Document d’information

Résultats du ratissage de 2016 du Global Privacy Enforcement Network

GATINEAU (Québec), le 22 septembre 2016 – Le quatrième ratissage pour la protection de la vie privée effectué sous l’égide du Global Privacy Enforcement Network (GPEN) était consacré à l’Internet des objets et à la façon dont les entreprises du monde entier font connaître leurs pratiques de traitement des renseignements personnels aux consommateurs.

Quelque 25 autorités de protection des données ont participé à cette initiative en ratissant au total 314 appareils. Le Commissariat à la protection de la vie privée du Canada s’est concentré sur les appareils liés à la santé, par exemple les moniteurs d’activité physique, les thermomètres et les moniteurs de fréquence cardiaque, tandis que les partenaires d’autres pays se sont penchés sur d’autres catégories de produits allant des téléviseurs, des automobiles et des compteurs intelligents aux jouets et appareils ménagers connectés.

Aperçu des résultats
  Ensemble des autorités Le Commissariat
Nombre total d’entreprises et d’appareils examinés 314 21
Indicateur no 1 :  Les énoncés sur la protection de la vie privée expliquent-ils adéquatement la façon dont les renseignements personnels sont recueillis, utilisés et communiqués?
Oui 41 % 38 %
Non 59 % 62 %
Les énoncés sur la protection de la vie privée portent-ils expressément sur l’appareil?
Oui 31 % 24 %
Non 69 % 76 %
Les énoncés sur la protection de la vie privée mentionnent-ils que les renseignements pourraient être communiqués à d’autres entreprises?
Oui 52 % 86 %
Non 48 % 14 %
Précise-t-on à l’utilisateur de quelles entreprises il s’agit?
Oui S. O. 24 %
Non S. O. 76 %
Les énoncés sur la protection de la vie privée correspondent-ils à l’expérience de l’utilisateur?
Oui S. O. 14 %
Non S. O. 62 %
Ne sait pas S. O. 24 %
L’entreprise recueille-t-elle les renseignements suivants?
Lieu
Oui 68 % 81 %
Non 32 % 19 %
Fichiers photo, vidéo ou audio
Oui 41 % 38 %
Non 59 % 62 %
Date de naissance
Oui 64 % 86 %
Non 36 % 14 %
L’entreprise explique-t-elle pourquoi l’appareil recueille certains renseignements?Note de bas de page *
Lieu
Oui S. O. 53 %
Non S. O. 47 %
Fichiers photo, vidéo ou audio
Oui S. O. 25 %
Non S. O. 75 %
Date de naissance
Oui S. O. 11%
Non S. O. 89 %
Indicateur no 2 : Les utilisateurs sont-ils pleinement informés de la façon dont les renseignements personnels recueillis par l’appareil sont stockés et protégés?
Oui 32 % 24 %
Non 68 % 76 %
Indicateur no 3 : Les énoncés sur la protection de la vie privée fournissent-ils des coordonnées pour les personnes qui souhaitent communiquer avec l’entreprise au sujet d’une question liée à la protection de la vie privée?
Oui 62 % 86 %
Non 38 % 14%
Indicateur no 4 : Les énoncés sur la protection de la vie privée expliquent-ils à l’utilisateur les mesures à prendre pour supprimer l’information le concernant?
Oui 28 % 52 %
Non 72 % 48 %
Indicateur no 5 : L’entreprise a-t-elle répondu rapidement et de façon adéquate et claire aux questions de suivi?
Oui 57 % 62 %
Non 43 % 38 %

Principales tendances :

Selon les ratisseurs, les énoncés sur la protection de la vie privée relatifs à un grand nombre d’appareils liés à la santé et au suivi de la condition physique n’expliquent pas adéquatement les pratiques en matière de collecte, d’utilisation et de communication des renseignements personnels.

La grande majorité des entreprises offrant des appareils liés à la santé ou au suivi de la condition physique avaient une politique de confidentialité. Toutefois, les ratisseurs ont constaté que ces politiques avaient rarement trait expressément à l’appareil et qu’il s’agissait principalement de politiques générales publiées en ligne par l’entreprise, qui offrait habituellement plusieurs produits ou services. Les ratisseurs ont également fait remarquer que les énoncés sur la protection de la vie privée correspondaient rarement à l’expérience de l’utilisateur. La plupart des énoncés faisaient état de la communication des renseignements à des tiers, bien souvent sans préciser de qui il s’agissait.

De nombreux ratisseurs ont indiqué qu’ils n’étaient pas pleinement informés de la façon dont leurs renseignements personnels seraient stockés et des mesures de protection mises en place.

De façon générale, les ratisseurs souhaitaient obtenir davantage d’information sur les méthodes utilisées pour stocker et protéger leurs renseignements. La majorité d’entre eux ont fait remarquer que les entreprises n’indiquaient pas si les données seraient chiffrées au moment de leur stockage ou de leur transfert.

Les ratisseurs ont eu de la difficulté à trouver de l’information sur les mesures à prendre pour supprimer leurs données.

Près de la moitié des ratisseurs du Commissariat et plus des trois quarts des ratisseurs des autres pays ne sont pas parvenus à trouver des instructions simples sur la façon de supprimer leurs données. Cependant, dans leur réponse aux questions de suivi posées par le Commissariat, certaines entreprises ont pu expliquer plus en détail leurs options de suppression.

En général, les entreprises ont répondu rapidement et de façon claire et précise aux questions des clients concernant la protection des renseignements personnels. 

La grande majorité des concepteurs d’appareils ont fourni aux clients les coordonnées de personnes en mesure de répondre aux questions de suivi. Les ratisseurs étaient généralement satisfaits des réponses obtenues. Certaines entreprises ont toutefois mis du temps à répondre ou n’ont pas abordé directement les questions soulevées par les ratisseurs. Certaines ont tout simplement renvoyé les ratisseurs à leur politique de confidentialité.

Exemples de pratiques observées au cours du ratissage

  • Les ratisseurs ont noté plusieurs exemples d’avis améliorés présentés aux utilisateurs sous forme d’avis juste-à-temps expliquant le motif de la collecte de certains éléments de données en temps réel – en d’autres termes, au moment même où l’appareil demandait à l’utilisateur de saisir l’information ou de prendre une décision importante, par exemple, au cours du processus d’inscription. Il s’agit là d’une pratique rare, mais bien accueillie.  
  • De nombreux appareils ont demandé l’autorisation d’avoir accès à des données sensibles et les ratisseurs ne savaient pas toujours exactement en quoi ces données étaient nécessaires au fonctionnement de l’appareil. Par exemple, ils se sont demandés pourquoi un dispositif mesurant la pression artérielle et un thermomètre devaient avoir accès aux données de géolocalisation. Les ratisseurs ont néanmoins constaté que dans certains cas, l’information était facultative et les paramètres par défaut étaient établis de façon à ce que les renseignements sensibles ne soient pas communiqués à l’entreprise.
  • Les ratisseurs ont été ravis de constater que certaines entreprises expliquaient en détail quels tiers auraient accès aux renseignements personnels des utilisateurs et à quelles fins. Certaines ont nommé directement ces tiers ou affirmé explicitement que les données ne seraient jamais communiquées ou vendues à des annonceurs ou à des entreprises tirant des profits du commerce de données.
  • Les ratisseurs ont fait parvenir des questions de suivi sur la protection de la vie privée à un certain nombre d’entreprises. Ils ont constaté avec plaisir que bon nombre d’entre elles ont répondu rapidement. Certaines ont simplement renvoyé les ratisseurs à leurs politiques de confidentialité rédigées dans un jargon juridique, même si les ratisseurs avaient mentionné qu’ils en avaient déjà pris connaissance. D’autres ont fourni des réponses claires, rigoureuses et faciles à comprendre. Selon les ratisseurs, cette pratique constitue un bon moyen de susciter la confiance et montre l’importance de donner au personnel de première ligne une formation sur la façon de répondre efficacement aux questions sur la protection de la vie privée. Toutefois, idéalement, les entreprises devraient intégrer ce genre d’information dans leurs énoncés sur la protection de la vie privée plutôt que d’attendre qu’on leur pose des questions à ce sujet.

Voir également :

Communiqué
Billet de blogue sur les tendances
L’Internet des objets : Introduction aux enjeux relatifs à la protection de la vie privée dans le commerce de détail et à la maison

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :