(extrait de notre document d’information)
Le Commissariat à la protection de la vie privée du Canada a terminé une enquête exhaustive sur une plainte concernant un large éventail de pratiques et de politiques en matière de protection des renseignements personnels du site de réseautage social Facebook. La plainte (lien en anglais) a été déposée par la Clinique d’intérêt public et de politique d’Internet du Canada (CIPPIC).
L’enquête a été menée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi fédérale sur la protection des renseignements personnels applicable au secteur privé.
À la suite de l’enquête, nous avons conclu que quatre aspects de la plainte étaient fondés. Quatre autres étaient fondés, mais considérés comme résolus puisque Facebook a convenu d’apporter des changements précis à ses politiques et pratiques. Les quatre dernières préoccupations soulevées par la plainte n’étaient pas fondées et ont donc été rejetées.
Voici quelques exemples de chacune des trois catégories de conclusions.
Allégation fondée : applications de tiers
Une des principales allégations de la plainte reconnues comme étant fondées avait trait au fait que Facebook communique des renseignements personnels aux tiers développeurs d’applications, comme des jeux, des questionnaires et des petites annonces, pour la plateforme Facebook. Il y a plus de 950 000 développeurs d’applications provenant d’environ 180 pays.
Lorsque les utilisateurs ajoutent une application à leur page, ils consentent à ce que les développeurs aient accès à une partie de leurs renseignements personnels ainsi qu’à ceux de leurs « amis ». De plus, le seul moyen de refuser la communication de renseignements personnels lorsque des amis ajoutent une application est de refuser toutes les applications ou de bloquer des applications particulières.
À la suite de notre enquête, nous avons recommandé que Facebook mette en œuvre des mesures techniques pour faire en sorte que les développeurs aient uniquement accès aux renseignements des utilisateurs qui sont essentiels au fonctionnement de l’application. Nous avons également demandé à Facebook de s’assurer que les utilisateurs sont informés des renseignements précis exigés par l’application et des fins pour lesquelles on recueille ces renseignements.
De plus, nous avons recommandé qu’on demande aux utilisateurs voulant ajouter une application de consentir expressément à la communication de leurs renseignements personnels aux tiers développeurs. Des mesures sont nécessaires pour empêcher toute communication de renseignements personnels d’utilisateurs qui n’ajoutent pas eux-mêmes une application.
Facebook a refusé de mettre en œuvre ces recommandations.
Allégation fondée et résolue : publicité sur Facebook
La partie plaignante a allégué que Facebook ne faisait pas un effort raisonnable pour aviser les utilisateurs que leurs renseignements personnels étaient utilisés à des fins de publicité.
Le Commissariat a examiné deux types de publicités sur Facebook faisant appel à des renseignements personnels : les « publicités Facebook », qui ciblent des profils démographiques ou utilisent des mots clés dans le profil de l’utilisateur, et les « publicités sociales », qui tiennent compte d’actions des utilisateurs comme devenir un fan d’une page ou se joindre à un groupe en particulier.
Les publicités sociales sont fondamentalement envahissantes parce qu’elles utilisent les actions, les vignettes et les noms des personnes pour promouvoir des produits et des services. Les publicités donnent l’impression que l’utilisateur recommande un produit en particulier. Les utilisateurs peuvent toutefois choisir de ne pas participer à ce type de publicités.
Par contre, les utilisateurs ne peuvent pas refuser les publicités Facebook. Néanmoins, nous estimons que ces publicités sont moins envahissantes parce que seul l’utilisateur peut voir les publicités qui lui sont destinées.
Nous avons reconnu qu’en tant que service gratuit pour les utilisateurs, Facebook doit pouvoir générer des revenus et que la plupart des utilisateurs de Facebook s’attendent à recevoir des publicités. Toutefois, étant donné le rôle important de la publicité sur le site, nous recommandons à Facebook de l’expliquer davantage dans sa Politique de confidentialité et d’informer les utilisateurs que les renseignements de leur profil sont utilisés à des fins de publicité ciblée.
Facebook a convenu en principe de décrire plus clairement le rôle de la publicité et de configurer ses systèmes afin de permettre aux utilisateurs de trouver plus facilement de l’information sur la publicité.
Allégation non fondée : tromperie et fausse représentation
La partie plaignante a allégué que Facebook se représentait faussement en affirmant qu’elle était purement un site de réseautage social alors qu’elle participait à d’autres activités, telles que la publicité et les applications de tiers, sans l’expliquer clairement. La partie plaignante a également allégué que Facebook présentait de façon inexacte le niveau de contrôle que les utilisateurs avaient sur leurs renseignements personnels.
Nous n’avons trouvé aucune preuve que Facebook trompait ou induisait en erreur volontairement les utilisateurs quant aux fins pour lesquelles elle recueillait des renseignements, ou qu’elle obtenait leur consentement de façon trompeuse.
Prochaines étapes
La commissaire à la protection de la vie privée a donné à Facebook 30 jours pour se conformer aux recommandations laissées en suspens. Pendant cette période, le Commissariat continuera à travailler avec Facebook en vue de donner suite à toute préoccupation non réglée.
En vertu de la LPRPDE, la commissaire à la protection de la vie privée peut faire appel à la Cour fédérale pour assurer la mise en œuvre des recommandations.