Les conclusions relatives à Facebook soulignent la nécessité d’une réforme législative

Conclusions d’enquête	Réponse de Facebook	Comment les préoccupations relevées démontrent que la loi fédérale sur la protection des renseignements personnels doit être renforcée
Consentement et mesures de sécurité Facebook n’a pas obtenu le consentement valable des utilisateurs qui installent des applications tierces à l’égard de la communication de leurs renseignements personnels à ces applications. Facebook n’a pas obtenu le consentement valable des amis des utilisateurs qui ont installé l’application. Le consentement était généralement sollicité à l’inscription, concernant des divulgations qui se produiraient des années plus tard, à des applications et à des fins inconnues. Facebook a compté sur les utilisateurs-installateurs pour obtenir un consentement au nom de chacun de leurs amis. Facebook a eu recours, dans ses communications au sujet de la confidentialité, à un langage trop général et contradictoire. Les mesures de sécurité de Facebook étaient insuffisantes pour protéger les renseignements personnels des utilisateurs. L’entreprise s’est fiée à des conditions contractuelles établies avec les applications afin de prévenir les accès non autorisés sans s’assurer que les politiques de confidentialité des applications fournissaient suffisamment d’information pour permettre un consentement valable. Recommandations Facebook devrait appliquer des mesures afin d’obtenir le consentement valable des utilisateurs-installateurs et celui de leurs amis. Ce consentement doit : clairement informer les utilisateurs de la nature, des fins et des conséquences des communications; être demandé au bon moment, c’est-à-dire avant la communication des renseignements personnels ou au moment de cette communication; être explicite lorsque les renseignements personnels communiqués sont sensibles.	Facebook refuse le bien-fondé des conclusions et elle refuse d’appliquer les recommandations.	L’interprétation de la loi par le Commissariat à la protection de la vie privée du Canada devrait être contraignante pour les organisations. Pour assurer l’application efficace de la loi, le commissaire devrait être habilité à rendre des ordonnances et à imposer des amendes en cas de non-conformité à la loi.
Responsabilité Facebook a failli à sa responsabilité de protéger les renseignements personnels de ses utilisateurs. Facebook a plutôt tenté de transférer cette responsabilité aux applications sur sa plate-forme ainsi qu’aux utilisateurs. Ce manque de responsabilité est encore plus inquiétant étant donné qu’une enquête menée en 2009 sur Facebook a souligné des préoccupations semblables. En réponse à cette enquête, Facebook a adopté une approche qui présentait de façon superficielle les mesures mécaniques appropriées. Mais, en réalité, cette approche n’offrait pas une protection concrète. Le cadre de Facebook en matière de protection des renseignements personnels était une coquille vide. Recommandation Au cours des cinq prochaines années, Facebook devrait permettre au Commissariat fédéral à la protection de la vie privée et au Bureau du Commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique de mener des audits des politiques et des pratiques sur la protection des renseignements personnels de l’entreprise afin d’évaluer sa conformité aux lois sur la protection des renseignements personnels.	Facebook refuse le bien-fondé des conclusions et elle refuse d’appliquer les recommandations.	La loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada devrait autoriser le Commissariat à la protection de la vie privée du Canada à examiner les pratiques des organisations pour assurer leur conformité à la loi. Ainsi, les organisations qui n’agiraient pas de façon responsable seraient tenues de le faire. Une organisation ne peut se contenter de dire qu’elle est responsable, elle doit être en mesure de le prouver.

Conclusions d’enquête

Réponse de Facebook

Comment les préoccupations relevées démontrent que la loi fédérale sur la protection des renseignements personnels doit être renforcée

Consentement et mesures de sécurité

Facebook n’a pas obtenu le consentement valable des utilisateurs qui installent des applications tierces à l’égard de la communication de leurs renseignements personnels à ces applications.
Facebook n’a pas obtenu le consentement valable des amis des utilisateurs qui ont installé l’application. Le consentement était généralement sollicité à l’inscription, concernant des divulgations qui se produiraient des années plus tard, à des applications et à des fins inconnues. Facebook a compté sur les utilisateurs-installateurs pour obtenir un consentement au nom de chacun de leurs amis.
Facebook a eu recours, dans ses communications au sujet de la confidentialité, à un langage trop général et contradictoire.
Les mesures de sécurité de Facebook étaient insuffisantes pour protéger les renseignements personnels des utilisateurs. L’entreprise s’est fiée à des conditions contractuelles établies avec les applications afin de prévenir les accès non autorisés sans s’assurer que les politiques de confidentialité des applications fournissaient suffisamment d’information pour permettre un consentement valable.

Recommandations

Facebook devrait appliquer des mesures afin d’obtenir le consentement valable des utilisateurs-installateurs et celui de leurs amis.
Ce consentement doit :
- clairement informer les utilisateurs de la nature, des fins et des conséquences des communications;
- être demandé au bon moment, c’est-à-dire avant la communication des renseignements personnels ou au moment de cette communication;
- être explicite lorsque les renseignements personnels communiqués sont sensibles.

Facebook refuse le bien-fondé des conclusions et elle refuse d’appliquer les recommandations.

L’interprétation de la loi par le Commissariat à la protection de la vie privée du Canada devrait être contraignante pour les organisations.

Pour assurer l’application efficace de la loi, le commissaire devrait être habilité à rendre des ordonnances et à imposer des amendes en cas de non-conformité à la loi.

Responsabilité

Facebook a failli à sa responsabilité de protéger les renseignements personnels de ses utilisateurs.
Facebook a plutôt tenté de transférer cette responsabilité aux applications sur sa plate-forme ainsi qu’aux utilisateurs.
Ce manque de responsabilité est encore plus inquiétant étant donné qu’une enquête menée en 2009 sur Facebook a souligné des préoccupations semblables. En réponse à cette enquête, Facebook a adopté une approche qui présentait de façon superficielle les mesures mécaniques appropriées. Mais, en réalité, cette approche n’offrait pas une protection concrète.
Le cadre de Facebook en matière de protection des renseignements personnels était une coquille vide.

Recommandation

Au cours des cinq prochaines années, Facebook devrait permettre au Commissariat fédéral à la protection de la vie privée et au Bureau du Commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique de mener des audits des politiques et des pratiques sur la protection des renseignements personnels de l’entreprise afin d’évaluer sa conformité aux lois sur la protection des renseignements personnels.

Facebook refuse le bien-fondé des conclusions et elle refuse d’appliquer les recommandations.

La loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada devrait autoriser le Commissariat à la protection de la vie privée du Canada à examiner les pratiques des organisations pour assurer leur conformité à la loi. Ainsi, les organisations qui n’agiraient pas de façon responsable seraient tenues de le faire. Une organisation ne peut se contenter de dire qu’elle est responsable, elle doit être en mesure de le prouver.

Date de modification :: 2019-04-25

Sélection de la langue

Recherche et menus

Recherche

Les conclusions relatives à Facebook soulignent la nécessité d’une réforme législative