opérations interprovinciales et internationales.

Documents connexes :

Document d’information

Rapport de conclusions de l’enquête sur Nexopia

Recommandations et réponses tirées de l’enquête sur Nexopia

Lignes directrices sur la publicité comportementale en ligne

12 conseils pratiques en matière de protection de la vie privée à l’usage des parents

À vous de protéger votre réputation en ligne

Site Web du Commissariat à la protection de la vie privée du Canada pour les jeunes

- 30 -

Pour en savoir plus (médias seulement), veuillez communiquer avec :

Valerie Lawton
Commissariat à la protection de la vie privée du Canada
Courriel : Valerie.Lawton@priv.gc.ca

NOTA : Les journalistes sont priés d’envoyer leurs demandes d’entrevues ou de renseignements par courriel.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :