Téléviseurs intelligents . . . moniteurs d’activité physique . . . thermostats automatisés . . . véhicules autonomes . . .
L’Internet des objets repousse les frontières de la technologie numérique, ce qui explique pourquoi le Global Privacy Enforcement Network (GPEN) a consacré son ratissage pour la protection de la vie privée de 2016 à ce marché en plein essor. Les ratisseurs se sont intéressés tout particulièrement à la façon dont les entreprises font connaître leurs pratiques en matière de traitement des renseignements personnels.
Compte tenu de la nature sensible de l’information que peuvent recueillir les appareils liés à la santé et les appareils de suivi de la condition physique ainsi que les applications et les sites Web connexes, le Commissariat à la protection de la vie privée du Canada s’est concentré sur 21 appareils – pèse-personnes intelligents, dispositifs mesurant la pression artérielle, moniteurs d’activité physique, dispositifs de surveillance du sommeil et moniteurs de fréquence cardiaque, un alcootest intelligent et une camisole de sport connectée à Internet.
Le choix des appareils concorde avec l’une des quatre priorités stratégiques liées à la vie privée – le corps comme source d’information – établies par le Commissariat au cours d’un exercice qui a pris fin en mai 2015. Le corps comme source d’information renvoie aux préoccupations croissantes que suscite pour la protection de la vie privée l’utilisation, à diverses fins nouvelles, de renseignements sur la santé ainsi que de renseignements génétiques et biométriques très sensibles par des organisations et des organismes gouvernementaux.
Au cours du ratissage, les ratisseurs – des employés du Commissariat – ont utilisé les appareils pour voir par eux-mêmes les renseignements demandés et vérifier si leur expérience correspondait aux énoncés de l’entreprise sur la protection de la vie privée. Dans certains cas, ils ont effectué un suivi auprès des entreprises visées en posant des questions précises liées à la protection de la vie privée.
On trouvera ci-après une brève évaluation des résultats obtenus pour les appareils évalués.
Remarque : Le ratissage international pour la protection de la vie privée n’est pas une enquête officielle. Nous n’avons pas cherché à mettre au jour de façon concluante des problèmes de non-conformité ou d’éventuelles infractions à la législation sur la protection de la vie privée. Nous ne cherchions pas non plus à évaluer l’ensemble des pratiques du fabricant de l’appareil en matière de protection de la vie privée ni à analyser en profondeur la conception ou les fonctions de l’appareil.
Nous voulions plutôt recréer l’expérience de l’utilisateur. Aux fins du présent billet, nous avons comparé et fait ressortir certaines caractéristiques observées par nos ratisseurs – notamment celles qu’ils jugeaient particulièrement pertinentes et celles qui pourraient bénéficier de certaines améliorations. L’expérience a été très instructive et nous espérons que les exemples concrets cités ici aideront les fabricants des appareils de même que les Canadiens à bien comprendre nos observations.
Nous proposons aussi des leçons à tirer pour les entreprises et les consommateurs. L’objectif est de donner quelques conseils de base sur les mesures à prendre pour améliorer les énoncés sur la protection de la vie privée du point de vue d’un utilisateur. Ces leçons à tirer ne doivent pas être considérées comme des avis juridiques et ne remplacent pas les exigences applicables en vertu des lois sur la protection des renseignements personnels. Les organisations qui souhaitent obtenir plus d’information sur les obligations qui leur incombent en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada, peuvent consulter la Trousse d’outils de la LPRPDE pour les entreprises publiée par le Commissariat.
Le lieu, encore et toujours!
Pourquoi y a-t-il tellement d’appareils qui veulent savoir où vous vous trouvez à un moment ou à un autre? Certes, il peut sembler logique qu’un moniteur d’activité physique suive votre parcours pour calculer la distance que vous avez parcourue. Mais en va-t-il de même du dispositif mesurant la pression artérielle ou du thermomètre?
Or, le dispositif mesurant la pression artérielle sans fil QardioArm demande l’autorisation d’activer la fonction de géolocalisation lorsque l’utilisateur crée un compte. Il justifie cette demande de la façon suivante, qui a semblé un peu étrange à notre ratisseur.
Disponible uniquement en anglais.
Mais encore, il pourrait être intéressant de voir si une visite à la belle-famille fait grimper en flèche le rythme cardiaque!
Le thermomètre de la société Kinsa donne aussi aux utilisateurs l’option d’activer la fonction de géolocalisation et fournit des raisons à l’appui de sa demande.
Dans un courriel de suivi à l’intention de notre ratisseur, l’entreprise a expliqué que le repérage de la position permet aux utilisateurs de rencontrer d’autres utilisateurs du thermomètre. Sans doute pour échanger des histoires fascinantes sur les relevés de température?
La politique de confidentialité de l’entreprise proposait aussi une utilisation intéressante des données de géolocalisation :
Disponible uniquement en anglais.
Je suppose qu’il est peut-être utile de savoir s’il y a une flambée de gastro avant que tout le monde replonge ses chips dans le guacamole à votre prochaine fête!
Leçon à tirer pour les entreprises : Outre la géolocalisation, les utilisateurs veulent aussi savoir pourquoi vous devez recueillir certains renseignements, par exemple la date de naissance en entier, la taille et le poids, et pourquoi vous demandez à avoir accès à des renseignements tels que les photos et la liste de contacts d’un individu. Si vous donnez d’entrée de jeu la raison de la collecte des renseignements, les utilisateurs n’auront pas à se poser la question. Lorsqu’il s’agit de renseignements aussi sensibles que le lieu où se trouve l’utilisateur, les ratisseurs ont été heureux de constater que de nombreux appareils donnaient la possibilité d’activer ou de désactiver la fonction de géolocalisation.
Leçon à tirer pour les consommateurs : Ce n’est pas parce qu’un appareil ou une application connexe vous demande des données que vous devez les fournir. De nombreux éléments d’information sont facultatifs et les utilisateurs devraient faire preuve de prudence avant de fournir les renseignements demandés. Assurez-vous de bien comprendre l’utilisation prévue de vos renseignements personnels et d’approuver cette utilisation.
Vous abandonnez?
Vous en avez assez de faire le suivi de votre santé? Le moment est venu de retourner sur le sofa avec un sac de chips? Il n’est peut-être pas aussi simple que vous le croyez de supprimer votre compte.
Malgré les progrès technologiques permettant aux utilisateurs de communiquer des données par voie électronique à leur médecin et aux membres de leur famille, le dispositif mesurant la pression artérielle Everlast Health fait appel au bon vieux courrier pour traiter les demandes de suppression de données. Sans blague!
Disponible uniquement en anglais.
En revanche, le dispositif sans fil de suivi de l’activité, du sommeil et de la fréquence cardiaque UP3 de Jawbone offre ce qui semble constituer un ensemble d’instructions détaillées pour supprimer les données, qu’il s’agisse de relevés ponctuels ou de toutes les données personnelles se trouvant sur les serveurs de l’entreprise ou ailleurs, y compris les données recueillies par ses partenaires.
Disponible uniquement en anglais.
Malheureusement, malgré tous ces mécanismes apparemment simples et rapides permettant de supprimer les données, notre ratisseur a constaté deux mois plus tard que son compte était encore ouvert et qu’il était encore possible d’avoir accès à ses renseignements personnels et ce, même s’il avait effectué des suivis auprès du service à la clientèle de l’entreprise pour confirmer la suppression.
Leçon à tirer pour les entreprises : Nul besoin de compliquer la vie des clients qui souhaitent supprimer leurs données. Vous êtes des innovateurs technologiques et nous sommes convaincus que vous pouvez trouver une façon simple et rapide permettant aux gens de supprimer l’information de leur compte en quelques clics. La simplicité est une excellente façon d’acquérir de la crédibilité et de gagner la confiance de vos clients.
