Wajam Internet Technologies Inc., développeur de publiciel canadien, enfreint de nombreuses dispositions de la LPRPDE
Rapport de conclusions d’enquête en vertu de la LPRPDE no #2017-002
Le 17 août 2017
Plainte déposée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « Loi »)
Sommaire
- Le 12 juin 2016, le commissaire à la protection de la vie privée du Canada a pris l’initiative d’une plainte contre Wajam Internet Technologies Inc. (l’« intimée ») en vertu du paragraphe 11(2) de la Loi.
- L’intimée a développé un logiciel appelé « Wajam » ou « Social2Search » (le « logiciel »). Une fois installé sur un ordinateur personnel, le logiciel suit les requêtes de recherche en ligne de l’utilisateur et ajoute, dans les résultats de moteurs de recherche existants, les résultats de recherche découlant de contenus partagés par les « amis » et les contacts de l’utilisateur dans les médias sociaux. Wajam affiche aussi des publicités en fonction des requêtes de recherche en ligne de l’utilisateur. Le logiciel est distribué et installé principalement par des distributeurs tiers qui l’ajoutent comme complément à d’autres logiciels non reliés que les utilisateurs peuvent télécharger.
- Le commissaire a déposé la plainte car il avait des motifs raisonnables de faire enquête afin de déterminer si l’intimée :
- obtenait un consentement valable des utilisateurs pour installer le logiciel;
- empêchait les utilisateurs de retirer leur consentement à la collecte, à l’utilisation et à la communication continues de leurs renseignements personnels en rendant difficile la désinstallation du logiciel;
- mettait en péril les renseignements personnels des utilisateurs, par exemple en les téléchargeant sur ses serveurs en texte clair sans les chiffrer
- Le Commissariat a informé l’intimée de la plainte le 6 septembre 2016.
- En examinant les pratiques de l’intimée en matière de protection des renseignements personnels, i) nous avons analysé les observations et les documents qu’elle nous avait fait parvenir entre le 7 octobre 2016 et le 11 juillet 2017; ii) nous avons effectué des essais techniques du logiciel en créant nous-mêmes nos comptes d’utilisateur « bidon »; et iii) nous nous sommes rendus au siège social de l’intimée les 18 et 19 janvier 2017.
- Notre enquête nous a amenés à conclure que l’intimée n’avait mis en place aucun cadre de responsabilité en matière de protection des renseignements personnels et qu’elle n’avait donc pas pu présenter des éléments de preuve montrant qu’elle avait mis en place les politiques et les procédures voulues pour s’acquitter des obligations lui incombant en vertu de la Loi.
- Notre enquête a révélé que les pratiques de l’intimée avaient mené à l’installation du logiciel ainsi qu’à la collecte et à l’utilisation de renseignements personnels sans consentement valable de l’utilisateur, ce qui contrevient à la Loi. Étant donné que le logiciel est ajouté comme complément non sollicité à d’autres logiciels non reliés et que son installation donne lieu à la collecte et à l’utilisation des requêtes de recherche des individus, nous nous attendions à ce que le processus d’installation et les écrans de consentement à l’intention des utilisateurs soient d’une limpidité irréprochable.
- Notre enquête a toutefois fait ressortir des lacunes dans les méthodes d’installation et les écrans de consentement utilisés par les distributeurs tiers de ce logiciel, entre autres l’installation du logiciel à l’insu de l’utilisateur par certains distributeurs, contrairement aux modalités de l’entente de distribution (« l’entente ») et des lignes directrices de l’intimée en matière de distribution (les « lignes directrices »). Nous avons notamment constaté des problèmes concernant les écrans de consentement affichés pendant l’installation du logiciel – boutons de refus problématiques, options qui prêtent à confusion pendant l’installation, texte incomplet ou périmé dans les écrans de consentement, et utilisation d’écrans de consentement non autorisés par l’intimée. Nous avons aussi relevé des problèmes concernant des écrans de consentement pour les offres regroupées ne présentant pas clairement l’information sur le logiciel. L’intimée a pris quelques mesures limitées pour exercer une surveillance et mettre en application ses ententes contractuelles avec les distributeurs, mais ces mesures n’ont pas suffi pour empêcher l’installation du logiciel sans consentement.
- Notre enquête a aussi soulevé des préoccupations concernant des renseignements périmés (et, par conséquent, trompeurs) sur les sites Web de Wajam et Social2Search à propos des fonctions du logiciel, ainsi que des renseignements inexacts et incomplets sur la collecte, l’utilisation, la protection et la conservation des renseignements personnels dans la politique de confidentialité.
- De plus, comme nos essais l’ont confirmé, certains utilisateurs ont eu de la difficulté à désinstaller le logiciel. En raison de ces difficultés, la collecte de renseignements personnels et la conservation d’identificateurs uniques se poursuivaient sur l’ordinateur et l’appareil des utilisateurs même lorsque le logiciel était censé avoir été désinstallé.
- Au cours de la désinstallation, nous recevions périodiquement dans nos comptes d’utilisateur des publicités non sollicitées ou des logiciels potentiellement indésirables ou encore nous étions dirigés vers des logiciels trompeurs sur la page d’accueil de désinstallation de Wajam. Ces publicités et logiciels étaient présentés par un réseau de publicité tiers. D’ailleurs, notre enquête a révélé que le code source de l’intimée faisait appel à ce réseau pour présenter ces publicités. Quand l’utilisateur cliquait sur une annonce ou installait un des logiciels proposés, des tiers pouvaient recueillir ses renseignements personnels sans son consentement par des moyens détournés. Sans nier que ces activités étaient possibles, l’intimée a affirmé n’en avoir jamais eu connaissance auparavant et n’avoir jamais utilisé le réseau de publicité. Elle a accepté de supprimer immédiatement le code en question. Si les allégations de l’intimée sont vraies, il est extrêmement troublant, du point de vue de la surveillance de sécurité, que l’intimée ignorait auparavant l’existence de ce codage et du réseau de publicité intégré à son propre site Web et à la procédure de désinstallation de son propre logiciel.
- Nous avons aussi constaté que l’intimée conservait dans sa base de données principale, sous une forme non chiffrée, toutes les données originales brutesNote de bas de page 1 recueillies auprès des utilisateurs, même si elles renfermaient une quantité appréciable de renseignements personnels associés à des utilisateurs précis.
- En outre, l’intimée nous a informés que les données brutes des utilisateurs contenues dans sa base de données principale étaient conservées indéfiniment, même après la désinstallation de son logiciel par les utilisateurs.
- Le 19 juin 2017, le Commissariat a fait parvenir à l’intimée un rapport d’enquête préliminaire (« le rapport préliminaire ») dans lequel il relevait plusieurs infractions à certains principes de la Loi – responsabilité, consentement, limitation de la conservation, mesures de sécurité et transparence – et formulait 12 recommandations visant à aider l’intimée à se conformer à la LoiNote de bas de page 2.
- Pendant notre enquête, l’intimée nous a fait part de son intention de mettre fin à ses activités et de vendre ses actifs, y compris son logiciel, à la nouvelle entreprise Iron Mountain Technology Limited (« IMTL ») établie à Hong Kong. Elle a aussi indiqué que le logiciel ne serait plus distribué au Canada, mais qu’IMTL continuerait de le distribuer dans d’autres pays.
- En réponse au rapport préliminaire, l’intimée a indiqué qu’elle avait déjà vendu ses actifs à ITML, qu’elle ne détenait plus aucun intérêt dans IMTL et qu’elle n’exerçait plus aucun contrôle sur cette dernière. Ainsi, elle a affirmé qu’elle n’était plus responsable des pratiques d’IMTL en vertu de la Loi. L’intimée a soutenu qu’elle n’était donc plus en mesure de donner suite aux recommandations du Commissariat.
- Wajam a consenti à détruire de façon sécuritaire les documents stockés sur ses disques rigides, notamment tous les renseignements personnels des utilisateurs encore en sa possession. Nous nous attendons à ce que Wajam procède immédiatement à la destruction de ces documents et à ce qu’elle nous avise lorsque la destruction sera terminée.
- Puisque les actifs avaient été transférés à IMTL et que l’intimée n’était pas en mesure de mettre en œuvre nos recommandations, nous concluons que les préoccupations relatives à la responsabilité, au consentement, à la limitation de la conservation, aux mesures de sécurité et à la transparence examinées dans le cadre de notre enquête sont fondées.
Résumé de l’enquête
L’intimée et le logiciel :
- L’intimée, société constituée en vertu d’une loi fédérale, a son siège social à Montréal. Avant la vente de ses actifs à IMTL, son produit principal était un moteur de recherche socialeNote de bas de page 3 nommé « Wajam » ou « Social2Search »Note de bas de page 4. Wajam a été mis en marché en octobre 2011 et Social2Search, en mai 2016. Bien qu’ils aient des sites Web, des marques et des logos distincts, ces deux logiciels fonctionnent essentiellement de la même manière. Sauf indication contraire, ils sont considérés comme un seul logiciel pour les besoins du présent rapport.
- Au moment où nous avons ouvert l’enquête, Wajam n’était plus distribué, mais il fonctionnait toujours sur les ordinateurs où il était installé et son site Web (wajam.com) continuait d’en faire la promotion. L’intimée a indiqué que des distributeurs tiers offraient toujours Social2Search dans 40 pays.
- Maintenant propriété d’IMTL, le logiciel fonctionne dans les navigateurs Internet comme Internet Explorer, Google Chrome, Mozilla Firefox et Microsoft Edge. Il s’installe par modules d’extension, extensions de navigateur et autres techniques.
- Le logiciel saisit les communications de l’utilisateur sur Internet, en particulier ses recherches en ligne, ses recherches sur les sites d’achats en ligne et le contenu de ses communications dans les médias sociaux. Il interagit avec ces communications, les modifie et y insère d’autre contenu. Plus particulièrement, le logiciel capte les mots-clés saisis dans les moteurs de recherche de l’utilisateur et dans ses recherches sur les sites d’achats en ligne. Il transmet ces mots-clés par l’intermédiaire des serveurs de l’entreprise et, si l’utilisateur a accepté de lier son compte Wajam ou Social2Search à ses comptes dans les médias sociaux, le logiciel ajoute les résultats des recherches découlant de contenus partagés par ses « amis » et ses contacts dans les médias sociaux.
- Selon les énoncés affichés sur les sites Web de Wajam et de Social2Search, le logiciel partage le contenu dans les médias sociaux afin de simplifier et de mieux valider les recherches sur Internet :
« Le moteur de recherche sociale Social2Search vous donne accès aux connaissances de vos amis. […] Vos recherches vous mènent à un niveau de contenu personnalisé comprenant les commentaires et recommandations de vos amis et vous indiquant ce qu’ils ont aimé.
L’extension de navigateur vous donne accès à la recherche sociale sur tous les sites Web que vous consultez. Interrogez Google, Bing, Yahoo!, Amazon, Yelp, Trip Advisor, YouTube ou eBay et voyez ce que vos amis vous recommandent sans avoir à changer quoi que ce soit à vos habitudes de rechercheNote de bas de page 5. » [Traduction]
- Pour que le logiciel ait accès à ses comptes dans les médias sociaux, l’utilisateur doit prendre une autre mesure après l’installation : il doit lier au logiciel ses comptes dans ces médias. Selon les sites Web de Wajam et de Social2Search, l’utilisateur peut se connecter au logiciel à l’aide de son compte Twitter ou Facebook. Il pourra ensuite ajouter Twitter, Google+, LinkedIn et Facebook comme sources de contenu de médias sociaux « amies ».
- D’après l’intimée, une fois installé et lié aux comptes de l’utilisateur dans les médias sociaux, le logiciel place selon les mots-clés utilisés les résultats les plus pertinents provenant de ces médias sociaux en tête des résultats des recherches effectuées sur Amazon, Bing, Expedia, Facebook, Google, Instagram, Kijiji, LinkedIn, Pinterest, Tumblr, Twitter, YouTube et les autres sites Web pris en charge (89 en tout). L’utilisateur aurait alors accès à des renseignements sur le contenu partagé par ses amis et à leurs commentaires sur le contenu partagé également par d’autres amis (figure 1) :
Figure 1 : Résultats d’une recherche dans Google et contenu connexe provenant des « amis » de l’utilisateur dans les médias sociaux.
Version textuelle
Capture d’écran du moteur de recherche Google montrant les résultats de recherche sur Wajam en haut de la page, directement au dessus des résultats de recherche effectués au moyen de Google sur le même sujet.
Les résultats d’une recherche faite au moyen de Wajam montrent de l’information liée aux « amis » des réseaux sociaux de l’utilisateur, y compris les amis qui ont partagé des éléments relatifs à l’information en question, des commentaires connexes et d’autres amis qui ont également partagé le contenu.
