Accord de conformité entre : Le Commissaire à la protection de la vie privée du Canada et Avid Life Media Inc. (Ruby Corp.)
ATTENDU QUE le commissaire à la protection de la vie privée du Canada (le « commissaire ») est responsable de l’administration et de l’application de la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (la « Loi »), qui régit la collecte, l’utilisation ou la communication de renseignements personnels par des organisations dans le cadre d’activités commerciales;
ATTENDU QU’Avid Life Media Inc. (renommée « Ruby Corp. » le 12 juillet 2016 et désignée par le sigle « ALM » pour les besoins du présent accord) est une entreprise établie à Toronto, en Ontario, qui exploite plusieurs sites Web de rencontre, dont AshleyMadison.com;
ATTENDU QUE, par suite d’une atteinte à la sécurité des renseignements personnels détenus par ALM (l’« atteinte ») constatée le 12 juillet 2015, le commissaire a pris le 21 août 2015 l’initiative d’une plainte contre ALM en vertu du paragraphe 11(2) de la Loi parce qu’il avait des motifs raisonnables de croire qu’une enquête devait être menée sur les pratiques de traitement de l’information adoptées par ALM;
ATTENDU QUE le commissaire, au cours d’une enquête menée conjointement par le Commissariat à la protection de la vie privée du Canada (le « Commissariat ») et l’Office of the Australian Information Commissioner (l’« OAIC »), a constaté qu’ALM avait contrevenu à plusieurs dispositions de la section 1 de la Loi, comme il l’explique dans un rapport de conclusions publié conjointement avec le commissaire à l’information de l’Australie (le « rapport de conclusions »);
ATTENDU QUE le commissaire a formulé dans le rapport de conclusions plusieurs recommandations à l’intention d’ALM afin que l’entreprise se conforme à la Loi;
ATTENDU QU’ALM a pris acte des conclusions du commissaire et, sans aucune admission en ce qui concerne la véracité des conclusions, des affirmations ou des arguments énoncés dans le rapport de conclusions, accepte de mettre pleinement en œuvre les recommandations formulées par le commissaire;
ATTENDU QUE les parties reconnaissent que, même si le présent accord est conclu sur une base volontaire, elles sont liées par les obligations qui y sont prévues et que l’article 17.2 de la Loi pourra s’appliquer en cas de non-respect de ces obligations;
EN CONSÉQUENCE, en vertu des articles 17.1 et 17.2 de la Loi, le commissaire et ALM conviennent de ce qui suit :
I. INTERPRÉTATION
- Les définitions suivantes s’appliquent pour les besoins du présent accord :
- « accord » désigne le présent accord de conformité conclu entre ALM et le commissaire en vertu de l’article 17.1 de la Loi;
- « commissaire » désigne le commissaire à la protection de la vie privée du Canada nommé en vertu du paragraphe 53(1) de la Loi sur la protection des renseignements personnels, L.R.C. 1985, ch. P-21, ainsi que ses représentants autorisés;
- « Loi » désigne la Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch. 5;
- « parties » désigne le commissaire et ALM.
II. MESURES CORRECTIVES
Mesures de sécurité
- Pour donner suite aux recommandations concernant les mesures de sécurité formulées par le commissaire dans le rapport de conclusions, ALM doit (notamment au moyen de mesures qu’elle a déjà prises) :
- au plus tard le 31 décembre 2016, effectuer un examen complet des mesures mises en place pour protéger les renseignements personnels;
- au plus tard le 31 mai 2017, étoffer son cadre de sécurité de l’information afin de le rendre approprié et le mettre en œuvre;
- au plus tard le 31 mai 2017, documenter adéquatement ce cadre et ses processus de sécurité de l’information en général;
- prendre des mesures afin que son personnel soit au courant des procédures de sécurité et qu’il les respecte, notamment en élaborant un programme de formation approprié et en veillant à ce que tous ses employés et les entrepreneurs ayant accès au réseau le suivent (le commissaire signale qu’ALM a déclaré avoir mis en œuvre cette recommandation);
- au plus tard le 31 juillet 2017, fournir au Commissariat un rapport d’un tiers indépendant documentant les mesures qu’elle a prises afin de se conformer aux recommandations énoncées ci-dessus ou fournir un rapport détaillé d’un tiers indépendant certifiant qu’elle se conforme à une norme de protection de la vie privée et de sécurité reconnue à la satisfaction du Commissariat.
Conservation
- Pour donner suite aux recommandations du commissaire concernant la conservation des renseignements personnels des utilisateurs dont le compte est désactivé, supprimé ou inactif, ALM doit, d’ici le 31 mars 2017 :
- ne plus conserver indéfiniment les renseignements personnels figurant dans des comptes d’utilisateurs désactivés ou inactifs; déterminer une période appropriée après la désactivation d’un compte ou après une période d’inactivité prolongée, selon les habitudes d’utilisation et les besoins opérationnels, à la fin de laquelle elle supprimera les données des utilisateurs; et informer les utilisateurs de ces politiques;
- s’assurer de ne pas conserver les renseignements au-delà de la période de conservation susmentionnée et, par la suite, examiner régulièrement sa politique de conservation pour s’assurer que la période de conservation choisie demeure appropriée;
- mettre en œuvre le calendrier de conservation pour les comptes actuellement désactivés et ceux qui le seront ultérieurement;
- mettre en œuvre le calendrier de conservation pour les comptes actuellement inactifs et ceux qui le seront ultérieurement;
- s’engager à continuer d’offrir une option sans frais aux utilisateurs qui souhaitent retirer le consentement donné à ALM l’autorisant à conserver les renseignements du profil de leur compte (cette mesure ne comprend pas forcément tous les services de suppression supérieurs actuellement offerts dans le cadre de la suppression définitive, par exemple la suppression des renseignements personnels envoyés à la boîte de réception d’autres utilisateurs d’ALM);
- présenter au Commissariat de l’information détaillée sur les mesures qu’elle a prises pour se conformer aux recommandations formulées ci-dessus.
Exactitude
- Pour donner suite aux recommandations du commissaire concernant l’exactitude de l’information, ALM doit, d’ici le 31 mars 2017 :
- modifier le processus de création des comptes pour permettre aux utilisateurs de s’inscrire au site Web Ashley Madison sans fournir d’adresse de courriel ou, si elle continue de demander une adresse de courriel aux nouveaux utilisateurs, mettre en œuvre des mesures techniques pour améliorer l’exactitude des adresses de courriel obtenues, à la satisfaction du Commissariat;
- présenter de l’information détaillée au Commissariat concernant les mesures qu’elle a prises pour se conformer aux recommandations formulées ci-dessus.
Transparence
- Pour donner suite aux recommandations du commissaire concernant la transparence, ALM doit, d’ici le 28 février 2017 :
- réviser ses Conditions générales, sa Charte de confidentialité et d’autres renseignements pouvant être consultés par les utilisateurs afin d’en assurer l’exactitude et la clarté concernant ses pratiques de gestion des données. Entre autres, elle devrait indiquer clairement dans ses Conditions générales et sur la page où les utilisateurs choisissent la manière dont ils désactiveront leur profil, de l’information détaillée sur toutes les options de désactivation et de suppression à leur disposition;
- revoir toutes les déclarations figurant sur son site Web et ailleurs concernant ses pratiques de gestion des renseignements personnels afin de s’assurer de ne pas donner d’indications trompeuses;
- présenter à l’OAIC et au Commissariat de l’information détaillée sur les mesures qu’elle a prises pour se conformer aux recommandations formulées ci-dessus.
