Un radiodiffuseur accusé de recueillir des renseignements personnels avec son site Web
Résumé de conclusions d'enquêtes en vertu de la LPRPDE no 2001-25
[article 2, et principe énoncé à l'article 4.3 de l'annexe 1]
Plainte
Un particulier s'est plaint qu'un radiodiffuseur ait tenté de recueillir, au moyen de son serveur publicitaire, des renseignements personnels qui le concernent, à savoir l'information NetBIOS de son ordinateur, sans avoir obtenu son consentement.
Résumé de l'enquête
Le plaignant avait un ordinateur équipé d'un modem câble pour la connexion Internet et d'un garde-barrière pour la détection et le rejet des tentatives d'intrusion. Chaque fois que le plaignant essayait d'entrer en communication avec le site Web de l'organisation, son garde-barrière détectait et rejetait une démarche de collecte de l'information NetBIOS de son ordinateur lancée par le serveur publicitaire de l'organisation, puis produisait un rapport à ce sujet. NetBIOS est le nom courant ou « convivial » désignant un ordinateur suivant à son adresse ip. Le dépistage d'une adresse ip permet d'avoir accès à des renseignements comme les sites Web qu'a visités l'utilisateur de l'ordinateur ou les mots de passe qu'il a utilisés récemment pour consulter des comptes protégés. Lorsqu'un utilisateur a accès à Internet par réseau commuté, la probabilité que l'adresse ip de son ordinateur soit dépistée est faible, mais celle-ci est beaucoup plus élevée si l'utilisateur a une connexion Internet permanente par modem câble, comme dans le cas du plaignant.
Après avoir mené des enquêtes à l'interne, le radiodiffuseur a ajouté foi à la prétention du plaignant. Le radiodiffuseur a expliqué que le gestionnaire de réseau, au moment d'installer Windows NT de Microsoft, avait négligé de désactiver certaines caractéristiques qui accompagnent le programme. Lorsque ces caractéristiques, qu'on appelle service WIMS, sont en fonction, le serveur peut recueillir l'information NetBIOS des utilisateurs du site Web. Le gestionnaire du réseau, après avoir appris que les caractéristiques étaient en fonction, les a désactivées sans tarder. Le plaignant a confirmé par la suite que son garde-barrière ne relevait plus de tentative de collecte de l'information NetBIOS attribuable par l'organisation.
Conclusions du commissaire
Rendues le 20 novembre 2001
Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques s'applique aux entreprises fédérales. Cette plainte était du ressort du commissaire parce que les radiodiffuseurs sont des entreprises fédérales au sens de la Loi.
Application : Selon l'article 2 de la Loi, un renseignement personnel se dit de « [...] tout renseignement concernant un individu identifiable [...] » Le principe énoncé à l'article 4.3 de l'annexe 1 précise que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire.
Le commissaire était d'avis que dans certaines circonstances, comme la situation du plaignant, l'information Netbios peut servir à recueillir des renseignements qui peuvent être liés à un individu identifiable. Il a donc établi que les renseignements en cause étaient considérés comme personnels aux fins de la Loi.
Le commissaire a conclu que le radiodiffuseur avait manqué à ses obligations en vertu du principe énoncé à l'article 4.3. Il n'a toutefois pas contesté l'explication de l'organisation selon laquelle le manquement était involontaire, il a fait observer qu'il avait pris des mesures satisfaisantes.
Le commissaire a donc conclu que la plainte était fondée et résolue.
- Date de modification :