- Cependant, il est devenu évident au cours de notre enquête que l’information affichée sur les sites de Wajam et de Social2Search à propos des fonctions du logiciel était inexacte et périmée depuis un certain temps. Abstraction faite des énoncés affichés sur ces sites, l’intimée nous a informés qu’il n’était plus possible de lier le logiciel aux comptes Google+ depuis 2012, aux comptes LinkedIn depuis 2013 et aux comptes Facebook depuis 2014. Elle a aussi indiqué avoir cessé en janvier 2017 de permettre l’intégration du logiciel à Twitter. Par conséquent, au moment où nous avons ouvert notre enquête, le logiciel pouvait uniquement être intégré à Twitter et ne pouvait plus être lié aux autres sources de médias sociaux énumérées sur les sites de Wajam et de Social2Search ni les interroger.
- L’intimée a confirmé qu’elle tirait ses revenus en grande partie de l’affichage de publicités contextuelles destinées aux utilisateurs ayant installé le logicielNote de bas de page 6.
- Les publicités présentées aux utilisateurs pouvaient :
- s’afficher en temps réel en fonction des recherches faites par l’utilisateur sur Internet ou sur les sites d’achats en ligne (ou, s’il n’existe aucune publicité pertinente pour ces recherches, sur une requête de recherche faite auparavant). Ces publicités s’affichent au-dessus ou à côté des résultats de la recherche et sont accompagnées de la mention « Wajam Ads » ou « Social2Search Ads » pour les recherches dans les moteurs de recherche et « Ads powered by Wajam » ou « Ads powered by Social2Search » pour celles sur les sites d’achats en ligne (figure 2);
- prendre la forme de bannières ou de publicités intégrées dans l’image sur les sites Web que consulte l’utilisateur. Ces publicités sont fondées sur la catégorie de site Web, comme sports, divertissements ou actualités, plutôt que sur les requêtes de recherche de l’utilisateur. Elles sont accompagnées de la mention « Ads by Wajam » ou « Ads by Social2Search ».
Figure 2 : Publicités affichant la mention « Ads powered by Wajam » intégrées à une recherche portant sur des téléviseurs DEL et ACL sur amazon.com.
Version textuelle
Capture d’écran montrant les résultats de recherche portant sur des téléviseurs DEL et ACL sur le site amazon.com, un site d’achats en ligne. Les téléviseurs annoncés à l’écran se trouvent dans un encadré intitulé « Ads powered by Wajam ».
- Le logiciel commence à recueillir et à communiquer des renseignements personnels dès son installation. Il affiche des publicités lorsque l’utilisateur consulte un site Web pris en charge. C’est le cas sans que le logiciel soit lié à un compte de l’utilisateur dans les médias sociaux.
- Une fois installé, le logiciel détecte automatiquement le moment où un utilisateur navigue dans un site Web pris en charge. Il recueille alors les mots-clés saisis par l’utilisateur et les transmet aux serveurs de l’intimée, qui choisit en conséquence les publicités contextuelles à afficher. Ce processus n’exige pas l’ouverture d’une session ou la création d’un compte dans le logiciel ni la liaison avec les comptes de l’utilisateur dans les médias sociaux. Autrement dit, après avoir été installé sur un ordinateur personnel, le logiciel recueille les requêtes de recherche de l’utilisateur, affiche des publicités et génère des revenus pour l’intimée sans aucune autre intervention de l’utilisateur.
Distribution du logiciel
- Depuis 2011, l’intimée offrait le logiciel par l’intermédiaire de distributeurs tiers (les « distributeurs »). Les distributeurs ajoutent Social2Search (et auparavant Wajam) à des gratuiciels que les individus téléchargent à partir de leurs propres sites Web ou de sites indépendants de distribution de gratuiciels. Par exemple, lorsqu’un utilisateur télécharge puis installe sur son ordinateur un gratuiciel comme un antivirus, un convertisseur de fichiers PDF ou un lecteur de fichiers multimédia à partir d’un site de distribution de gratuiciels, le programme d’installation peut tout à coup lui demander d’installer d’autres logiciels sans rapport, dont Social2Search.
- La distribution du logiciel par les distributeurs tiers était régie par une entente de distribution conclue avec l’intimée. Selon l’entente, l’intimée rémunérait le distributeur pour chaque utilisateur unique qui installait le logiciel. Les distributeurs avaient donc un fort incitatif financier à multiplier les installations. En novembre 2016, l’intimée avait ainsi conclu des ententes avec 19 distributeurs. Au total, entre 2011 et 2016, elle avait conclu plus de 50 ententes avec des distributeurs tiers pour distribuer son logiciel.
- Jusqu’à la fin de 2014, les utilisateurs pouvaient aussi télécharger directement le logiciel à partir du site principal, wajam.com. Comme il est indiqué ci-après, l’intimée affirme avoir été forcée d’en retirer son logiciel pour que le site continue de figurer dans les résultats des moteurs de recherche.
- Le modèle de distribution adopté par l’intimée semble avoir connu un franc succès – selon elle, le logiciel avait été installé « des centaines de millions » de fois au moment de l’enquête. Environ 1 % des installations avaient été faites sur l’ordinateur d’utilisateurs canadiens. L’intimée estime que le logiciel Social2Search a été installé sur l’ordinateur de plus de 75 000 Canadiens en juillet 2016 et de plus de 50 000 le mois suivant.
Modifications au logiciel et au mode de distribution découlant de mesures prises par d’autres
- L’intimée a affirmé s’être heurtée à des fournisseurs de plateforme en ligne et à des développeurs de gratuiciels concurrents à partir de 2014, ce qui a limité l’accessibilité à son site Web et au logiciel. Elle a aussi allégué qu’un moteur de recherche populaire avait bloqué le logiciel Wajam. Elle aurait en outre été forcée d’en retirer son logiciel pour que le site continue de figurer dans les résultats des moteurs de recherche.
- Selon les allégations de l’intimée, depuis que des antivirus auparavant surtout vendus par abonnement sont devenus gratuits, ils font concurrence à ses produits sur le marché de la distribution et ont commencé à perturber, à bloquer ou à signaler son logiciel.
- D’après nos recherches, des blogues et des articles de TI et des antivirus avaient classé Wajam et Social2Search comme publicielsNote de bas de page 7 ou logiciels potentiellement indésirablesNote de bas de page 8 :
« Wajam est un publiciel qui suit la navigation de l’utilisateur sur le Web et affiche des publicités en ligne. Les publiciels ou les logiciels potentiellement indésirables les plus courants s’infiltrent dans le navigateur des utilisateurs au moment du téléchargement de gratuiciels. Les internautes devraient être conscients que la plupart des sites de téléchargement de gratuiciels gèrent leur processus de téléchargement au moyen des clients de téléchargement. Malheureusement, certains de ces clients n’indiquent pas clairement que des modules d’extension ou des barres d’outils d’annonceurs sont téléchargés en même temps que le logiciel choisi par l’utilisateurNote de bas de page 9. » [Traduction]
« Wajam est un publiciel qui affiche des publicités sur les pages Web des sites où vous naviguez. Une fois installé, il affiche sur les pages Web des publicités envahissantes et indésirables qui rendent difficile la consultation du site voulu. Pis encore, ce publiciel ralentit votre ordinateur et peut même faire geler votre navigateur Web. Les publicités affichées visent à promouvoir l’installation d’autre contenu discutable, notamment des barres d’outils pour navigateur, des utilitaires d’optimisation et d’autres produits, afin de générer des revenus par clic pour le créateur de WajamNote de bas de page 10. » [Traduction]
- L’intimée a contesté les caractéristiques attribuées à son logiciel. Selon elle, ces blogues de TI ne sont pas des sources d’information fiables car ils sont biaisés. Elle a affirmé que certains sites Web de logiciels de sécurité pour ordinateurs personnels ayant accusé son logiciel sont conçus de manière à sembler provenir d’experts indépendants, mais qu’ils servent en réalité à générer des revenus grâce au téléchargement de logiciels antivirus ou antimaliciels gratuits sur ces sites. L’intimée a dit avoir envoyé à plusieurs entités une mise en demeure contestant leur opinion à l’égard de son logiciel. Elle nous a fourni une copie de l’une de ces mises en demeure.
- Nous avons vérifié comment l’intimée enregistrait et utilisait les domaines Internet. Entre 2007 et 2016, elle a enregistré 234 domaines – 4 entre 2007 et 2013 et 221 entre 2014 et 2016 (nous n’avons pu établir la date d’enregistrement dans le cas des neuf domaines restants). L’intimée a affirmé avoir enregistré ces nouveaux domaines à partir du moment où des concurrents ont commencé à bloquer et à endommager son logiciel et ses sites existants.
- Dans le cadre de notre enquête, nous avons aussi observé des mises à jour fréquentes, parfois même quotidiennes, du logiciel de l’intimée. Certaines étaient associées à des modifications apportées au logiciel, à des correctifs de sécurité ou à la correction de bogues, mais d’autres visaient selon l’intimée à créer de nouvelles « signatures » logicielles. Comme pour les nouveaux domaines, l’intimée a affirmé que ces mises à jour aidaient son logiciel à éviter d’être détecté et endommagé par les antivirus et les logiciels de ses concurrents.
- De même, l’intimée a indiqué avoir lancé Social2Search parce que des modifications apportées aux principaux navigateurs Web empêchaient de continuer d’installer Wajam en tant que logiciel exécutable. Elle a affirmé avoir créé Social2Search pour contourner ces restrictions techniques tout en continuant de promouvoir Wajam uniquement comme extension de navigation. Social2Search semblait destiné à remplacer Wajam, mais son site Web ne le mentionne nullement.
- En dépit des efforts déployés en vue de détecter et de bloquer l’installation du logiciel, l’intimée a réussi à le faire installer des millions de fois, y compris sur des milliers et des milliers d’ordinateurs d’utilisateurs canadiens.
Changements aux activités de l’intimée après la réception de l’avis d’enquête
- En réponse à l’avis d’enquête du Commissariat, l’intimée a demandé à ses distributeurs tiers de cesser d’offrir son logiciel au Canada jusqu’à la fin de l’enquête. Elle a donné ces directives en septembre 2016, mais nous avons quand même pu télécharger le logiciel à partir du site de certains distributeurs au cours des essais que nous avons menés en décembre 2016. Nous avons toutefois confirmé par la suite que le logiciel ne semblait plus être ajouté à d’autres logiciels distribués au Canada.
- Peu après le début de l’enquête, le logiciel a aussi cessé de présenter des publicités (principale méthode de monétisation des renseignements personnels utilisée par l’intimée) à tous ses utilisateurs canadiens. L’intimée nous a informés qu’elle continuait à recueillir les renseignements des utilisateurs canadiens ayant déjà installé son logiciel, mais qu’elle ne les utiliserait plus à des fins de publicité ou autres. Elle prévoyait aussi mettre en œuvre un processus pour s’assurer de ne plus recueillir de renseignements auprès des utilisateurs canadiens.
- En décembre 2016, on nous a informés que les principaux actionnaires et les administrateurs de l’intimée avaient décidé de mettre fin aux activités de l’entreprise et de vendre ses actifs, y compris le logiciel, à une autre société.
- Le 14 février 2017, nous avons appris que les actifs de l’intimée, y compris le logiciel, seraient transférés à IMTL. Selon l’intimée, cette société de Hong Kong. aurait accepté d’acquérir la propriété intellectuelle, le code source, les noms de domaine, les certificats et tous les contrats pertinents – y compris ceux conclus avec les utilisateurs étrangers – associés aux logiciels Wajam et Social2Search.
- L’intimée a indiqué qu’elle ne transférerait pas à IMTL les renseignements personnels des utilisateurs canadiens et que, selon ce qu’elle comprenait, l’acquéreur n’avait pas l’intention de promouvoir le logiciel auprès de Canadiens.
- Wajam a toutefois expliqué qu’elle transférerait à IMTL des renseignements limités d’utilisateurs étrangers, à savoir la valeur de hachage MD5 de chaque utilisateur, la date d’installation du logiciel, et d’autres renseignements regroupés et ne permettant pas d’identifier ses utilisateurs. L’intimée a précisé que les renseignements regroupés étaient des données analytiques contenues dans sa base de données sur les renseignements d’affaires, entre autres sur le rendement des publicités par date, société affiliée, pays, moteur de recherche ou navigateur – par exemple, le nombre de publicités sur lesquelles les utilisateurs ont cliqué par jour ou par pays. Elle a en outre confirmé que ces renseignements n’étaient liés à aucun nom d’utilisateur ni à aucun autre renseignement permettant d’identifier les utilisateurs. Les renseignements devaient être chiffrés et transférés à IMTL par réseau privé virtuel.
- L’intimée a confirmé que tous les autres renseignements personnels des utilisateurs en sa possession seraient conservés de façon sécuritaire par un tiers puis éliminés après le transfert de propriété, sous réserve des exigences du Commissariat en matière de conservation.
- En dépit du transfert officiel de propriété, qui a eu lieu au cours de la majeure partie de notre enquête, nous ne sommes pas certains que l’intimée et IMTL soient deux entités tout à fait distinctes. Nous avons constaté qu’IMTL avait été constituée en personne morale en novembre 2016, pendant notre enquête, et que son seul administrateur se spécialisait entre autres dans les services aux entreprises et les services de délocalisation à l’intention de sociétés voulant s’établir à Hong Kong. En outre, IMTL était censée verser des honoraires de consultation à d’anciens employés, à des consultants et à un ancien actionnaire de l’intimée. Elle devait aussi payer les actifs de l’intimée à même les bénéfices qu’elle tirerait du logiciel. IMTL devait aussi payer des services de transition à l’intimée.
- Nous avons aussi observé que les sites Web de Wajam et Social2Search (respectivement wajam.com et social2search.com) avaient été modifiés en février ou en mars 2017 pour indiquer qu’IMTL détenait les droits d’auteur sur ces sites. En outre, dans le contrat de licence d’utilisateur final affiché sur ces sites, IMTL était désignée comme la société avec laquelle les utilisateurs concluaient ce contrat. Le contenu des sites, notamment la description du logiciel et de son mode de fonctionnement, ne semblait pas avoir été modifié.
- En réponse à notre rapport préliminaire, l’intimée a précisé qu’aucun des propriétaires présents ou anciens de Wajam n’était actionnaire, administrateur ou dirigeant d’IMTL, que la vente de ses actifs à IMTL avait été concrétisée et qu’elle avait présenté une facture finale pour la prestation de services de transition. L’intimée a ajouté qu’elle ne détenait donc plus aucun intérêt dans IMTL et qu’elle n’exerçait plus aucun contrôle sur l’entreprise. Elle ne nous a par ailleurs donné aucune autre information concernant la création d’IMTL, le lieu des activités quotidiennes de l’entreprise ou la personne ou l’entité exerçant dans les faits le contrôle sur l’entreprise.
- Après avoir présenté notre rapport préliminaire, nous avons examiné de nouveau les sites Web wajam.com et social2search.com. Nous avons constaté que si l’on y avait accès à partir du Canada, les sites affichaient une seule page indiquant que le logiciel n’était plus disponible. Toutefois, il était possible de consulter le contenu intégral des sites Web à partir d’une adresse IP aux États-Unis.
Section 1 – Responsabilité :
- L’intimée a confirmé avoir retenu les services d’un spécialiste du domaine en Israël pour faire office de responsable de la protection de la vie privée et assurer le respect des obligations techniques et des obligations en matière de protection de la vie privée incombant à l’entreprise. Nous nous sommes entretenus avec cet agent par vidéoconférence au cours de notre visite.
- Dans un questionnaire envoyé à TRUSTe en octobre 2015, l’intimée a affirmé avoir mis en place des politiques et des procédures portant sur i) la réception et le traitement des demandes d’accès, ii) l’exactitude et la correction des renseignements personnels, iii) le respect des principes de confidentialité des renseignements, et iv) la réception des plaintes liées à la protection de la vie privée, les enquêtes connexes et la réponse. Cependant, à part nous montrer une politique de confidentialité, l’intimée n’a pu fournir aucun élément probant attestant l’existence ou l’application de ces politiques et procédures.
- Aux dires de l’intimée, ses employés consultaient régulièrement le responsable de la protection de la vie privée, surtout avant le lancement d’un nouveau produit, et l’entreprise leur donnait une formation informelle sur le sujet. Elle a toutefois été incapable de présenter la copie d’une communication sur la protection de la vie privée ou d’un document de formation fourni au personnel ou provenant de celui-ci, si ce n’est une « grille sur la confidentialité des renseignements ».
- En examinant la grille, nous avons constaté qu’elle devait servir principalement dans le cadre du développement de produits. Elle renfermait une liste de points et de questions clés en matière de protection de la vie privée à l’intention des employés, mais n’était accompagnée d’aucune instruction sur la façon de la remplir ou de l’utiliser. L’intimée a par ailleurs reconnu que la grille n’avait pas été remplie pour le lancement de Wajam ou de Social2Search.
- L’intimée a affirmé que ses employés chargés de l’administration des systèmes et des renseignements d’affaires avaient reçu une formation approfondie sur la sécurité, notamment sur la protection de ses systèmes et bases de données. Lorsque nous lui avons demandé une copie du matériel de formation utilisé, elle a répondu que la formation était informelle et n’a été en mesure de nous fournir aucun document ni aucune autre donnée probante attestant que la formation avait bel et bien eu lieu.
- Nous avons demandé à l’intimée une copie de ses procédures et de son calendrier de conservation et de destruction des renseignements. Elle nous a présenté une liste de vérification où figurent les règles d’élimination des données dans deux de ses quatre bases de données. Ses employés n’ont toutefois pas pu expliquer pourquoi les dates prévues dans ces règles avaient été choisies, et ils ont confirmé que les données brutes des utilisateurs versées dans la base de données principale de l’intimée étaient en fait conservées indéfiniment. On nous a dit qu’aucune politique ni aucune procédure sur la conservation et la destruction des données n’avait été mise en place.
Section 2 – Consentement :
Le processus d’installation
- Pour installer Wajam ou Social2Search par l’intermédiaire d’un distributeur, l’utilisateur doit d’abord décider de télécharger un logiciel (le « logiciel principal ») auquel Wajam ou Social2Search a été ajouté. Dans les exemples que nous avons examinés, les utilisateurs n’avaient pas été informés avant de choisir le logiciel principal qu’il était assorti de la possibilité d’installer Wajam ou Social2Search. En outre, le logiciel principal (p. ex. un convertisseur de fichiers PDF ou un lecteur de fichiers multimédia) n’avait bien souvent aucun lien avec Wajam ou Social2Search. L’intimée a toutefois soutenu que le système affichait au moment de l’installation du logiciel principal des écrans de consentement donnant de l’information sur Wajam ou Social2Search. Elle a affirmé s’assurer que l’utilisateur donnait un consentement éclairé avant l’installation.
- L’intimée a expliqué qu’il y avait deux façons de solliciter le consentement de l’utilisateur, à savoir dans le cadre d’une offre distincte ou d’une offre regroupée.
Offres distinctes
- Les offres distinctes constituent la méthode utilisée le plus souvent pour distribuer les logiciels Wajam et Social2Search. Dans le cadre de ce processus, l’utilisateur consent d’abord à l’installation du gratuiciel qu’il a choisi, puis il autorise tour à tour, au moyen d’une série d’écrans de consentement distincts, l’installation de chaque autre logiciel ajouté au logiciel principal mais non sollicité, par exemple Wajam ou Social2Search.
Logiciel principal Social2Search Logiciel C Logiciel D… Écran de consentement Écran de consentement Écran de consentement Écran de consentement Autorisation ou refus Autorisation ou refus Autorisation ou refus Autorisation ou refus - L’intimée nous a fourni une copie des écrans de consentement standard (en mode texte et image) utilisés au cours du processus d’offres distinctes (figure 3) et nous a fait parvenir plusieurs exemples d’écrans de consentement (en mode texte et image) utilisés par différents distributeurs.
Figure 3 : Exemple d’écran de consentement standard en mode image pour une offre distincte de Social2Search.
Version textuelle
Capture d’écran montrant un écran de consentement de Social2Search. La première moitié de la capture d’écran contient une promotion du logiciel Social2Search et une image du moteur de recherche Google. La deuxième moitié de la capture d’écran contient un texte de consentement affichant le texte suivant :
« Obtenez des recommandations de vos amis sur tous les sites Web que vous aimez utiliser. Le logiciel Social2Search vous donne des résultats personnels provenant de Facebook et de Twitter sur des sites Web comme Google, TripAdvisor, Amazon, etc. Social2Search utilise les données des utilisateurs de Facebook et de Twitter pour vous donner des résultats personnalisés fondés sur ce que vous cherchez. Social2Search peut utiliser un module complémentaire, un serveur mandataire local (proxy), des bibliothèques de liens dynamiques (DLL), des témoins (cookies), des pixels et/ou d’autres moyens pour recueillir votre adresse IP, les adresses URL des pages que vous consultez et d’autres renseignements, y compris le contenu des pages Web chiffrées afin de vous donner des résultats de recherches personnelles et de vous montrer des publicités. Social2Search peut se protéger d’un autre logiciel qui essaierait d’interférer avec lui. En savoir plus. Pour demander le retrait ou la désactivation de ce programme informatisé, veuillez communiquer avec nous à cette adresse de courriel. En cliquant sur « Accept » (J’accepte), j’accepte les conditions de service et la politique sur la protection des renseignements personnels, et je consens à installer et à activer Social2Search pour tous les navigateurs. Veuillez communiquer avec nous pour obtenir de plus amples renseignements. »
[Traduction]
Les formulations « En savoir plus », « adresse de courriel », « conditions de service », « politique sur la protection des renseignements personnels » et « communiquer avec nous » sont des hyperliens.
Le bouton situé en bas à gauche de l’écran indique « Decline » (Non merci), alors que le bouton en bas à droite indique « Accept » (J’accepte).
- D’après nos essais, les logiciels regroupés offerts par certains distributeurs affichaient des écrans de consentement correspondant à ceux fournis par l’intimée. Les boutons et les liens, notamment ceux menant à la politique de confidentialité de l’intimée, y fonctionnaient comme il était indiqué.
- Au cours de nos essais, nous avons toutefois constaté des problèmes associés aux écrans de consentement de certains distributeurs :
- Pendant l’installation d’un gratuiciel, le système a affiché un écran de consentement à l’installation de Wajam qui renfermait une politique de confidentialité périmée remontant à août 2012. L’intimée a expliqué que cette situation était probablement attribuable au fait que le distributeur proposait une ancienne version du logiciel.
- Au moment de l’installation d’un autre logiciel par l’intermédiaire du même distributeur, il semble y avoir eu une erreur dans la récupération du logiciel principal, ce qui a entraîné l’affichage d’options prêtant à confusion. À l’échec de l’installation, le système a demandé si nous voulions réessayer. Lorsque nous avons choisi d’annuler (« Cancel »), le système a affiché une boîte de dialogue d’annulation de l’installation (« Abort installation » – figure 4). Les deux premières options étaient présentées en gris et semblaient désactivées, mais elles étaient en réalité bien activées. Par conséquent, la seule option qui semblait offerte était de continuer (« Continue »). Quand nous avons cliqué sur ce bouton, le système a installé Wajam. Nous avons aussi observé que les boîtes de dialogue masquaient le texte de consentement à l’installation de Wajam.
Figure 4 : Écran de consentement s’affichant au moment de l’installation du gratuiciel Pixel Degrees au moyen du logiciel d’installation Better Installer.
Version textuelle
La capture d’écran montre une page d’installation de Pixel Degrees contenant un texte de consentement pour le logiciel regroupé Wajam. La page d’installation et le texte de consentement apparaissent en gris.
Une boîte de dialogue « Abort Installation » (annulation de l’installation) est superposée sur la page. La boîte de dialogue contient le texte suivant :
Pour annuler l’installation, cliquez sur « Abort ». Pour faire l’installation sans offres regroupées, cliquez sur « Skip » (Passer). Autrement, cliquez sur « Continue » (Continuer) pour poursuivre l’installation.
Une case est cochée, on peut y lire « Resume download on next windows startup » (Recommencer le téléchargement sur les prochaines fenêtres de démarrage).
Il y a trois boutons au bas de la boîte de dialogue. Les deux autres boutons à gauche (« Abort » et « Skip ») apparaissent en gris. Le bouton à droite est vert et on peut y lire « Continue » (continuer).
[Traduction]
- Au cours de l’installation d’un autre logiciel par l’intermédiaire d’un autre distributeur, nous avons eu de la difficulté à déterminer comment refuser l’installation de Wajam. L’écran de consentement à l’installation de Wajam (figure 5) affichait du texte en gris dans lequel une case était précochée. L’utilisateur pouvait cliquer sur « Back » (retour), « Next » (suivant) ou « Cancel » (annuler). Il n’y avait aucune description à côté de la case précochée ni aucune explication sur la façon d’installer le logiciel principal sans installer aussi Wajam.
Figure 5 : Écran de consentement à l’installation de Wajam s’affichant au cours de l’installation du gratuiciel Dumpper au moyen du logiciel d’installation Install Monster.
Version textuelle
Capture d’écran montrant un écran de consentement de Wajam, dont le texte est un consentement en gris.
Le texte de consentement est le suivant :
« Obtenez des recommandations de vos amis sur tous les sites Web que vous aimez utiliser. Le logiciel Social2Search vous donne des résultats personnels provenant de Facebook et de Twitter sur des sites Web comme Google, TripAdvisor, Amazon, etc. Wajam utilise les données des utilisateurs de Facebook et de Twitter pour vous donner des résultats personnalisés fondés sur ce que vous cherchez. Wajam peut utiliser un module complémentaire, un serveur mandataire local (proxy), des bibliothèques de liens dynamiques (DLL), des témoins (cookies), des pixels et/ou d’autres moyens pour recueillir votre adresse IP, les adresses URL des pages que vous consultez et d’autres renseignements, y compris le contenu des pages Web chiffrées afin de vous donner des résultats de recherches personnelles et de vous montrer des publicités. Wajam peut se protéger d’un autre logiciel qui essaierait d’interférer avec lui. Vous pouvez refuser la publicité de tiers et supprimer l’application Wajam en tout temps En savoir plus. Pour demander le retrait ou la désactivation de ce programme informatisé, veuillez communiquer avec nous à cette adresse de courriel. »
[Traduction]
Une case est cochée d’avance sans texte à côté.
Le texte continue sur la ligne suivante :
« En cliquant sur "Next" (Prochain), j’accepte les conditions de service et la politique sur la protection des renseignements personnels, et je consens à installer et à activer Wajam pour tous les navigateurs. Veuillez communiquer avec nous pour obtenir de plus amples renseignements. » [Traduction]
Les formulations « En savoir plus », « Adresse de courriel », « Conditions de service », « Politique sur la protection des renseignements personnels » et « Communiquer avec nous » sont des hyperliens.
Offres regroupées
- Dans le cadre du processus d’offres regroupées, le système affiche un seul écran de consentement pour que l’utilisateur autorise l’installation du logiciel principal choisi et de tous les autres logiciels potentiellement indésirables ajoutés au logiciel principal :
Logiciel principal Écran de consentement unique Social2Search Installation rapide ou personnalisée Logiciel C Logiciel D… - L’intimée a expliqué avoir fait entre août et novembre 2016 l’essai d’un processus d’offres regroupées pour distribuer Social2Search. Elle voulait ainsi demeurer concurrentielle dans les pays où cette forme de consentement à l’installation de logiciels est courante et acceptable. Elle a affirmé avoir conseillé à ses distributeurs de s’en tenir aux processus mis en place pour les logiciels de marques connues.
- L’intimée nous a fourni des exemples d’écrans de consentement pour des offres regroupées. Nous en avons aussi observé d’autres pendant nos essais. L’écran présenté à la figure 6 pour une offre regroupée met en évidence certaines de nos préoccupations.
Figure 6 : Social2Search et autres logiciels proposés au cours de l’installation du gratuiciel Road Rash 2002.
Version textuelle
Capture d’écran tirée d’une page de consentement pour un programme nommé « Setup Road Rash 2002 » et quatre autres logiciels regroupés.
La page de consentement offre deux choix :
La première case permet à une personne de faire une installation rapide (« Express Install ») du logiciel « Road Rash 2002 » et de quatre autres logiciels regroupés, entre autres le logiciel Social2Search. Cette option est un choix recommandé (Recommended).
La deuxième case permet à une personne de faire une installation personnalisée « Custom Install (Expert) » du logiciel « Road Rash 2002 », puis de sélectionner un ou plusieurs autres logiciels regroupés qu’elle désire en cochant une case pour chaque logiciel. Cette option est un choix pour « expert ».
On demande ensuite à la personne de cliquer sur « Next » (Suivant), ce qui lancera l’installation des logiciels choisis.
- La case précochée est l’option « Express Install (Recommended) » (installation rapide [recommandée]), qui installe automatiquement le logiciel principal et tous les logiciels ajoutés.
- Le texte du bouton « Close » (fermer) est en gris et en très petits caractères comparativement au bouton « Next » (suivant). On pourrait facilement ne pas le voir ou ne pas en tenir compte en considérant qu’il s’agit d’une option non active.
- Il semblait impossible de cliquer sur les liens menant aux politiques de confidentialité pertinentes ou à d’autres pages décrivant les quatre logiciels non sollicités, dont Social2Search.
- Pour refuser l’installation de Social2Search, l’utilisateur devait opter pour une installation personnalisée « Custom Install (Expert) », ce qui risquait de le dissuader de choisir cette option. Lorsque l’utilisateur sélectionnait cette option, le système affichait une case pour chaque logiciel. Les cases étaient précochées, comme c’était le cas pour l’installation rapide, et le texte en gris donnait à penser qu’aucun changement n’était possible.
- Le nom de seulement deux des quatre logiciels supplémentaires s’affichait au complet. En outre, il fallait faire défiler l’écran vers le bas pour en savoir plus sur les deux autres. Si l’utilisateur cliquait par erreur sur le bouton « Next » (suivant), l’installation des quatre logiciels supplémentaires commençait immédiatement.
Distributeurs tiers
Assurance de la qualité
- Pour évaluer les distributeurs et suivre leurs activités, l’intimée a créé une équipe d’assurance qualité (AQ). Au moment de notre visite, cette équipe était composée d’un superviseur et d’un analyste. L’intimée a affirmé que son équipe d’AQ informait les distributeurs de leurs obligations en matière de conformité et exigeait qu’ils soumettent leur processus de consentement proposé à son approbation afin de s’assurer qu’il respecte l’entente de distribution. Enfin, l’équipe d’AQ surveillait les activités courantes des distributeurs et fournissait à la haute direction de l’information faisant ressortir les cas de non conformité.
Approbation préalable du processus de consentement
- L’intimée fournissait aux distributeurs potentiels un guide du partenaire de Wajam ou Social2Search. Ce document leur donnait des renseignements techniques et de l’information sur la conformité quant à la façon d’intégrer les offres de logiciels Wajam ou Social2Search à des groupes de logiciels et donnait des exemples de pratiques acceptables pour obtenir le consentement des utilisateurs.
- L’intimée a affirmé que chaque distributeur devait lui faire une démonstration de la promotion de son logiciel en ligne. Les démonstrations étaient vérifiées et les résultats étaient consignés dans un rapport d’AQ des groupes de logiciel, dont l’intimée nous a fourni un exemple. Le rapport d’AQ détermine si les images, le texte, les liens et les interfaces utilisateur affichés à l’écran de consentement sont clairs et conformes aux exigences et s’ils fonctionnent comme prévu. S’il ne respectait pas l’un des critères, le distributeur devait modifier le processus jusqu’à ce qu’il soit approuvé.
Ententes de distribution
- Comme nous l’avons indiqué ci-dessus, chaque distributeur concluait une entente de distribution dans laquelle il s’engageait à observer les lignes directrices de l’intimée en matière de distribution ainsi que toute loi applicable. En vertu des lignes directrices, le distributeur devait suivre les protocoles d’installation, qui concordent avec ceux énoncés dans le guide du partenaire et certaines exigences du programme de certification de logiciels Trusted Download de TRUSTe.
- Les lignes directrices interdisaient certaines méthodes de distribution, notamment i) l’installation du logiciel à l’insu de l’utilisateur (c.-à-d. sans avis à l’utilisateur ni consentement de sa part); ii) la collecte de renseignements permettant d’identifier l’utilisateur au moyen de la capture de frappes; iii) l’incitation à fournir des renseignements personnels en induisant volontairement l’utilisateur en erreur quant à l’identité de celui qui veut obtenir des renseignements; iv) une description trompeuse de la nature ou de l’objet du téléchargement; v) la suppression, la désactivation ou une action visant à rendre inopérant un antivirus ou antimaliciel installé sur l’ordinateur personnel; et vi) une offre d’installation de logiciel comportant tout incitatif.
- Les lignes directrices établissaient les limites que devaient respecter les distributeurs lorsqu’ils offraient Wajam ou Social2Search avec d’autres logiciels – p. ex. le logiciel ne devrait pas être ajouté à des logiciels considérés comme publiciels ou logiciels espions, logiciels de partage de fichiers de pair à pair ou logiciels Torrent ni à des logiciels qui contiennent une liste de sujets, de produits ou de services interdits ou en font la promotion.
Surveillance des activités des distributeurs
- Selon l’intimée, l’équipe d’AQ vérifiait les méthodes utilisées par les distributeurs pour offrir le logiciel aux utilisateurs. Elle a toutefois affirmé que les distributeurs ne lui indiquaient pas toujours le nom des sites Web ou des portails de téléchargement qu’ils utilisaient ni celui des logiciels principaux auxquels ils ajoutaient Wajam ou Social2Search. Selon elle, cette pratique rendait très difficile la surveillance de l’installation des logiciels et en faisait un processus « d’essais et erreurs ». En réalité, l’intimée devait essayer de trouver un groupe de logiciels contenant le sien, ce qui pouvait prendre « des heures, voire des jours ».
- Pour aider l’équipe d’AQ à concentrer ses recherches, l’intimée dressait la liste des 20 derniers sites (ou moins) consultés par l’utilisateur au cours des quatre heures ayant précédé l’installation de son logicielNote de bas de page 11. L’équipe pouvait alors retracer les pages Web consultées pour essayer de trouver les groupes de logiciels auxquels Wajam ou Social2Search avaient été ajoutés et évaluer le processus d’installation du point de vue de l’utilisateur. Cependant, en raison des différences dans la méthode utilisée par les distributeurs pour offrir les logiciels regroupés, l’intimée devait essayer à plusieurs reprises les adresses URL recueillies, en utilisant des endroits différents, et à différentes heures, pour finir par trouver un groupe de logiciels contenant le sien.
- L’équipe d’AQ faisait ensuite une saisie des écrans affichés au cours de sa surveillance et de l’évaluation de la diffusion de son logiciel par le distributeur. Si elle constatait qu’une installation n’était pas conforme aux exigences, le dossier était présenté à la haute direction qui devait faire le suivi auprès du distributeur en cause. Les saisies d’écran étaient jointes aux avertissements envoyés au distributeur lui demandant de prendre des mesures correctives. L’intimée nous a fourni plusieurs exemples de ce type de suivi auprès de ses distributeurs.
- L’intimée a affirmé que son équipe d’AQ analysait aussi les tendances des installations, des clics et des désinstallations afin de détecter les éventuels problèmes de non-conformité des distributeurs. Elle a expliqué qu’un rapport des tendances, qui soulignait ces problèmes, était transmis à chaque mois à la haute direction. Elle a fourni un exemple de rapport récent.
Preuves de problèmes de non-conformité et suivi par l’intimée
- En dépit des mesures susmentionnées, nous avons relevé l’existence de graves problèmes de non-conformité de la part de distributeurs. Nous avons étudié 21 échanges de courriels entre l’intimée et 18 distributeurs ayant eu lieu entre novembre 2014 et février 2016. Ces courriels mentionnaient des lacunes dans le respect des lignes directrices de l’intimée en matière de distribution, entre autres i) l’installation non autorisée du logiciel à l’insu de l’utilisateur; ii) l’offre du logiciel sans option de refus activée; iii) l’utilisation d’un lien de refus plutôt que d’un bouton, ou un bouton de refus de taille et d’apparence moins évidentes que le bouton d’autorisation; iv) l’absence de texte essentiel dans la fenêtre d’offre; v) l’offre du logiciel dans le cadre de l’installation rapide d’un groupe de logiciels, c’est à dire son intégration à une offre regroupée à l’insu de l’intimée ou sans son approbation préalable. Comme nous l’avons indiqué ci-dessus, nos propres essais ont révélé des problèmes similaires dans les écrans de consentement utilisés par les distributeurs.
- L’intimée nous a assurés qu’elle communiquait avec le distributeur responsable dès qu’elle relevait un problème de non-conformité. Dans certaines communications examinées, l’intimée a sommé le distributeur d’interrompre l’offre de son logiciel jusqu’à ce qu’il ait corrigé les lacunes relevées. Dans d’autres cas, elle a plutôt cherché à différer des paiements ou à réduire le montant de ses paiements versés aux distributeurs contrevenants pour l’installation des logiciels. Elle a aussi affirmé avoir arrêté de faire affaire avec quatre distributeurs. Cependant, il nous a été parfois difficile d’établir, à partir des documents fournis, quelles mesures correctives avaient été prises par les distributeurs ou si l’intimée avait vérifié ces mesures afin de s’assurer que tous les problèmes relevés avaient été entièrement réglés.
- De plus, l’intimée a affirmé avoir mis fin aux ententes conclues avec quatre distributeurs, mais nous avons obtenu des éléments de preuve écrite montrant qu’une seule entente avait été annulée. C’était en décembre 2016, c’est-à-dire bien après avoir été informée de l’ouverture de notre enquête. En outre, rien n’indiquait que l’intimée, après avoir appris que l’installation de certains logiciels ne respectait pas ses politiques, avait cherché à communiquer avec les personnes touchées ou cessé de recueillir leurs renseignements personnels.
Plaintes des utilisateurs – Installation sans consentement
- Les sites Web de Wajam et de Social2Search reconnaissaient que certains utilisateurs avaient pu installer le logiciel par inadvertance. On pouvait entre autres lire ce qui suit dans une FAQ sur les deux sites Web : « … nous avons reçu des plaintes d’utilisateurs n’ayant pas réalisé qu’ils avaient cliqué sur le bouton de consentement […] nous nous excusons si vous avez consenti involontairement à l’installation de notre technologie de recherche sociale… » [Traduction]. La FAQ expliquait en outre que le logiciel était parfois intégré à d’autres, mais que le produit « ne peut être installé sans le consentement de l’utilisateur. Social2Search n’est jamais installé à l’insu de l’utilisateur et il ne lui est jamais imposé […] Vous avez toujours le choix de refuser le téléchargementNote de bas de page 12. » [Traduction]
- Nous avons analysé le contenu des boîtes de courriel du responsable des relations avec les clients (« Community Manager ») de Wajam et Social2Search pour la période allant de janvier 2015 à décembre 2016. Elles contenaient des milliers de communications, appelées « interactions » par l’intimée. Selon cette dernière, même si leur nombre semblait élevé, ces interactions ne représentaient qu’une infime partie des utilisateurs de Wajam et de Social2Search.
- Une analyse plus approfondie a révélé que nombre des interactions étaient des communications non sollicitées, comme des courriels publicitaires de tiers. Nous avons tout de même relevé des centaines de plaintes d’utilisateurs alléguant ne pas avoir consenti à l’installation du logiciel :
« Bonjour. J’ai remarqué aujourd’hui vos publicités partout dans mon navigateur. Je n’ai jamais installé votre logiciel et il n’y en a aucune mention dans le répertoire des programmes ni dans les extensions au navigateur. J’ai même essayé le désinstallateur proposé, et je suis toujours incapable de m’en débarrasser. Pouvez-vous m’expliquer pourquoi?Note de bas de page 13 » [Traduction]
« Votre machine à pubs a réussi je ne sais trop comment à s’installer dans mon ordinateur à l’école. J’ai essayé de la désinstaller, sans succès évidemment. Vous le voulez ainsi, je n’en ai aucun doute. Comment osez-vous envahir les ordinateurs des gens au moyen d’une infernale machine à pubs? Avec tout ce que votre site crache dans mon navigateur, il m’est maintenant impossible d’utiliser le Web normalement.Note de bas de page 14 » [Traduction]
- En réponse à ce qui précède, l’intimée a expliqué qu’elle recevait souvent des plaintes concernant des logiciels n’ayant aucun rapport avec Wajam ou Social2Search, car les utilisateurs ont facilement accès à l’information sur ses logiciels et à ses coordonnées, qui ne sont jamais masquées, ce qui n’est pas le cas pour certains autres développeurs qu’elle n’a pas nommés.
- La FAQ laissait croire que des utilisateurs pouvaient avoir consenti par inadvertance à l’installation du logiciel. Toutefois, au cours de la même période, l’intimée a signalé à ses distributeurs plusieurs problèmes relatifs à des processus de consentement non conformes, notamment des installations de son logiciel à l’insu de l’utilisateur, c’est-à-dire sans l’affichage d’un écran de consentementNote de bas de page 15. En outre, comme nous l’avons mentionné ci-dessus, nos propres essais ont mis au jour des problèmes relatifs aux écrans de consentement utilisés par certains distributeurs.
Renseignements donnés aux utilisateurs au sujet du logiciel
- Comme nous l’avons signalé au paragraphe 26, les sites Web contenaient de l’information inexacte indiquant que le logiciel pouvait être lié aux comptes de l’utilisateur dans les médias sociaux comme Google+ et Facebook. En réalité, il n’était plus possible depuis un certain temps de lier le logiciel à ces comptes, sauf pour Twitter. Au cours de notre enquête, l’intimée a toutefois continué à promouvoir avec insistance la capacité de lier le logiciel à ces sites de médias sociaux et ce, bien après qu’il ne soit plus possible de le faire, sauf avec Twitter.
- L’écran de consentement standard de l’intimée contenait un lien menant à sa politique de confidentialité, dans laquelle elle décrivait comment elle recueillait, utilisait et communiquait les renseignements personnels. Nous avons constaté certaines contradictions dans l’information contenue dans la politique.
- Dans sa politique de confidentialité, l’intimée indiquait quels renseignements elle recueillait sur chaque utilisateur. Nous avons été fort préoccupés d’y lire que certains de ces renseignements étaient considérés comme des « renseignements de nature non personnelle » bien qu’ils se rapportent à un utilisateur en particulier, notamment i) le fournisseur de services Internet de l’utilisateur; ii) l’adresse IP; iii) le type d’ordinateur ou d’appareil et les données d’identification connexes; iv) le nom et la version du système d’exploitation; v) la date et l’heure de l’installation; vi) le navigateur par défaut; vii) une liste de tous les modules d’extension installés dans le navigateur; viii) toutes les applications installées dans l’ordinateur ou l’appareil. L’intimée a par la suite déclaré qu’en réalité, elle ne recueillait pas les données sur le fournisseur de services Internet de l’utilisateur, contrairement à ce qu’indiquait la politique de confidentialité.
- Nous avons également constaté que l’intimée attribuait un code d’identification unique à chaque utilisateur. L’intimée a déclaré que ce code était en fait la valeur de hachage MD5 chiffréeNote de bas de page 16 générée automatiquement par le logiciel dans l’ordinateur de l’utilisateur à partir de l’adresse MAC de l’utilisateur et du numéro de série de son disque rigide. Ces renseignements permettaient d’identifier et de suivre l’utilisateur à des fins d’analyse. Toutefois, la politique de confidentialité n’en faisait nullement mention et ne donnait aucune explication.
- La politique ne décrivait pas en détail tous les renseignements personnels recueillis par l’intimée ni les fins auxquelles celle-ci les utilisait. Nous avons notamment constaté que l’intimée recueillait et utilisait les données de géolocalisation de l’utilisateur (pays ou région) au moment de l’installation du logiciel et au cours des séances de navigation ultérieures, ainsi que certaines données sur l’historique de navigation avant l’installation du logicielNote de bas de page 17. L’intimée a expliqué que les données de géolocalisation avaient une incidence sur les publicités présentées aux utilisateurs et que l’historique de navigation permettait de vérifier si les distributeurs se conformaient aux exigences et servait à d’autres fins de contrôle de la qualité.
- La politique de confidentialité de l’intimée contenait également des informations inexactes et elle n’était pas à jour. Elle indiquait notamment que les utilisateurs devaient fournir leurs données de connexion aux médias sociaux pour permettre l’exécution de certaines fonctions du logiciel. Cependant, d’après l’intimée, avant de ne plus pouvoir être lié à Facebook et à Twitter, en 2014 et 2017 respectivement, le logiciel utilisait les interfaces de programmation d’application (API)Note de bas de page 18 de ces deux sites pour permettre aux utilisateurs d’accéder à leurs comptes et au logiciel de recueillir du contenu dans les médias sociaux. L’intimée a ajouté qu’elle ne recueillait pas de renseignements dans les médias sociaux par d’autres moyens et qu’elle ne recueillait, n’utilisait ni ne conservait les données de connexion des utilisateurs. L’intimée a reconnu que cet aspect de sa politique de confidentialité était désuet, qu’il n’était plus exact et qu’il devait être modifié.
- En ce qui a trait à l’affichage des publicités, la politique de confidentialité expliquait aux utilisateurs la marche à suivre pour choisir de ne plus recevoir de publicités, sans toutefois préciser que les serveurs de l’intimée continueraient de recueillir certaines données de navigation et de recherche auprès des utilisateurs ayant fait ce choix. L’ajout du logiciel à des sites Web pris en charge ainsi que l’affichage de publicités sur ces sites pouvaient être partiellement contrôlés à partir des pages de paramètres respectives de Wajam et de Social2Search. Les nombreux paramètres par défaut étaient présélectionnés ou « activés ». D’après l’intimée, les paramètres permettaient aux utilisateurs d’utiliser toutes les fonctions du logiciel dès l’installation et ils étaient appropriés puisque le logiciel n’utilisait pas de mots-clés sensibles pour diffuser les publicités (figure 7). Le fait de désélectionner les cases désactivait les publicités, mais pas la collecte de données sur l’historique de navigation et les requêtes de recherche sur les sites Web désélectionnés.
Figure 7 – Page des paramètres de recherche et de consentement ou de refus de Social2Search.
Version textuelle
Capture d’écran montrant les paramètres de l'utilisateur et les exclusions pour Social2Search, y compris une section de foire aux questions, les paramètres pour les publicités, les paramètres pour les achats, les préférences linguistiques et les « Search Engine Options » (Options pour les moteurs de recherche). Toutes les cases de paramètres ont été cochées à l’avance par l’entreprise.
Si un utilisateur veut exclure un ou des paramètres sur la page, il doit décocher les cases appropriées.
Au total, on compte 91 sites Web et cases à l’écran, qui se trouvent dans la section intitulée « Search Engine Options » (Options pour les moteurs de recherche).
- Enfin, nous avons examiné les conclusions d’un rapport produit par le programme Trusted Download de TRUSTe concernant le logiciel Wajam, daté du 18 août 2016. Dans ce rapport, TRUSTe recommandait à l’intimée de donner plus de détails aux utilisateurs, entre autres en ajoutant des précisions sur le fonctionnement du logiciel dans le contrat de licence d’utilisateur final et la politique de confidentialité. L’intimée a déclaré qu’elle n’avait pas apporté aux documents les modifications recommandées par TRUSTe car elle attendait les conclusions de l’enquête menée par le Commissariat.
- L’intimée a également indiqué qu’elle avait commencé de son propre chef à mettre à jour ses documents et à élaborer un programme de protection des renseignements personnels, mais qu’elle avait ensuite décidé de mettre fin à l’accord de certification TRUSTe et de vendre ses actifs à IMTL. Les travaux ont donc été interrompus.
Retrait du consentement – Désinstallation du logiciel
Plaintes des utilisateurs – Difficultés liées à la désinstallation du logiciel
- Dans le cadre de notre enquête, nous avons trouvé de nombreux commentaires publiés en ligne par plusieurs utilisateurs ayant de la difficulté à désinstaller le logiciel, par exemple :
« […] Après que je leur ai envoyé des messages régulièrement, ils ont finalement réglé le problème. Dans les premières réponses, ils présentaient en quelque sorte leurs excuses tout en faisant la promotion de leur produit. Même si je leur répétais que j’avais déjà désinstallé le logiciel, ils m’expliquaient uniquement comment le désinstaller et ne tenaient pas compte du fait que le logiciel se réinstallait – soit plus tard la même journée, soit quelques semaines plus tard, mais il se réinstallait.Note de bas de page 19 » [Traduction]
- Nous avons également trouvé, dans les boîtes de courriel du responsable des relations avec les clients de Wajam et de Social2Search, de nombreuses plaintes d’utilisateurs ayant de la difficulté à désinstaller le logiciel :
« (…) J’ai suivi toutes les étapes de désinstallation de votre programme. Toutes mes tentatives ont échoué. J’ai utilisé le panneau de configuration pour désinstaller les programmes. J’ai essayé de désinstaller votre logiciel et mon ordinateur indique que votre logiciel est désinstallé. Mais il figure encore dans ma liste de programmes. Votre logiciel est toujours actif dans mon ordinateur, même après que j’ai consulté votre site Web et suivi toutes les instructions de désinstallation. Je vous demande de m’expliquer comment désinstaller une fois pour toutes votre logiciel irritant.Note de bas de page 20 » [Traduction]
« J’ai suivi toutes les suggestions pour supprimer de mon ordinateur vos publicités non sollicitées, non commandées et non autorisées. J’ai tenté de supprimer votre logiciel à partir de tous les emplacements possibles, mais vos publicités indésirables me gâchent la vie! Je m’apprête à publier un rapport pour dénoncer cette arnaque et à diffuser partout où je le peux – notamment sur Google, sur Yahoo et sur Bing – des messages négatifs sur vos publicités non sollicitées, abusives et non autorisées qui envahissent mon ordinateur…Note de bas de page 21 » [Traduction]
- Le responsable des relations avec les clients de l’intimée a envoyé à tous ces plaignants une réponse standard contenant notamment une brève description du logiciel, un lien menant à la politique de confidentialité de l’intimée et un lien menant au désinstallateur de l’intimée, accompagné de la marche à suivre pour désinstaller le logiciel. Si la désinstallation échouait et que les plaignants recontactaient le responsable des relations avec les clients, on leur transmettait de nouvelles instructions relatives à une méthode secondaire de désinstallation comportant un fichier exécutable ou on leur conseillait de désactiver temporairement leur logiciel antivirus (si le désinstallateur du logiciel semblait bloqué) afin de permettre au désinstallateur de fonctionner. Selon notre examen, ces autres méthodes de désinstallation fonctionnaient.