III. RAPPORTS SUR LA CONFORMITÉ, SUIVI ET APPLICATION
- ALM doit confirmer par écrit au commissaire qu’elle a mis en œuvre chaque mesure corrective mentionnée à la section II du présent accord. L’entreprise doit donner suffisamment de détails et de preuves documentaires et électroniques pour démontrer qu’elle se conforme à l’accord, par exemple une copie de son cadre et de ses processus de gestion de la sécurité de l’information, de ses politiques et procédures de protection des renseignements personnels, de son matériel de formation, du rapport final de la tierce partie indépendante et de toute réponse fournie par ALM aux recommandations formulées cette tierce partie.
- S’il y a lieu, le commissaire peut, à sa discrétion, demander à ALM de l’information et des documents pour vérifier si elle se conforme au présent accord.
- Le commissaire peut en tout temps visiter le principal lieu d’affaires d’ALM pour vérifier que l’entreprise se conforme au présent accord, sous réserve d’un préavis de 10 jours du commissaire à ALM.
- ALM reconnaît que si le commissaire estime que l’entreprise ne se conforme pas aux dispositions du présent accord, il peut, après avoir donné un avis écrit en ce sens à ALM, demander à la Cour fédérale une ordonnance enjoignant à ALM de se conformer au présent accord, en sus de toute autre réparation qui peut être accordée en droit, conformément au paragraphe 17.2(2) de la Loi.
IV. GÉNÉRALITÉS
- ALM prend en charge les coûts liés à la conformité au présent accord.
- Les avis, rapports et autres communications prescrits ou autorisés en vertu des modalités du présent accord sont produits par écrit et réputés avoir été envoyés s’ils sont transmis, sur support papier ou électronique, aux adresses suivantes :
- Le commissaire
Daniel Therrien, commissaire à la protection de la vie privée du Canada
a/s de M. Joel Scott-Mignon
30, rue Victoria, 8e étage
Gatineau (Québec) K1A 1H3
Joel.scott-mignon@priv.gc.ca - ALM
Avid Life Media, Inc./Ruby Corp.
a/s de David Elder
Stikeman Elliott, s.r.l.
50, rue O'Connor, bureau 1600
Ottawa (Ontario) K1P 6L2
delder@stikeman.com
- Le commissaire
- Aucune disposition du présent accord n’empêche le commissaire d’exercer ou ne limite sa capacité d’exercer les attributions que lui confère la Loi, y compris l’obligation d’examiner les plaintes en vertu du paragraphe 12(1), son pouvoir de prendre l’initiative d’une plainte en vertu du paragraphe 11(2) ou son pourvoir de procéder à la vérification des pratiques de l’organisation en matière de gestion des renseignements personnels en vertu du paragraphe 18(1) de la Loi.
- Aucune disposition du présent accord ne porte atteinte aux droits et recours prévus dans la partie 1 de la Loi que toute autre personne peut exercer par suite de la conduite décrite dans le présent accord et dans le rapport de conclusions ou par suite d’une conduite future.
- ALM reconnaît que les conditions du présent accord et du rapport de conclusions peuvent être communiquées ou rendues publiques, conformément aux pouvoirs conférés au commissaire en vertu du paragraphe 20(2) de la Loi ou aux exigences législatives.
- ALM reconnaît qu’elle a eu la possibilité d’être représentée par un conseiller juridique et d’obtenir des avis juridiques concernant le présent accord.
- Le présent accord entre en vigueur dès sa signature par les deux parties et prend fin lorsque le commissaire a confirmé par écrit que les mesures correctives prévues à la section II (points 2 à 5) du présent accord ont été mises en œuvre. Le commissaire donnera cette confirmation à ALM rapidement après avoir déterminé que les exigences ont été respectées.
FAIT à Toronto, ce jour de 2016.
Ruby Corp.
James Millership, président
Je suis autorisé à représenter l’entreprise.
FAIT à Gatineau, dans la province de Québec, ce jour de 2016.
Commissaire à la protection de la vie privée du Canada
Daniel Therrien
- Date de modification :