Leçon à tirer pour les consommateurs : Sachez à quoi vous en tenir avant de vous lancer. Avant de fournir des renseignements personnels, vérifiez l’utilisation qui en sera faite et demandez si vous pourrez les effacer ultérieurement si vous le souhaitez. En cas de doute, communiquez avec l’entreprise pour obtenir plus d’information. La plupart des organisations sont à l’écoute des préoccupations formulées par leurs clients au sujet de la protection de la vie privée. Lorsqu’il semble y avoir quelque chose qui cloche, faites-le savoir. Une organisation est plus encline à améliorer ses politiques ou ses pratiques générales lorsque les gens s’expriment.
Trois (ou plus), c’est trop!
Les transactions en ligne comportent toujours des zones grises. Qu’il s’agisse de marketing, d’analytique ou de recherche scientifique, derrière chaque entreprise avec laquelle vous pensez faire affaire se trouvent une myriade de tierces parties qui, pour une raison ou une autre, pourraient avoir accès à vos données.
Dans le cas du dispositif mesurant la pression artérielle sans fil QardioArm, l’entreprise explique clairement à qui les renseignements vous concernant ne seront pas communiqués, par exemple les annonceurs et les spécialistes du marketing, les courtiers en données et les revendeurs de données. Au grand plaisir de notre ratisseur, il y a également une note indiquant qu’aucun renseignement ne sera communiqué sans le consentement exprès (explicite) de l’utilisateur.
Par ailleurs, l’alcootest BACtrack Mobile donne aux utilisateurs la possibilité de stocker les relevés du taux d’alcoolémie, mais il établit par défaut le paramètre de façon à ce que ces données ne soient pas conservées. Excellent! Toutefois, si vous décidez de créer un compte et de tenir un registre des relevés d’alcoolémie, vos données – relevés, lieu, notes, photographies, sexe, poids, etc. – seront stockées et pourront être communiquées à des tiers, y compris les médias. Selon l’avertissement émis par BACtrack dans la politique de confidentialité imprimée fournie avec l’appareil, votre nom ne sera pas associé à ces données, mais il pourrait être possible d’établir votre identité à partir des autres données existantes.
Curieusement, nous n’avons pas retrouvé cet avertissement dans la version en ligne de la politique de confidentialité ou des conditions d’utilisation.
Leçon à tirer pour les entreprises : Les consommateurs veulent savoir à qui leurs renseignements personnels sont communiqués et à quelles fins. Idéalement, les entreprises devraient préciser quels renseignements seront communiqués et à qui. Par exemple, seront-ils transmis à des fins de marketing ou de recherche ou à des fins opérationnelles?
Leçon à tirer pour les consommateurs : Lisez les pratiques d’utilisation et de communication des renseignements personnels de l’entreprise avec laquelle vous faites affaire et assurez-vous que vous êtes d’accord avec ces pratiques. Rappelez-vous que plusieurs entreprises ne font pas que vous vendre un appareil, elles peuvent par le fait même vendre vos données. Remarquez, cependant, que vous n’êtes pas obligé d’accepter toutes les demandes d’une entreprise en vue de partager vos données. Certaines demandes visant à communiquer des données, à des fins de marketing notamment, ne devraient pas nécessairement constituer une condition pour utiliser un dispositif. Sachez également que des dispositifs peuvent se connecter à des plateformes de médias sociaux existantes ou offrir leurs propres options d’accès à des médias sociaux qui vous permettent de partager publiquement des données. Pensez-y bien. Une fois que l’information est communiquée, il peut être impossible de la récupérer. Songez à l’impact que certains commentaires ou certaines images pourraient avoir sur votre réputation ou celle d’autrui. Ce qui sur le coup a pu sembler une bonne idée, pourrait s’avérer dans les jours, les semaines, les mois, voire les années à venir, une toute autre histoire.
Précisions demandées
Les ratisseurs étaient bien conscients de la nature sensible des renseignements sur la santé et ils les protégeaient. Ils comprenaient qu’une quantité excessive d’information sur les mesures de protection pouvait nuire à la sécurité d’une entreprise, mais ils estimaient qu’il fallait obtenir quelques précisions.
Le moniteur d’activité physique Vivosmart HR de Garmin offre aux utilisateurs une explication assez détaillée des mesures de protection sous la rubrique « Protection des données chez Garmin ». L’entreprise y encourage par ailleurs les utilisateurs à signaler toute faille de sécurité ou vulnérabilité qu’ils pourraient détecter.
L’entreprise explique également qu’elle a recours au chiffrement, mais notre ratisseur s’est demandé si cette mesure s’appliquait uniquement aux données financières ou si les données sur la santé étaient également chiffrées.
En revanche, la politique de confidentialité relative au moniteur d’activité physique Charge HR de Fitbit comportait un seul énoncé assez vague sur les mesures de protection et invitait les utilisateurs à communiquer avec l’entreprise pour obtenir des précisions :
Un courriel de suivi envoyé à l’entreprise a permis d’obtenir une explication un peu plus détaillée donnant certaines précisions sur le recours au chiffrement. Cependant, la réponse visait surtout à nous assurer que les produits de Fitbit étaient conçus dans un souci de sécurité.
Leçon à tirer pour les entreprises : Les ratisseurs ont trouvé un certain nombre d’énoncés vagues à propos des mesures de protection utilisées, où les organisations rassuraient les utilisateurs en indiquant que leur information était bien protégée. Assurez-vous de mettre en place les mesures de protection solides qui s’imposent selon le degré de sensibilité des renseignements personnels que vous recueillez.
Leçon à tirer pour les consommateurs : Si, après avoir pris connaissance des mesures mises en place par une entreprise pour protéger vos renseignements personnels, vous ne comprenez toujours pas ou vous avez des questions, renseignez-vous. Si vous croyez qu’il y a eu atteinte à la sécurité de vos données, parlez-en directement avec l’entreprise. Et si vous n’êtes pas satisfait de la réponse obtenue, vous avez le droit de déposer une plainte officielle auprès du Commissariat au sujet d’une organisation assujettie à la LPRPDE.
Allez droit au but!
Avez-vous déjà acheté un produit pour vous demander ensuite si l’entreprise avait conscience d’avoir fourni le mauvais énoncé sur la protection de la vie privée? Les politiques générales qui semblent avoir été rédigées pour un autre produit sont une source de frustration et s’avèrent inutiles. Mais cela ne doit pas nécessairement être le cas.
Le bracelet d’activité Nabu de Razer offre un bon exemple d’avis juste-à-temps – une pratique où l’on donne de l’information utile sur l’utilisation qui sera faite des données au moment même où l’on demande aux utilisateurs de fournir ces renseignements.
Disponible uniquement en anglais.
La ceinture Fitness HR d’iMaze, en revanche, offrait un lien menant à une politique de confidentialité qui semblait n’avoir aucun rapport avec l’appareil ou l’entreprise en question. Qui plus est, après avoir cherché désespérément une forme quelconque d’énoncé pertinent sur la protection de la vie privée par iMaze, nos ratisseurs ont été fort déçus de trouver, au bas d’une page, un paramètre fictif indiquant d’insérer à cet endroit la disposition sur la protection des données du consommateur. Un peu embarrassant, non?
Disponible uniquement en anglais.
Leçon à tirer pour les entreprises : Les énoncés sur la protection de la vie privée qui s’appliquent expressément à un appareil sont beaucoup plus utiles que les politiques générales qui susciteront inévitablement des questions chez vos clients. Les avis juste-à-temps s’affichant sur l’appareil au moment où les données sont demandées constituent une pratique exemplaire qu’il serait bon d’envisager. Et enfin, ne tournez pas les coins ronds. Les phrases passe-partout et les paramètres fictifs non remplis sont embarrassants et ne vous aideront certainement pas à établir votre crédibilité auprès de vos clients et à obtenir leur confiance!
Leçon à tirer pour les consommateurs : Si les énoncés sur la protection de la vie privée n’ont rien à voir avec un appareil, faites-en part à l’entreprise. Comme nous l’avons mentionné, les entreprises ont tendance à écouter les consommateurs quand ils leur font part de leurs préoccupations concernant la protection de la vie privée. À preuve, 19 des 21 entreprises auxquelles nous avons fait parvenir par écrit des questions de suivi nous ont répondu rapidement. Et les réponses des deux tiers d’entre elles étaient satisfaisantes. C’est un bon début!