Désinstallation du logiciel – Méthodes et résultats
- L’intimée a déclaré que son logiciel pouvait être supprimé rapidement et facilement d’un appareil. Les instructions de désinstallation étaient publiées sur les sites Web de Wajam et de Social2Search – le site Wajam comprenait même une vidéo indiquant la marche à suivre (figure 8).
Figure 8 : Marche à suivre pour supprimer ou désinstaller le logiciel publiée sur Wajam.
Version textuelle
Capture d’écran intitulée « How to remove/uninstall » (Comment supprimer/désinstaller), contenant des instructions étape par étape pour l’utilisateur sur la façon de supprimer ou de désinstaller Wajam en utilisant trois méthodes distinctes : Wajam Uninstaller, Windows Control Panel, et Chrome Extension.
Au bas de la page se trouve également une remarque sur les témoins (cookies).
Une vidéo se trouve à droite de l’écran, ainsi qu’une image en bas, qui sont liées aux instructions de désinstallation pour l’extension Chrome se rapportant à Wajam.
- Nous avons mis à l’essai deux méthodes de désinstallation, soit i) la fonction d’ajout ou de suppression de programmes (« Add/Remove ») utilisant le programme intégré de désinstallation du logiciel, et ii) le désinstallateur autonome téléchargé depuis le site Web. Dans les deux cas, nos comptes d’utilisateur ont fait l’objet d’une procédure de désinstallation qui supprimait le logiciel.
- Cependant, une fois le processus de désinstallation terminé, nous avons constaté que certaines sections du code du logiciel pouvaient rester sur l’ordinateur de l’utilisateur, dans la mémoire cache du navigateurNote de bas de page 22. Des pages Web auparavant stockées dans la mémoire cache par le navigateur pouvaient amener le navigateur à continuer de communiquer avec les serveurs de l’intimée et ainsi donner lieu à une nouvelle collecte de renseignements personnels et à l’affichage en continu de publicités par l’intimée. D’après cette dernière, le logiciel s’activait par inadvertance et dans une mesure limitée. Il s’activait uniquement jusqu’à ce que le contenu de la page Web se trouvant dans la mémoire cache soit téléchargé de nouveau et mis à jour dans le serveur hébergeant la page Web.
- L’intimée a expliqué qu’elle avait pris des mesures pour prévenir la réactivation de son logiciel – en vertu de ses ententes de distribution, qui interdisaient expressément aux distributeurs de le faireNote de bas de page 23, et sur la page de désinstallation de son site Web où elle indiquait aux utilisateurs de vider la mémoire cache de leur navigateur pour s’assurer qu’il n’y avait plus aucune trace du logiciel sur leur ordinateur.
- L’intimée a ajouté une mise en garde indiquant aux utilisateurs de vider la mémoire cache de leur navigateur. Toutefois, le texte comportait un lien menant à une seule option de désinstallation, alors qu’il aurait dû être présenté sous la forme d’un énoncé général s’appliquant à toutes les procédures de désinstallation, comme le texte relatif à la suppression des témoins. Nous avons également constaté que l’intimée ne donnait aucune instruction quant à la marche à suivre pour vider la mémoire cacheNote de bas de page 24.
- De plus, l’identificateur unique attribué à l’utilisateur par l’intimée restait lui aussi sur l’ordinateur de l’utilisateur, même si la désinstallation semblait terminée. Selon l’intimée, les identificateurs auraient dû être supprimés de l’ordinateur ou des appareils de l’utilisateur au cours de la procédure de désinstallation et cette lacune était attribuable à un bogue du logiciel ou à une désinstallation incomplète.
Désinstallation du logiciel – Publicités non sollicitées et fausses offres
- Au cours de nos essais, nous avons constaté que dans environ 10 % des cas après désinstallation, nous recevions dans nos comptes d’utilisateur des publicités non sollicitées ou des logiciels potentiellement indésirables ou encore nous étions dirigés vers des faux logiciels. Ces publicités et programmes étaient présentés par un réseau de publicité tiers et le code source de l’intimée faisait appel à ce réseau pour les présenter. Cela pouvait permettre à des tiers de recueillir des renseignements personnels par des moyens malveillants et sans le consentement de l’utilisateur, si ce dernier interagissait avec les publicités ou les programmes. Ces activités ont été déclenchées par des visites de l’utilisateur sur la page Web de post désinstallation (figure 9) qui, à leur tour, ont généré automatiquement des fenêtres contextuelles faisant la promotion de contenu non sollicité.
Figure 9 : Page Web de post-désinstallation sur Social2Search.
Version textuelle
Capture d’écran de la page Web de post désinstallation de Social2Search affichant le texte « You’ve successfully uninstalled from your browser. We’re sorry to see you go » (Vous avez réussi à désinstaller Social2Seach de votre navigateur. C’est avec regret que nous vous voyons partir.).
On voit une boîte de texte vide et le texte suivant à sa gauche : « If you have any suggestions on how we could improve Social2Search we would love to hear your thoughts » (Si vous avez des suggestions sur la façon dont nous pourrions améliorer Social2Search, nous serions heureux que vous nous en fassiez part.). Sous la boîte de texte vide, on trouve un bouton gris comprenant le texte « Send Feedback » (Envoyer vos commentaires).
- Parmi les offres diffusées par le réseau publicitaire, mentionnons des antivirus alléguant que nos ordinateurs d’essai étaient infectés et un faux logiciel Adobe Flash n’ayant aucun lien avec Adobe.
- Nous avons porté ces incidents à l’attention de la haute direction et des techniciens de l’intimée, qui ont affirmé n’avoir jamais observé ces activités auparavant. Au cours de notre visite, nous avons procédé à un essai pour montrer ce qui s’était passé quand nous avons consulté la page Web de désinstallation. Une publicité est apparue; nous avons pu confirmer qu’elle provenait du réseau publicitaire appelé par le code source de l’intimée. L’intimée a affirmé n’avoir conclu aucune entente avec le réseau de publicité en question et a accepté de désactiver immédiatement le code afin qu’aucune publicité ne s’affiche une fois le logiciel désinstallé.
Section 3 – Conservation des renseignements personnels :
- La politique de confidentialité de l’intimée renfermait l’énoncé suivant :
« Droits des utilisateurs
VEUILLEZ NOTER QU’À MOINS D’INSTRUCTION CONTRAIRE DE VOTRE PART, NOUS CONSERVONS LES RENSEIGNEMENTS RECUEILLIS AUSSI LONGTEMPS QUE NÉCESSAIRE POUR FOURNIR LES SERVICES ET RESPECTER LES OBLIGATIONS QUI NOUS INCOMBENT EN VERTU DE LA LOI, RÉSOUDRE LES DIFFÉRENDS ET FAIRE RESPECTER NOS ENTENTESNote de bas de page 25. » [Traduction]
- La majorité des renseignements recueillis par l’intimée étaient transmis à ses serveurs sous la forme d’« événements ». Pour chaque événement, l’information saisie par l’intimée comprenait i) l’identificateur unique attribué par l’intimée; ii) le site Web consulté; iii) les recherches ou les achats effectués par l’utilisateur (requêtes ou mots-clés saisis); iv) le nombre de publicités présentées à l’utilisateur; et v) l’identificateur de la publicité sur laquelle l’utilisateur a cliqué.
- Au moment de notre visite, la base de données principale contenait tous les événements transmis aux serveurs de l’intimée depuis le lancement de Wajam en octobre 2011 et de Social2Search en mai 2016. Les données étaient conservées sous leur forme brute, dans un format non analysé, et contenaient des renseignements personnels pouvant être associés à des utilisateurs individuels, y compris des mots-clés de recherche sensibles. L’intimée a indiqué que la base de données contenait approximativement 400 téraoctetsNote de bas de page 26 de données, ce qui représente une énorme quantité d’information équivalant à la capacité de stockage d’environ 8000 disques Blu-Ray double couche de 50 gigaoctets.
- Aucune règle, aucune procédure ni aucun calendrier écrits ne régissait la conservation ou la destruction manuelle ou automatique des données brutes des utilisateurs qui étaient stockées dans la base de données principale. Le contenu, y compris les identificateurs uniques des utilisateurs, était conservé même après la désinstallation du logiciel. L’intimée a déclaré que les renseignements stockés dans cette base de données n’étaient pas utilisés directement. Elle a affirmé conserver les identificateurs des utilisateurs pour prévenir la fraude, plus précisément le versement de frais d’installation supplémentaires aux distributeurs en cas d’installation et de désinstallation du logiciel à plusieurs reprises en peu de temps.
- Les requêtes de recherche des utilisateurs ont été analysées et copiées à partir de la base de données principale dans trois autres bases de données, à savoir i) la base de données sur les renseignements d’affaires, ii) la base de données opérationnelles et iii) la base de données en mémoire volatile.
- L’intimée a expliqué que les renseignements copiés et stockés dans la base de données sur les renseignements d’affaires étaient sous une forme agrégée et dépersonnalisée, c’est-à-dire qu’ils n’étaient liés à aucun utilisateur en particulier. Ils servaient plutôt à analyser les tendances, à produire des rapports et à compiler des mesures. En examinant la base de données au cours de notre visite, nous avons constaté que son contenu concordait avec les allégations de l’intimée. Cette dernière a ajouté que la période de conservation de ces renseignements était régie par des règles d’élimination et variait entre quelques heures et 90 jours.
- Les renseignements stockés dans la base de données opérationnelles étaient également dépersonnalisés. Cette base de données déterminait le comportement du logiciel Wajam ou Social2Search sur l’ordinateur des utilisateurs, car les serveurs de l’intimée utilisaient les renseignements s’y trouvant pour extraire des publicités, fournir à l’utilisateur des « résultats de recherche provenant des médias sociaux » ou recueillir des données sur les événements transmis par le logiciel. La période de conservation de ces renseignements était régie par des règles d’élimination et variait entre 1 et 18 mois.
- Enfin, les recherches par mot-clé ou les requêtes de recherche qui étaient stockées dans la base de données en mémoire volatile demeuraient liées à des utilisateurs. Ces renseignements servaient au reciblage de publicités si l’utilisateur lançait une recherche qui ne générait pas immédiatement une publicité. Le reciblage de publicités reposait sur les mots-clés stockés dans cette base de données, qui se vidait automatiquement lorsque l’on éteignait ou que l’on redémarrait le serveur qui l’hébergeait. Ces renseignements n’étaient donc pas conservés indéfiniment en raison de la fonction de redémarrage, mais leur période de conservation n’était pas non plus assujettie à un calendrier de destruction établi.
- L’intimée a ultérieurement avisé le Commissariat qu’elle ne transférerait à IMTL aucun renseignement personnel d’utilisateurs canadiens. Le transfert des renseignements d’utilisateurs étrangers se limiterait aux valeurs de hachage MD5 chiffrées, à la date d’installation et aux données agrégées (ne permettant pas d’identifier l’utilisateur) analytiques contenues dans sa base de données sur les renseignements d’affairesNote de bas de page 27.
- L’intimée a indiqué que tous les renseignements des utilisateurs stockés sur ses disques durs seraient détenus par un tiers, à savoir une entreprise de gestion de données, pendant la durée de l’enquête, et qu’ils seraient ensuite détruits de façon sécuritaire.
Section 4 – Mesures de sécurité :
Chiffrement
- La politique de confidentialité de l’intimée datant de mai 2016 renfermait l’énoncé suivant :
« Comment protégeons-nous vos renseignements personnels?
Wajam déploie tous les efforts voulus pour utiliser des procédés de sécurité et le chiffrement lorsqu’elle traite des renseignements sensibles (c’est-à-dire que l’entreprise traite les renseignements des utilisateurs de façon sécuritaire, notamment en ayant recours à des méthodes de chiffrement modernes) […]. » [Traduction]
- Contrairement à ces affirmations, nos essais nous ont montré que l’intimée ne chiffrait pas les renseignements des utilisateurs recueillis et transmis à ses serveurs après l’installation initiale du logiciel. En réalité, elle commençait immédiatement à recueillir des renseignements auprès des utilisateurs (comme nous l’avons expliqué au paragraphe 89 ci-dessus) et à les transmettre à ses serveurs sur des canaux non chiffrés ordinaires (http).
