Nexopia, site de réseautage social pour jeunes, a enfreint la loi canadienne sur la protection des renseignements personnels

Rapport des conclusions en vertu de la LPRPDE n^o 2012-001

---

Sommaire

Le plaignant

Des membres du Centre pour la défense de l’intérêt public (CDIP, ou les « plaignants ») ont déposé une plainte contre Nexopia.com inc. (Nexopia ou le « site Web ») qui contient 19 allégations liées à six enjeux distincts.

La plainte du CDIP portait sur la protection de la vie privée des jeunes dans le monde en ligne. Elle soutient que Nexopia ne protège pas la vie privée des personnes qui utilisent son site de réseautage social axé sur les jeunes et, par conséquent, ne respecte pas ses obligations sous le régime de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi).

Principaux enjeux

Les six principaux enjeux soulevés par les allégations du CDIP sont les suivants :

1. la pratique de Nexopia qui consiste à communiquer des renseignements personnels des utilisateurs au grand public ne répond pas aux attentes raisonnables des utilisateurs;
2. les paramètres de confidentialité par défaut de Nexopia sont inadéquats et déraisonnables, et le site Web ne donne pas suffisamment d’information à ses utilisateurs à propos de ces paramètres;
3. Nexopia n’obtient pas le consentement adéquat des utilisateurs pour ce qui est de la collecte des renseignements personnels au moment de l’inscription au site;
4. Nexopia n’explique pas de façon adéquate ses pratiques en matière de publicité, plus précisément en ce qui concerne la façon dont les renseignements personnels sont communiqués à des fins publicitaires;
5. Nexopia n’informe pas suffisamment les utilisateurs sur le fait que leurs renseignements personnels sont communiqués à des tiers;
6. Nexopia conserve les renseignements personnels des non utilisateurs du site Web à leur insu et sans leur consentement, et conserve les renseignements personnels des utilisateurs et des non-utilisateurs pour une durée indéterminée, sans leur donner l’option d’effacer définitivement cette information.

Constatations et conclusions

L’enquête a révélé que Nexopia contrevient à la Loi en ce qui concerne plusieurs aspects des enjeux clés soulevés par le CDIP. Par conséquent, le Commissariat a fait 24 recommandations à Nexopia pour que le site devienne conforme aux diverses modalités de la Loi.

Pour ce qui est des questions liées à la divulgation des profils d’utilisateurs au public, aux paramètres de confidentialité par défaut, à la collecte, à l’utilisation et à la communication des renseignements personnels recueillis au moment de l’inscription, au partage des renseignements personnels avec les annonceurs et avec d’autres tierces parties et à la conservation des renseignements personnels des non utilisateurs, nous avons conclu que Nexopia contrevient à la Loi et que les allégations sont fondées et résolues sous conditions.

Nous arrivons à cette conclusion, car Nexopia a manifesté la volonté de mettre en œuvre des mesures correctives liées à 20 de nos recommandations, dans des délais précis.

À l'appui de son engagement, Nexopia a accepté de fournir au Commissariat des rapports d'étape réguliers, de la documentation et la démonstration des modifications apportées au site Web, au fur et à mesure qu’elle met en application ces 20 recommandations.

En ce qui a trait aux questions liées à la conservation par Nexopia des renseignements personnels de ses utilisateurs, nous avons conclu que le site contrevient à la Loi et que les allégations sont fondées. Ces questions ne sont pas encore résolues, puisque, à ce jour, Nexopia n’a pas accepté de mettre en application 4 de nos recommandations, ou n’a pas présenté de mesures alternatives acceptables. Nous aborderons les questions non résolues en conformité avec les pouvoirs qui nous sont dévolus en vertu de la Loi.

Plainte déposée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques

1. Le 18 janvier 2010, des représentants du CDIP ont déposé une plainte contre Nexopia.com inc. en vertu du paragraphe 11(1) de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi).
2. Les principaux éléments soulevés aux numéros 1 et 2 du sommaire ont été fusionnés et forment la section 1 du présent rapport intitulée « Communication des profils d’utilisateur au public et paramètres de confidentialité par défaut ».
3. Nous avons reçu trois soumissions officielles du CDIP et cinq soumissions de Nexopia entre le 18 janvier et le 14 août 2010. Le mis en cause a fourni des renseignements supplémentaires d’août à décembre 2010.
4. Nous avons visité le siège social de Nexopia, à Edmonton, le 7 avril 2010. Durant cette visite, nous avons rencontré le directeur de l’exploitation de l’entreprise (qui est maintenant président et directeur général) et le directeur de la gestion communautaire du site Web, en plus d’assister à une démonstration détaillée de l’utilisation du site.
5. Le Commissariat a effectué son propre examen approfondi du site Web. Il a notamment parcouru le site Web en tant que visiteur ou utilisateur non inscrit, par exemple pour chercher des profils d’utilisateurs et examiner les pages d’aide, les guides de l’utilisateur et la foire aux questions.
6. Nous avons créé des comptes factices temporaires avec l’aide de Nexopia pour accéder aux services du site Web de la même façon que le ferait un utilisateur. Pour cela, il fallait notamment inscrire un compte au service Plus du site Web, pour étudier les caractéristiques supplémentaires offertes par ce service.
7. Le Commissariat a aussi analysé des recherches universitaires et gouvernementales sur la protection de la vie privée des jeunes en ligne qui ont été effectuées au pays ou à l’étranger.
8. Nous avons fait parvenir un rapport d’enquête préliminaire aux deux parties le 3 août 2011. Dans le rapport envoyé à Nexopia, nous avons soulevé de nombreuses préoccupations et formulé 24 recommandations.
9. Nous avons demandé à Nexopia de répondre aux recommandations dans un délai de 30 jours suivant le dépôt du rapport d’enquête préliminaire, pour préciser comment l’entreprise avait l’intention de les appliquer, ou pour qu’elle propose d’autres mesures de conformité adéquates (avec des preuves démontrant pourquoi nos recommandations ne pouvaient être mises en œuvre). Nexopia a répondu à nos recommandations le 3 octobre 2011, après avoir repoussé la date limite.
10. Le présent rapport de conclusions constitue l’aboutissement de notre enquête et de nos consultations avec Nexopia.

Introduction

Portée de l’enquête

11. C’est la première fois que le Commissariat enquête sur un site de réseautage social pour les jeunes.
12. Nos enquêtes ont déjà porté sur des sites de réseautage social qui ne sont pas spécialement destinés aux jeunes de moins de 18 ans. Par exemple, les paramètres de confidentialité par défaut et la facilité de recherche des utilisateurs de moins de 18 ans de Facebook sont différents de ceux des autres utilisateurs. Ce système découle d’une décision opérationnelle prise par Facebook. La position de Nexopia est que son site a toujours été ouvert et qu’il vise à permettre aux jeunes de se mettre en valeur aux yeux du monde.
13. Bien que la Loi ne fasse pas explicitement référence aux jeunes, certaines de ses exigences doivent faire l’objet d’une attention particulière dans un contexte où les jeunes sont concernés. Par exemple, les organisations devront peut être prendre des mesures supplémentaires pour s’assurer que les jeunes comprennent raisonnablement leurs pratiques en matière de protection de la vie privée afin que le consentement obtenu soit « valable » au sens de la Loi.

Profil de l’entreprise

14. Nexopia.com se décrit comme le plus grand site de réseautage social pour les jeunes au Canada. Le site compte plus de 1,6 million d’utilisateurs inscrits, dont 80 % résident au Canada. Environ 50 % des utilisateurs habitent en Alberta et en Colombie Britannique^{Note de bas de page 1}
15. Il faut être âgé d’au moins 13 ans pour s’inscrire à Nexopia. Près de 23 % des utilisateurs se disent âgés de 13 à 18 ans. Ce groupe compte plus de 34 % des utilisateurs actifs du site. Le groupe démographique composé de personnes de 19 à 22 ans vient au deuxième rang. Ce sont peut être des utilisateurs de la première heure qui se sont inscrits pendant leur adolescence^{Note de bas de page 2}.
16. Nexopia.com a été fondé en 2003, avant de nombreux autres sites de réseautage social très fréquentés. Le site se considère comme un réseau ouvert comparable à d’autres services Internet « communautaires » accessibles au public comme Bebo, DailyBooth, LiveJournal, MySpace, Netlog, SkyRock et Tumblr. Nexopia affirme que ses utilisateurs vont sur le site Web pour rencontrer des gens, s’exprimer et se faire connaître.
17. Pour s’exprimer sur Nexopia.com, les utilisateurs créent des profils, interviennent sur des blogues à structure libre et sur des forums d’utilisateurs, créent des galeries de photos et diffusent des articles, des œuvres d’art, de la musique, des poèmes et des vidéos.
18. Le site Web est gratuit pour les membres réguliers. Il génère des revenus au moyen de la publicité et offre aux utilisateurs de s’inscrire au service « Plus », qui donne des options et des privilèges supplémentaires sur le site Web. Nexopia a confirmé que 7 % des utilisateurs sont inscrits à ce service.

Définitions

19. Voici la définition de certains termes utilisés dans le rapport :
    1. Utilisateur — personne inscrite sur Nexopia ayant une session ouverte dans le système.
    2. Visiteur ou non utilisateur — personne non inscrite en tant qu’utilisateur de Nexopia.
    3. Ami — personne inscrite sur Nexopia qui fait partie du réseau social d’un autre utilisateur
    4. Profil d’utilisateur — profil comprenant les renseignements personnels d’un utilisateur, comme l’âge, le sexe, le lieu de résidence, le nom réel, l’adresse électronique, les intérêts, etc. Ces renseignements peuvent être modifiés par l’utilisateur et faire l’objet d’une recherche par d’autres.
    5. Renseignements « de base » du profil — renseignements personnels essentiels pour s’inscrire sur le site. Les utilisateurs de Nexopia et les visiteurs voient au moins cette information, c’est à dire le nom d’utilisateur, le sexe, l’âge et le lieu de résidence.

Section 1

Communication des profils d’utilisateurs au public et paramètres de confidentialité par défaut

Allégations

1. Les plaignants sont préoccupés par la facilité avec laquelle le grand public peut consulter les renseignements personnels des utilisateurs de Nexopia au moyen (i) de moteurs de recherche externes et (ii) du moteur de recherche intégré au site Web.
2. Ils soutiennent plus précisément que Nexopia ne disposerait d’aucun système pour bloquer les requêtes du public sur les profils des jeunes utilisateurs (contrairement à un autre site de réseautage social en vogue) et que le site Web ne permettrait pas aux utilisateurs de cacher leur profil au grand public.
3. Ils affirment que le site exigerait la communication de certains renseignements personnels au public et que, même si les paramètres de confidentialité sont modifiés de façon à protéger le plus possible la vie privée, ces renseignements personnels seraient toujours communiqués au grand public à la suite d’une requête.
4. Le CDIP ajoute que le paramètre de confidentialité par défaut du site Web, « visible to all » (accessible à tous, le paramètre le plus permissif possible), dépasserait les attentes raisonnables des membres de Nexopia et ne serait pas conforme à la Loi.
5. Il soutient que le paramètre par défaut « visible to friends » (accessible aux amis) serait plus adéquat et protégerait davantage la vie privée des jeunes qui utilisent le site Web.
6. Selon le CDIP, Nexopia omettrait d’annoncer adéquatement que le paramètre de confidentialité par défaut est « accessible à tous » et n’informerait pas assez clairement les utilisateurs que les renseignements inscrits sur le profil et les renseignements personnels affichés sur Nexopia sont accessibles au grand public si les paramètres ne sont pas modifiés.
7. Les plaignants font valoir qu’il est difficile pour les utilisateurs de modifier l’accessibilité et les paramètres de confidentialité, car ceux ci ne sont pas centralisés. Les utilisateurs voulant des paramètres de confidentialité plus restrictifs doivent utiliser divers menus d’édition du profil ou de nombreux onglets dans la fonction Preferences (Préférences). Les plaignants considèrent qu’il serait préférable d’ajouter une page centralisée sur laquelle les utilisateurs pourraient modifier leurs paramètres de confidentialité, en plus d’avoir les options actuelles qui permettent de modifier les paramètres un par un.
8. Globalement, le CDIP soutient qu’une personne raisonnable jugerait les pratiques de Nexopia inappropriées pour des jeunes.

Résumé de l’enquête

Les moteurs de recherche externes affichent les renseignements personnels qui se trouvent sur Nexopia.com

9. Nos tests ont confirmé que les moteurs de recherche externes peuvent être utilisés pour accéder directement aux renseignements des utilisateurs affichés sur Nexopia.com. Nous avons pu accéder au contenu complet de nombreux profils d’utilisateurs obtenus à l’aide de ces requêtes.
10. Nous avons utilisé trois moteurs de recherche bien connus. Dans chaque cas, une requête simple a été effectuée, comme site:nexopia.com Ottawa female lonely (femme seule à Ottawa).
11. À titre d’exemple, une requête à l’aide des critères ci dessus a donné 114 résultats. Les résultats ont directement donné accès aux profils, aux galeries de photos, aux blogues, aux commentaires et aux « shouts » (les « cris ») des utilisateurs. Il n’est pas nécessaire d’ouvrir une session ou d’entrer sur le site Web pour avoir accès aux profils des utilisateurs. En choisissant une personne faisant partie de la liste d’amis de ces utilisateurs, nous avons pu, dans de nombreux cas, consulter les profils de ces amis.

Les visiteurs sur Nexopia.com peuvent aussi consulter certains renseignements personnels des utilisateurs

12. Nous avons remarqué que les visiteurs sur le site Web (c. à d. les personnes qui ont accès à Internet qui ne sont pas inscrites sur Nexopia, mais qui se trouvent sur le site) peuvent aussi faire des requêtes et consulter des profils d’utilisateurs de plusieurs façons.
13. Par exemple, à partir de l’onglet « Users » (Utilisateurs) sur la page d’accueil du site Web, un visiteur peut se servir du moteur de recherche intégré de Nexopia pour faire une recherche limitée par certains critères : homme ou femme; âge; utilisateurs en ligne et utilisateurs qu’une personne connaît (les amis des amis sont les premiers affichés).
14. En outre, en cliquant sur le lien « More Options » (Plus d’options), le visiteur peut effectuer une requête avec des critères plus pointus et révélateurs : le lieu de résidence; l’école, l’orientation sexuelle; les intérêts; les nouveaux utilisateurs; les profils comprenant des images; les utilisateurs actifs récemment; la date d’anniversaire et les utilisateurs célibataires.
15. De nombreux profils d’utilisateurs peuvent correspondre à une seule requête. L’option « view all » (voir tous les résultats) montre les douze premiers résultats. Selon le nombre de profils trouvés à l’aide d’une requête, les visiteurs peuvent ensuite consulter des pages supplémentaires comprenant des résumés de profils. Une seule requête peut générer et afficher jusqu’à 999 profils.
16. Lorsqu’un visiteur clique sur un nom d’utilisateur, tout le profil apparaît, sauf si cet utilisateur a choisi des paramètres de confidentialité restrictifs.
17. Par exemple, en effectuant une requête au moyen du moteur de recherche de Nexopia, nous avons vu le profil d’utilisateur d’un adolescent qui comprenait son nom d’utilisateur unique; son âge; son sexe; la photo de son profil (et un lien vers d’autres photos); des commentaires sur la consommation de drogue, sa taille, son poids, sa date de naissance; son orientation sexuelle; sa situation amoureuse; ses conditions de vie; son lieu de résidence (la ville et la province); la date à laquelle il s’est inscrit à Nexopia; la date de la dernière mise à jour de son profil; la dernière fois qu’il a été actif sur le site; ses films, ses célébrités, sa musique, ses activités et ses animaux favoris; l’instrument de musique dont il joue; ses activités de plein air favorites; des commentaires à structure libre ajoutés à son profil; des liens vers les profils de ses amis.
18. Nos tests ont permis de trouver des profils d’utilisateurs comprenant des grossièretés et des commentaires à caractère sexuel. D’autres profils fournissaient des détails sur les utilisateurs : des commentaires sur la consommation de drogue ou d’alcool, des références à la solitude et à la dépression et d’autres renseignements qui nous semblaient très sensibles.

Comment Nexopia renseigne les utilisateurs sur l’accessibilité de leurs renseignements personnels

19. Nexopia fait valoir que sa politique de confidentialité affirme explicitement que les renseignements personnels fournis par les utilisateurs et recueillis par le site Web peuvent être consultés par le grand public, et non pas seulement par les autres utilisateurs. Dans la section sur la collecte et l’utilisation de renseignements personnels par Nexopia.com, la politique mentionne :

    Lorsque vous vous inscrivez à Nexopia.com et que vous utilisez le site, vous créez votre propre profil et vous choisissez vos paramètres de confidentialité. L’information que vous soumettez et affichez, comme les renseignements personnels, les commentaires, les messages, les photos, etc., peut être diffusée à d’autres membres et visiteurs, selon les paramètres de confidentialité que vous choisissez. Il est donc important de comprendre quels renseignements sont portés à la connaissance du public. Sous réserve des dispositions de la présente politique de confidentialité, toute information comprise dans votre profil ou affichée sur des blogues, des forums ou des petites annonces est accessible au grand public, pas seulement aux membres inscrits. [traduction]

20. Dans la même section, Nexopia explique que le site permet d’effectuer des requêtes intégrées par nom réel, par nom d’utilisateur et par adresse électronique. Le site Web déclare que le paramètre par défaut permet les recherches par nom d’utilisateur et par adresse électronique, mais que cette option peut être désactivée dans les préférences. La politique de confidentialité ajoute que, si le paramètre permet de faire une requête par nom d’utilisateur et adresse électronique, la personne qui fait la requête aura accès au profil de l’utilisateur.
21. La section sur les blogues, les forums, les babillards et les petites annonces de la politique de confidentialité ajoute que :

    Lorsque vous publiez volontairement des commentaires, y compris des renseignements personnels permettant de vous identifier, sur des blogues, des forums, des petites annonces ou tout autre lieu de discussion public, le public a accès à cette information. [traduction]

22. Nexopia possède également une page sur la sécurité donnant des conseils aux membres des communautés en ligne. Une des sections dit ce qui suit :

    Ne mettez jamais de renseignements personnels sur votre profil ou à des endroits auxquels le grand public et des étrangers ont accès. Les profils sont accessibles au public, alors n’y inscrivez pas votre nom de famille, vos numéros de téléphone, vos adresses ou tout autre renseignement permettant à une personne de vous identifier. Les commentaires sont aussi accessibles pour le public et ne devraient pas servir à diffuser des renseignements personnels. Il faut plutôt utiliser les messages privés. [traduction]

L’accessibilité des renseignements « de base » et des photos du profil

23. Les utilisateurs peuvent modifier leurs paramètres de confidentialité de façon à diminuer l’accessibilité de leurs renseignements personnels. Nos tests ont démontré que si les paramètres de confidentialité du profil d’utilisateur sont établis à « accessible à tous », un visiteur peut consulter tous les renseignements du profil.
24. Nexopia n’a pas été en mesure d’expliquer pourquoi le paramètre par défaut des renseignements personnels des utilisateurs avait été fixé à « accessible à tous ». L’entreprise affirme que la façon de faire n’a pas changé depuis la création du site Web en 2003. À l’époque, tous les réseaux sociaux étaient ouverts de cette manière et Nexopia est demeuré un réseau ouvert jusqu’à ce jour.
25. Nous avons remarqué que, même si les utilisateurs choisissent le paramètre de confidentialité le plus restrictif pour chaque bloc d’information de leur profil d’utilisateur, c. à d. « invisible » (inaccessible), certains renseignements « de base » du profil (le nom d’utilisateur, l’âge, le sexe et le lieu de résidence) peuvent être consultés par les autres utilisateurs et les visiteurs.
26. Il y a une exception : la section du site Web sur les préférences en matière de confidentialité comprend une fonction permettant d’empêcher les personnes qui n’ont pas ouvert une session de voir le profil. Cette fonction bloque l’ensemble du profil d’utilisateur pour les visiteurs. Les renseignements « de base » du profil, cependant, sont toujours accessibles aux utilisateurs inscrits sur Nexopia qui ont ouvert une session, que la fonction soit activée ou non.
27. Au cours de notre enquête, nous avons constaté que les photos des profils d’utilisateurs peuvent être vues, à l’instar des renseignements « de base ».
28. Les utilisateurs peuvent insérer jusqu’à huit photos officielles dans leur profil d’utilisateur (douze s’ils sont inscrits au service « Plus »). Ils ne sont pas tenus d’inclure une photo dans leur profil, mais ceux qui veulent le faire doivent respecter certaines lignes directrices de Nexopia pour que leurs photos soient acceptées.
29. Nexopia examine toutes les photos de profil en fonction de ses lignes directrices et des conditions d’utilisation du site Web. Les photos doivent permettre de reconnaître l’utilisateur. Celles qui comprennent des renseignements personnels comme une carte d’étudiant ou un permis de conduire et celles qui indiquent le nom complet, l’adresse et le numéro de téléphone ne sont pas acceptées. Les photos de célébrités, de paysages, d’animaux ou de groupes de personnes sont seulement acceptées si l’on voit l’utilisateur, qui peut être reconnu clairement, et si la photo n’a pas été modifiée par ordinateur.
30. L’utilisateur peut facilement retirer une photo de son profil en tout temps.
31. Nexopia soutient qu’en exigeant que les photos de profil soient celles de vraies personnes, elle favorise la sécurité sur le site Web, car il est plus difficile pour les utilisateurs d’agir de façon inappropriée et abusive, et de contrevenir ainsi aux exigences des conditions d’utilisation, s’ils peuvent être reconnus par d’autres utilisateurs.
32. Nous avons examiné la politique de confidentialité de Nexopia. Elle informe les utilisateurs que certains renseignements personnels « de base » sont toujours accessibles, mais elle ne précise pas qu’il en va de même pour les photos des profils d’utilisateur :

    Vous pouvez modifier ou supprimer des données de votre profil en tout temps en ouvrant une session de votre compte et en cliquant sur les onglets « Profile » (Profil) et « Préférences » dans le menu du haut, à l’exception du nom d’utilisateur, de l’âge, du sexe et du lieu de résidence, qui sont accessibles aux membres et aux visiteurs (les non membres). [traduction]

Les options de confidentialité et les paramètres par défaut de Nexopia relatifs aux blocs d’information

33. Nexopia offre quatre paramètres de confidentialité aux utilisateurs inscrits : 1) « accessible à tous » (accessible sur Internet); 2) « accessible aux utilisateurs ayant ouvert une session » (visible to logged in users en anglais; toute personne inscrite ayant ouvert une session sur le site Web); 3) « accessible aux amis » (seuls les amis choisis par l’utilisateur ont accès au profil); 4) « inaccessible » (seul l’utilisateur a accès au profil).
34. Les quatre paramètres de confidentialité, qui sont généralement fixés au niveau des blocs, ont une incidence sur un ensemble de renseignements à la fois. Les trois principaux blocs d’information du profil d’utilisateur sont Basics, Contact et Interests (Renseignements de base, Coordonnées et Intérêts).
35. En plus de donner la possibilité d’établir les paramètres de confidentialité au niveau des blocs, Nexopia permet aux utilisateurs de mieux contrôler l’accès à certains renseignements personnels qui se trouvent dans un même bloc.
36. Le paramètre de confidentialité par défaut du bloc Renseignements de base est « accessible à tous ».
37. Les utilisateurs qui affichent de l’information dans le bloc Renseignements de base peuvent inscrire leur nom réel, leur taille, leur poids, leur orientation sexuelle, leur situation amoureuse, leurs conditions de vie, leur lieu de résidence et leur école. Par défaut, les champs pour inscrire le nom sont laissés vides. Le site Web permet aux utilisateurs de cacher certains renseignements : le nom et le prénom; l’école; la date de naissance; la date à laquelle l’utilisateur s’est inscrit au site; la date de la dernière mise à jour du profil de l’utilisateur et la date de la dernière activité sur le site.
38. Le paramètre de confidentialité par défaut du bloc Coordonnées était « accessible à tous ». Au cours de notre enquête, Nexopia a adopté le paramètre plus restrictif « accessible aux amis », le jugeant plus approprié.
39. Le bloc Coordonnées permet aux utilisateurs d’afficher jusqu’à 26 identificateurs d’utilisateurs pour des programmes de messagerie instantanée, des sites Web de réseautage social, des sites offrant du contenu médiatique, des blogues personnels et des sites de jeu. Les utilisateurs ne peuvent pas modifier le paramètre de confidentialité de l’ensemble du bloc afin de personnaliser la protection de la confidentialité de certains éléments.
40. Le paramètre de confidentialité par défaut du bloc Intérêts est « accessible à tous ».
41. Dans ce bloc, les utilisateurs établissent leur profil en choisissant divers intérêts classés dans 14 catégories. Par exemple, dans la catégorie « Arts », les utilisateurs peuvent choisir le dessin, le graphisme, la peinture, la poterie, etc. Comme dans le bloc Coordonnées, le paramètre global du bloc Intérêts ne peut être modifié par les utilisateurs souhaitant personnaliser la protection de la confidentialité de certains éléments.
42. Les utilisateurs peuvent aussi choisir les paramètres de confidentialité lorsqu’ils publient d’autres renseignements personnels sur leur profil d’utilisateur, notamment la liste de leurs amis, les signatures, les galeries de photos et du contenu en format libre. Dans chaque cas, le paramètre par défaut est « accessible à tous ».
43. Durant notre enquête, nous avons remarqué que l’utilisateur pouvait choisir les paramètres de confidentialité liés à sa liste d’amis. Toutefois, contrairement à ses pratiques concernant la description des autres types de renseignements personnels mentionnés ci dessus, Nexopia ne précise pas qu’il est possible de fixer ces paramètres dans sa fonction d’aide, la foire aux questions ou le guide concernant le profil d’utilisateur. Nous avons attiré l’attention de Nexopia sur cette question et elle a convenu d’apporter les changements nécessaires pour corriger ce problème.

Modifier les paramètres de confidentialité

44. En tout temps, un utilisateur peut modifier les paramètres de confidentialité par défaut et choisir ses propres paramètres (les « privacy preferences », ou préférences en matière de confidentialité, selon la terminologie employée par Nexopia).
45. Nexopia montre comment modifier les paramètres de confidentialité dans son guide de l’utilisateur intitulé Using Your Profile (Utilisation de votre profil) et dans sa foire aux questions.
46. Un utilisateur peut modifier ses préférences en matière de confidentialité de deux façons : à partir du profil d’utilisateur, en utilisant la fonction de modification du profil pour réviser et supprimer des renseignements dans les divers blocs, ou à partir de l’onglet Préférences qui se trouve au haut de chaque page du site Web.
47. Nous avons essayé les deux méthodes pour modifier les paramètres de confidentialité des profils d’utilisateurs que nous avons créés pour nos comptes de test.
48. Sous l’onglet Préférences, un grand nombre de contrôles permettent de gérer la confidentialité. Ils se trouvent sous les onglets suivants : General, My Pages et Accounts (Général, Mes pages et Comptes). Certains contrôles de confidentialité ne sont offerts qu’aux utilisateurs qui s’inscrivent au service payant spécial « Plus ».
49. Nexopia a établi les paramètres par défaut de tous les contrôles de confidentialité se trouvant dans la fonction Préférences au plus haut niveau d’accessibilité.
50. Dans l’onglet Général, les utilisateurs peuvent contrôler la publication de contenu sur les pages publiques du site, accepter seulement les messages des amis, ignorer les messages provenant de personnes qui ne font pas partie d’un groupe d’âge particulier et contrôler les paramètres utilisés pour chercher des utilisateurs.
51. Sous l’onglet Mes pages, les personnes peuvent empêcher les utilisateurs qui se trouvent sur la liste de personnes à ignorer de voir leur profil d’utilisateur, fixer le niveau d’accessibilité de leurs messages sur les blogues, contrôler les réponses aux « cris », choisir qui peut formuler des commentaires dans une section du profil de l’utilisateur et être averti quand une personne les ajoute à leur liste d’amis ou les en retire.
52. L’onglet Mes pages comprend aussi une fonction destinée à cacher le profil. Il s’agit d’une option générale qui empêche les visiteurs de voir l’ensemble du profil, sans égard aux paramètres de confidentialité particuliers fixés par l’utilisateur au niveau des blocs.
53. Lorsque cette fonction est activée, tout visiteur ou non utilisateur cherchant le profil de cet utilisateur est immédiatement dirigé vers la page d’inscription de Nexopia et doit ouvrir une session pour entrer sur le site Web.
54. Si la fonction est désactivée, l’accessibilité du profil de l’utilisateur dépend des paramètres de confidentialité particuliers que l’utilisateur a établis pour chaque bloc de renseignements dans son profil. Les renseignements « de base » du profil sont de nouveau accessibles aux utilisateurs et aux visiteurs.
55. Par défaut, cette fonction est désactivée pour que les visiteurs puissent trouver et consulter les profils des utilisateurs.
56. Sous l’onglet Comptes, les utilisateurs peuvent permettre aux autres de faire une recherche par nom réel ou par adresse électronique.
57. Les messages sur les forums sont accessibles à tous et ne peuvent être supprimés.

Avis relatifs aux paramètres de confidentialité par défaut

58. Nexopia n’a pas répondu à l’allégation des plaignants selon laquelle le site Web n’informe pas adéquatement les utilisateurs au sujet des paramètres par défaut, de la signification des divers paramètres, des objectifs de ceux-ci et de leurs répercussions sur les utilisateurs.
59. Les utilisateurs qui modifient leur profil ne reçoivent aucune explication sur la signification de chaque paramètre, sur la raison pour laquelle le paramètre « accessible à tous » est choisi ou sur les répercussions ou les risques associés au choix d’un paramètre différent. Aucun avis n’est donné avant que le choix ne soit fait et il n’y a pas de message de confirmation quand un bloc d’information est rempli.
60. Nous avons demandé à Nexopia si elle avait déjà eu recours à des fenêtres contextuelles, à des ententes par clic ou à des icônes d’aide pour expliquer les paramètres de confidentialité par défaut du site Web. Nexopia a répondu qu’elle n’avait jamais utilisé de telles techniques pour expliquer les paramètres de confidentialité ou pour tout autre enjeu relatif à la protection de la vie privée.
61. Nous avons examiné la fonction Préférences, les pages d’aide et la foire aux questions du site sans trouver de contenu informant les utilisateurs au sujet des paramètres par défaut.
62. La politique de confidentialité explique que certains renseignements personnels sont accessibles au grand public. Dans la section sur la collecte et l’utilisation de renseignements personnels par Nexopia.com, on affirme que certains renseignements personnels sont toujours accessibles aux utilisateurs et aux visiteurs :

    Vous pouvez modifier ou supprimer n’importe quelle donnée de votre profil en tout temps en ouvrant une session de votre compte et en cliquant sur les onglets « Profil » et « Préférences » dans le menu du haut, à l’exception du nom d’utilisateur, de l’âge, du sexe et du lieu de résidence, qui sont accessibles aux membres et aux visiteurs (les non membres). Vous pouvez empêcher les visiteurs (les non membres) et les utilisateurs que vous avez placés sur la liste des personnes à ignorer de consulter votre profil. En outre, vous pouvez cacher votre date de naissance. Cependant, cette information est encore utilisée pour calculer votre âge. [traduction]

63. La politique fournit quelques détails sur l’accessibilité des renseignements personnels des utilisateurs sur le site. Des menus déroulants montrent à l’utilisateur les paramètres de confidentialité par défaut du site. Par contre, la politique ne décrit pas clairement les paramètres par défaut ni les répercussions du choix d’un paramètre particulier ou d’un autre paramètre par défaut.

Tendances relatives aux paramètres de confidentialité parmi les utilisateurs de Nexopia

64. Notre analyse des statistiques fournies par Nexopia au cours de notre enquête révèle qu’une très faible proportion des utilisateurs modifie les paramètres de confidentialité par défaut des blocs Renseignements de base, Coordonnées et Intérêts.
65. Par exemple, au 5 novembre 2010, moins de 1 % des quelque 1 666 000 utilisateurs inscrits sur le site avaient changé le paramètre de confidentialité par défaut « accessible à tous » des blocs Renseignements de base ou Intérêts pour adopter un paramètre plus restrictif. D’un autre côté, pour le bloc Coordonnées, dont le paramètre par défaut est plus restrictif (« accessible aux amis »), environ 5 % des utilisateurs ont adopté un paramètre moins restrictif (qui donne une plus grande accessibilité) comme « accessible aux utilisateurs ayant ouvert une session » ou « accessible à tous ».
66. Un peu plus de 1 % des 333 000 jeunes utilisateurs inscrits (c’est-à-dire ceux qui disent avoir de 13 à 18 ans) avaient choisi un paramètre de confidentialité plus restrictif que le paramètre par défaut « accessible à tous » pour le bloc Renseignements de base, tandis que 0,5 % avaient choisi un paramètre plus restrictif pour le bloc Intérêts. Dans le bloc Coordonnées, un peu plus de 5 % des jeunes ont choisi un paramètre de confidentialité moins restrictif que le paramètre par défaut « accessible aux amis ».
67. Nexopia a émis des réserves quant à l’exactitude des renseignements fournis, car certains jeunes se donnent un âge supérieur à leur âge réel et se classent par exemple parmi les 19 à 22 ans et les 40 à 60 ans. Les statistiques ci-dessus ne tiennent pas compte de ces personnes.
68. Nexopia ne surveille pas régulièrement le nombre d’utilisateurs qui modifient les paramètres de confidentialité par défaut.

Opinions de Nexopia sur l’accessibilité des profils d’utilisateur et les paramètres de confidentialité

69. Nexopia soutient que, puisque le site existe depuis 2003, l’entreprise connaît bien les attentes raisonnables des utilisateurs liées tant à l’accessibilité de leurs renseignements personnels qu’à leurs préférences en matière de confidentialité.
70. L’entreprise affirme que son site Web est un réseau ouvert en concurrence avec d’autres sites communautaires accessibles au public sur le marché.
71. Nexopia croit que Facebook n’est pas un site de réseautage social comparable, car l’information sur Facebook est partagée avec des « amis ». Nexopia soutient que, même si environ 90 % de ses utilisateurs sont aussi sur Facebook, les sites Web ont deux fonctions très différentes : « Facebook sert à communiquer avec ses vrais amis […] tandis que Nexopia est un endroit où les gens communiquent avec leurs amis virtuels et se mettent en valeur aux yeux du monde. [traduction] »

Profils d’utilisateur

72. Nexopia fait valoir que, puisque la plupart des gens s’inscrivent au site pour profiter d’un espace public sur Internet, la possibilité pour les visiteurs de chercher et de consulter librement les profils d’utilisateurs est un élément important de l’idée que l’entreprise se fait d’une communauté ouverte.
73. Nexopia soutient aussi que la pratique qui consiste à faire la promotion de certains utilisateurs, du contenu qu’ils ont produit et de leur profil est très répandue sur les réseaux « ouverts ».
74. En se fondant sur son expérience, Nexopia affirme que les obstacles destinés à empêcher les non membres et les adultes de consulter les renseignements des jeunes ou des adultes sur les sites de réseautage social procurent un faux sentiment de sécurité. Les jeunes croyant qu’un site Web particulier est « fermé et sécuritaire » risquent en fait d’en dire plus sur leur identité et de communiquer plus de renseignements personnels.
75. En outre, Nexopia affirme que le site Web a toujours donné l’option à ses utilisateurs d’empêcher des visiteurs externes de consulter leur profil. Les utilisateurs peuvent décider de protéger leur profil contre d’autres utilisateurs inscrits à Nexopia en plaçant ceux-ci sur une liste de personnes à ignorer. De plus, deux renseignements de base — l’âge et le lieu de résidence de l’utilisateur — peuvent être modifiés; il suffit de changer une section du profil de l’utilisateur.
76. De leur côté, les plaignants font référence aux conditions d’utilisation de Nexopia. Dans la section sur les membres et l’admissibilité, le site Web se définit comme suit :

    Nexopia.com est un service de réseautage social permettant aux personnes qui s’inscrivent de devenir membres pour avoir accès aux services de Nexopia (les « membres ») et de créer un profil personnel en ligne particulier dans le but de trouver des amis et de communiquer avec eux. [traduction]

77. Les plaignants soutiennent que l’objectif ci-dessus n’oblige pas Nexopia à publier des profils d’utilisateur complets au grand public.

Paramètres de confidentialité

78. Nexopia souligne qu’en général, les sites communautaires ouverts comptent plus de jeunes et ont des paramètres par défaut moins restrictifs. L’entreprise croit que les attentes raisonnables d’un jeune utilisateur du site Web diffèrent grandement de celles d’un adulte. Des paramètres par défaut plus restrictifs empêcheraient de répondre aux attentes des jeunes.
79. Nexopia pense que le paramètre de confidentialité par défaut « accessible à tous » est celui qui convient le mieux dans le contexte d’un site communautaire ouvert. Nexopia fait de nouveau remarquer que l’utilisateur peut facilement changer le paramètre par défaut s’il désire protéger davantage un renseignement.
80. Enfin, Nexopia est d’avis qu’il serait difficile de changer sa philosophie en profondeur. L’établissement de paramètres de confidentialité par défaut plus restrictifs et la diminution de l’accessibilité des profils d’utilisateurs décimeraient la communauté de Nexopia et feraient perdre la position du site Web sur le marché.

Application de la Loi

81. Pour analyser les faits, nous avons appliqué le paragraphe 5(3) et les principes 4.3.2 et 4.3.5 de l’annexe 1 de la Loi.
82. Selon le paragraphe 5(3), une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances.
83. Le principe 4.3.2 précise que, selon le principe 4.3, il faut informer la personne au sujet de laquelle on recueille des renseignements et obtenir son consentement. Les organisations doivent faire un effort raisonnable pour s’assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de telle manière que la personne puisse raisonnablement comprendre comment les renseignements seront utilisés ou communiqués.
84. Le principe 4.3.5 déclare notamment que, dans le cadre de l’obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes. Il précise aussi que le consentement ne doit pas être obtenu par un subterfuge.

Constatations

Le 29 février 2012

85. Nexopia dit ressembler grandement à d’autres sites de réseautage de type « communauté ouverte » ou « forum ouvert » sur Internet. L’entreprise affirme que le principal objectif d’une « communauté ouverte » est de créer une plateforme pour que les personnes puissent se mettre en valeur aux yeux du monde en diffusant des poèmes, de la musique, des photos et d’autres œuvres artistiques, ainsi qu’en intervenant sur des blogues et des forums.
86. Nexopia soutient que, sur un site Web de type « communauté ouverte », les utilisateurs s’attendent à ce que le grand public puisse voir et consulter les renseignements qu’ils affichent. Nexopia informe les visiteurs à ce sujet dans sa politique de confidentialité.
87. Nexopia ajoute qu’elle comprend les véritables préférences et attentes raisonnables de ses utilisateurs relativement aux paramètres de confidentialité idéaux, et que le paramètre de confidentialité par défaut « accessible à tous » répond aux attentes raisonnables de ses utilisateurs.
88. Il est vrai que les utilisateurs inscrits à des sites Web de type « communauté ouverte » peuvent s’attendre à communiquer certains de leurs renseignements personnels au monde entier. Par contre, il faut pour cela que les utilisateurs possèdent tous les renseignements nécessaires et comprennent la nature de la communauté ouverte à laquelle ils se joignent. En outre, il faut être conscient que les utilisateurs peuvent en tout temps désirer changer la nature et la quantité des renseignements qu’ils communiquent.
89. Toutefois, une caractéristique essentielle distingue Nexopia des autres « communautés ouvertes » : l’accent est mis sur les jeunes, qui ne comprennent pas nécessairement les différences entre une communauté ouverte et un site destiné à échanger des renseignements personnels avec des amis et d’autres membres.
90. Les personnes désirant se joindre à Nexopia sont invitées à lire et à accepter les conditions d’utilisation de Nexopia, qui définissent ainsi le site Nexopia.com :

    […] service de réseautage social permettant aux personnes qui s’inscrivent de devenir membres pour avoir accès aux services de Nexopia (les « membres ») et de créer un profil personnel en ligne particulier dans le but de trouver des amis et de communiquer avec eux. Pour devenir membre, communiquer avec d’autres membres et profiter des services de Nexopia, vous devez lire et accepter ces conditions. [traduction]

91. À notre avis, ces conditions ne décrivent pas clairement Nexopia comme une « communauté ouverte », au point où les personnes désirant se joindre à Nexopia s’attendraient à échanger des renseignements personnels avec n’importe qui sur Internet. Elles parlent plutôt de communiquer avec des « amis » ou « d’autres membres » de Nexopia. Il est donc difficile de conclure que le site Web répond aux attentes de ses utilisateurs en recommandant des paramètres de confidentialité par défaut qui favorisent l’échange de renseignements personnels avec le grand public.
92. Le Commissariat a conclu antérieurement qu’il est convenable de choisir des paramètres de confidentialité à l’avance, à condition que ceux-ci soient raisonnables et que les utilisateurs soient informés adéquatement de l’incidence du choix d’un paramètre au lieu d’un autre. Dans le contexte de la plainte, nous croyons que le caractère raisonnable doit être évalué dans le contexte d’un site de réseautage social destiné aux jeunes.
93. Les services de réseautage en ligne aident les jeunes à socialiser, mais l’enregistrement de renseignements personnels sur un tel site entraîne de nombreuses conséquences du point de vue de la protection de la vie privée. Des reportages montrent fréquemment que des renseignements personnels affichés en ligne à l’intention des amis et de la famille ont été utilisés à des fins secondaires : marketing, recrutement collégial, prise de décisions en matière d’emploi, poursuites civiles et, pire, vol d’identité, cyberintimidation et harcèlement. Nous avons vu les répercussions que peuvent avoir les renseignements que publie une personne sur sa réputation, son emploi et, dans certains cas, sa sécurité.
94. Ces enjeux nous semblent particulièrement importants en ce qui a trait aux jeunes, car les communications en ligne prennent de plus en plus de place dans leur vie sociale. Par contre, certains jeunes n’ont pas assez de connaissances et d’expérience pour évaluer et gérer efficacement les risques que pose à la vie privée le fait de dévoiler en ligne des renseignements personnels.
95. Les recherches révèlent qu’un certain nombre de facteurs influence le comportement des jeunes en ligne en ce qui a trait à la vie privée. Du point de vue du développement, les jeunes divulguent des renseignements personnels pour s’exprimer, donner une image positive d’eux-mêmes et créer des liens avec des amis du monde réel^{Note de bas de page 3}. Pour atteindre ces buts, ils révèlent souvent des renseignements personnels sensibles en ligne. Les renseignements personnels peuvent aussi être communiqués pour s’inscrire à des services en ligne, obtenir des avantages (p. ex. des prix, des points à un jeu et des jeux-questionnaires), ou tout simplement parce qu’un site possède un champ où l’on peut entrer de l’information^{Note de bas de page 4}.
96. Par ailleurs, la technologie et la conception de certains sites de réseautage social incitent les jeunes à penser que les activités en ligne sont privées^{Note de bas de page 5}.
97. Trop souvent sur les sites de réseautage social, les paramètres par défaut font en sorte que le public peut consulter les renseignements personnels. Il faut alors faire un effort conscient pour que les renseignements redeviennent personnels. Cependant, de nombreux jeunes ne sont pas pleinement conscients de la nature ouverte et permanente des renseignements publiés en ligne. Ils ne savent pas non plus dans quelle mesure ces renseignements pourront éventuellement être consultés, communiqués et utilisés pour les embarrasser ou leur nuire.
98. Même si les jeunes comprennent les risques posés à la vie privée, ils ne sauront peut-être pas comment les atténuer. Par exemple, ils ne comprennent pas toujours les répercussions des paramètres de confidentialité et la façon de s’en servir, surtout si ces paramètres sont dispersés sur le site Web et désignés par des noms qui portent à confusion.
99. Par conséquent, les enjeux relatifs à la protection de la vie privée des jeunes en ligne constituent une priorité à l’échelle nationale et internationale, comme le démontrent les préoccupations soulevées à cet égard par les commissaires et les ombudsmans à la protection de la vie privée du Canada^{Note de bas de page 6} et les organismes internationaux de protection des données, qui ont décidé de travailler ensemble pour garantir aux jeunes l’accès à un environnement en ligne sécuritaire où leur vie privée est respectée.
100. En ce qui concerne nos préoccupations à l’égard de la protection de la vie privée des jeunes, nous savons que l’Union européenne travaille à l’adoption de principes pour des réseaux sociaux plus sûrs (RSPS^{Note de bas de page 7}). Il s’agit d’un projet de collaboration entre les fournisseurs de services de réseautage social, la Commission européenne (la « Commission »), des organisations non gouvernementales et d’autres parties intéressées. Ces principes offrent aux fournisseurs une démarche d’autoréglementation qui vise à atteindre un équilibre entre les avantages d’Internet et la gestion des risques éventuels qu’il pose pour les enfants et les jeunes en ligne.
101. Les sept principes pour des RSPS font partie du Programme pour un Internet plus sûr de la Commission. Le troisième principe, dont l’objectif est de rendre les utilisateurs autonomes grâce aux outils et à la technologie, est particulièrement intéressant dans le cadre de notre enquête, car il vise à « minimiser le risque de communication inappropriée ou indésirable entre des enfants, des jeunes et des adultes^{Note de bas de page 8} ».
102. Les mesures mentionnées au troisième principe pour des RSPS comprennent les suivantes :
     1. faire en sorte que les profils privés des utilisateurs de moins de 18 ans ne soient pas interrogeables;
     2. établir le paramètre par défaut des profils d’utilisateurs complets ou des listes de contacts approuvés par l’utilisateur à « privé » si celui-ci a moins de 18 ans;
     3. créer un profil d’utilisateur « privé » pour que l’on ne puisse pas consulter le profil d’un utilisateur ou communiquer avec lui, sauf si l’on fait partie de ses « amis », bien que les utilisateurs puissent choisir le paramètre public ou un paramètre équivalent plus tard.
103. Le passage à des réseaux sociaux plus sûrs pour les jeunes doit aussi être étudié en tenant compte du fait que les jeunes qui s’inscrivent à des sites de réseautage social sont de plus en plus jeunes, et qu’ils ont tendance à diffuser des renseignements personnels sur des profils accessibles au public.
104. En avril 2011, le réseau UE Kids Online a publié les résultats d’un sondage mené auprès de 25 000 jeunes européens concernant leur utilisation des sites de réseautage social (SRS)^{Note de bas de page 9}.
105. Le sondage examine l’autoévaluation de leurs capacités à utiliser les paramètres de confidentialité. Un peu plus de la moitié des 11 et 12 ans savent comment modifier leurs paramètres de confidentialité. Cette proportion passe aux trois quarts parmi les 15 et 16 ans. La capacité de gérer les paramètres de confidentialité varie en fonction des sites examinés. Étant donné qu’une minorité substantielle de jeunes utilisateurs ne semblent pas être en mesure de manier leurs paramètres de confidentialité, il est possible que ceux dont le profil est public (ou « accessible à tous » sur Nexopia) n’aient pas fait ce choix délibérément^{Note de bas de page 10}.
106. Il est particulièrement préoccupant de constater que les jeunes sont plus susceptibles d’afficher des renseignements personnels si leur profil d’utilisateur est public que s’il est privé. Un autre résultat inquiétant est qu’un cinquième des sondés dont le profil est public a affiché son adresse et son numéro de téléphone. C’est deux fois plus que parmi les enfants dont le profil est privé^{Note de bas de page 11}.
107. Compte tenu des circonstances spéciales liées aux jeunes utilisateurs et à la protection de la vie privée, nous avons de la difficulté à conclure qu’une personne raisonnable considérerait qu’il est approprié que Nexopia choisisse préalablement des paramètres invitant ses utilisateurs à dévoiler des renseignements personnels, parfois très sensibles, de façon à ce que le monde entier puisse les voir sur Internet. Par conséquent, dans ce contexte, nous jugeons que les fins invoquées par Nexopia pour choisir préalablement le paramètre de confidentialité « accessible à tous » sont inappropriées et contreviennent au paragraphe 5(3) de la Loi.
108. Notre enquête a aussi révélé que Nexopia n’informe pas suffisamment ses utilisateurs au sujet des paramètres de confidentialité et n’explique pas adéquatement les différences entre les divers paramètres, leurs objectifs et leurs répercussions sur les utilisateurs. La fonction Préférences du site, ses pages d’aide et les questions souvent posées ne renseignent pas les utilisateurs sur les paramètres de confidentialité. Notre examen de la politique de confidentialité de Nexopia révèle que le site Web ne décrit pas ses paramètres par défaut ni les répercussions du choix d’un paramètre particulier ou d’un autre paramètre par défaut.
109. C’est pourquoi, à notre avis, on ne peut considérer que Nexopia fait un effort raisonnable pour informer les utilisateurs sur la façon dont leurs renseignements personnels sont diffusés selon les divers paramètres, comme l’exige le principe 4.3.2 de l’annexe 1 de la Loi.
110. Nexopia pourrait donner plus d’information au sujet des paramètres et des préférences en matière de confidentialité qui sont en place afin que les utilisateurs puissent prendre des décisions éclairées concernant le contrôle de l’accès à leurs renseignements personnels. Nous croyons que chaque utilisateur devrait décider activement s’il désire que ses renseignements personnels soient accessibles à une grande quantité de personnes sur Internet.
111. On devrait s’attendre à ce que les utilisateurs choisissent le paramètre « accessible à tous », en sachant parfaitement ce que cela implique et en connaissant les répercussions de ce choix par rapport aux paramètres plus restrictifs. Des paramètres par défaut plus restrictifs, jumelés à une plus grande quantité d’information offerte aux utilisateurs et transmise d’une manière adaptée à des jeunes, permettraient d’atteindre un juste équilibre entre les avantages que procurent le réseautage social et la protection de la vie privée. En outre, le principe 4.3.2 serait mieux respecté.
112. Sur une note plus positive, nous félicitons Nexopia d’avoir adopté le paramètre de confidentialité par défaut « accessible aux amis » plutôt qu’« accessible à tous » pour le bloc Coordonnées. Nous approuvons sans réserve la possibilité offerte actuellement aux utilisateurs de Nexopia de personnaliser les contrôles de confidentialité relatifs à certains renseignements précis de leur profil d’utilisateur (p. ex. ceux qui affectent les signatures, les galeries de photos et le contenu en format libre). Nexopia devrait même donner des options pour personnaliser le contrôle d’un plus grand nombre de renseignements personnels que les utilisateurs voudraient communiquer à un auditoire restreint seulement. À notre avis, les utilisateurs s’attendraient raisonnablement à mieux contrôler la quantité et la nature des renseignements qu’ils décident de rendre accessibles au public.
113. Notre enquête a révélé que, même si les utilisateurs choisissent des paramètres de confidentialité plus restrictifs pour leur profil d’utilisateur, comme « accessible aux amis » et « inaccessible », leurs renseignements « de base » et les photos de leur profil demeurent accessibles aux visiteurs et à d’autres utilisateurs par le l’entremise de moteurs de recherche, dont celui de Nexopia, sauf si l’utilisateur active la fonction permettant de cacher le profil. Soulignons que cette fonction n’est pas activée par défaut et n’est pas facilement visible, ou parfaitement expliquée, aux utilisateurs.
114. Nous considérons que les attentes raisonnables des utilisateurs, surtout ceux qui ont clairement indiqué qu’ils préféraient échanger moins de renseignements, ne sont pas respectées quand on rend une partie du profil accessible à quiconque sur Internet. À cet égard, nous croyons que Nexopia ne respecte pas les attentes des utilisateurs au sens du principe 4.3.5, car elle favorise la communication à grande échelle des renseignements « de base » et des photos du profil à l’extérieur de la communauté de Nexopia et, globalement, en ne permettant pas aux utilisateurs de choisir activement les renseignements qui seront accessibles au grand public.
115. Enfin, contrairement à ce qu’affirme Nexopia, notre échantillon des adresses électroniques de 100 nouveaux utilisateurs a révélé qu’un nombre substantiel d’entre elles comprenaient le nom réel, complet ou partiel, des utilisateurs. Le paramètre par défaut actuel permettant aux visiteurs de chercher des utilisateurs par adresse électronique est contraire au paramètre de confidentialité « accessible aux amis » adopté par Nexopia pour les adresses électroniques et les noms d’utilisateurs dans le bloc Coordonnées^{Note de bas de page 12}. Cette contradiction apparente sera vraisemblablement résolue par l’application des recommandations formulées dans la présente section qui portent sur la possibilité d’interroger des profils d’utilisateurs et sur les paramètres de confidentialité par défaut.

Recommandations et réponse

Recommandations

116. Dans notre rapport d’enquête préliminaire, nous avons recommandé que Nexopia :

     Recommandation 1

     Change le paramètre de confidentialité par défaut de son site Web à « accessible aux amis » pour tous les nouveaux utilisateurs qui s’inscrivent.

     Recommandation 2

     Informe les utilisateurs actuels au sujet des options de confidentialité (en faisant un lien avec les renseignements pertinents sur le site Web) et les oblige à accepter leurs paramètres actuels ou à en choisir d’autres.

     Recommandation 3

     Veille à ce que les utilisateurs dont les paramètres de confidentialité sont établis à « accessible aux amis » et à « inaccessible » ne puissent faire l’objet d’une requête par des moteurs de recherche externes ou le moteur intégré de Nexopia.

     Recommandation 4

     Fasse en sorte que les utilisateurs dont les paramètres de confidentialité sont établis à « accessible aux utilisateurs ayant ouvert une session » ne puissent faire l’objet d’une requête par des moteurs de recherche externes et ne soient interrogeables que par d’autres utilisateurs de Nexopia qui ont ouvert une session sur le site et qui utilisent le moteur de recherche intégré de Nexopia.

     Recommandation 5

     S’assure que tous les utilisateurs puissent contrôler, grâce aux paramètres de confidentialité, toutes les catégories de renseignements personnels, y compris les renseignements « de base » et les photos du profil. Autrement dit, le contrôle devrait être accordé au niveau de chaque renseignement plutôt qu’au niveau des blocs, et ce, tant aux nouveaux utilisateurs qu’aux utilisateurs actuels.

     Recommandation 6

     Explique, en utilisant un vocabulaire et des moyens adaptés à son noyau d’utilisateurs, les paramètres de confidentialité disponibles et les répercussions du choix de chaque paramètre.

Réponse

117. Nexopia a accepté d’appliquer la recommandation 1 en adoptant le paramètre de confidentialité par défaut « accessible aux amis » pour tous les nouveaux utilisateurs. Le changement sera effectué d’ici le 30 juin 2012.
118. En réponse à la recommandation 2, Nexopia a expliqué qu’il lui est impossible d’envoyer des messages personnalisés à ses utilisateurs actuels en fonction de leurs paramètres de confidentialité particuliers.
119. Toutefois, Nexopia a accepté de faire le point sur les paramètres et les préférences de confidentialité avec tous ses utilisateurs. L’entreprise a confirmé qu’en ouvrant le message, les utilisateurs seront dirigés vers un examen complet des paramètres et des préférences en matière de confidentialité et des options qui leur sont offertes. Ils seront ensuite dirigés vers la section appropriée du site Web pour examiner leurs paramètres et modifier leur profil. Nous avons demandé à Nexopia de veiller à ce que cette solution soit complète et tienne compte d’une situation où un utilisateur actuel déciderait d’ignorer le message. Nexopia a accepté d’appliquer la recommandation 2 d’ici le 30 septembre 2012.
120. En ce qui a trait à la recommandation 3, Nexopia a accepté de changer le paramètre par défaut de sa fonction permettant de cacher le profil pour les nouveaux utilisateurs, afin que les visiteurs ne soient pas en mesure de chercher des profils d’utilisateurs, sauf si les utilisateurs décident eux-mêmes de désactiver cette fonction générale. Le site Web a aussi accepté de rendre la fonction plus visible et de fournir des renseignements clairs sur son fonctionnement.
121. Nexopia a affirmé qu’il serait difficile d’adopter la recommandation 3 et d’établir le paramètre par défaut pour la fonction visant à cacher le profil des comptes actuels en fonction des paramètres par défaut des profils des utilisateurs. Des utilisateurs dévoilent certains blocs d’information au public et en cachent d’autres. D’autres profils sont délibérément établis comme des pages publiques.
122. Nous avons suggéré à Nexopia d’adopter la même approche pour la fonction qui permet de masquer le profil que celle que le site Web s’est engagé à appliquer pour les paramètres de confidentialité et pour les préférences, c’est-à-dire une mise à jour destinée à l’ensemble des utilisateurs actuels, les invitant à lire un survol exhaustif de la fonction, de la façon de s’en servir, des répercussions liées au choix de chaque option; Nexopia devrait aussi leur demander de confirmer le paramètre choisi. Nous avons demandé à Nexopia de veiller à ce que la proposition adoptée fasse en sorte que les utilisateurs actuels soient tenus de donner leur consentement pour que leurs profils soient accessibles au public. Nexopia a dit qu’elle se conformerait à la recommandation d’ici le 30 septembre 2012.
123. Â Nexopia a également accepté d’adopter la recommandation 4 d’ici le 20 septembre 2012. L’entreprise fait valoir que le paramètre par défaut « accessible aux utilisateurs ayant ouvert une session » ne peut être choisi que pour certains volets du profil d’utilisateur. Elle a proposé une solution selon laquelle l’adoption d’un paramètre pour certains blocs du profil d’utilisateur déclencherait la fonction permettant de cacher le profil.
124. Pour ce qui est de la recommandation 5, Nexopia explique que l’architecture du site Web fait en sorte que les renseignements « de base » et les photos font partie de tous les profils, ce qui assure une cohérence tant pour l’oeil que pour la navigation. Le développement de mécanismes de contrôle granulaires de la confidentialité de ces renseignements exigerait des ressources considérables et un investissement que le site Web n’est pas disposé à faire en ce moment.
125. Toutefois, puisque Nexopia s’est engagé à activer la fonction cachant le profil des nouveaux utilisateurs, à rendre cette fonction plus visible et à fournir aux utilisateurs actuels des renseignements clairs sur le fonctionnement de cette fonction, et puisque les utilisateurs peuvent choisir de ne pas inclure d’images dans leur profil, nous croyons que ces derniers seront mieux en mesure de décider si leurs renseignements personnels (y compris les renseignements personnels « de base » et les photos des profils) seront disponibles à quiconque navigue sur Internet. Par conséquent, nos préoccupations soulevées à la recommandation 5 ont été résolues en grande partie.
126. Nous encourageons fortement Nexopia à poursuivre la révision de ses pratiques liées aux photos des profils et à envisager la possibilité de fournir aux utilisateurs des mécanismes de contrôle granulaires de ces éléments.
127. Dans le but de se conformer à la recommandation 6, Nexopia a accepté d’ajouter une page à la section d’aide pour décrire les paramètres et les préférences en matière de confidentialité du site Web, ainsi que les répercussions des choix qui sont faits à cet égard. Nous avons demandé à Nexopia de veiller à ce que la page décrive les paramètres et les préférences de façon neutre et objective, c’est-à-dire en évitant d’encourager l’adoption d’une préférence ou d’un paramètre plutôt qu’un autre. Nexopia a accepté de répondre entièrement à notre demande d’ici le 30 juin 2012.

Conclusions

128. Nous sommes convaincus qu’une fois mises en application, les mesures correctives proposées par Nexopia ci dessus répondront à nos recommandations. L’entreprise s’engage à démontrer qu’elle mettrait en œuvre ces mesures dans les délais précisés ci dessus. Par conséquent, nous concluons que les allégations à cet égard sont fondées et résolues sous conditions.

Section 2

Fins de la collecte et de la communication de renseignements personnels et consentement à ces fins

Allégations

Renseignements personnels

1. Le Centre pour la défense de l’intérêt public (CDIP) affirme que la définition de « renseignement personnel » utilisée par Nexopia ne correspondrait pas à celle énoncée dans la Loi.
2. En particulier, il soutient que la définition donnée par Nexopia pour les données du profil, selon laquelle ces données ne constitueraient pas des « renseignements personnels », entrerait en conflit avec la définition de « renseignement personnel » figurant au paragraphe 2(1) de la Loi. Il soutient que le poids, la taille, l’orientation sexuelle et les intérêts de l’utilisateur sont clairement des renseignements se rapportant à un individu identifiable et que, lorsqu’ils sont associés à un utilisateur précis, ils répondent à la définition de « renseignement personnel » contenue dans la Loi.

Explication des fins et obtention du consentement

3. Le CDIP allègue aussi que Nexopia n’informerait pas adéquatement les utilisateurs éventuels des fins de la collecte, de l’utilisation et de la communication subséquente de leurs renseignements personnels recueillis au moment de l’inscription. Par conséquent, des utilisateurs éventuels n’ont pas donné un consentement valable à ces fins.
4. À titre d’exemple, les plaignants font référence au résumé de conclusions d’enquête no 2009-008, Rapport de conclusions de l’enquête menée à la suite de la plainte déposée par la Clinique d’intérêt public et de politique d’Internet du Canada (CIPPIC) contre Facebook Inc. (« CIPPIC c. Facebook Inc. »)^{Note de bas de page 13}, dans lequel la commissaire à la protection de la vie privée affirme qu’il est approprié et raisonnable de demander la date de naissance des utilisateurs aux fins :

   […] d’appliquer la politique d’âge minimum requis du site afin de protéger la sécurité des mineurs; […] d’assurer que les utilisateurs recourent à leur véritable identité sur le site afin de réduire l’incidence de contenu et de comportements inappropriés et de promouvoir un environnement sécuritaire et respectueux à l’endroit de tous les utilisateurs.

5. De plus, selon le CDIP, la politique de confidentialité de Nexopia n’indiquerait pas aux utilisateurs les fins particulières auxquelles servent la collecte, l’utilisation et la communication de leurs renseignements personnels.
6. En ce qui a trait au le consentement, le CDIP déclare que la langue utilisée dans la politique de confidentialité de Nexopia devrait être comprise des jeunes et adaptée à eux, si l’on veut obtenir un consentement valable.
7. Toujours au sujet du consentement, le CDIP soutient que les utilisateurs de Nexopia ne devraient pas avoir à permettre la communication au public par Internet des renseignements qu’ils ont fournis au moment de leur inscription, afin de pouvoir utiliser le site Web. La communication par Nexopia de leurs renseignements de cette façon ne fait pas partie des attentes raisonnables des utilisateurs.
8. Le CDIP est d’avis qu’étant donné que le site Nexopia compte des utilisateurs qui n’ont pas l’âge requis pour accéder au site et que les adolescents y ont accès, il devrait vérifier l’âge des utilisateurs éventuels et avoir des mécanismes de contrôle liés aux groupes d’âge pour limiter les interactions sur le site, comme c’est le cas pour tout réseau social « raisonnable ».
9. Enfin, il soutient que l’engagement de Nexopia à protéger la vie privée des mineurs serait trompeur, puisqu’un « mineur », selon la loi, désigne une personne qui n’a pas atteint l’âge de la majorité et qu’il ne s’agit pas simplement d’une personne ayant moins de 13 ans (âge minimum pour s’inscrire à Nexopia).

Résumé de l’enquête

Définition de « renseignement personnel » utilisée par Nexopia

10. La politique de confidentialité de Nexopia définit « renseignement personnel » comme suit :

    Lorsque vous ouvrez un compte, Nexopia.com recueille les renseignements d’identification que vous lui fournissez (renseignements personnels), notamment votre nom, adresse électronique, nom d’utilisateur (que vous créez), sexe (genre), lieu de résidence et âge. [traduction]

11. En continuant dans la même section, on peut y lire :

    […] vous pouvez fournir et afficher des données de profil additionnelles (« Profile Data » ou données du profil), telles que votre poids, taille, sexualité (c. à d. orientation sexuelle), situation amoureuse et conditions de vie, ainsi que des renseignements liés à vos intérêts dans l’onglet « Profil ». Vous pouvez également afficher des photos. Les données du profil ne sont pas des renseignements personnels recueillis par Nexopia. [traduction]

12. Nexopia répond que dans sa politique de confidentialité, le site s’efforce de distinguer les renseignements personnels qu’elle recueille auprès des personnes au moment de leur inscription (c. à d. les renseignements obligatoires pour devenir membre) des renseignements personnels que l’utilisateur fournit volontairement quand il le désire, par exemple, créer ou modifier son profil, ou participer à des blogues.

    Explication des fins de la collecte des renseignements personnels au moment de l’inscription

13. À l’égard de l’âge, Nexopia soutient qu’il recueille les renseignements d’identification fournis par l’utilisateur au moment de son inscription sur le site, dont l’âge^{Note de bas de page 14}.
14. La politique de confidentialité de Nexopia justifie la collecte du renseignement portant sur l’âge de l’utilisateur dans la section « Our Commitment to your Privacy » (Notre engagement à protéger vos renseignements personnels) :

    Nous nous engageons particulièrement à protéger les renseignements personnels des mineurs. Pour cette raison, nous refuserons d’ouvrir un compte à une personne âgée de moins de 13 ans […]

    Pour les personnes ayant de 13 à 18 ans, nous exigeons le consentement des parents ou du tuteur avant qu’elles puissent ouvrir un compte; nous nous réservons le droit de vérifier si ce consentement a bel et bien été donné. [traduction]

15. Nexopia explique que le site Web recueille la date de naissance de l’utilisateur pour faire respecter sa politique relative à l’âge minimum requis pour avoir accès au site. De plus, cette donnée sert à indiquer automatiquement la tranche d’âge de l’utilisateur; elle permet aussi à ce dernier de préciser les utilisateurs qui peuvent communiquer avec lui, qui peuvent faire l’objet de recherches ou dont il veut consulter la page, et, de ce fait, d’ignorer les autres. Nous remarquons que la politique de confidentialité n’est pas explicite sur les fins de la collecte de cette donnée.
16. La plainte porte aussi sur la politique de confidentialité et la collecte d’autres renseignements personnels d’identification au moment de l’inscription. Les plaignants affirment que Nexopia ne précise pas pourquoi ces renseignements doivent être recueillis afin de permettre aux utilisateurs d’avoir accès au site Web. En outre, le site n’explique pas du tout que cette information peut servir à des fins de recherche par d’autres utilisateurs ou des visiteurs du site.
17. Sur la page d’inscription « Join Nexopia » (Joignez-vous à Nexopia), l’éventuel utilisateur du site doit fournir les renseignements suivants :
    1. nom d’utilisateur (un nom unique créé par la personne);
    2. mot de passe (créé par la personne);
    3. adresse électronique;
    4. adresse électronique retapée;
    5. lieu où se trouve la personne (par défaut, indication de « world » (monde);
    6. date de naissance (mois/jour et année à partir de listes déroulantes);
    7. sexe (genre).
18. Nos tests ont révélé que lorsqu’on entre des renseignements obligatoires, le site cherche à vérifier si le nom d’utilisateur a déjà été choisi, si le mot de passe est sécuritaire et si l’adresse électronique est valide.
19. Juste au-dessus du bouton « Join » (Joignez-vous), la personne qui s’inscrit est informée de ce qui suit : « En cliquant sur le bouton « Joignez-vous », vous acceptez les conditions d’utilisation. [traduction] » Elle a accès au lien vers les conditions d’utilisation, mais elle n’est pas obligée d’ouvrir le lien afin de devenir membre.
20. Après avoir cliqué sur « Joignez-vous », la personne reçoit une confirmation d’inscription qui indique qu’un courriel a été envoyé à l’adresse fournie au moment de l’inscription et qu’il contient un lien sur lequel elle devra cliquer pour activer le compte.
21. Une fois le compte vérifié, on souhaite la bienvenue à l’utilisateur à l’aide d’un écran d’accueil qui confirme son adhésion et l’invite à regarder qui est membre. L’écran contient aussi une fonction qui permet à l’utilisateur de vérifier s’il a des amis sur Nexopia et d’en ajouter.
22. Nexopia n’est pas d’accord avec l’allégation des plaignants selon laquelle le site Web n’indique pas les fins et les raisons de la collecte de renseignements personnels. Sa position, particulièrement en ce qui concerne le processus d’inscription, est que le site Web est conforme aux normes de l’industrie.
23. Selon les plaignants, un lien menant aux conditions d’utilisation du site Web est fourni sur la page d’inscription, juste au-dessus du bouton « Joignez-vous ». La politique de confidentialité est accessible seulement si l’on clique sur le lien figurant dans les conditions d’utilisation.
24. Toutefois, nous avons constaté qu’il s’agit d’un tableau incomplet. Même s’il n’y a pas de lien direct vers la politique de confidentialité à côté du lien menant aux conditions d’utilisation et du bouton « Joignez-vous », nous avons pu avoir accès à la politique de confidentialité en faisant défiler vers le bas de la page d’inscription et en cliquant sur l’onglet de la politique de confidentialité, qui se trouve au bas de chaque page du site Web.

Consentement à la collecte, à l’utilisation ou à la communication de renseignements personnels

25. Dans ses observations et lors des discussions avec le Commissariat, Nexopia a reconnu la nécessité d’améliorer sa politique de confidentialité. Ce faisant, l’entreprise admet que le document révisé en 2008 a été rédigé par des avocats et que la langue utilisée pour informer les utilisateurs de leur droit à la vie privée n’est pas tout à fait adaptée aux jeunes.
26. Selon le point de vue de Nexopia, les fenêtres contextuelles, les ententes par clic et les icônes d’aide et sur la vie privée rendent pénible l’expérience de l’utilisateur. Le site Web affirme qu’il utilisait auparavant des cases que l’utilisateur devait cocher lors de son inscription pour donner son consentement et s’engager à respecter les conditions d’utilisation, la politique de confidentialité et les restrictions relatives à l’âge, mais cette méthode a par la suite été éliminée. Nexopia soutient que ces cases dérangeaient les demandeurs qui les ignoraient et ne comprenaient pas pourquoi ils n’arrivaient pas à s’inscrire.
27. Nexopia allègue que lorsqu’il a éliminé le système des cases à cocher, le pourcentage de personnes qui se sont inscrites avec succès a triplé. Le site Web soutient que les services de réseautage social ne peuvent se permettre de subir les effets négatifs qui découlent des restrictions mises à l’adhésion afin de faire connaître à tout prix les politiques de confidentialité.
28. Nexopia ajoute que lorsqu’il déployait davantage d’efforts pour encourager les utilisateurs à lire sa politique de confidentialité et à la respecter, le nombre d’utilisateurs qui se conformaient était en fait presque nul. Selon son expérience, les politiques de confidentialité et les autres règlements des sites doivent être facilement accessibles aux utilisateurs, mais ne peuvent leur être imposés.
29. La politique de confidentialité de Nexopia est accessible au moyen d’un lien au bas de chaque page du site Web. L’entreprise affirme que c’est une pratique courante dans l’industrie et qu’elle est connue des utilisateurs des sites de réseautage social.

Vérification de l’âge et du consentement parental

Vérification de l’âge

30. Les plaignants soutiennent que ce qu’on appelle une collecte, une utilisation ou une communication de renseignements personnels « raisonnable » doit tenir compte de l’âge de la personne, du moins lorsque celle-ci a moins de 18 ans.
31. Les plaignants recommandent d’établir des niveaux de consentement selon l’âge lors de l’élaboration d’une approche « raisonnable » pour le traitement des renseignements personnels des jeunes utilisateurs.
32. Nexopia confirme qu’il a changé l’âge minimum, le faisant passer de 14 à 13 ans à la fin de 2008, car c’était la norme de l’industrie. Le site Web explique que dans presque tous les cas où des utilisateurs n’ayant pas l’âge requis avaient indiqué avoir 13 ans ou moins dans leur profil, ils avaient créé leur compte dans la tranche d’âge 14-18 ans ou 60 ans et plus.
33. Nexopia affirme que bien qu’il se soit appliqué à interdire l’accès aux utilisateurs n’ayant pas l’âge requis, il est d’avis que de nombreux jeunes mentent au sujet de leur âge. Dans le passé, des contrôles plus stricts pour empêcher les jeunes de s’inscrire faisaient en sorte qu’ils déclaraient avoir 18 ans ou plus. Certains utilisateurs indiquaient avoir 60 ans (l’âge maximum permis sur le site) afin d’éviter les restrictions relatives à l’âge. Nexopia reconnaît que la vérification de l’âge est un problème à l’échelle de l’industrie, auquel on n’a pas encore trouvé de solution.
34. Les versions abrégée et complète des conditions d’utilisation, ainsi que la politique de confidentialité affichées sur le site Web indiquent clairement que l’âge minimum requis pour s’inscrire est 13 ans et qu’il faut le consentement des parents ou du tuteur si la personne a de 13 à 18 ans.
35. Notre enquête nous a cependant permis de constater que ces déclarations explicites sont accessibles seulement sur la page d’inscription, au moyen d’un lien direct aux conditions d’utilisation et d’un lien indirect à partir des conditions vers la politique de confidentialité, ou en passant par l’onglet de la politique de confidentialité, au bas de la page. Les personnes désirant s’inscrire ne sont pas obligées de confirmer, dans le cadre d’un processus plus actif — comme une entente par clic, une fenêtre contextuelle ou tout autre mécanisme —, qu’elles sont conscientes de la restriction relative à l’âge.

Application de l’âge minimum

36. Nexopia repère les utilisateurs qui n’ont pas l’âge requis en recourant à deux grandes méthodes :
    1. l’utilisateur affiche cette information sur son profil, dans un blogue ou dans un commentaire à un autre utilisateur, et cela est découvert par l’administrateur du site ou est rapporté par un autre utilisateur au moyen du lien « Report Abuse » (Signaler les irrégularités);
    2. l’utilisateur qui n’a pas l’âge requis ou le parent d’un tel utilisateur communique avec l’entreprise. Pour ce faire, il doit utiliser le lien « Contact Admin » (Communiquer avec l’administrateur) figurant au bas de chaque page du site Web.
37. Après avoir cliqué sur le lien « Help » (Aide), au bas de chaque page du site Web, on est dirigé vers une section appelée « Reporting of Abuse » (Signalement d’irrégularités), qui indique aux utilisateurs comment faire état d’irrégularités concernant Nexopia. Le site exige que les personnes qui dénoncent des utilisateurs qui n’ont pas l’âge requis fournissent des preuves de ce qu’elles avancent.
38. Nexopia explique que les parents des jeunes n’ayant pas l’âge requis peuvent informer le site Web que leur enfant est trop jeune. L’entreprise gèle alors le compte immédiatement. De cette façon, le nom d’utilisateur et l’adresse électronique ne peuvent plus être utilisés. Selon Nexopia, cette mesure freine les utilisateurs fautifs qui pourraient essayer de se réinscrire.
39. Nexopia compte sur son personnel et les modérateurs bénévoles pour repérer les contrevenants et appliquer sa politique relative à l’âge minimum. Ces modérateurs autorisés surveillent le site pour s’assurer que les utilisateurs respectent les conditions d’utilisation et le code de conduite. Ils doivent suivre un programme de formation et leurs compétences sont évaluées pour ce qui est de repérer le contenu inacceptable. Les modérateurs chevronnés encadrent les modérateurs ayant moins d’expérience.
40. Dans le cadre de notre enquête, nous avons assisté à une démonstration et à une explication détaillées des fonctions du modérateur de Nexopia et celles associées au signalement d’irrégularités, lors d’une visite effectuée en avril 2010 dans les bureaux de Nexopia.

Consentement parental

41. Nexopia affirme que l’absence de mécanisme pour vérifier le consentement parental est un problème à l’échelle d’Internet et qu’il dépasse la portée de son site Web. L’entreprise déclare qu’elle suit actuellement les normes de l’industrie à cet égard, mais n’explique pas ce qu’elle veut dire par là.
42. Selon nos tests, il n’y a pas de champ obligatoire à la page d’inscription pour indiquer les coordonnées des parents ou du tuteur (p. ex. un numéro de téléphone ou une adresse électronique), si la personne a déclaré avoir entre 13 à 18 ans.
43. Nous n’avons pas trouvé non plus à la page d’inscription (p. ex. près du bouton pour devenir membre) de déclaration relative au consentement parental.
44. Toutefois, la politique de confidentialité, ainsi que les versions abrégée et complète des conditions d’utilisation, indiquent toutes que le consentement des parents ou du tuteur est requis pour devenir membre lorsque l’adhérent est âgé de 13 à 18 ans. La politique de confidentialité précise que le site Web se réserve le droit de vérifier le consentement.
45. Si le parent ou le tuteur d’un jeune utilisateur informe Nexopia que ce dernier n’a pas sa permission pour fréquenter le site Web, le compte est immédiatement gelé et l’utilisateur en est informé. Nexopia offre aussi de bannir l’adresse IP afin que le jeune ne soit plus en mesure de se créer un compte à partir de la maison. L’entreprise estime cependant qu’il y a un risque étant donné que les adresses IP dynamiques peuvent rendre leur suivi difficile et que les jeunes utilisateurs peuvent réessayer d’avoir accès au site à l’extérieur de la maison.

Application de la Loi

46. Pour analyser les faits, nous avons appliqué le paragraphe 2(1), ainsi que les principes 4.2, 4.2.3, 4.3, 4.3.2, 4.3.3 et 4.3.6 de l’annexe 1 de la Loi.
47. Le paragraphe 2(1) définit l’expression « renseignement personnel » comme « tout renseignement concernant un individu identifiable, à l’exclusion du nom et du titre d’un employé d’une organisation et des adresse et numéro de téléphone de son lieu de travail ».
48. Selon le principe 4.2, les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées par l’organisation avant la collecte ou au moment de celle-ci.
49. Selon le principe 4.2.3, il faudrait préciser à la personne auprès de laquelle on recueille des renseignements, avant la collecte ou au moment de celle-ci, les fins auxquelles ils sont destinés.
50. Selon le principe 4.3, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire.
51. Le principe 4.3.2 précise que, selon le principe 4.3, il faut informer la personne au sujet de laquelle on recueille des renseignements et obtenir son consentement. Les organisations doivent faire un effort raisonnable pour s’assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon à ce que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués.
52. Selon le principe 4.3.3, une organisation ne peut pas, pour accepter de fournir un bien ou un service, exiger d’une personne qu’elle consente à la collecte, à l’utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires à des fins légitimes et explicitement indiquées.
53. Enfin, selon le principe 4.3.6, le consentement peut être donné par un représentant autorisé (détenteur d’une procuration, tuteur).

Constatations

Le 29 février 2012

54. À notre avis, la phrase « Profile Data is not personal information collected by Nexopia » (Les données du profil ne sont pas des renseignements personnels recueillis par Nexopia), qui figure dans la politique de confidentialité de Nexopia, porte à confusion, car les membres pourraient penser que le contenu affiché dans le profil de l’utilisateur ne constitue pas des renseignements personnels en vertu du paragraphe 2(1) de la Loi. Nexopia précise que la référence aux données du profil vise à établir une distinction entre, d’une part, les renseignements personnels que le site exige de ses nouveaux utilisateurs et qu’il recueille activement lors du processus d’inscription et, d’autre part, ceux que les utilisateurs affichent volontairement sur le site dans le but de les partager avec les autres.
55. Toutefois, nous sommes préoccupés par le fait que les utilisateurs pourraient penser que ce passage signifie que le contenu affiché dans leur profil ne constitue pas des renseignements personnels. C’est pourquoi nous encourageons Nexopia à modifier la formulation de ce passage de sa politique de confidentialité, afin de dissiper toute confusion.

Information et consentement à l’égard de la collecte et de la communication de renseignements personnels recueillis pendant le processus d’inscription

56. En pratique, Nexopia demande aux personnes qui s’inscrivent de fournir leur date de naissance afin de faire respecter sa politique relative à l’âge minimum et d’être en mesure ainsi de déterminer automatiquement l’âge de l’utilisateur. Même si nous jugeons raisonnables les fins de la collecte et de l’utilisation des renseignements, nous constatons que ces fins ne sont pas indiquées dans la politique de confidentialité de Nexopia, ni ailleurs sur le site.
57. La politique de confidentialité de Nexopia explique que les adresses électroniques recueillies au moment de l’inscription permettront à l’entreprise de communiquer avec les utilisateurs pour répondre à leurs demandes de renseignements ou leur envoyer les mises à jour et les dernières nouvelles sur les services de Nexopia. Toutefois, les raisons pour lesquelles l’entreprise exige d’indiquer le genre et le lieu de résidence lors de l’inscription ne sont pas claires. De plus, en ce qui concerne le lieu de résidence, nous constatons que le lieu par défaut est « monde » et que les utilisateurs n’ont pas à le préciser.
58. Nous remarquons également que Nexopia n’indique pas clairement dans sa politique de confidentialité, ni ailleurs sur son site, que certaines données qu’il demande au moment de l’inscription seront incluses dans le profil d’utilisateur (c.-à-d. nom d’utilisateur, genre, âge [déduit à partir de la date de naissance] et lieu de résidence). Un autre point obscur, selon nous, est de savoir dans quelle mesure les renseignements « de base » et les photos figurant dans le profil (si l’utilisateur décide d’en mettre) demeureront accessibles par défaut aux utilisateurs de la communauté de Nexopia et à tous les internautes.
59. En raison de ce qui précède, nous estimons que Nexopia a failli à ses responsabilités en n’indiquant pas clairement les fins de la collecte, de l’utilisation et de la communication des renseignements personnels qu’elle exige des utilisateurs au moment de leur inscription et en ne les informant pas de ces fins. L’entreprise ne respecte donc pas les obligations qui lui incombent aux termes des principes 4.2, 4.2.3 et 4.3.2.
60. Nous constatons qu’au cours du processus d’inscription, Nexopia demande aux utilisateurs d’accepter ses conditions d’utilisation, document dans lequel ils doivent accepter la politique de confidentialité de l’entreprise. Nous avons cependant remarqué que les personnes ne sont pas obligées de lire les conditions d’utilisation avant de devenir membres, pas plus qu’elles ne sont dirigées vers la politique de confidentialité de Nexopia au moment de l’inscription.
61. Nexopia a reconnu que la version actuelle de sa politique de confidentialité n’a pas nécessairement été rédigée en fonction des besoins des jeunes. Nous constatons aussi que les plaignants ont eu de la difficulté à comprendre ce que Nexopia considère comme des renseignements personnels, en raison de la façon dont la politique de confidentialité est formulée.
62. Des études récentes sur l’utilisation d’Internet chez les jeunes, ainsi que les messages récurrents qu’entend le Commissariat de la part de jeunes utilisateurs par le truchement de son programme de sensibilisation, révèlent que, bien que certains jeunes lisent les politiques de confidentialité en ligne, il est plus facile d’obtenir le consentement des jeunes si on utilise des techniques interactives et novatrices conçues spécialement pour eux dans le but de les informer des répercussions de leurs décisions sur leur vie privée avant qu’ils ne cliquent, que si on recourt à des liens menant aux conditions d’utilisation et aux politiques de confidentialité.
63. Dans la mesure où Nexopia se fie passivement aux utilisateurs pour qu’ils lisent et acceptent les modalités de sa longue politique de confidentialité officielle afin d’obtenir leur consentement à la collecte, à l’utilisation et à la communication des renseignements personnels les concernant, nous ne pouvons pas conclure que l’entreprise déploie des efforts raisonnables pour les informer des fins auxquelles ces renseignements sont destinés et obtenir leur consentement, conformément aux exigences énoncées aux principes 4.3 et 4.3.2.
64. Dans les circonstances, nous estimons qu’un simple lien au bas de la page d’inscription du site Web de Nexopia qui mène à sa politique de confidentialité est insuffisant pour obtenir un consentement approprié de la part des jeunes ciblés par l’entreprise.

Vérification de l’âge et consentement parental

65. Les plaignants soutiennent que Nexopia devrait vérifier l’âge des utilisateurs de son site et mettre en place des mécanismes de contrôle des restrictions relatives à l’âge afin de régir et de limiter la collecte, l’utilisation et la communication de renseignements personnels des utilisateurs dont l’âge se situe entre 13 ans et celui de la majorité.
66. Notre enquête a permis de confirmer que Nexopia limite l’adhésion aux personnes de 13 ans et plus, mais que l’entreprise ne dispose d’aucun mécanisme pour vérifier l’âge d’une personne qui s’inscrit. Nexopia a admis que cette vérification au moment de l’inscription en ligne constitue un problème de taille auquel se heurte l’ensemble de l’industrie. Par conséquent, elle compte surtout sur son programme de modérateurs pour détecter et suivre les utilisateurs dont le comportement et les messages en ligne suscitent des doutes quant à leur âge véritable.
67. La Loi n’exige pas de consentement fondé sur l’âge et ne traite pas non plus de la question de la vérification de l’âge aux fins du consentement.
68. À l’égard du consentement parental, les versions abrégée et complète des conditions d’utilisation indiquent que les utilisateurs de 13 à 18 ans doivent obtenir le consentement de leurs parents ou de leur tuteur avant d’utiliser les services de Nexopia ou d’avoir accès au site Web. Nous avons toutefois constaté qu’il n’y a aucun endroit prévu sur le site pour que les parents ou les tuteurs puissent y indiquer leur consentement, pas plus qu’il n’y a de mécanisme pour empêcher les utilisateurs qui déclarent avoir de 13 à 18 ans de devenir membres sans le consentement parental. Comme c’est le cas pour la vérification de l’âge, Nexopia applique ici aussi le principe d’intégrité.
69. Selon le principe 4.3.6 énoncé à l’annexe 1, la Loi permet que le consentement soit donné par un représentant autorisé (détenteur d’une procuration, tuteur). Elle ne précise cependant pas dans quelles circonstances cela est autorisé et, comme nous l’indiquions précédemment, elle ne contient pas de disposition spéciale visant à obtenir le consentement dans le cas des mineurs.
70. Bien que nous reconnaissions qu’il pourrait être avantageux que les jeunes utilisateurs informent leurs parents de leurs interactions en ligne, la Loi n’exige pas que les parents des  tous les mineurs consentent en leur nom. Comme il a été indiqué plus haut, la Loi oblige les organisations à obtenir un consentement valable au sujet de la collecte, de l’utilisation et de la communication de renseignements personnels. Les organisations qui traitent les renseignements personnels de jeunes doivent expliquer leurs pratiques à ce chapitre de façon à ce que les jeunes puissent raisonnablement comprendre de quelle manière les renseignements qui les concernent seront utilisés ou communiqués. C’est pourquoi nous avons abordé les questions relatives à l’âge et au consentement liées à cette exigence.

Recommandations et réponse

Recommandations

71. Dans notre rapport d’enquête préliminaire, nous avons recommandé que Nexopia :

    Recommandation 7

    Modifie sa politique de confidentialité afin d’indiquer clairement à la personne qui s’inscrit les fins visées par la collecte, l’utilisation et la communication de renseignements personnels la concernant.

    Recommandation 8

    Révise sa politique de confidentialité et autres documents affichés sur son site Web afin de veiller à ce qu’ils soient présentés dans une langue et un format adaptés à ses principaux utilisateurs.

    Recommandation 9

    Tienne compte de son public composé de jeunes, et conçoive des façons d’informer les utilisateurs des fins de la collecte, de l’utilisation et de la communication de renseignements personnels et que l’entreprise exige une action proactive de leur part, indiquant qu’ils consentent à ces fins, au moment de l’inscription.

Réponse

72. Nexopia a accepté de mettre à jour, d’ici le 30 juin 2012, sa politique de confidentialité afin d’indiquer clairement les fins de la collecte, de l’utilisation et de la communication de renseignements personnels des utilisateurs.
73. Nexopia a aussi confirmé qu’elle passerait en revue sa politique de confidentialité et d’autres documents affichés sur son site Web et qu’elle veillerait à ce qu’ils soient présentés dans une langue et un format adaptés à ses principaux utilisateurs, et ce, en respectant la même échéance susmentionnée.
74. En ce qui concerne la recommandation 9, Nexopia a accepté de modifier son processus d’inscription de sorte que les personnes qui désirent s’inscrire au site Web soient obligées de cliquer sur une case à cocher pour confirmer leur adhésion aux conditions d’utilisation et à la politique de confidentialité révisée. L’entreprise mettra un lien menant à la politique de confidentialité révisée et rédigée dans une langue claire à côté de la case à cocher et du lien actuel vers les conditions d’utilisation. Les modifications seront apportées d’ici le 30 juin 2012.
75. Cette mesure permettra d’assurer la mise en place d’exigences minimales pour que les utilisateurs soient informés des pratiques de protection de la vie privée utilisées sur le site Web et soient en mesure de donner un consentement approprié. Toutefois, nous encourageons fortement Nexopia à aller plus loin et à examiner des méthodes plus novatrices pour présenter sa politique de confidentialité, p. ex. en présentant des articles thématiques, de manière progressive, afin que les utilisateurs puissent cliquer après avoir lu de petits extraits de la politique.

Conclusions

76. Nous sommes convaincus qu’une fois mises en application, les mesures correctives proposées par Nexopia ci dessus répondront à nos recommandations. L’entreprise s’est engagée à démontrer qu’elle mettrait en œuvre ces mesures dans les délais précisés ci dessus. Par conséquent, nous concluons que les allégations à cet égard sont fondées et résolues sous conditions.

Section 3

Échange de renseignements entre Nexopia et les annonceurs ou spécialistes en marketing

Allégations

1. Le CDIP allègue que, bien que le site Nexopia soit relativement transparent quant à l’utilisation qu’il fait de la publicité ciblée, il n’expliquerait pas adéquatement ses pratiques à cet égard ni les répercussions qu’elles ont sur les utilisateurs et les visiteurs en raison de la collecte, de l’utilisation et de la communication de leurs renseignements personnels.
2. Il affirme que Nexopia devrait être plus transparent au sujet de ses pratiques publicitaires. Il faudrait mieux informer les personnes à propos de la collecte, de l’utilisation et de la communication de leurs renseignements personnels à des fins de publicité ciblée afin que, lorsqu’un consentement est accordé, il puisse être considéré comme valable.
3. Plus précisément, le CDIP soutient que Nexopia n’expliquerait pas clairement a) le concept de publicité ciblée; b) comment fonctionne ce type de publicité (par exemple à savoir si des témoins sont placés sur le navigateur de l’utilisateur pour recueillir de l’information sur les sites Web qu’il visite); c) qui gère le processus; d) quels renseignements sont transmis aux annonceurs à des fins de publicité ciblée, et e) si les données du profil (telles qu’elles sont définies dans la politique de confidentialité) sont utilisées pour cibler les publicités.
4. Le CDIP allègue également que Nexopia n’offrirait pas aux utilisateurs la possibilité de refuser la publicité ciblée. Il estime que les utilisateurs devraient avoir cette possibilité puisque, selon les conditions de service pour se joindre au site Web, ils sont exposés à ce genre de publicité.
5. Le CDIP soutient que Nexopia devrait se conformer au Code de déontologie et normes de pratique de l’Association canadienne du marketing en ce qui concerne la collecte, l’utilisation et la communication des renseignements personnels de ses utilisateurs adolescents. À son avis, Nexopia devrait obtenir le consentement explicite des utilisateurs adolescents pour la publicité ciblée.

Définitions

Terminologie

6. Divers termes sont utilisés pour parler de la publicité en ligne : publicité fondée sur les données démographiques, l’emplacement, le comportement, le contexte ou les intérêts. Ce sont des variations sur le thème de la publicité comportementale.
7. La publicité comportementale ou ciblée peut être décrite comme une publicité qui suppose le suivi des activités des consommateurs en ligne au fil du temps, souvent au moyen de dispositifs tels que des témoins ou des pixels invisibles. Les données recueillies sont utilisées pour créer des profils de consommateurs, afin de les associer à des catégories d’intérêt. Les publicités sont ensuite présentées de manière ciblée aux consommateurs, en fonction des données démographiques et des intérêts des utilisateurs^{Note de bas de page 15}.

Témoins

8. Un témoin est un petit élément de texte transmis à votre ordinateur lors de votre entrée dans un site Web. Mis au point pour permettre la conservation de renseignements entre chacune des visites sur un site, les témoins enregistrent les habitudes de navigation des utilisateurs et l’information qu’ils transmettent. Entre autres choses, ils enregistrent leurs préférences linguistiques et leur permettent d’éviter d’ouvrir une session chaque fois qu’ils visitent un site donné. Ils sont utilisés dans la quasi-totalité des sites Web les plus fréquentés. Les témoins sont très utiles : sans eux, les utilisateurs devraient saisir certaines de leurs données personnelles à chaque visite sur leur site préféré^{Note de bas de page 16}.
9. Les témoins internes sont des témoins qui sont installés par le site Web (la « première partie ») visité (ou un sous domaine de ce site Web) et qui établissent un lien avec l’utilisateur (la « deuxième partie »).
10. Les témoins tiers sont habituellement installés par des annonceurs qui affichent de la publicité sur certains sites Web. Lorsque quelqu’un visite un site Web affichant de la publicité, l’annonceur (« tiers ») peut transmettre un témoin à l’ordinateur de cette personne. Lorsque celle ci visitera de nouveau le même site, ou un autre site affichant de la publicité du même annonceur, ce dernier pourra lire le témoin tiers. Si le témoin renferme un identificateur unique, il sera alors possible de regrouper les données sur les différents sites visités par cette personne. C’est ainsi que l’on peut dresser un profil détaillé d’une personne (ou des autres personnes utilisant le même ordinateur) et de ses habitudes de navigation. Le profil peut ensuite servir à cibler la publicité qui lui est présentée.

Résumé de l’enquête

Utilisation de la publicité par Nexopia sur son site Web

11. Nexopia explique que la plupart des services offerts sur le site sont gratuits pour les utilisateurs (à l’exception du service « Plus »). Pour s’assurer de générer suffisamment de recettes pour pouvoir maintenir son modèle opérationnel et continuer de fournir des services gratuits aux utilisateurs, il est essentiel que le site présente de la publicité ciblée.
12. L’entreprise indique qu’elle utilise de nombreux réseaux de publicité pour afficher des annonces ciblées sur son site Web. Elle affirme que cette publicité ne porte pas atteinte à la vie privée. Elle soutient qu’aucun des réseaux de publicité ne participe à la collecte de renseignements sur les utilisateurs et qu’elle-même ne leur transmet pas de tels renseignements.
13. Nexopia explique comment fonctionne la publicité sur son site. Un annonceur ou un réseau de publicité communique avec elle pour afficher une publicité, qui est définie en fonction de certains critères : âge, sexe, et éventuellement, intérêts de l’utilisateur. Nexopia vérifie ensuite s’il y a des utilisateurs à qui la publicité pourrait s’adresser. Si le réseau de publicité choisit d’utiliser ses services, Nexopia présente alors la publicité au groupe d’utilisateurs dont les données démographiques correspondent aux critères établis. Nexopia se contente de dire à l’annonceur si la publicité a été affichée ou non.
14. Nexopia justifie son utilisation de la publicité ciblée en disant que c’est actuellement le seul moyen de générer des recettes avec l’espace qui demeure disponible pour la publicité (l’espace publicitaire qu’un site Web n’est pas parvenu à vendre lui même à un prix élevé) dans les réseaux sociaux. L’entreprise fait valoir que ses utilisateurs préfèrent voir une publicité qui leur correspond plutôt qu’une publicité qui ne présente aucun intérêt pour eux. En outre, elle insiste sur le fait que toutes ses publicités tiennent compte de l’âge (c’est à dire que les publicités affichées sont adaptées à l’âge que l’utilisateur a déclaré).

Comment Nexopia informe les utilisateurs au sujet de la publicité

15. Nexopia estime que sa politique de confidentialité informe les utilisateurs en des termes clairs que leurs renseignements personnels ne sont pas transmis à des annonceurs.
16. Dans la section sur la collecte et l’utilisation de renseignements personnels par Nexopia.com, la politique de confidentialité précise ceci :

    Des données agrégées peuvent être communiquées à des tiers afin de fournir des services plus appropriés et de présenter des publicités plus pertinentes aux membres. Par exemple, nous pouvons indiquer à un annonceur que X personnes ont consulté une certaine section de notre site Web, ou que Y hommes ou Z femmes ont rempli notre formulaire d’inscription. Nexopia.com enregistre aussi l’adresse IP des utilisateurs à des fins de sécurité et de suivi. [traduction]

17. Dans la section sur la publicité, la politique de confidentialité du site explique que les renseignements personnels sont utilisés par Nexopia pour présenter de la publicité ciblée, mais que Nexopia ne fournit pas les renseignements personnels des utilisateurs aux annonceurs :

    Les publicités qui apparaissent sur le site Nexopia.com peuvent être envoyées aux membres et aux visiteurs par nous-mêmes. Nexopia.com utilise les renseignements personnels indiqués dans votre profil pour présenter les publicités ciblées qui, pensons-nous, vous intéresseront le plus. Nexopia.com ne transmet pas de renseignements personnels aux annonceurs. [traduction]

18. La politique commente cet énoncé en ajoutant :

    […] cependant, si vous cliquez sur une annonce qui apparaît sur Nexopia.com, vous pourriez être dirigé vers le site Web d’un annonceur ou d’un autre tiers. La navigation sur ces autres sites Web est assujettie aux politiques de confidentialité qui les régissent, et Nexopia.com rejette expressément toutes les déclarations et responsabilités associées à ces sites Web. [traduction]

19. Nexopia ajoute une autre clause de dénégation de responsabilité concernant la publicité des tiers dans la section sur les liens externes des conditions d’utilisation :

    L’inclusion de liens externes sur notre site ne signifie pas que Nexopia.com approuve ou cautionne ce site Web. De plus, Nexopia.com n’est pas responsable des publicités de tiers qui sont affichées sur le site Nexopia ou qui sont présentées par l’entremise des services de Nexopia. Nexopia.com n’est pas responsable non plus des biens et services fournis par ses annonceurs. [traduction]

Installation de témoins sur Nexopia

20. Des témoins peuvent être utilisés pour suivre, à des fins de publicité, ce qu’une personne fait sur le Web, les sites qu’elle visite, ce qu’elle regarde sur un site particulier, combien de temps elle passe à regarder une section donnée d’un site, les offres qu’elle accepte et ainsi de suite. Ce type d’information présente un intérêt particulier pour les sites de réseautage social comme Nexopia et les annonceurs qui veulent afficher des annonces sur ces plateformes.
21. Les plaignants constatent la présence de témoins sur le site Nexopia pour deux domaines bien connus qui sont utilisés par les entreprises faisant appel à la publicité comportementale. Nexopia reconnaît avoir utilisé ces applications sur son site et aussi qu’un de ces domaines est une norme industrielle servant à afficher des publicités sous forme de texte, de vidéo et d’image sur les sites Web.
22. Les tests que nous avons effectués révèlent que le site Nexopia utilise des témoins internes, notamment une clé de session. Nous avons constaté qu’il y avait en plus sur le site des témoins tiers de réseaux de services de publicité.
23. Comme nous l’a expliqué Nexopia dans ses observations, l’entreprise ne transmet pas aux annonceurs les renseignements personnels de ses utilisateurs. Elle affiche plutôt sur son site des publicités ciblées à leur intention, pour le compte de réseaux publicitaires, en fonction du profil démographique établi par les réseaux. C’est peut-être le cas pour la diffusion de certaines publicités sur le site, mais nous avons constaté que des publicités de tiers sont aussi affichées par des réseaux publicitaires et que des témoins sont installés sur le site.
24. Au cours du processus d’affichage des publicités de tiers, deux appels sont habituellement lancés aux serveurs des réseaux publicitaires : le premier vise à installer un témoin et le deuxième vise à demander l’affichage du contenu d’une publicité. Il en résulte que des témoins de suivi sont installés en même temps que s’affichent les publicités et qu’ils sont utilisés pour suivre la navigation des utilisateurs et des visiteurs sur le Web.
25. Par exemple, nous avons visité la page d’accueil de Nexopia comme si nous étions un visiteur normal et nous avons choisi l’onglet « Utilisateurs » pour parcourir la liste des utilisateurs. La page qui est apparue présentait deux publicités. L’une proposait au visiteur d’obtenir sa cote de crédit. La publicité émanait d’un site de domaine utilisé par une compagnie (la « compagnie A ») qui fait de la publicité comportementale. La requête envoyée au site de domaine faisait référence à une visite antérieure sur le site Web de la compagnie A et a entraîné l’installation d’un témoin sur notre navigateur.
26. La deuxième publicité faisait la promotion de vacances dans une île des Caraïbes. Elle émanait d’une autre agence de publicité (la « compagnie B ») qui, elle aussi, fait de la publicité comportementale. Une requête antérieure adressée à la compagnie B alors que nous assemblions la même page a donné lieu à l’installation d’un témoin sur notre navigateur.
27. Donc, au cours des tests effectués, deux publicités nous ont été présentées et deux réseaux publicitaires ont commencé à surveiller notre comportement en ligne. D’autres témoins de suivi ont été installés par trois autres sites de domaines utilisés par des agences publicitaires qui font de la publicité comportementale, bien qu’aucune publicité n’ait été affichée sur nos pages de test.

Comment Nexopia informe les utilisateurs au sujet des témoins

28. La politique de confidentialité de Nexopia fournit peu d’information sur l’utilisation de témoins par le site :

    […] Nexopia.com utilise des témoins pour stocker des informations sur les préférences des visiteurs et leur séance de navigation, et pour faire en sorte que les communications, les publicités et le contenu des pages Web soient adaptés au type de navigateur et aux renseignements du profil du membre […] . [traduction]

29. La politique de confidentialité précise en outre que, bien que les témoins puissent être refusés par les utilisateurs, ils demeurent essentiels pour le fonctionnement du site :

    Vous pouvez configurer votre navigateur pour qu’il accepte ou refuse tous les témoins ou certains d’entre eux, ou pour qu’il vous avertisse qu’un témoin est installé. Les témoins doivent cependant être autorisés pour avoir accès à la plupart des fonctions du site. [traduction]

30. Nous avons noté que la politique de confidentialité n’indique pas quels types de témoins sont utilisés sur le site (p. ex., témoins volatils, témoins internes, témoins tiers, témoins Flash ou supertémoins), comment ils sont utilisés, pourquoi ces témoins doivent être autorisés pour avoir accès aux fonctions du site, s’ils entraînent la communication de renseignements personnels et l’ampleur de ce qui est communiqué, le cas échéant.

Refus de la publicité ciblée

31. Les utilisateurs qui s’abonnent au service de base de Nexopia ne peuvent pas refuser la publicité ciblée. Ils doivent l’accepter; c’est une condition pour utiliser gratuitement le site Nexopia. Les utilisateurs du service de base peuvent éviter de participer aux concours et à d’autres offres en ne les sélectionnant pas.
32. Par contre, nous avons observé que les utilisateurs qui s’abonnent au service Plus de Nexopia disposent d’une option pour recevoir moins de publicités. Le guide de l’utilisateur du service Plus indique ce qui suit :

    Choisir de désactiver la plupart des publicités sur le site.
    Pour désactiver les publicités, vous devez visiter la page Préférences et cocher « show fewer ads » (afficher moins de publicités). Cette option apparaît dans la section générale de vos préférences. [traduction]

33. Nexopia confirme qu’en choisissant cette option, un utilisateur du service Plus ne voit plus apparaître de « publicité par annonce » lorsqu’il visite le site Web. L’entreprise n’a pas expliqué ce que cette expression voulait dire exactement. Nous ne savons pas si elle faisait référence à de la publicité contextuelle sur son site ou à de la publicité ciblée. Elle ne nous a pas indiqué comment elle s’assure que la publicité est bel et bien désactivée.
34. Nous avons remarqué que le guide de l’utilisateur du service Plus et la page Préférences n’expliquent pas quelles publicités sont bloquées et quelles publicités l’utilisateur du service Plus continuera de voir, lorsqu’il choisit de désactiver la publicité de cette façon. La politique de confidentialité ne dit rien sur cette option de refus.

Le Code de déontologie et normes de pratique de l’Association canadienne du marketing

35. Les plaignants disent que l’Association canadienne du marketing a publié un code de déontologie et normes de pratique(Code de l’ACM) qui prévoit des dispositions spéciales en matière de marketing auprès des enfants. Plus particulièrement, le Code de l’AMC comporte une clause spéciale de consentement pour la collecte, l’utilisation et la communication de renseignements personnels sur les enfants et les adolescents à des fins publicitaires.
36. Nexopia.com inc. a confirmé qu’elle n’est pas membre de l’Association canadienne du marketing.

Application de la Loi

37. Pour analyser les faits, nous avons appliqué les principes 4.2.3, 4.3.2, 4.3.3, 4.3.8 et 4.8.1 de l’annexe 1 de la Loi.
38. Le principe 4.2.3 indique qu’il faudrait préciser à la personne auprès de laquelle on recueille des renseignements personnels, avant la collecte ou au moment de celle-ci, les fins auxquelles ils sont destinés.
39. Suivant le principe 4.3.2, il faut informer la personne au sujet de laquelle on recueille des renseignements et obtenir son consentement. Les organisations doivent faire un effort raisonnable pour s’assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon à ce que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués.
40. Le principe 4.3.3 précise qu’une organisation ne peut pas, pour accepter de fournir un bien ou un service, exiger d’une personne qu’elle consente à la collecte, à l’utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires pour atteindre les objectifs légitimes et explicitement indiqués.
41. Le principe 4.3.8 indique qu’une personne peut retirer son consentement en tout temps, sous réserve de restrictions prévues par une loi ou un contrat et d’un préavis raisonnable. L’organisation doit informer la personne des conséquences d’un tel retrait.
42. Le principe 4.8.1 prévoit que les organisations doivent faire preuve de transparence au sujet de leurs politiques et pratiques concernant la gestion des renseignements personnels. Une personne doit pouvoir obtenir sans effort déraisonnable de l’information au sujet des politiques et des pratiques d’une organisation. Ces renseignements doivent être fournis sous une forme généralement compréhensible.

Constatations

Le 29 février 2012

Publicité sur le site Web Nexopia

43. Dans le résumé de conclusions d’enquête no 2009-008, qui concernait une plainte déposée par la CIPPIC contre Facebook Inc., le Commissariat a reconnu que :

    Si le site est gratuit pour les utilisateurs, il ne l’est pas pour Facebook qui a besoin de revenus publicitaires afin de fournir le service. De ce point de vue, la publicité est essentielle à la prestation de ce service. Ceux et celles qui souhaitent utiliser le service doivent donc accepter de recevoir une certaine quantité de publicité^{Note de bas de page 17}.

44. Facebook avait deux types de publicités, dont l’un — « les publicités Facebook » — est pertinent pour notre enquête^{Note de bas de page 18}. Dans le cas des publicités Facebook, le Commissariat était convaincu que le site transmettait l’information aux publicitaires sous forme agrégée et qu’il n’y avait donc pas de communication de renseignements personnels aux publicitaires. Cependant, envoyer des publicités aux utilisateurs en fonction des données de leur profil, même si l’information est transmise aux annonceurs sous forme agrégée, était considéré comme une utilisation de renseignements personnels aux termes de la Loi^{Note de bas de page 19}.
45. La commissaire adjointe précédente reconnaissait que Facebook avait besoin de générer des revenus et que la plupart des utilisateurs devaient raisonnablement s’attendre à recevoir de la publicité. Devant la « gratuité » du service qu’offre Facebook, elle trouvait raisonnable qu’on oblige les utilisateurs à consentir à la publicité Facebook comme condition de service^{Note de bas de page 20}.
46. Pour l’ancienne commissaire adjointe, la question essentielle était de déterminer si les fins publicitaires étaient « explicitement indiquées » en vertu du principe 4.3.3 de l’annexe 1 et de savoir si le site faisait des efforts raisonnables, en vertu du principe 4.2.3, pour informer les utilisateurs de ces fins^{Note de bas de page 21}.
47. La position adoptée par le Commissariat dans le cadre de cette enquête en 2009 semble s’appliquer également au modèle de publicité de Nexopia, selon lequel l’entreprise utilise les renseignements tirés des profils de ses membres afin de présenter des publicités pour le compte de tiers annonceurs.
48. Cette position s’appuie sur le fait que le site Nexopia, tout comme Facebook, est en grande partie gratuit pour les utilisateurs et que Nexopia affirme ne transmettre aux annonceurs que des données agrégées.
49. Par conséquent, conformément à la décision du Commissariat dans le dossier Facebook, nous estimons que l’utilisation de renseignements personnels par Nexopia à des fins publicitaires et la diffusion de publicités ciblées visant ses utilisateurs sont acceptables en tant que condition de service, pourvu que les personnes concernées soient pleinement conscientes de la façon dont ces pratiques s’appliquent.
50. Cependant, Nexopia utilise un autre modèle de publicité sur son site et il n’en est pas question dans sa politique de confidentialité. Nexopia permet à des tiers, par exemple des réseaux de publicité, d’installer des témoins sur les navigateurs des utilisateurs et des visiteurs de son site pour recueillir des renseignements à leur sujet par le biais des publicités qui sont affichées.
51. Les plaignants allèguent que Nexopia n’informe pas les utilisateurs que des témoins tiers sont installés sur leur navigateur dans le but de recueillir de l’information au sujet de leur adresse IP et de leurs habitudes de navigation.
52. Les témoins tiers sont souvent utilisés pour obtenir des renseignements détaillés sur les utilisateurs et les visiteurs en surveillant leur navigation sur le Web. Cette surveillance peut parfois s’étendre sur une longue période et aller bien au-delà de la visite immédiate d’un site donné. Étant donné que des tiers recueillent de l’information sur l’utilisation du Web par les utilisateurs et les visiteurs du site Nexopia, et que cette information peut servir à créer des profils, nous sommes portés à penser que les informations recueillies par ces témoins de suivi peuvent constituer des renseignements personnels.
53. D’après notre expérience, la présence et l’utilisation de tels témoins sur les sites de réseautage social comme Nexopia passent encore, dans une grande mesure, inaperçues aux yeux des utilisateurs et des visiteurs. Nous avons exprimé notre inquiétude récemment au sujet du manque de transparence des organisations à l’égard des utilisateurs et des visiteurs pour ce qui est des pratiques de surveillance sur leurs sites, et nous avons indiqué qu’elles devraient faire davantage pour qu’il soit plus facile pour les utilisateurs de bloquer cette surveillance.
54. À cette fin, le Commissariat a publié des lignes directrices intitulées La protection de la vie privée et la publicité comportementale en ligne en décembre 2011. Nous croyons que ces lignes directrices, qui portent sur le suivi des activités de navigation sur différents sites Web au fil du temps, dans le but de présenter des annonces ciblées, contribueront à améliorer la transparence de cette activité et à offrir aux utilisateurs une possibilité réelle de consentir (ou non) à cette pratique.
55. Nous sommes d’avis que les personnes devraient pouvoir refuser le suivi de leurs activités par des tiers — dont l’identité leur est habituellement inconnue —, contrairement à qu’on voit dans le premier modèle de publicité dont nous avons parlé, selon lequel Nexopia présente des annonces. Selon le modèle où c’est Nexopia qui présente les publicités, l’entreprise ne fournit aux annonceurs que des donnés agrégées. Par conséquent, le nombre de parties concernées est limité, et il y a une relation directe entre l’utilisateur et la compagnie qui présente la publicité.

Comment Nexopia informe les utilisateurs au sujet de la publicité et des témoins

56. Nous avons examiné la description que fait Nexopia de la publicité ciblée dans sa politique de confidentialité. Bien que la publicité ciblée que ce site présente à ses utilisateurs et aux visiteurs soit généralement décrite en termes faciles à comprendre, conformément au principe 4.8.1 de l’annexe 1 de la Loi, nous estimons que le contenu de la politique de confidentialité est fragmenté.
57. Le contenu qui porte sur l’utilisation de la publicité par Nexopia est réparti dans trois sections de sa politique de confidentialité et une section de ses conditions d’utilisation. C’est pourquoi nous invitons Nexopia à regrouper le contenu lié à la publicité dans une seule section de sa politique de confidentialité, pour que celle ci soit plus conforme au principe 4.8.1.

Publicités de Nexopia

58. Nous partageons l’avis des plaignants lorsqu’ils disent que, bien que le site fasse preuve de transparence quant à sa propre utilisation de la publicité ciblée, l’information est incomplète. Nexopia n’explique pas de façon détaillée en quoi consiste la publicité ciblée et comment fonctionne ce type de publicité. Par exemple, le site n’explique pas pourquoi les utilisateurs peuvent s’attendre à recevoir certaines annonces ciblées et que cela fait partie des conditions d’utilisation du site. Par conséquent, nous recommandons que Nexopia mette à jour sa politique de confidentialité pour s’assurer que ses utilisateurs soient mieux informés quant à la publicité présentée par Nexopia sur son site, comme l’exigent les principes 4.2.3 et 4.3.2.

Publicité faite par des tiers

59. Par ailleurs, Nexopia doit expliquer clairement aux utilisateurs et aux visiteurs comment les renseignements qui les concernent peuvent être communiqués à des tiers, par exemple des réseaux publicitaires, qui présentent des publicités ciblées sur le site et installent des témoins de suivi. Nexopia devrait mettre à jour sa politique de confidentialité pour s’assurer que les utilisateurs sont bien informés de la présence de ce type de témoins, de la façon dont ils fonctionnent sur le site et dont les utilisateurs peuvent refuser ce suivi, comme l’exigent les principes 4.2.3 et 4.3.2.
60. Le Commissariat est très conscient de la nécessité de mieux informer le public au sujet du suivi, du profilage et du ciblage des gens qui naviguent sur le Web par le biais de témoins. Nous avons publié une fiche d’information intitulée Les témoins sous la loupe^{Note de bas de page 22} (mise à jour en mai 2011) pour aider la population canadienne à bien comprendre la raison d’être et la nature des témoins. Nous invitons Nexopia à examiner comment cette fiche et d’autres documents d’information sur les témoins pourraient être utilisés pour informer ses utilisateurs. Nous invitons également Nexopia à consulter à cet égard nos lignes directrices intitulées La protection de la vie privée et la publicité comportementale en ligne.
61. Le Commissariat est aussi bien conscient que de nombreuses personnes qui visitent les sites de réseautage social choisissent de ne par lire la politique de confidentialité du site. En tenant compte de ce fait, nous recommandons que Nexopia utilise d’autres moyens sur son site pour expliquer, en des termes compréhensibles pour ses principaux utilisateurs, les conséquences de la publicité ciblée des tiers et des témoins de suivi en ce qui concerne les renseignements sur les utilisateurs, et comment ceux-ci peuvent refuser ce genre de surveillance, par exemple en modifiant les paramètres de leur navigateur.
62. Ces recommandations aideront Nexopia à régler le problème de la transparence dans ses communications avec ses utilisateurs et l’aideront aussi à déterminer quel serait le moyen le plus approprié d’obtenir leur consentement en vue de la publicité ciblée présentée par des tiers.

Nexopia Plus

63. En ce qui concerne l’assertion des plaignants selon laquelle les utilisateurs de Nexopia devraient pouvoir refuser la publicité ciblée, nous avons admis que ce type de publicité, compte tenu du modèle opérationnel de Nexopia, peut être considéré comme une condition de service et conforme au principe 4.3.3.
64. Nonobstant notre position, nous reconnaissons que Nexopia offre aux utilisateurs du service Plus la possibilité de désactiver certaines publicités en cochant l’option « Afficher moins de publicités » dans la section Préférences du site.
65. Aucune explication n’est donnée aux utilisateurs du service Plus relativement au type de publicité ciblée qui est bloqué et, le cas échéant, aux publicités qu’ils continueront de voir s’ils cochent cette option. Cela semble contrevenir à l’exigence énoncée dans le principe 4.3.8, selon laquelle l’organisation doit informer la personne des conséquences d’un tel retrait. Par conséquent, nous recommandons que, si Nexopia prévoit continuer à offrir cette option, elle doit clairement expliquer comment elle fonctionne en pratique.

Code de déontologie et normes de pratique de l’Association canadienne du marketing

66. Enfin, les plaignants aimeraient que Nexopia se conforme au Code de déontologie et normes de pratique de l’Association canadienne du marketing (ACM) en ce qui concerne la collecte, l’utilisation et la communication des renseignements personnels de ses utilisateurs adolescents. Nous reconnaissons que l’ACM joue un rôle dans l’application de certains principes de déontologie par les organisations membres dans leurs activités commerciales, mais l’obligation de se conformer à ce code n’entre pas dans le champ d’application de la Loi.

Recommandations et réponses

Recommandations

67. Dans notre rapport d’enquête préliminaire, nous avons recommandé que Nexopia :

    Recommandation 10

    Mette à jour sa politique de confidentialité et en regroupe le contenu de manière à ce que les utilisateurs soient mieux informés de toutes les utilisations des renseignements personnels aux fins de la publicité ciblée sur le site.

    Recommandation 11

    Mette à jour sa politique de confidentialité pour s’assurer que les utilisateurs soient mieux informés de la présence de publicités affichées par des tiers et des témoins de suivi, la façon dont ils fonctionnent sur le site et les mesures pratiques qui sont à la disposition des utilisateurs pour refuser de recevoir ces publicités.

    Recommandation 12

    Recoure à des méthodes différentes sur son site Web pour expliquer, en des termes compréhensibles pour ses principaux utilisateurs, les conséquences de la publicité ciblée des tiers et des témoins de suivi sur les renseignements personnels des utilisateurs, et pour expliquer comment ces derniers peuvent refuser ce suivi.

Réponse

68. Nexopia a accepté de mettre à jour sa politique de confidentialité et d’en regrouper le contenu, conformément à la recommandation 10, d’ici le 30 juin 2012.
69. Nexopia a également confirmé au Commissariat que, d’ici le 30 juin 2012, elle mettra à jour sa politique de confidentialité pour mieux informer ses utilisateurs de la présence de publicités ciblées affichées par des tiers et de témoins de suivi. Dans son engagement à mettre en œuvre la recommandation 11, Nexopia a affirmé qu’elle fournirait des liens vers des pages où on montre comment les témoins fonctionnent et comment les supprimer.
70. Nexopia a accepté de se conformer à la recommandation 12, en plaçant un lien à un endroit bien en vue sur son site Web, à proximité de ses publicités, qui sera vu par les utilisateurs et les non utilisateurs. Le lien dirigera les utilisateurs vers une page où ils pourront en apprendre davantage sur les publicités et les témoins sur le site. Les utilisateurs pourront cliquer sur le lien en tout temps et seront menés directement à la section révisée de la politique de confidentialité de Nexopia qui porte sur les publicités. Ce changement sera apporté d’ici le 30 juin 2012.

Conclusions

71. Nous sommes convaincus qu’une fois mises en application, les mesures correctives proposées par Nexopia ci dessus répondront à nos recommandations. L’entreprise s’est engagée à démontrer qu’elle mettrait en œuvre ces mesures dans les délais précisés ci dessus. Par conséquent, nous concluons que les allégations à cet égard sont fondées et résolues sous conditions.

Section 4

Échange de renseignements entre Nexopia et des tierces parties

Allégations

1. Le CDIP allègue que Nexopia n’informerait pas les utilisateurs de façon adéquate de ses pratiques d’échange de renseignements avec des tierces parties et que le site n’obtiendrait pas un consentement valable pour le faire.
2. Notamment, le CDIP allègue que le contenu de la politique de confidentialité de Nexopia ayant trait aux tierces parties (dont certaines se trouvent aux États-Unis) qui entreposent ou traitent des renseignements personnels :
   1. n’expliquerait pas la raison de cet échange;
   2. ne fournirait pas suffisamment de détails sur les renseignements qui sont échangés et les personnes avec lesquelles ils le sont;
   3. établirait une condition pour l’utilisation du service Nexopia pour lequel il devrait y avoir une option d’adhésion, si la communication de ces renseignements n’était pas obligatoire dans le cadre du fonctionnement adéquat du site Web;
   4. n’obtiendrait pas de façon adéquate le consentement valable des personnes, surtout des personnes mineures, qui peuvent ne pas être conscientes des conséquences associées au consentement.
3. De plus, le CDIP affirme que tout consentement fourni par des mineurs en vue d’une divulgation si vaste ne devrait pas être considéré comme étant valable en l’absence d’un consentement parental explicite.

Résumé de l’enquête

4. Au cours de l’enquête, Nexopia nous a informés qu’il n’avait pas de politiques ou de procédures internes sur la communication des renseignements personnels des utilisateurs à des organisations tierces.
5. Dans la section de sa politique de confidentialité portant sur la communication des renseignements personnels, Nexopia informe les utilisateurs que le site échange ou communique leurs renseignements personnels pour les raisons suivantes :
   1. la facturation et le traitement des paiements;
   2. la vérification de l’information fournie relativement aux cartes de crédit;
   3. dans le cadre d’une fusion, d’un achat ou d’une vente des biens de Nexopia;
   4. lorsque le site doit le faire pour des raisons juridiques, p. ex. pour signaler des cas de pornographie juvénile, pour répondre à un mandat ou à une assignation à témoigner ou pour tout autre processus juridique;
   5. l’application des conditions d’utilisation et la protection des droits de Nexopia;
   6. la sécurité du public, des utilisateurs et des visiteurs du site Web.
6. La politique de confidentialité explique que Nexopia échange et communique les renseignements personnels des utilisateurs avec l’organisme tiers chargé du traitement des cartes de crédit, ses entreprises affiliées (un terme commun désignant toute entreprise mère, corporation filiale, coentreprise ou entreprise assujettie à un contrôle commun), ses sous-traitants et ses partenaires d’affaires. La politique de confidentialité précise que certaines de ces tierces parties sont situées aux États-Unis.
7. Il semble que certains échanges de renseignements personnels des utilisateurs indiqués dans la politique de confidentialité sont des « transferts pour traitement » à des entités qui ont été retenues pour fournir certains services au nom de Nexopia pour la prestation des services offerts par le site et son bon fonctionnement (p. ex. traitement de la facturation et des paiements et vérification de l’information liée aux cartes de crédit).
8. Toutefois, certains échanges de renseignements précisés dans la politique de confidentialité et un cas d’échange d’information non inclus dans la politique^{Note de bas de page 23} semblent être des communications à des tierces parties à des fins qui ne sont pas liées à la prestation des services du site et de sa gestion.
9. Nexopia indique que chaque tierce partie avec laquelle il échange des renseignements personnels des utilisateurs possède une politique de confidentialité qui répond aux mêmes normes que celle de Nexopia. L’entreprise confirme qu’elle a aussi conclu des ententes contractuelles avec chaque tierce partie pour veiller au respect de ses obligations en matière de protection de la vie privée.

Réseau de diffusion de contenu (RDC)

10. Lorsqu’interrogé, Nexopia nous a informés d’une entente contractuelle entre le site Web et un réseau de diffusion de contenu bien connu établi aux États Unis, visant à diffuser les données de façon rapide et à assurer le rendement adéquat du site Web. Pour ce faire, il faut conserver en mémoire cache des données statiques sur l’infrastructure du serveur de réseau du RDC dans divers emplacements internationaux. Nexopia a expliqué que les RDC sont aussi essentiels aux services Web de grande échelle (comme Nexopia) que le sont les fournisseurs de services Internet qui permettent aux utilisateurs de Nexopia d’avoir accès à Internet.

Gestion fonctionnelle du site Web

11. Nexopia confirme que l’entretien de sa base de données, la surveillance de son réseau, la sécurité du réseau et les autres tâches liées à l’infrastructure sont effectués à l’interne. Il confirme aussi qu’il n’y a pas d’hébergement de nuage effectué par un tiers, puisque l’infrastructure de serveur de Nexopia se trouve dans un centre de données en Alberta.

Traitement des paiements

12. Nexopia nous informe qu’elle utilise une tierce partie pour réaliser le traitement des paiements (« l’entreprise responsable du traitement des paiements ») effectués par les utilisateurs au moyen de cartes de crédit, de cartes de débit ou d’applications de paiements sur appareils mobiles.
13. Dans sa politique de confidentialité, Nexopia précise qu’elle :

    […] communiquera des renseignements personnels à propos du paiement et des données du profil de ses membres à l’entreprise tierce responsable du traitement des cartes de crédit aux fins de facturation et de paiement lorsqu’une carte de crédit est utilisée de façon suspecte ou qu’il existe un différend sur un montant facturé. Nous pourrions aussi communiquer directement avec les institutions financières pour vérifier l’information liée à la carte de crédit. Ce faisant, il se pourrait que nous communiquions l’information reçue à propos de la carte de crédit et du membre. [traduction]

14. Notre enquête a révélé que lorsqu’un utilisateur effectue une demande d’achat sur le site Web de Nexopia (p. ex. pour un abonnement Plus ou pour de la marchandise Nexopia), le site envoie à l’entreprise responsable du traitement des paiements le code d’utilisateur unique et le montant de l’achat. Une fois la transaction terminée sur le site de l’entreprise responsable du traitement des paiements, celle-ci renvoie le code d’utilisateur à Nexopia et confirme que la transaction est réussie. Nexopia explique que cette méthode évite le transfert de toute information personnelle ou financière dans un sens ou dans l’autre, comme les détails relatifs aux cartes de débit et de crédit.

« Earn Plus » (Obtenez Plus)

15. Lorsque nous avons commencé notre enquête, Nexopia nous a dit qu’elle ne communiquait que les données « démographiques » des visiteurs et des utilisateurs aux réseaux publicitaires, c’est-à-dire des données agrégées comme l’âge, le sexe, le lieu de résidence et les intérêts des utilisateurs^{Note de bas de page 24}.
16. Plus tard, Nexopia nous a informés d’une fonction du site qui s’appelle « Obtenez Plus ». Cette option donne aux utilisateurs qui ne sont pas abonnés au service Plus l’occasion d’accéder à l’abonnement Plus pendant des périodes limitées. Cette fonction permet également aux utilisateurs actuels du service Plus de prolonger leur abonnement à ce service^{Note de bas de page 25}.
17. Lancé en juillet 2010, la page Obtenez Plus permet aux utilisateurs de profiter d’offres proposées par différentes entreprises. En échange de l’achat ou de la sélection de certains produits ou services, ils reçoivent des périodes fixes d’abonnement au service Plus.
18. Le programme Obtenez Plus est géré au nom de Nexopia par une entreprise américaine qui est un chef de file dans le domaine de la monétisation (la production de recettes) des sites de jeu et de réseautage en ligne (« l’entreprise offrant des récompenses »).
19. Nexopia explique que l’entreprise offrant des récompenses n’est pas une entreprise de publicité dans le sens strict du terme, mais plutôt un service intermédiaire entre les annonceurs de publicité et le client auquel la publicité est envoyée (dans ce cas-ci, la plateforme www.nexopia.com), et, ultimement, les utilisateurs du client.
20. Lorsqu’ils arrivent à la page des offres Obtenez Plus, les utilisateurs sont avisés de ce qui suit :

    Remarque : dans le cadre de certaines des offres, vous devez effectuer un achat, télécharger une application ou vous abonner à un service; assurez-vous de lire les petits caractères. [traduction]

    Au bas de la page, il y a un lien vers la politique de confidentialité de l’entreprise offrant des récompenses.

21. Les utilisateurs de Nexopia se voient offrir de nombreux produits et services d’annonceurs par l’entremise de l’entreprise offrant des récompenses. Selon Nexopia, les offres peuvent exiger que l’utilisateur s’abonne à un site Web de diffusion en continu de films, installe un jeu sur sa page Facebook ou fournisse de la rétroaction par écrit sur un clip vidéo. De nombreuses offres exigent que l’utilisateur fournisse certains renseignements personnels ou qu’il télécharge certaines données d’un site Web, p. ex. un logiciel ou une barre d’outils.
22. Au cours de notre enquête, nous avons remarqué les exemples d’offres suivants pour lesquels l’utilisateur devait fournir des renseignements personnels :
    1. se joindre à un club de musique ou de DVD pour lequel il faut payer un abonnement (des renseignements personnels sont requis au moment de la demande);
    2. s’abonner à des bandes dessinées gratuites par courriel (l’adresse électronique de l’utilisateur et la confirmation de la demande envoyée à cette adresse sont requises);
    3. passer un examen de QI (un numéro d’appareil mobile valide est requis, ainsi que la confirmation d’un NIP).
23. Lorsque l’utilisateur s’est conformé aux exigences énoncées dans l’offre et que la transaction est terminée, il y a habituellement un court délai avant que l’utilisateur ait accès au service Plus pour un certain temps. De façon générale, lorsqu’un numéro d’appareil mobile et un NIP sont exigés, le délai est de 15 minutes. Dans le cas d’un abonnement payé pour un produit ou un service d’un annonceur, le délai peut être de 4 à 5 jours afin de permettre le traitement du paiement.

La communication par Nexopia de renseignements personnels à l’entreprise offrant des récompenses

24. Nexopia nous informe qu’une fois que l’utilisateur choisit une offre Obtenez Plus, le site communiquera l’âge, le sexe et le code d’utilisateur unique à l’entreprise offrant des récompenses. Ceci permet à Nexopia et à l’entreprise offrant des récompenses de veiller à la livraison adéquate de l’offre et à sa confirmation. Nexopia explique que ce processus est une condition pour que l’entreprise offrant des récompenses fasse ces offres à Nexopia, et pour veiller à ce que les offres affichées soient pertinentes pour les utilisateurs.
25. Nexopia allègue que lorsqu’elle envoie ces renseignements à l’entreprise offrant des récompenses, l’utilisateur ne peut être identifié et ces liens à Nexopia ne peuvent être retracés. De plus, Nexopia affirme que lorsque les renseignements personnels d’un utilisateur sont communiqués à l’entreprise offrant des récompenses, la protection des renseignements personnels de l’utilisateur est assujettie à la politique de confidentialité de cette entreprise.
26. Nexopia n’informe pas les utilisateurs sur la page Obtenez Plus que, s’ils acceptent une offre Obtenez Plus, le site fournira des renseignements personnels précis à l’entreprise offrant des récompenses, en plus de tout renseignement personnel que l’utilisateur doit fournir pour profiter de l’offre. De plus, on ne demande pas le consentement des utilisateurs pour la communication de ces renseignements personnels additionnels par Nexopia.
27. Notre enquête a révélé que l’entreprise offrant des récompenses fait partie d’un large réseau publicitaire privé sur Internet, également situé aux États-Unis. En consultant le site Web de la société mère, nous avons appris que l’organisation entrepose et conserve des renseignements personnels dans une base de données sur ses serveurs et qu’en raison de ses opérations mondiales, les renseignements personnels pourraient être transférés à la société mère aux États-Unis.
28. Nous avons examiné la politique de confidentialité conjointe de l’entreprise offrant des récompenses et de sa société mère aux États-Unis, qui se trouve sur le site Web de l’entreprise offrant des récompenses. Nous avons noté la déclaration faite par les deux entités selon laquelle elles ne recueillent pas de renseignements de personnes mineures. La politique conjointe indique que les personnes de moins de 18 ans ne devraient pas fournir de renseignements personnels, y compris leur adresse électronique, à la société mère aux États-Unis. La politique dit aussi que, si la société mère apprend qu’elle possède des renseignements personnels sur une personne de moins de 18 ans, les renseignements seront immédiatement supprimés de sa base de données.
29. Nexopia ne nous a pas expliqué comment le site traite le transfert de renseignements personnels des utilisateurs à l’entreprise offrant des récompenses dans les cas où l’utilisateur qui veut profiter d’une offre Obtenez Plus a moins de 18 ans. De même, nous ne savons pas si, lorsqu’elle reçoit de tels renseignements, l’entreprise offrant des récompenses exécute la transaction ou si elle retourne l’information à Nexopia et bloque l’acceptation de l’offre.

Le code d’utilisateur unique est un renseignement personnel

30. Nous avons enquêté sur l’affirmation de Nexopia selon laquelle le genre d’information envoyée à l’entreprise offrant des récompenses et à celle responsable du traitement des paiements ne pouvait être utilisé pour identifier un utilisateur. En nous servant seulement de codes d’utilisateur, nous nous sommes rendus sur le site de Nexopia et nous avons effectué des recherches au moyen de ces codes pour voir si on pouvait récupérer le profil et l’identité d’utilisateurs réels de Nexopia.
31. Par exemple, sur le côté droit de la page « Utilisateurs » de Nexopia, il existe une fonction de recherche d’utilisateurs. Cette fonction comprend un champ « User Search » (Recherche d’utilisateurs).
32. Pour chercher un utilisateur, il faut indiquer le nom de la personne, le nom d’utilisateur ou l’adresse électronique sur la page Web. Toutefois, nos tests ont révélé que lorsque le code d’utilisateur unique (un numéro) est entré dans le champ, cette valeur numérique permet de récupérer la page de profil correspondant à l’utilisateur et des renseignements permettant d’identifier la personne.
33. De plus, nos tests ont révélé que lorsqu’on ajoute le code d’utilisateur dans le champ URL du site Web de Nexopia (l’adresse du site Web), on se rend directement à la page de profil de l’utilisateur, où l’on peut voir toute l’information de l’utilisateur contenue dans son profil. Aussi, lorsque ceci survient, l’adresse URL entrée se modifie immédiatement pour afficher le nom d’utilisateur correspondant dans le champ URL.
34. Par exemple, nous avons entré l’adresse http://www.nexopia.com/users/####### dans le champ réservé aux URL (« ####### » représente ici le code d’utilisateur réel utilisé aux fins de notre test). Tandis que la nouvelle page était téléchargée, nous avons remarqué que l’URL changeait pour http://www.nexopia.com/users//NOMD’UTILISATEUR (« NOMD’UTILISATEUR » représente un vrai nom d’utilisateur qui correspond au code d’utilisateur).
35. Lorsque nous avons informé Nexopia du fait que les codes d’utilisateur uniques pouvaient être utilisés pour identifier une personne et possiblement avoir accès à son profil d’utilisateur complet (si ses paramètres de confidentialité sont réglés à « accessible à tous »), l’entreprise a affirmé qu’elle n’était pas consciente de cette possibilité.

Application de la Loi

36. Pour analyser les faits, nous avons appliqué le paragraphe 2(1) et les principes 4.1.3, 4.3, 4.3.2 et 4.5 de l’annexe 1 de la Loi.
37. Le paragraphe 2(1) définit l’expression « renseignement personnel » comme « tout renseignement concernant un individu identifiable, à l'exclusion du nom et du titre d'un employé d'une organisation et des adresses et numéro de téléphone de son lieu de travail ».
38. Le principe 4.1.3 stipule qu'une organisation est responsable des renseignements personnels qu’elle a en sa possession ou sous sa garde, y compris les renseignements confiés à une tierce partie aux fins de traitement. L’organisation doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie.
39. Le principe 4.3 énonce que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire.
40. Suivant le principe 4.3.2, il faut informer la personne au sujet de laquelle on recueille des renseignements et obtenir son consentement. Les organisations doivent faire un effort raisonnable pour s'assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon à ce que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués.
41. Le principe 4.5 stipule que les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis, à moins que la personne concernée n'y consente ou que la loi ne l'exige.

Constatations

Le 29 février 2012

Échange de renseignements des utilisateurs avec des entreprises de traitement tierces

42. Notre examen de la politique de confidentialité de Nexopia a permis de déterminer qu’il y a six fins auxquelles Nexopia peut utiliser ou communiquer les renseignements personnels des utilisateurs à des tierces parties. Certaines des fins énumérées ont trait à l’échange d’information avec des entreprises de traitement tierces, pour la prestation de services et pour le fonctionnement adéquat du site Web, par exemple, l’entreprise chargée de la facturation et du traitement des paiements. Nous notons que l’échange d’information avec le RDC aux fins de la diffusion rapide des données et du bon rendement du site Web ne figure pas dans la politique de confidentialité.
43. Nous sommes d’avis que l’échange de renseignements avec l’entreprise responsable du traitement des paiements et le RDC est un « transfert pour traitement », c’est-à-dire qu’il s’agit d’une utilisation des renseignements personnels d’une personne à des fins qui sont conformes à la raison pour laquelle l’information avait été recueillie à l’origine : la prestation de services et le bon fonctionnement du site.
44. Ce genre d’échange d’information est raisonnable, tant que les utilisateurs sont clairement informés du but et de la nature de tels transferts et que Nexopia prend les mesures appropriées pour veiller au respect du principe 4.1.3 de l’annexe 1. Ces transferts de renseignements personnels ne doivent pas être confondus avec la communication d’information à une tierce partie à des fins tout à fait nouvelles, non liées au fonctionnement du site.
45. Nexopia confirme qu’elle a conclu des ententes contractuelles avec chaque entreprise de traitement tierce afin d’assurer un niveau de protection semblable pour les renseignements qui sont communiqués par le site. Nous avons examiné des extraits des ententes contractuelles en question.
46. Nous remarquons que la politique de confidentialité de Nexopia stipule que certains renseignements personnels peuvent être entreposés ou traités par des tierces parties situées aux États-Unis. Par conséquent, l’information des utilisateurs peut être traitée et entreposée dans ce pays et les tribunaux, organismes d’application de la loi et organismes de réglementation du gouvernement des États-Unis pourraient obtenir la divulgation de l’information en vertu des lois de ce pays. Cette description est conforme à nos directives à l’intention des organisations, contenues dans les « Lignes directrices sur le traitement transfrontalier des données personnelles » (publiées en janvier 2009).
47. La politique de confidentialité décrit comment Nexopia interagit avec l’entreprise responsable du traitement des paiements et comment elle peut échanger de l’information aux fins de facturation et de paiement, dans les cas d’utilisation suspecte des cartes de crédit ou lorsqu’il y a un différend au sujet d’un montant facturé. La politique ne précise pas la nature des renseignements personnels qui peuvent être fournis à l’entreprise de traitement dans ces circonstances.
48. Au cours de l’enquête, Nexopia a révélé qu’elle communique régulièrement les codes d’utilisateur uniques à l’entreprise responsable du traitement des paiements lorsqu’un utilisateur effectue un achat sur le site.

Communication de renseignements personnels par Nexopia à l’entreprise offrant des récompenses

49. Nexopia nous informe également que le site communique l’âge, le sexe et le code d’utilisateur unique à l’entreprise offrant des récompenses chaque fois qu’un utilisateur participe aux offres « Obtenez Plus ».
50. À l’heure actuelle, le site n’explique pas aux utilisateurs que leurs renseignements personnels peuvent être communiqués à l’entreprise offrant des récompenses ou que cette divulgation peut être fournie en plus des renseignements que l’utilisateur fournit déjà directement à l’entreprise offrant des récompenses à titre de condition à une offre particulière « Obtenez Plus ».
51. Lorsque le site nous a avisés de sa relation d’affaires avec l’entreprise offrant des récompenses en juillet 2010, il a admis que les énoncés en ligne et les pratiques de communication réelles différaient et étaient devenus trompeurs.
52. Nexopia affirme que l’information fournie à l’entreprise responsable du traitement des paiements et à l’entreprise offrant des récompenses ne pouvait être utilisée pour identifier des utilisateurs ou pour obtenir d’autres renseignements à leur sujet. Nous sommes en désaccord avec cette affirmation.

Le code d’utilisateur unique est un renseignement personnel

53. En inscrivant le code d’utilisateur unique dans la fonction de recherche du site Web ou en l’ajoutant dans le champ URL de Nexopia, nous avons pu voir instantanément le profil de l’utilisateur et accéder aux renseignements personnels que l’utilisateur avait décidé d’y afficher. Le moins que l’on puisse dire, c’est que cette information représente les renseignements « de base » d’un utilisateur. Dans bien des cas, elle révélera le profil entier de l’utilisateur. Par conséquent, on peut identifier la personne. Nous considérons donc que le code d’utilisateur est un « renseignement personnel » tel qu’il est défini au paragraphe 2(1) de la Loi.
54. Il est possible que l’entreprise responsable du traitement des paiements ou l’entreprise offrant des récompenses puisse avoir accès au profil entier d’un utilisateur (de façon manuelle ou automatisée). Pour ce faire, l’entreprise n’aurait qu’à connaître le code d’utilisateur unique ou son nom d’utilisateur, fourni par Nexopia, et à faire une recherche sur le site Web, au moyen d’un moteur de recherche externe ou du moteur de recherche de Nexopia. Cette recherche serait encore plus facile si les paramètres de confidentialité de l’utilisateur correspondaient à la valeur par défaut « accessible à tous ».
55. Le code d’utilisateur unique de Nexopia est, par conséquent, une donnée de valeur qui est en quelque sorte une « passerelle » aux renseignements personnels ajoutés au site par l’utilisateur. Compte tenu du contenu des profils que nous avons observés lors de nos tests, les renseignements personnels de l’utilisateur sont souvent exhaustifs et de nature délicate.
56. Nous comprenons que Nexopia fournit à l’entreprise responsable du traitement des paiements le code d’utilisateur unique, pour éviter le transfert de l’information financière d’un utilisateur. Cependant, nous ne pouvons convenir que l’accès aux codes d’utilisateur uniques, qui peuvent donner accès aux renseignements personnels exhaustifs et de nature délicate contenus dans les profils d’utilisateurs, est une pratique acceptable. Nexopia transfère de l’information qui va au-delà de ce qui est requis dans le cadre de la facturation et du traitement des paiements. Nous estimons qu’à l’heure actuelle, le site enfreint le principe 4.5 de l’annexe 1, qui stipule que les renseignements personnels ne doivent pas être utilisés à des fins autres que celles auxquelles ils ont été recueillis.
57. À notre avis, Nexopia pourrait utiliser un autre code unique ou numéro d’identification qui limiterait la quantité de renseignements personnels échangés entre les parties, et qui permettrait tout de même de traiter efficacement la facturation et les paiements.
58. En communiquant des codes d’utilisateur uniques à l’entreprise offrant des récompenses, Nexopia communique aussi des renseignements personnels qui vont au-delà de ce qui est requis aux fins directes du traitement des offres « Obtenez Plus ». Il s’agit là aussi d’une violation du principe 4.5 de l’annexe 1.
59. De plus, comme la politique de confidentialité de l’entreprise offrant des récompenses stipule qu’elle ne recueille pas les renseignements personnels de personnes âgées de moins de 18 ans, les offres « Obtenez Plus » ne devraient pas être accessibles aux utilisateurs de cet âge. Nexopia devrait aussi prendre rapidement des mesures pour que les renseignements personnels des utilisateurs âgés de 13 à 17 ans ne soient pas communiqués à l’entreprise offrant des récompenses.
60. Nous croyons également que le fait de ne pas informer les utilisateurs de la communication de leurs renseignements personnels et de l’étendue de la relation entre Nexopia et l’entreprise offrant des récompenses, avant que l’utilisateur ne choisisse une offre « Obtenez Plus » ou au moment où il le fait, est contraire aux obligations de l’entreprise en vertu des principes 4.3 et 4.3.2 de l’annexe 1. Le consentement à une telle communication est nécessaire.

Recommandations et réponse

Recommandations

61. Dans notre rapport d’enquête préliminaire, nous avons recommandé que Nexopia :

    Recommandation 13

    Modifie la section de sa politique de confidentialité portant sur la communication des renseignements personnels afin :

    1. de mentionner l’échange de renseignements personnels avec un réseau de diffusion de contenu aux fins de la diffusion rapide des données et du rendement adéquat du site Web;
    2. d’expliquer la communication de renseignements personnels des utilisateurs à l’entreprise offrant des récompenses, qui découle de la sélection des offres « Obtenez Plus », et d’expliquer de quelle manière cette communication s’ajoute à toute information déjà divulguée par l’utilisateur dans le cadre de toute condition liée à l’offre.

    Recommandation 14

    Cesse de fournir à l’entreprise responsable du traitement des paiements des codes d’utilisateur uniques et transfère seulement l’information requise pour le traitement de la facturation et des paiements. Si un identificateur unique est requis, Nexopia devrait adopter des mesures technologiques appropriées pour veiller à ce que l’identificateur protège davantage la confidentialité des renseignements.

    Recommandation 15

    Cesse de fournir à l’entreprise offrant des récompenses les codes d’utilisateur uniques et réévalue les renseignements personnels, s’il y a lieu, qui doivent être communiqués pour effectuer le traitement des offres. Si un identificateur unique est requis, le site devrait adopter des mesures technologiques appropriées pour veiller à ce que l’identificateur protège davantage la confidentialité des renseignements.

    Recommandation 16

    Prenne des mesures immédiates pour cesser de proposer des offres « Obtenez Plus » aux utilisateurs du site qui ont moins de 18 ans et pour mettre fin à la communication des renseignements personnels de tels utilisateurs à l’entreprise offrant des récompenses, conformément à la politique énoncée par cette entreprise.

    Recommandation 17

    Obtienne le consentement explicite d’un utilisateur relativement à la communication de ses renseignements personnels à l’entreprise offrant des récompenses, avant que l’utilisateur ne décide d’effectuer une transaction avec l’entreprise, ou au moment de le faire.

Réponse

62. Nexopia a accepté de se conformer à la recommandation 13 en mettant à jour sa politique de confidentialité afin de mentionner l’échange des renseignements personnels des utilisateurs avec le réseau de diffusion de contenu. Ce changement sera fait d’ici le 30 juin 2012.
63. En réaction à la recommandation 14, Nexopia a indiqué qu’elle cessera de fournir à l’entreprise responsable du traitement des paiements les codes d’utilisateur uniques. Elle créera une table de hachage pour fournir à l’entreprise responsable du traitement des paiements des numéros d’identification non identifiables pour chaque utilisateur. L’entreprise s’est engagée à effectuer les changements d’ici le 30 septembre 2012.
64. En réaction aux recommandations 15, 16 et 17, Nexopia a affirmé qu’elle retirera entièrement le service d’offres « Obtenez Plus » de son site Web au plus tard le 30 juin 2012. Par conséquent, le site ne communiquera plus les renseignements personnels des utilisateurs avec l’entreprise offrant des récompenses à partir de la date à laquelle le service sera supprimé.

Conclusions

65. Nous sommes convaincus qu’une fois mises en application, les mesures correctives proposées par Nexopia ci dessus répondront à nos recommandations. L’entreprise s’est engagée à démontrer qu’elle mettrait en œuvre ces mesures dans les délais précisés ci dessus. Par conséquent, nous concluons que les allégations à cet égard sont fondées et résolues sous conditions.

Section 5

Conservation des renseignements personnels

Allégations

1. Le CDIP allègue que Nexopia recueillerait, utiliserait et conserverait les renseignements personnels de non utilisateurs à leur insu et sans leur consentement et qu’il conserve ces renseignements personnels de façon indéfinie. Le CDIP soutient que Nexopia aurait dû mettre en place une procédure d’élimination plus « active » et qu’il aurait dû informer les non utilisateurs qu’ils pouvaient demander l’élimination de leurs adresses électroniques de la base de données de Nexopia.
2. Le CDIP allègue aussi que Nexopia conserverait les renseignements personnels de ses utilisateurs de façon indéfinie. Le CDIP croit que Nexopia devrait veiller à l’élimination opportune des renseignements personnels lorsqu’un utilisateur en fait la demande.

Résumé de l’enquête

3. Nexopia admet ne pas avoir de politiques ni de procédures internes pour la conservation, la copie et la destruction des dossiers. L’entreprise confirme aussi qu’elle conserve les renseignements personnels des utilisateurs et des non utilisateurs dans sa base de données et dans ses archives depuis le lancement du site Web en 2003.

   NON UTILISATEURS : collecte et conservation des adresses électroniques

4. Nexopia affirme qu’il conserve les adresses électroniques des non utilisateurs de façon indéfinie. Selon Nexopia, personne n’a posé de question à ce sujet et personne n’a demandé que son adresse électronique soit supprimée du site de façon permanente.
5. Nous remarquons que la politique de confidentialité de Nexopia précise que les non utilisateurs peuvent demander que leurs renseignements personnels soient supprimés du site Web ou se désabonner de telles invitations.
6. La section sur la communication avec les non membres précise ce qui suit :

   Les membres de Nexopia peuvent se servir de notre système d’invitation automatisé pour envoyer des courriels à leurs amis afin de les inviter à se joindre au site. Nexopia.com entrepose les adresses électroniques fournies par les membres afin que les répondants puissent être ajoutés à la liste d’amis du membre qui a envoyé l’invitation et pour envoyer des rappels à propos des invitations. Nexopia ne vend pas ces adresses et ne s’en sert pas pour envoyer d’autres messages que ceux portant sur les invitations et les rappels d’invitations. Les destinataires des invitations provenant de Nexopia.com peuvent demander que leurs renseignements personnels soient supprimés de notre base de données en communiquant avec Nexopia.com. Les non membres peuvent empêcher l’envoi d’invitations électroniques de Nexopia.com et d’autres messages à toute adresse électronique qui leur appartient en cliquant sur le lien dans le courriel d’invitation. [traduction]

7. Notre enquête a révélé que les adresses électroniques des non utilisateurs sont recueillies à partir d’invitations envoyées par les utilisateurs. Ceux-ci peuvent inviter des amis (des non utilisateurs) à s’inscrire à Nexopia de deux façons. L,une d’entre elles consiste à remplir la page « find and Add Friends on Nexopia » (Trouver et ajouter des amis sur Nexopia) en fournissant sa propre adresse électronique et ses contacts de messagerie instantanée.
8. L’autre façon consiste à ajouter les adresses électroniques de ses amis sur la page « Invite Friends » (Inviter des amis). Le site Web se sert ensuite de l’information pour créer et envoyer des courriels aux amis des utilisateurs, afin de les inviter à s’abonner. Le fait d’inviter un ami crée un courriel pour tous les invités.
9. Avant de fournir au site l’adresse électronique de l’ami, les utilisateurs n’ont pas besoin de confirmer à Nexopia qu’ils ont le consentement de leur ami pour ce qui est de l’envoi de l’invitation à se joindre au site Web.
10. Le courriel d’invitation informe l’ami ou le non utilisateur qu’un utilisateur désire l’inviter à joindre Nexopia et donne l’occasion au non utilisateur de devenir ami avec l’utilisateur. L’invitation permet aussi au destinataire d’arrêter l’envoi d’invitations futures en cliquant sur un lien. Le lien transfère le non utilisateur à une page intitulée « Opt out of Nexopia.com invites » (Ne plus recevoir d’invitations de Nexopia.com). Le message apparaissant sur cette page confirme que la personne ne recevra plus d’invitations.
11. Toutefois, les renseignements contenus sur cette page n’informent pas les non utilisateurs du fait que leur adresse électronique sera conservée par Nexopia, de la raison pour laquelle l’adresse est conservée ou du fait qu’ils peuvent demander qu’elle soit supprimée. De plus, ils ne savent pas que si l’adresse est éliminée, ils pourraient recevoir d’autres invitations de la part d’utilisateurs du site.
12. Nexopia maintient qu’il conserve les adresses électroniques des non utilisateurs pour leur propre bien; par exemple, s’ils décident de ne plus recevoir d’invitations. Pour que cette fonction soit efficace, Nexopia doit conserver, pour une période de temps indéfinie, un sous-ensemble (une « liste noire ») d’adresses électroniques auxquelles plus aucun message ne sera envoyé à l’avenir. Notre enquête a révélé que ces listes sont communément appelées « listes de suppression ».
13. Du point de vue de Nexopia, cette pratique est un outil de gestion des risques qui est utilisé pour prévenir l’envoi d’invitations non sollicitées.
14. Pour ce qui est de la fréquence des courriels d’invitation, Nexopia nous informe que chaque fois que le site reçoit une demande de la part d’un utilisateur pour envoyer une invitation à un ami, il envoie une invitation par demande (par non utilisateur). Le site n’a pas de processus automatisé pour émettre des rappels ou envoyer ultérieurement une deuxième invitation plus tard.
15. Néanmoins, Nexopia admet qu’il est possible qu’un non utilisateur reçoive d’autres invitations, s’il n’a pas choisi de se désabonner et qu’un utilisateur répète le processus d’invitation, ou si des utilisateurs différents de Nexopia invitent le même non utilisateur à se joindre au site.

UTILISATEURS : conservation de leurs renseignements personnels

16. Comme nous l’avons précisé ci-dessus, Nexopia confirme qu’il conserve les renseignements personnels des utilisateurs et des non utilisateurs dans sa base de données et dans ses archives depuis le lancement du site Web en 2003.
17. Dans leur plainte, les plaignants ont attiré l’attention sur la section concernant l’Accès aux renseignements personnels de la politique de confidentialité de Nexopia, reproduite en partie ci-dessous :

    Une personne peut également demander à Nexopia de supprimer les renseignements personnels le concernant contenus dans son système et dans ses dossiers. Toutefois, en raison de contraintes techniques et du fait que Nexopia sauvegarde ses systèmes, les renseignements personnels peuvent demeurer dans les systèmes de Nexopia après leur suppression. Il ne faut donc pas présumer que tous les renseignements personnels seront éliminés des systèmes de Nexopia à la suite d’une demande acceptée d’élimination. [traduction]

18. La politique de confidentialité énonce clairement que les renseignements personnels d’une personne pourraient être conservés longtemps après la demande d’élimination.
19. Toutefois, notre enquête a révélé que lorsque les utilisateurs cliquent sur le lien « Delete Account » (Supprimer un compte) à l’onglet « Comptes » au sein de la fonction Préférences du site Web, on leur montre un message différent :

    Cette action supprimera votre compte, y compris votre profil, vos photos, votre liste d’amis, vos messages, etc. Vos articles de forum, vos commentaires et vos messages contenus dans la boîte de réception d’autres utilisateurs ne seront pas supprimés. [traduction]

20. Nexopia clarifie que lorsqu’un utilisateur sélectionne le lien pour supprimer le compte, les seuls renseignements qui sont véritablement effacés sont les « cris » de l’utilisateur. Toutefois, tous les renseignements suivants sont entreposés de façon indéfinie dans le système d’archivage de Nexopia :
    1. le nom d’utilisateur;
    2. le code d’utilisateur;
    3. l’adresse électronique;
    4. la date de création et d’élimination du compte;
    5. l’adresse IP et les renseignements de connexion;
    6. la liste d’amis;
    7. les dossiers d’irrégularités;
    8. les galeries de photos;
    9. le contenu du profil pour chaque bloc d’information;
    10. les sondages remplis;
    11. les messages en provenance et à destination de l’utilisateur;
    12. les photos du profil;
    13. les commentaires en provenance et à destination de l’utilisateur.
21. De plus, tous les messages, commentaires et articles de forum de l’utilisateur continuent d’être visibles sur le site Web, accompagnés du nom d’utilisateur (bien qu’il ne soit plus lié à l’utilisateur).
22. Nexopia explique que le problème de conservation d’information provenant de comptes supprimés découle en grande partie de l’infrastructure du site Web. Il explique que l’élimination complète représenterait un travail immense nécessitant de très importants remaniements et le ciblage de contenu précis au sein d’un large ensemble de données qui se trouvent dans de multiples bases de données.
23. De plus, les modifications apportées avec le temps à l’architecture du site Web ont entraîné la création de codes inutilisés et d’informations désuètes à travers lesquels il est pratiquement impossible de naviguer selon Nexopia.
24. Du point de vue de Nexopia, les tentatives de suppression d’information ne mèneraient pas seulement à des erreurs (par exemple, la suppression de mauvaises données), elles accroîtraient aussi la complexité des systèmes utilisés et mettraient à rude épreuve la charge des serveurs et des réseaux. Nexopia nous explique qu’il s’agit de la raison pour laquelle une pratique d’atténuation des risques adoptée par de nombreux services Internet consiste justement à ne pas supprimer de contenu. Nexopia affirme que l’archivage est peu coûteux en comparaison des risques importants liés à la suppression de données précises.

Désactivation d’un compte

25. Plutôt que de supprimer un compte, Nexopia peut le désactiver.
26. Lorsqu’un compte est désactivé, le nom d’utilisateur n’est plus accessible aux personnes qui se créent un compte. De même, si une recherche sur le compte désactivé est effectuée sur le site Web, un message d’erreur ressemblant à « 404 Objet non trouvé » et personnalisé est affiché : « Frozen user: This account has been temporarily disabled » (Ce compte est temporairement désactivé).
27. Un utilisateur peut désactiver son compte, mais il doit en faire la demande par l’entremise du site Web. Nous avons remarqué que dans la section Préférences du site Web, le nom de l’option que l’utilisateur doit choisir pour désactiver son compte est « Supprimer un compte ».
28. Lorsque Nexopia reçoit une telle demande, il s’y conforme habituellement. Lorsque le compte est désactivé, plus personne n’y a accès sauf les modérateurs autorisés de la haute direction de Nexopia. Le contenu public déjà affiché et les messages privés demeurent sur le site et dans les caches de tous les moteurs de recherche Internet, ceci étant indépendant de la volonté de Nexopia.
29. Nexopia désactivera également des comptes de son propre chef dans certains cas (par exemple, s’il devient évident qu’un utilisateur est âgé de moins de 13 ans, qui est l’âge minimal requis). Nexopia nous a informés que, depuis 2006, le site a désactivé plus de 24 000 comptes, car les utilisateurs n’avaient pas l’âge requis. Nexopia peut également désactiver un compte de façon indéfinie s’il a été signalé que l’utilisateur a fait un usage abusif du site, à l’encontre des conditions d’utilisation.
30. Nexopia explique que le fait de désactiver le compte (plutôt que de l’éliminer) permet de surveiller les tentatives de création de comptes multiples des utilisateurs qui n’ont pas l’âge requis. La désactivation empêche aussi les anciens contrevenants du site Web de créer un nouveau compte au moyen de l’ancien nom d’utilisateur. Lorsqu’une situation de harcèlement continue est signalée, Nexopia peut lier l’adresse IP de l’utilisateur à d’anciens comptes. S’il se trouve que l’adresse IP de cette personne est liée à des comptes désactivés, ces renseignements peuvent appuyer la décision de Nexopia de rapidement désactiver le compte actif.
31. Nexopia a commencé à désactiver les comptes en 2004 et, en date du 28 juin 2010, plus de 63 000 comptes avaient été désactivés de façon indéfinie. Seulement quatre ont été désactivés temporairement à la demande des utilisateurs.
32. À moins qu’un utilisateur ne conteste la désactivation d’un compte, les renseignements personnels qui se trouvent dans les comptes désactivés demeurent inactifs sur les serveurs de Nexopia de façon indéfinie et ne font pas l’objet d’examen périodique.

Utilisation et conservation des renseignements personnels des utilisateurs aux fins de l’application de la loi

33. Nexopia reçoit des demandes d’assistance et des mandats pour la communication des renseignements personnels des utilisateurs de la part d’organismes d’application de la loi à l’échelle du Canada. Cette communication de renseignements personnels des utilisateurs à de tels organismes est expliquée dans la politique de confidentialité^{Note de bas de page 26} et dans les conditions d’utilisation^{Note de bas de page 27} du site. De telles demandes peuvent s’appliquer aux comptes d’utilisateurs actifs ou désactivés.
34. Nexopia allègue avoir reçu plus de 1 000 demandes de ce genre au cours des sept dernières années. L’entreprise explique qu’elle conserve les dossiers des utilisateurs, entre autres, pour être en mesure de répondre à ces demandes. Nous avons examiné une liste « aléatoire » de 24 demandes reçues entre février 2008 et janvier 2010, créée par Nexopia. Nous avons remarqué que toutes les demandes, à l’exception d’une ciblant un compte désactivé, avaient été émises moins de 24 mois après que Nexopia ait désactivé le compte.
35. L’information généralement exigée dans une demande provenant d’un organisme d’application de la loi se limite aux adresses électroniques, aux adresses IP utilisées, aux renseignements de connexion et aux dossiers d’irrégularités. Lors de notre enquête, Nexopia nous a fourni une liste de renseignements qu’elle fournit habituellement dans ces cas. L’information fournie était plus imposante que celle qui est typiquement demandée.
36. Nexopia a adopté des mesures de sécurité pour protéger l’information conservée. Il restreint l’accès des employés à ses archives. De plus, le site enregistre et signale les actions des employés autorisés lorsque ceux-ci accèdent aux archives. Au cours de notre enquête, Nexopia nous a orientés vers deux personnes en Ontario et en Alberta qu’il considère comme étant des autorités en matière d’application de la loi et de réseautage social.
37. Nous avons parlé à ces deux personnes, toutes deux officiers en service dans des corps policiers de grandes régions urbaines. Les deux se sont dites en faveur de la conservation en archive des renseignements des utilisateurs pour de longues périodes de temps ou même pour des périodes de temps indéterminées; elles nous ont expliqué que parfois, de tels sites Web représentent la seule source d’information dont on peut se servir dans le cadre d’une enquête policière.
38. Nexopia dit que le site privilégie une période de conservation minimale de cinq ans.

Application de la Loi

39. Pour analyser les faits, nous avons appliqué les principes 4.1.4d), 4.3, 4.3.8, 4.5, 4.5.2 et 4.5.3 de l’annexe 1 de la LPRPDE.
40. Selon le principe 4.1.4d), les organisations doivent assurer la mise en œuvre des politiques et des pratiques destinées à donner suite aux principes, y compris la rédaction des documents explicatifs concernant leurs politiques et procédures.
41. Selon le principe 4.3, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire.
42. Le principe 4.3.8 stipule qu’une personne peut retirer son consentement en tout temps, sous réserve de restrictions prévues par une loi ou un contrat et d'un préavis raisonnable. L'organisation doit informer la personne des conséquences d'un tel retrait.
43. Selon le principe 4.5, les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n’y consente ou que la loi ne l’exige. On ne doit conserver les renseignements personnels que tant et aussi longtemps que nécessaire pour arriver à ces fins.
44. Le principe 4.5.2 stipule que les organisations devraient élaborer des lignes directrices et appliquer des procédures pour la conservation des renseignements personnels. Ces lignes directrices devraient préciser les durées minimales et maximales de conservation. On doit conserver les renseignements personnels servant à prendre une décision au sujet d’une personne suffisamment longtemps pour permettre à la personne concernée d’exercer son droit d’accès à l’information après que la décision a été prise. Une organisation peut être assujettie à des exigences prévues par la loi en ce qui concerne les périodes de conservation.
45. Le principe 4.5.3 dicte qu’on devrait détruire, effacer ou dépersonnaliser les renseignements personnels dont on n’a plus besoin aux fins précisées. Les organisations doivent élaborer des lignes directrices et appliquer des procédures régissant la destruction des renseignements personnels.

Constatations

Le 29 février 2012

NON UTILISATEURS : consentement à la collecte et à l’utilisation des renseignements personnels par Nexopia

46. Nous sommes inquiets du fait que Nexopia n’obtient pas le consentement des non utilisateurs pour ce qui est de la réception d’invitations à se joindre au site Web. L’absence de consentement liée aux fonctions « Trouver et ajouter des amis » et « Inviter des amis » représente une infraction au principe 4.3.
47. Pour les situations où un site Web (la première partie) recueille auprès d’un utilisateur de son site (la deuxième partie) des renseignements personnels d’un non utilisateur ou d’un ami (la troisième partie), nous avons déterminé que, selon les circonstances, il pourrait incomber à l’utilisateur d’obtenir le consentement directement du non utilisateur ou de l’ami. Nous avons également déterminé dans des cas précédents que la première partie (dans ce cas, Nexopia), bien qu’elle ne soit pas responsable de l’obtention directe du consentement, doit néanmoins prendre des mesures raisonnables pour veiller à ce que les utilisateurs obtiennent le consentement. En d’autres mots, le site Web doit lui-même exercer une diligence raisonnable pour veiller à ce que l’exigence liée au consentement soit respectée.
48. Afin que le site soit conforme au principe 4.3, nous recommandons que Nexopia adopte des mesures appropriées pour veiller à ce que ses utilisateurs obtiennent le consentement de leurs amis avant que Nexopia ce recueille et n’utilise leur adresse électronique aux fins d’invitation.

NON UTILISATEURS : conservation des adresses électroniques

49. Une autre question touchant les adresses électroniques des non utilisateurs est de déterminer si la politique de Nexopia qui consiste à conserver les adresses des non utilisateurs représente une infraction au principe 4.5. Bien que la Loi ne précise pas la période de temps pendant laquelle les renseignements personnels devraient être conservés, le principe 4.5 stipule qu’ils devraient l’être seulement le temps nécessaire pour arriver aux fins déterminées lors de la collecte.
50. Les adresses électroniques des personnes qui ne veulent plus recevoir d’invitations de Nexopia ne sont pas supprimées, mais sont entreposées dans ce que le site Web appelle sa « liste noire ».
51. Nexopia affirme que cette « liste noire » est une façon raisonnable et efficace de veiller à ce que les non utilisateurs ne reçoivent plus d’invitations non sollicitées pour se joindre au site Web. Nos recherches démontrent que le maintien de telles « listes de suppression » est une pratique dans l’industrie, adoptée pour prévenir les courriels non sollicités ou les pourriels.
52. Le principe 4.3.8 prévoit notamment qu'une personne peut retirer son consentement relativement à l’utilisation et à la communication de renseignements personnels. Dans ce cas, l’organisation doit informer la personne des conséquences d’un tel retrait.
53. Lorsque l’adresse électronique d’un non utilisateur est fournie à Nexopia par l’un des utilisateurs du site (et non par le non utilisateur lui-même), nous comprenons que le propriétaire de l’adresse n’a peut-être pas donné un consentement explicite quant à la collecte de cette adresse par Nexopia. Par conséquent, comme nous l’avons indiqué ci-dessus, il est important que l’utilisateur qui fournit l’adresse s’assure d’obtenir le consentement directement du titulaire de l’adresse, en l’occurrence son ami, pour que Nexopia puisse transmettre le courriel d’invitation.
54. Un non utilisateur qui fait part de son souhait de ne plus recevoir de courriels d’invitation indique en fait qu’il retire son consentement à l’utilisation de son adresse électronique à cette fin.
55. Toutefois, notre enquête a clairement révélé que les non utilisateurs qui demandent à ne plus recevoir d’invitations ne sont pas informés du fait que leur adresse électronique continue à être conservée par Nexopia. De plus, le courriel de confirmation envoyé par Nexopia aux personnes qui ont choisi de ne plus recevoir d’invitations ne mentionne pas ce fait, ni la raison pour laquelle Nexopia conserve leur adresse. L’absence d’explications semble contraire au principe 4.3.8.
56. Notre examen de la politique de confidentialité de Nexopia indique que le site entrepose les adresses électroniques des non utilisateurs afin d’envoyer des rappels d’invitations et afin que les non utilisateurs qui répondent aux invitations puissent être ajoutés à la liste de leur ami. Nous avons conclu que cet énoncé est partiellement incorrect, puisque Nexopia a admis qu’il n’envoie pas de rappels d’invitations.

UTILISATEURS : conservation des renseignements personnels

57. Nexopia admet qu’il n’a pas supprimé l’information contenue dans les comptes depuis 2004, que ce soit dans les comptes « supprimés » ou désactivés. Toutefois, les messages que Nexopia envoie à ces usagers à cet effet ne témoignent pas de sa pratique réelle.
58. Il est manifestement trompeur de fournir une option « Supprimer un compte » — qui précise que des renseignements personnels précis seront supprimés — alors qu’en fait l’information sera conservée de façon indéfinie dans les archives du site Web.
59. De plus, comme les plaignants l’ont indiqué, la politique de confidentialité de Nexopia précise ce qui suit :

    Il ne faut donc pas présumer que tous les renseignements personnels seront éliminés des systèmes de Nexopia à la suite d’une demande d’élimination qui a été acceptée. [traduction]

    Ce message est plutôt ambigu et n’aide en rien à clarifier ce qui arrive exactement à une partie ou à la totalité des renseignements personnels des utilisateurs.

60. L’option « Supprimer un compte » est clairement un mécanisme de retrait de consentement pour l’utilisation ou la communication des renseignements personnels associés au compte. En n’informant pas les utilisateurs de ce qui arrive réellement à leurs renseignements personnels lorsqu’ils sélectionnent l’option « Supprimer un compte », Nexopia contrevient au principe 4.3.8.
61. Pour ce qui est de la période de conservation, je ne sous-estime pas les défis techniques associés à l’élimination permanente des renseignements personnels des utilisateurs. Toutefois, nous croyons que la pratique de Nexopia d’archiver de façon indéfinie tous les renseignements personnels d’une personne va à l’encontre du principe 4.5. Aucun argument de poids n’a été présenté au cours de notre enquête pour justifier la conservation indéfinie des informations contenues dans les comptes.
62. Pour que Nexopia se conforme au principe 4.5.2 de l’annexe 1 de la Loi, le site devrait mettre en place des procédures de conservation des renseignements personnels, accompagnées de lignes directrices quant aux périodes minimales et maximales de conservation, relativement aux renseignements personnels contenus dans les comptes des utilisateurs. Les procédures et les périodes de conservation devraient être déterminées en fonction de la période de temps pendant laquelle l’information est nécessaire pour en arriver aux fins déterminées lors de la collecte.
63. À notre avis, les utilisateurs de Nexopia présument qu’ils fournissent leurs renseignements personnels aux seules fins de réseautage social. Nous comprenons qu’il y a des situations où Nexopia devra répondre à des demandes d’information soumises par des organismes d’application de la loi, mais conserver à ces fins, pour une durée indéfinie, l’information contenue dans des dizaines de milliers de comptes désactivés n’est pas acceptable.
64. Comme Nexopia doit parfois communiquer les renseignements personnels des utilisateurs à des organismes d’application de la loi, le site devrait informer ses utilisateurs de ce fait, au moment où il recueille leurs renseignements pour la première fois. Nous remarquons que, bien que la politique de confidentialité et les conditions d’utilisation du site informent les utilisateurs et les visiteurs de ce fait, le contenu est divisé entre différentes sections et différents paragraphes, ce qui crée une fragmentation de l’information.
65. Le fait de conserver de façon indéfinie des renseignements personnels qui ne sont plus requis pour arriver aux fins pour lesquelles ils ont été recueillis est contraire au principe 4.5.3. Ce principe dicte qu’il devrait détruire, effacer ou dépersonnaliser les renseignements personnels dont on n’a plus besoin aux fins précisées.
66. À titre d’exemple, nous avons mené une enquête sur la politique et les procédures de conservation d’un site de rencontre bien connu^{Note de bas de page 28}. Dans ce cas, la plaignante a communiqué avec nous lorsqu’il est devenu évident que le site de rencontre n’avait pas supprimé son compte comme elle l’avait demandé, mais l’avait plutôt « fermé » ou avait désactivé son profil avec l’intention de conserver ses renseignements personnels de façon indéfinie.
67. Le site de rencontre a informé le Commissariat que la raison pour laquelle il désactive les comptes et conserve les données de façon indéfinie — plutôt que de les supprimer, ainsi que les données qu’ils contiennent — était que 40 % de ses membres réactivaient leur compte dans un délai de 2 ans. Si les renseignements du compte étaient supprimés, les membres devraient à nouveau se soumettre à la tâche longue et onéreuse de s’abonner encore une fois au site et de saisir encore tous les renseignements personnels nécessaires à l’ouverture d’un nouveau compte.
68. Toutefois, nous leur avons rappelé que si 40 % des membres avaient tendance à réactiver leurs comptes désactivés, 60 % des membres ne le faisaient pas. Par conséquent, il était exagéré de conserver indéfiniment leurs renseignements personnels.
69. La question a finalement été résolue à notre entière satisfaction, le site de rencontre ayant accepté d’offrir une véritable option d’élimination des comptes et de fournir aux membres une description précise de la différence entre la désactivation et l’élimination d’un compte. De plus, le site fixe à deux ans la période de conservation des données des comptes inactifs.
70. Dans le cas de Nexopia, nous avons remarqué qu’en plus de tous les renseignements personnels détenus dans les profils d’utilisateur inactifs, il existe plus de 63 000 comptes désactivés par les administrateurs du site Web, notamment parce que les abonnés étaient trop jeunes ou qu’il y avait abus des conditions d’utilisation du site Web.
71. Parmi ces comptes, seulement une poignée a fait l’objet de demandes de la part d’organismes d’application de la loi au cours des huit dernières années et seulement quatre utilisateurs ont délibérément choisi de faire désactiver puis réactiver leur compte. La raison pour laquelle ces renseignements personnels avaient été recueillis n’est plus valide depuis longtemps, mais tous les dossiers sont conservés de façon indéfinie et ne font pas l’objet d’un examen ni d’une destruction périodiques.
72. En tenant compte des considérations ci-dessus, nous croyons que Nexopia devrait adopter une politique et des procédures claires en matière de conservation et de destruction des renseignements personnels et qu’elle devrait offrir à ses utilisateurs une véritable option de suppression.

Recommandations et réponse

Recommandations

73. Dans notre rapport d’enquête préliminaire, nous avons recommandé que Nexopia :

    Recommandation 18

    Mette en œuvre des politiques et des pratiques appropriées pour la conservation et l’élimination des renseignements personnels, y compris des périodes de conservation définies pour les renseignements personnels des non-utilisateurs et des utilisateurs.

    Recommandation 19

    Rédige de l’information appropriée pour expliquer ces politiques et ces procédures sur son site Web à l’intention des utilisateurs et des non-utilisateurs.

    Recommandation 20

    Informe les utilisateurs que, avant qu’ils ne se servent de la fonction d’invitation (« Trouver et ajouter des amis »), ils devraient obtenir auprès de leur ami la permission de transmettre leur adresse électronique à Nexopia, et que, en fournissant ladite adresse au site Web, ils confirment avoir reçu le consentement de le faire.

    Recommandation 21

    Offre aux non-utilisateurs un choix clair entre a) ne plus recevoir les courriels d’invitation à se joindre au site et b) la suppression permanente de leur adresse électronique. Les conséquences de chaque option devraient être expliquées au non-utilisateur dans un langage clair qui puisse être compris par les utilisateurs principaux de Nexopia.

    Recommandation 22

    Fournisse une véritable option de suppression des comptes et des renseignements personnels des utilisateurs.

    Recommandation 23

    Offre aux utilisateurs un choix clair entre a) la désactivation temporaire de leur compte ou b) la suppression permanente de leur compte de la base de données et des archives du site Web. Les conséquences de chaque option devraient être expliquées dans un langage clair qui puisse être compris par les utilisateurs principaux de Nexopia.

    Recommandation 24

    Précise plus clairement aux utilisateurs, au moment de la collecte de renseignements personnels, la raison pour laquelle le site est parfois tenu de communiquer des renseignements personnels aux organismes d’application de la loi, et la façon dont cela est fait.

Réponse

74. En réponse aux recommandations 18 et 19 ci-dessus, Nexopia a affirmé que, comme il n’est pas viable de mettre en place une solution technique afin de veiller à la destruction des renseignements personnels des utilisateurs, le site n’a pas eu besoin de mettre en place des politiques et des procédures pour la conservation et la destruction des renseignements personnels. L’entreprise propose d’expliquer davantage la façon dont elle archive les données et de confirmer que de telles données sont seulement accessibles aux administrateurs du système.
75. Dans la recommandation 18, nous avons demandé à Nexopia d’élaborer des lignes directrices et de mettre en place des procédures pour la conservation et l’élimination des renseignements personnels, afin que l’entreprise se conforme aux principes 4.5.2 et 4.5.3 de l’annexe 1 de la Loi. Le fait qu’il soit difficile de trouver une solution en vue de l’élimination permanente des données et des comptes des utilisateurs ne change en rien la nécessité d’établir de telles lignes directrices et procédures.
76. Le fait de conserver un volume important de renseignements personnels appartenant à d’anciens utilisateurs à des fins qui n’ont plus leur raison d’être représente un risque permanent bien réel en matière de sécurité. Des tierces parties non autorisées pourraient accéder aux renseignements conservés dans la base de données et dans les archives du site. Nexopia doit mettre en place des lignes directrices et des procédures appropriées pour la conservation et l’élimination afin de limiter et d’atténuer les risques d’atteinte à la vie privée.
77. Pour ce qui est de la recommandation 19, nous avons demandé à Nexopia de respecter l’obligation découlant du principe 4.1.4d) de l’annexe 1 de la Loi de mettre en place des politiques et des pratiques qui répondent aux principes de cette annexe. Pour ce faire, le site doit expliquer les politiques et les procédures de l’organisation et veiller à ce que cette information soit accessible aux non utilisateurs et aux utilisateurs du site Web. La proposition de Nexopia, consistant à décrire comment les données sont archivées et à expliquer que l’accès à l’information archivée est limité, ne suffit pas à pour répondre aux exigences de la recommandation 19, surtout compte tenu du fait que le site ne se conforme pas à la recommandation 18.
78. En réponse à la recommandation 20, Nexopia a accepté d’ajouter plus d’information pour décrire sa fonction « Trouver et ajouter des amis » d’ici le 30 juin 2012. Le texte additionnel mettra l’accent sur le fait que les utilisateurs devraient obtenir la permission du non utilisateur avant de transmettre son adresse électronique au site Web, et qu’en fournissant cette adresse, l’utilisateur confirme qu’il a obtenu le consentement du non utilisateur en question.
79. En réponse à la recommandation 21, Nexopia veillera à ce que les non utilisateurs qui reçoivent des courriels d’invitation de la part d’utilisateurs puissent demander l’élimination permanente de leur adresse électronique de la base de données de Nexopia. Le nouveau processus permettra d’expliquer aux non utilisateurs comment demander l’élimination de leur adresse électronique, leur donnera l’option de le faire et les informera des conséquences associées à cette option. Ce changement sera effectué d’ici le 30 septembre 2012.
80. En réponse à la recommandation 22, Nexopia a expliqué qu’une véritable option de suppression des comptes et des renseignements personnels des utilisateurs n’est pas possible à l’heure actuelle. Il a ajouté qu’il est également impossible de trouver tous les éléments d’information qu’un utilisateur a ajoutés sur le site Web et que ce ne sont pas toutes les données et toute l’information des utilisateurs qui peuvent être liées au code d’utilisateur unique de l’utilisateur. Par conséquent, la capacité d’effectuer une recherche dans la base de données au complet est limitée.
81. Nexopia a expliqué que la meilleure approche serait d’écrire des scripts uniques pour effectuer une recherche dans la base de données et supprimer les données qui sont identifiées et liées au code d’utilisateur unique et au compte. Les représentants du site soutiennent que les coûts de développement associés à cette approche seraient prohibitifs.
82. Le site justifie sa pratique actuelle de « suppression » des comptes, par laquelle toutes les données et toute l’information personnelle deviennent invisibles sur le site Web. L’information entreposée dans les archives n’est accessible qu’aux administrateurs du système et récupérée dans le cas où le site reçoit un mandat de la part d’un organisme d’application de la loi.
83. À notre avis, la pratique actuelle de Nexopia, qui consiste à entreposer des renseignements personnels dans ses archives de façon indéfinie, au cas peu probable où ces renseignements feraient l’objet d’une demande d’information ou d’un mandat de la part d’un organisme d’application de la loi, n’est pas acceptable. Bien que de telles demandes ou de tels mandats puissent justifier une période de conservation plus longue pour ces cas particuliers, ils ne justifient pas la conservation entière et indéfinie de tous les dossiers.
84. De plus, au-delà des risques de sécurité déjà soulignés au paragraphe 74, nous craignons que les utilisateurs de Nexopia aient l’impression qu’ils pourront supprimer leurs renseignements personnels à un moment donné s’ils le veulent, ce qui est trompeur. En fait, Nexopia conserve les renseignements personnels des utilisateurs à leur insu et sans leur consentement.
85. Nexopia a accepté de se conformer à la recommandation 23, en améliorant le libellé utilisé sur son site Web pour expliquer la notion de suppression du compte et les conséquences qui en découlent. Les changements seront terminés d’ici le 30 juin 2012.
86. Toutefois, l’engagement de Nexopia ne répond pas pleinement à la recommandation 23, selon laquelle le site doit offrir aux utilisateurs un choix clair entre la désactivation temporaire de leur compte d’utilisateur et la suppression permanente de leur compte de la base de données et des archives. Nexopia explique qu’il ne peut offrir une véritable option de suppression. Dans ce cas, il serait trompeur d’essayer de décrire la désactivation d’un compte et ses conséquences comme s’il s’agissait d’une vraie suppression.
87. Nexopia a accepté de mettre à jour sa politique de confidentialité afin de se conformer à la recommandation 24. L’entreprise précisera les raisons pour lesquelles elle pourrait communiquer les renseignements personnels d’un utilisateur aux organismes d’application de la loi, et la façon dont elle le fait, d’ici le 30 juin 2012.

Conclusions

88. Nous sommes convaincus qu’une fois mises en application, les mesures correctives proposées par Nexopia ci dessus répondront aux recommandations 20, 21 et 24. L’entreprise s’est engagée à démontrer qu’elle mettrait en œuvre ces mesures dans les délais précisés ci dessus. Par conséquent, nous concluons que les allégations à cet égard sont fondées et résolues sous conditions.
89. Les affirmations liées aux recommandations 18, 19, 22 et 23 sont fondées.

Sommaire de nos conclusions

Allégations fondées et résolues sous conditions

1. Pour ce qui est des questions liées à la divulgation des profils d’utilisateur au public, aux paramètres de confidentialité par défaut, à la collecte, à l’utilisation et à la communication des renseignements personnels au moment de l’inscription, au partage de renseignements personnels avec des annonceurs et avec d’autres tierces parties, et de la conservation des renseignements personnels des non utilisateurs, nous avons conclu que Nexopia contrevient à la Loi et que les allégations sont fondées et résolues sous conditions.
2. Nous en arrivons à cette conclusion en raison de la volonté manifestée par Nexopia de mettre en œuvre les mesures correctives précisées dans ce rapport et liées aux recommandations 1 à 17, 20, 21 et 24, et ce, dans des délais précis.
3. À l'appui de son engagement, Nexopia a accepté de fournir au Commissariat des rapports d'étape réguliers, de la documentation et la démonstration des modifications apportées au site Web, au fur et à mesure qu’elle met en application ces 20 recommandations.
4. Nous comprenons que la mise en œuvre complète de ces mesures, dont beaucoup nécessitent des changements techniques importants au site Web de Nexopia, pourrait prendre du temps. Par conséquent, Nexopia a convenu de mettre en place certaines des mesures correctives d’ici le 30 juin 2012 et le reste des mesures, d’ici le 30 septembre 2012.
5. Le Commissariat continuera de veiller à ce que Nexopia instaure les mesures requises pour se conformer pleinement à la Loi et donne suite aux engagements précis qu’elle a pris à cet égard. Au cours des mois à venir, nous surveillerons et examinerons les mesures correctives que le site Web s’est engagé à prendre et à instaurer dans les délais convenus. Au moment de l’échéance, nous vérifierons que Nexopia s’est entièrement conformée à nos recommandations et, au besoin, nous soulèverons toute préoccupation non réglée, conformément aux pouvoirs qui nous sont conférés par la Loi.

Allégations fondées

6. Pour ce qui est des questions liées à la conservation des renseignements personnels des utilisateurs de Nexopia, nous avons conclu que les allégations sont fondées. Ces questions ne sont pas encore réglées, puisque Nexopia n’a pas encore accepté de suivre les recommandations 18, 19, 22 et 23; de plus, l’entreprise n’a pas offert de mesures de rechange acceptables. Nous continuerons donc d’aborder ces questions non réglées conformément aux pouvoirs qui nous sont conférés par la Loi.

Annexe A : Recommandations et réponses

Section 1

Communication des profils d’utilisateurs au public et paramètres de confidentialité par défaut

Nous avons recommandé que Nexopia :

Nexopia a accepté de mettre en œuvre la recommandation d’ici le 30 juin 2012.

Conclusion : fondée et résolue sous conditions.

Nexopia a accepté de mettre en œuvre la recommandation d’ici le 30 septembre 2012.

Conclusion : fondée et résolue sous conditions.

Nexopia a accepté de mettre en œuvre la recommandation d’ici le 30 septembre 2012.

Conclusion : fondée et résolue sous conditions.

Nexopia a accepté de mettre en œuvre la recommandation d’ici le 30 septembre 2012.

Conclusion : fondée et résolue sous conditions.

Nexopia a soutenu que l’architecture du site Web fait en sorte que les renseignements « de base » et les photos font partie de tous les profils afin d’assurer une cohérence pour l’œil et la navigation. Le développement de mécanismes de contrôle granulaires de la confidentialité de ces renseignements exigerait des ressources considérables et un investissement que le site Web n’est pas disposé à faire en ce moment.

Toutefois, puisque Nexopia s’est engagé à activer la fonction cachant le profil des nouveaux utilisateurs, à rendre cette fonction plus visible et à fournir aux utilisateurs des renseignements clairs sur le fonctionnement de cette fonction, et puisque les utilisateurs peuvent choisir de ne pas inclure d’images dans leur profil, nous croyons que ces derniers seront mieux en mesure de décider si leurs renseignements personnels (y compris les renseignements personnels « de base » et les photos des profils) seront disponibles à quiconque navigue sur Internet. Par conséquent, les préoccupations que nous avons soulevées à la recommandation 5 ont été résolues en grande partie.

Nous encourageons fortement Nexopia à poursuivre la révision de ses pratiques liées aux photos des profils et à envisager la possibilité de fournir aux utilisateurs des mécanismes de contrôle granulaires de ces éléments.

Conclusion : fondée et résolue sous conditions.

Nexopia a accepté de mettre en œuvre la recommandation d’ici le 30 juin 2012.

Conclusion : fondée et résolue sous conditions.

Section 2

Fins de la collecte et de la communication de renseignements personnels et consentement à ces fins

Nous avons recommandé que Nexopia :

Nexopia a accepté de mettre en œuvre la recommandation d’ici le 30 juin 2012.

Conclusion : fondée et résolue sous conditions.

Nexopia a accepté de mettre en œuvre la recommandation d’ici le 30 juin 2012.

Conclusion : fondée et résolue sous conditions.

Nexopia a accepté de mettre en œuvre la recommandation d’ici le 30 juin 2012.

Nexopia a accepté de modifier son processus d’inscription de sorte que les personnes qui désirent s’inscrire au site Web soient obligées de cliquer sur une case à cocher pour confirmer leur adhésion aux conditions d’utilisation et à la politique de confidentialité révisée. L’entreprise mettra un lien menant à la politique de confidentialité révisée et rédigée dans une langue claire à côté de la case à cocher et du lien actuel vers les conditions d’utilisation. Les modifications seront apportées d’ici le 30 juin 2012.

Cette mesure répond à des exigences minimales pour que les utilisateurs soient informés des pratiques de protection de la vie privée utilisées sur le site Web et soient en mesure de donner un consentement approprié. Toutefois, nous encourageons fortement Nexopia à aller plus loin et à examiner des méthodes plus novatrices pour présenter sa politique de confidentialité, p. ex. en publiant de manière progressive des articles thématiques sur lesquels les utilisateurs puissent cliquer après avoir lu de petits extraits de la politique.

Conclusion : fondée et résolue sous conditions.

Section 3

Échanges de renseignements entre Nexopia et les annonceurs ou spécialistes en marketing

Nous avons recommandé que Nexopia :

Nexopia a accepté de mettre en œuvre la recommandation d’ici le 30 juin 2012.

Conclusion : fondée et résolue sous conditions.

Nexopia a accepté de mettre en œuvre la recommandation d’ici le 30 juin 2012.

Conclusion : fondée et résolue sous conditions.

Nexopia a accepté de mettre en œuvre la recommandation d’ici le 30 juin 2012.

Conclusion : fondée et résolue sous conditions.

Section 4

Échanges de renseignements entre Nexopia et des tierces parties

Nous avons recommandé que Nexopia :

Nexopia a accepté de mettre en œuvre la recommandation 13(i) d’ici le 30 juin 2012

En ce qui concerne la recommandation 13(ii), Nexopia a indiqué que le service « Obtenez Plus » sera retiré de son site Web d’ici le 30 juin 2012.

Conclusion : fondée et résolue sous conditions.

Nexopia a accepté de mettre en œuvre la recommandation d’ici le 30 septembre 2012. L’entreprise établira une table de hachage et fournira à l’entreprise responsable du traitement des paiements des numéros d’identification non identifiables.

Conclusion : fondée et résolue sous conditions.

Nexopia a indiqué que le service « Obtenez Plus » sera retiré de son site Web d’ici le 30 juin 2012. Par conséquent, l’organisation ne communiquera plus les renseignements personnels de ses utilisateurs à l’entreprise offrant des récompenses à partir de la date à laquelle le service sera supprimé.

Conclusion : fondée et résolue sous conditions.

Nexopia a indiqué que le service « Obtenez Plus » sera retiré de son site Web d’ici le 30 juin 2012. Par conséquent, l’organisation ne communiquera plus les renseignements personnels de ses utilisateurs à l’entreprise offrant des récompenses à partir de la date à laquelle le service sera supprimé.

Conclusion : fondée et résolue sous conditions.

Nexopia a indiqué que le service « Obtenez Plus » sera retiré de son site Web d’ici le 30 juin 2012. Par conséquent, l’organisation ne communiquera plus les renseignements personnels de ses utilisateurs à l’entreprise offrant des récompenses à partir de la date à laquelle le service sera supprimé.

Conclusion : fondée et résolue sous conditions.

Section 5

Conservation des renseignements personnels

Nous avons recommandé que Nexopia :

Nexopia a affirmé que, comme il n’est pas viable de mettre en place une solution technique pour veiller à la destruction des données et des renseignements personnels des utilisateurs, le site n’a pas eu besoin de mettre en place des politiques et des procédures pour la conservation et la destruction des renseignements personnels. L’entreprise propose d’expliquer davantage la façon dont elle archive les données et de confirmer que de telles données sont seulement accessibles aux administrateurs du système.

Nous avons rappelé à Nexopia l’importance d’élaborer des lignes directrices et de mettre en place des procédures pour la conservation et l’élimination des renseignements personnels en vertu des principes 4.5.2 et 4.5.3 de l’annexe 1 de la Loi. Le fait qu’il soit difficile de trouver une solution en vue de l’élimination permanente des données et des comptes des utilisateurs ne change en rien la nécessité d’avoir de telles lignes directrices et procédures.

Le fait de conserver un volume important de renseignements personnels appartenant à d’anciens utilisateurs à des fins qui n’ont plus leur raison d’être représente un risque permanent bien réel en matière de sécurité. Nexopia doit mettre en place des lignes directrices et des procédures appropriées pour la conservation et l’élimination afin de limiter et d’atténuer les risques d’atteintes à la vie privée.

Conclusion : fondée.

Le Commissariat a demandé à Nexopia de respecter l’obligation découlant du principe 4.1.4d) de l’annexe 1 de la Loi de mettre en place des politiques et des pratiques qui répondent aux principes de cette annexe.

Pour ce faire, le site doit expliquer les politiques et procédures de l’organisation en ce qui concerne la conservation et l’élimination des renseignements personnels et veiller à ce que cette information soit accessible aux non utilisateurs et aux utilisateurs du site Web. La proposition de Nexopia, consistant à décrire comment les données sont archivées et à expliquer que l’accès à l’information archivée est limité, ne suffit pas pour répondre aux exigences de la recommandation 19, surtout compte tenu du fait que le site Web ne se conforme pas à la recommandation 18.

Conclusion : fondée.

Nexopia a accepté de mettre en œuvre la recommandation d’ici le 30 juin 2012.

Conclusion : fondée et résolue sous conditions.

Nexopia a accepté de mettre en œuvre la recommandation d’ici le 30 septembre 2012.

Conclusion : fondée et résolue sous conditions.

Nexopia n’est pas disposé à mettre en œuvre la recommandation.

Nexopia a expliqué que la mise en place d’une véritable option de suppression des comptes et des renseignements personnels des utilisateurs n’est pas possible à l’heure actuelle. Il a signalé les limitations inhérentes à l’adoption d’une telle option et justifié sa pratique courante de « suppression » des comptes dans le cadre de laquelle la totalité des données et des renseignements personnels deviennent invisibles sur le site Web. L’information entreposée dans les archives n’est accessible que par les administrateurs du système et n’est récupérée que si le site Web reçoit un mandat dans ce sens d’un organisme d’application de la loi.

Nexopia a soutenu que les coûts de développement d’une approche « idéale » à l’égard de la suppression des données et des renseignements personnels des utilisateurs seraient prohibitifs.

Le site justifie sa pratique actuelle de « suppression » des comptes, par laquelle toutes les données et toute l’information personnelle deviennent invisibles sur le site Web. L’information entreposée dans les archives n’est accessible qu’aux administrateurs du système et récupérée dans le cas où le site reçoit un mandat de la part d’un organisme d’application de la loi.

À notre avis, la pratique actuelle de Nexopia, qui consiste à entreposer des renseignements personnels dans ses archives de façon indéfinie, au cas peu probable où ces renseignements feraient l’objet d’une demande d’information ou d’un mandat de la part d’un organisme d’application de la loi, n’est pas acceptable. Bien que de telles demandes ou de tels mandats puissent justifier une période de conservation plus longue pour ces cas particuliers, ils ne justifient pas la conservation entière et indéfinie de tous les dossiers.

Outre les risques en matière de sécurité liés à la conservation d’importants volumes de renseignements personnels appartenant à d’anciens utilisateurs à des fins qui n’ont plus leur raison d’être, nous craignons que les utilisateurs de Nexopia aient l’impression qu’ils pourront supprimer leurs renseignements personnels à un moment donné s’ils le veulent, ce qui est trompeur. En fait, Nexopia conserve les renseignements personnels des utilisateurs à leur insu et sans leur consentement.

Conclusion : fondée.

Nexopia a accepté de se conformer à la recommandation 23, en améliorant le libellé utilisé sur son site Web pour expliquer la notion de suppression de compte et les conséquences qui en découlent.

Cette mesure ne répond pas pleinement à la recommandation, selon laquelle le site doit offrir aux utilisateurs un choix clair entre la désactivation temporaire de leur compte d’utilisateur et la suppression permanente de leur compte de la base de données et des archives. Nexopia explique qu’il ne peut offrir une véritable option de suppression. Dans ce cas, il serait trompeur d’essayer de décrire la désactivation d’un compte et ses conséquences comme s’il s’agissait d’une vraie suppression.

Conclusion : fondée.