- Au cours de nos premiers essais, nous avons également constaté que l’intimée ne chiffrait pas les mots-clés employés par les utilisateurs pour leurs requêtes dans les moteurs de recherche et sur les sites d’achats en ligne. Elle a par la suite modifié ses pratiques de manière à ce que les recherches par mot-clé soient recueillies et lui soient transmises sous une forme chiffrée ou non, selon le profil de sécurité du site Web source où l’utilisateur avait fait une recherche ou une requête.
- Au cours de l’un de nos essais, nous avons lancé une requête de recherche dans un moteur de recherche reconnu. Ce moteur a chiffré la requête et l’a transmise comme il se doit sous une forme chiffrée (https) aux serveurs de l’intimée. Au cours d’un deuxième essai, nous avons lancé une requête de recherche similaire sur un site Web de commerce électronique, qui n’a pas chiffré la requête et qui l’a transmise telle quelle aux serveurs de l’intimée.
- Nous avons fait un suivi auprès de l’intimée pour comprendre sa politique en matière de chiffrement, particulièrement en ce qui a trait à ses allégations selon lesquelles elle ne recueillait pas de renseignements personnels sensibles auprès des utilisateurs, mais qu’elle recueillait toutes les recherches par mot-clé (qui pouvaient manifestement comprendre des termes de recherche sensibles).
- L’intimée a confirmé que les renseignements conservés dans la base de données principale n’étaient pas chiffrés, même s’il s’agissait de toutes les données brutes des utilisateurs. L’information pouvait être liée à des utilisateurs en particulier et contenait des mots-clés de recherche potentiellement sensibles.
- L’intimée a précisé que, même si les renseignements des utilisateurs stockés dans sa base de données en mémoire volatile comprenaient des recherches par mot clé associées à des utilisateurs en particulier, elle les examinait en vue d’exclure les catégories sensibles et les mots-clés conformément aux filtres utilisés par les fournisseurs de publicités. Malgré leur nature personnelle, les renseignements étaient utilisés à des fins d’assurance qualité et de reciblage de publicités et étaient régulièrement supprimés.
- Les bases de données de renseignements d’affaires et opérationnelles pouvaient contenir des mots-clés sensibles, mais ces derniers étaient dépersonnalisés et n’étaient associés à aucun utilisateur. En outre, ils étaient également supprimés après une période déterminée.
- L’intimée a ajouté avoir mis en œuvre d’autres mesures de sécurité matérielles, techniques et administratives qu’elle jugeait appropriées pour protéger l’information en sa possession. Au cours de sa visite, l’équipe technique du Commissariat a examiné ces mesures, notamment les mécanismes de contrôle et registres d’accès, la limitation de l’accès aux serveurs ainsi que d’autres mesures de confidentialité.
Conclusions
Section 1 – Responsabilité
- En vertu du principe 4.1.4 énoncé à l’annexe 1 de la Loi, les organisations doivent assurer la mise en œuvre des politiques et des pratiques destinées à donner suite aux principes, y compris a) la mise en œuvre des procédures pour protéger les renseignements personnels; b) la mise en place des procédures pour recevoir les plaintes et les demandes de renseignements et y donner suite; c) la formation du personnel et la transmission au personnel de l’information relative aux politiques et aux pratiques de l’organisation; et d) la rédaction des documents explicatifs concernant leurs politiques et procédures.
- Malgré les affirmations faites par l’intimée dans des déclarations sous serment au Commissariat, dans des réponses à un questionnaire de TRUSTe en octobre 2015Note de bas de page 28 et dans des déclarations faites verbalement au cours de la visite, elle n’a pas été en mesure de présenter des éléments probants montrant qu’elle avait établi des politiques et des procédures écrites appropriées visant à appliquer les principes de protection des renseignements personnels énoncés dans la Loi. En fait, il y avait absence manifeste de processus, de procédure ou de modèle écrit à l’appui du respect des principes de protection des renseignements personnels, y compris la protection de la vie privée des utilisateurs et la conservation et la destruction de leurs renseignements personnels.
- Compte tenu de ces observations, nous estimons que l’intimée a contrevenu au principe 4.1.4a) énoncé à l’annexe 1 de la Loi.
- Nous constatons également que l’intimée n’a pas été en mesure de présenter des éléments de preuve montrant qu’elle avait diffusé des communications relatives à la protection de la vie privée ou donné à ses employés une formation sur ses politiques et procédures en matière de protection de la vie privée, ce qui contrevient au principe 4.1.4c) énoncé à l’annexe 1 de la Loi.
- Dans l’ensemble, il était manifeste que l’intimée n’avait mis en place aucun cadre concret de gestion de la protection de la vie privée, malgré le volume de renseignements personnels sensibles, notamment certaines données de navigation et requêtes de recherche, qu’elle recueillait à l’appui de son modèle d’affaires. Nous notons par ailleurs que le Commissariat a publié en 2012 des lignes directrices sur l’importance de mettre en place ce type de cadre et de mettre en œuvre des procédures et des mécanismes de contrôle en matière de responsabilitéNote de bas de page 29.
Section 2 – Consentement
- En vertu du principe 4.2 énoncé à l’annexe 1 de la LPRPDE, les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées par l’organisation avant la collecte ou au moment de celle-ci.
- En vertu du principe 4.3 énoncé à l’annexe 1 de la LPRPDE, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire.
- En vertu du principe 4.3.2 énoncé à l’annexe 1 de la LPRPDE, il faut informer la personne au sujet de laquelle on recueille des renseignements et obtenir son consentement. Les organisations doivent faire un effort raisonnable pour s’assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués.
- En vertu de l’article 6.1 de la LPRPDE, le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti.
- En vertu du principe 4.3.5 énoncé à l’annexe 1 de la Loi, entre autres, dans l’obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes et le consentement ne doit pas être obtenu par un subterfuge.
- Nous constatons également que la Loi canadienne anti-pourriel (LCAP) a modifié la LPRPDE de manière à limiter grandement les situations dans lesquelles une organisation peut recueillir et utiliser des renseignements personnels sans consentement à l’aide d’un logiciel qui a été installé sur l’ordinateur d’un utilisateurNote de bas de page 30. Cette disposition n’entre pas directement en ligne de compte dans le cadre de l’enquête sur Wajam, parce que l’intimée n’invoque aucune exception en matière de consentement. Toutefois, la LCAP et les modifications à la LPRPDE en découlant mettent en lumière l’importance pour les développeurs de logiciels d’obtenir le consentement valable et explicite de l’utilisateur à l’installation de leur logiciel entraînant la collecte et l’utilisation des renseignements personnels.
- Avant de consentir explicitement à son installation, tout individu qui choisit d’utiliser un gratuiciel doit se renseigner de manière appropriée sur le logiciel en question et tous les logiciels qui y sont ajoutés. Pour leur part, les développeurs et les distributeurs de logiciels doivent faire preuve d’ouverture et de transparence quant au fonctionnement de leurs programmes et aux options offertes aux individus au cours du processus d’installation et de consentement.
- C’est particulièrement le cas lorsqu’il s’agit d’un logiciel non sollicité qui est ajouté à des offres d’installation d’autres logiciels non reliés. En pareil cas, les utilisateurs ne savent généralement pas avant de lancer le processus d’installation quels logiciels leur seront présentés aux fins de téléchargement. Un processus clair et transparent était crucial dans ce dossier, du fait que l’installation du logiciel pouvait engendrer la collecte et l’utilisation d’une grande quantité de renseignements personnels (susceptibles de constituer, au fil du temps, une énorme quantité de données agrégées), y compris les requêtes de recherche en ligne, même si l’utilisateur ne prenait aucune mesure supplémentaire pour ouvrir une session et créer un compte et qu’il n’utilisait pas la fonction de recherche dans les médias sociaux offerte par le logiciel.
- Au cours de notre enquête et de nos essais, nous avons eu plusieurs préoccupations concernant la manière dont l’intimée respectait l’obligation d’obtenir le consentement en vertu de la Loi. Nos préoccupations ne différaient pas des plaintes de consommateurs et des commentaires en ligne que nous avons examinés. Elles peuvent être réparties dans quatre grandes catégories, à savoir i) les problèmes liés aux distributeurs tiers; ii) les problèmes liés aux écrans de consentement pour des offres regroupées; iii) les problèmes liés à l’information fournie aux utilisateurs au sujet du logiciel; et iv) les problèmes liés à la désinstallation du logiciel.
Distributeurs tiers
- L’intimée semble avoir tenté d’examiner et de surveiller les activités des nombreux distributeurs de son logiciel, mais ce mode de distribution posait manifestement des problèmes.
- L’intimée a exploité le modèle de distribution par des tiers, selon lequel des incitatifs financiers poussaient les distributeurs à susciter le plus grand nombre d’installations possible. L’intimée a elle-même reconnu qu’il était difficile et fastidieux de vérifier réellement si les distributeurs respectaient ses lignes directrices sur la distribution, ce qui a créé un risque important que la non conformité passe inaperçue.
- Au cours de la période de 15 mois visée par notre examen, l’équipe d’assurance qualité de l’intimée a constaté des problèmes dans le cas de 18 distributeurs distincts utilisant des processus d’installation qui allaient à l’encontre de l’entente et des lignes directrices sur la distribution du logiciel. Par exemple, certains procédaient à l’installation du logiciel à l’insu de l’utilisateur, d’autres publiaient un document de consentement incomplet ou proposaient des options de consentement non fonctionnelles. Nos propres essais ont mis au jour plusieurs problèmes liés aux processus d’installation adoptés par les distributeurs pour diffuser le logiciel de l’intimée, notamment i) la distribution de versions périmées du logiciel (accompagnées d’une version périmée de la politique de confidentialité); ii) la présentation de boutons en gris qui devraient permettre de refuser l’installation ou de fermer la fenêtre, laissant ainsi supposer qu’ils ne fonctionnent pas; et iii) l’utilisation d’options portant à confusion et pouvant amener les utilisateurs à procéder à l’installation malgré eux, par exemple des messages d’erreur ou des cases précochées.
- Les problèmes susmentionnés ainsi que les conclusions auxquelles est parvenue l’intimée à la lumière de ses propres essais et des plaintes d’utilisateurs, mettent en lumière le fait que l’intimée savait depuis quelque temps déjà que les pratiques de plusieurs distributeurs menaient à l’installation de son logiciel ainsi qu’à la collecte et à l’utilisation de renseignements personnels sans un consentement valable.
- Des éléments de preuve montraient que l’intimée faisait part aux distributeurs des problèmes observés concernant le consentement et qu’elle leur demandait de prendre les mesures qui s’imposaient pour les résoudre rapidement. Cependant, il s’agissait là, au mieux, d’une mesure prise a posteriori, qui ne semble pas avoir bien réglé le problème de non-conformité. En outre, d’après les documents qui nous ont été présentés pendant l’enquête, l’ampleur du suivi fait par l’intimée auprès de certains distributeurs était incohérente et décevante. Dans certains cas, elle s’assurait auprès du distributeur que des mesures correctives avaient bien été prises. Dans d’autres cas, par contre, les éléments de preuve fournis pour faire état des communications entre l’intimée et les distributeurs semblaient incomplets et non concluants.
- Par exemple, l’intimée a déclaré avoir mis fin aux ententes conclues avec quatre distributeurs en raison de leur non-conformité, mais les éléments de preuve montraient qu’une seule entente avait été annulée, et ce, bien longtemps après que nous eûmes avisé l’intimée de l’ouverture de notre enquête. Nous avons été déçus du manque de documentation au sujet de questions de protection de la vie privée aussi graves et fondamentales; nous nous attendions à disposer d’une documentation plus appropriée sur les activités de suivi pour vérifier si les problèmes avaient bien été réglés.
- De plus, même si l’intimée était au courant des problèmes concernant le consentement et qu’elle a tenté de les régler avec ses distributeurs, elle ne semblait pas avoir pris de mesures pour régler les problèmes directement avec les utilisateurs en cas d’installation du logiciel sans leur consentement.
- L’intimée a déclaré n’avoir recueilli aucune coordonnée pouvant lui permettre de communiquer avec les personnes touchées. Toutefois, compte tenu du fait qu’elle connaissait ses distributeurs, la période pendant laquelle ces installations ont été effectuées et l’identificateur unique de chaque utilisateur, l’intimée aurait pu savoir quelles personnes pouvaient être touchées par l’installation du logiciel à leur insu ou par tout autre problème lié au consentement. Nous avons constaté avec déception que l’intimée n’avait pris aucune mesure proactive ou corrective pour informer les utilisateurs de ce problème, leur proposer des solutions ou mettre fin à la collecte des renseignements personnels auprès d’eux, par exemple au moyen de communications d’ordre général diffusées sur les sites Web de Wajam et de Social2Search. En outre, nous n’avons vu aucun élément de preuve montrant que l’intimée aurait obtenu un consentement après l’installation ou informé les personnes touchées de la possibilité de désinstaller le logiciel.
- Il est clair que le recours à des tiers pour distribuer les logiciels Wajam et Social2Search en les ajoutant à un logiciel principal présente d’importants risques d’atteinte à la vie privée.
- Nos essais ont mis au jour des préoccupations sur le fait que le processus de consentement, tel que le présentaient certains distributeurs, était conçu de manière à porter à confusion, à dérouter et à créer un « parcours de cliquage » favorisant l’installation du logiciel sans égard à l’intention de l’utilisateur d’accorder ou non son consentement.
- Compte tenu des problèmes observés, il semble très probable que le maintien de ce modèle de distribution, sans qu’aucune correction majeure n’y soit apportée, entraînera des cas où Wajam et Social2Search seront installés sans un consentement valable.
- Puisque les pratiques de l’intimée ont entraîné l’installation de son logiciel ainsi que la collecte et l’utilisation de renseignements personnels sans un consentement valable de l’utilisateur, nous concluons que l’intimée a contrevenu aux principes 4.3, 4.3.2 et 4.3.5 énoncés à l’annexe 1 de la Loi.
Écrans de consentement pour des offres regroupées
- La distribution et l’installation temporaires du logiciel de l’intimée au moyen des écrans de consentement pour des offres regroupées des distributeurs posaient également problème.
- Selon nous, les écrans de consentement pour des offres regroupées que nous avons examinés ne donnaient pas suffisamment d’information au sujet du logiciel pour permettre aux utilisateurs d’accorder un consentement valable à son installation, à plus forte raison du fait que Social2Search était ajouté à un logiciel principal regroupé avec d’autres logiciels non sollicités. En outre, ces écrans semblaient avoir été conçus de manière à créer un « parcours de cliquage » favorisant l’installation du logiciel, sans égard à l’intention de l’utilisateur d’accorder ou non son consentement.
- Par conséquent, nous concluons que l’intimée, en distribuant son logiciel au moyen d’écrans de consentement pour des offres regroupées, n’avait pas obtenu un consentement valable des utilisateurs et qu’elle contrevenait ainsi aux principes 4.3, 4.3.2 et 4.3.5 énoncés à l’annexe 1 de la Loi.
Information fournie aux utilisateurs au sujet du logiciel
- Lorsqu’un utilisateur décide s’il utilisera ou non l’installation du logiciel de l’intimée et s’il ouvrira ou non un compte d’utilisateur, il se fie en grande partie à l’intégrité de l’information fournie par l’intimée.
- Comme le logiciel était commercialisé en tant qu’application de recherche dans les médias sociaux, on pourrait raisonnablement s’attendre à ce que la capacité d’un utilisateur à le lier à ses comptes dans les médias sociaux et à faire en sorte que les mentions « J’aime », les commentaires et les notes de ses « amis » et autres contacts sur les médias sociaux soient intégrés à leurs recherches par mot-clé et à leurs requêtes aux fins d’achat constitue une considération importante pour décider de consentir ou non à l’installation du logiciel et à l’ouverture d’un compte d’utilisateur.
- Nous avons constaté que l’information affichée sur les sites Web portant sur les fonctionnalités et la sécurité du logiciel était inexacte, depuis un bon moment dans certains cas. Plus précisément, l’intimée a continué de promouvoir et de commercialiser fortement la capacité de lier le logiciel aux sites de médias sociaux longtemps après que les liens aient cessé d’être offerts.
- Nous avons également constaté avec déception que les sites Web et les politiques de confidentialité indiquaient que leurs renseignements étaient transmis et conservés en toute sécurité grâce à des « méthodes de chiffrement modernes ». Au contraire, les renseignements transmis étaient rarement chiffrés et ceux stockés dans la base de données principale ne l’étaient simplement pas.
- Enfin, comme le précise la politique de confidentialité de l’intimée, les utilisateurs pouvaient raisonnablement s’attendre à ce qu’elle cesse de conserver leurs renseignements personnels lorsque ce n’est plus nécessaire. Néanmoins, le texte de la politique était trompeur. En effet, nous avons constaté dans le cadre de l’enquête que l’intimée conservait des renseignements personnels d’anciens utilisateurs, notamment certaines données de navigation, des requêtes de recherche effectuées sur des sites Web pris en charge ainsi que des identificateurs d’utilisateur uniques, de façon continue et pour une durée indéterminée, même après la désinstallation du logiciel.
- Nous craignons que ce contenu inexact et potentiellement trompeur de la politique concernant les pratiques de l’intimée en matière de traitement des renseignements personnels ait pu influencer de façon importante la décision des utilisateurs de consentir à l’installation du logiciel et de continuer à l’utiliser. Par conséquent, nous estimons que l’intimée n’a pas obtenu un consentement valable des utilisateurs pour installer le logiciel et créer un compte d’utilisateur et qu’elle a ainsi contrevenu aux principes 4.3 et 4.3.5 énoncés à l’annexe 1 de la Loi.
- En outre, nous avons constaté d’autres cas où l’information concernant les fins de la collecte et de l’utilisation des renseignements personnels n’était pas précisée avant la collecte ou au moment de celle-ci, parce qu’elle était manquante, incomplète ou inexacte.
- Mentionnons à titre d’exemples i) la clarification du statut des adresses IP des utilisateurs en tant que « renseignement personnel »; ii) la clarification du statut de l’historique de navigation des utilisateurs en tant que « renseignement personnel »; iii) la collecte et l’utilisation de l’historique de navigation des utilisateurs avant l’installation du logiciel; iv) la collecte en continu des requêtes de recherche des utilisateurs sur les sites Web pris en charge après leur refus de recevoir des publicités; v) la collecte et l’utilisation de données de géolocalisation des utilisateurs; vi) l’attribution d’identificateurs uniques aux utilisateurs et leur utilisation; et vii) la clarification de la collecte et de l’utilisation du contenu des médias sociaux, y compris les données de connexion.
- Selon l’intimée, les révisions restantes à apporter à sa politique de confidentialité et à son contrat de licence d’utilisateur final conformément aux conclusions du rapport du programme Trusted Download de TRUSTe produit en août 2016 n’ont pas été intégrées en raison de l’ouverture de notre enquête, malgré le fait qu’elle détenait une certification TRUSTe pendant une partie de la période visée par l’enquête.
- Étant donné qu’aucun renseignement exact et informatif n’était porté à l’attention des utilisateurs avant l’installation du logiciel ou au moment de celle-ci, nous concluons que l’intimée a contrevenu aux principes 4.2 et 4.3.2 énoncés à l’annexe 1 de la Loi.
Retrait du consentement – Désinstallation du logiciel
- En vertu du principe 4.3.8 énoncé à l’annexe 1 de la Loi, une personne peut retirer son consentement en tout temps, sous réserve de restrictions prévues par une loi ou un contrat et d’un préavis raisonnable. L’organisation doit informer la personne des conséquences d’un tel retrait.
- Nous reconnaissons les mesures prises par l’intimée pour aider les utilisateurs à désinstaller son logiciel et cesser ainsi de recueillir des renseignements personnels, notamment une page expliquant comment désinstaller le logiciel; une vidéo présentant chacune des étapes de la procédure de désinstallation, diffusée sur le site Wajam; une foire aux questions; et l’envoi de réponses standard aux utilisateurs qui se plaignaient de problèmes liés à la désinstallation du logicielNote de bas de page 31.
- Malgré ces mesures, nous avons observé de nombreuses plaintes d’utilisateurs montrant que la procédure de désinstallation de l’intimée ne fonctionnait pas correctement. L’intimée savait que les programmes antivirus pouvaient empêcher l’exécution de son programme de désinstallation et qu’il était possible de régler ce problème à l’aide d’un programme de désinstallation de lots ou par d’autres moyens. L’intimée offrait cette solution aux utilisateurs qui contactaient son équipe de soutien pour obtenir de l’aide, mais elle n’a pas ajoutée de façon proactive du contenu sur son site Web pour expliquer ce problème précis et la façon de le résoudre.
- Malgré le contenu fourni par l’intimée indiquant aux utilisateurs qu’ils devaient vider la mémoire cache de leur navigateur pour supprimer toute trace du logiciel, le texte y figurait sous une seule option de désinstallation au lieu d’être présenté sous la forme d’un énoncé s’appliquant à toutes les procédures de désinstallation. En outre, l’intimée n’a donné aucune indication ni aucune orientation quant à ce qui pourrait se passer si les utilisateurs ne prenaient pas cette mesure ni aucune information suffisante pour expliquer comment vider la mémoire cache.
- Enfin, nous avons avisé l’intimée que la procédure de désinstallation ne supprimait pas les identificateurs uniques des utilisateurs sur les ordinateurs et les appareils, ce qui signifie que ce renseignement personnel clé n’était pas supprimé. L’intimée a décrit cette lacune comme étant un bogue ou le résultat d’une désinstallation incomplète découlant d’un conflit avec un autre logiciel. Elle semblait s’en étonner. Nous nous attendions à ce que ces identificateurs soient supprimés de l’ordinateur de l’utilisateur s’ils n’étaient plus nécessaires après la désinstallation.
- Compte tenu de ce qui précède, nous estimons que les utilisateurs ne peuvent retirer leur consentement en raison des difficultés inhérentes à la désinstallation du logiciel, ce qui contrevient au principe 4.3.8 énoncé à l’annexe 1 de la Loi.
Désinstallation du logiciel – Publicités non sollicitées et fausses offres
- Au cours de la procédure de désinstallation, nous avons été préoccupés par le fait que nos comptes d’utilisateur bidon recevaient des publicités non sollicitées ou des programmes potentiellement indésirables ou qu’ils étaient dirigés vers de faux logiciels fournis par un réseau de publicité tiers.
- Nous avons réussi à prouver à l’intimée que ces activités étaient déclenchées par les visites de l’utilisateur sur sa page Web après la désinstallation et que c’était son code source qui amenait le réseau de publicité à diffuser les publicités et les offres de logiciels. Si l’utilisateur cliquait sur une publicité ou qu’il installait l’un de ces logiciels, des tiers pouvaient recueillir ses renseignements personnels par des moyens détournés et sans consentement. Le risque d’atteinte à la vie privée augmentait ainsi pour les utilisateurs ayant tenté de désinstaller le logiciel et de retirer leur consentement à la poursuite de l’utilisation de leurs renseignements personnels par l’intimée. En effet, en ne détectant pas ces activités et en omettant d’y mettre fin, l’intimée permettait à des tiers d’afficher sur son site Web du contenu non autorisé à l’intention d’utilisateurs ayant retiré leur consentement.
- L’intimée n’a pas nié que ces activités avaient eu lieu. Elle a cependant expliqué n’en avoir pas eu connaissance auparavant et n’avoir conclu aucun accord avec le réseau de publicité tiers en question. Par la suite, l’intimée a cru qu’un ancien employé de son organisation aurait pu ajouter le code en question. Elle n’a toutefois produit aucune preuve à l’appui de ces dires. L’intimée a accepté de cesser immédiatement cette pratique et de désactiver et de supprimer le code en cause.
- Nous avons été étonnés que l’intimée n’ait pas été au courant de l’existence de ce code ni de son utilisation par le réseau de publicité sur son propre site Web et dans le déroulement de sa propre procédure de désinstallation. L’absence d’un cadre de responsabilité global au sein de l’organisation, aggravée par l’absence de mesures spécifiques permettant de surveiller et de protéger l’intégrité de son site Web, est également déconcertante.
- Compte tenu des éléments de preuve énumérés ci-dessus, nous estimons que l’intimée a également contrevenu par sa conduite au principe 4.3 énoncé à l’annexe 1 de la Loi.
Section 3 – Conservation des renseignements personnels
- En vertu du principe 4.5 énoncé à l’annexe 1 de la Loi, les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis, à moins que la personne concernée n’y consente ou que la loi ne l’exige. On ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des fins déterminées.
- En vertu du principe 4.5.2 énoncé à l’annexe 1 de la Loi, entre autres, les organisations devraient élaborer des lignes directrices et appliquer des procédures pour la conservation des renseignements personnels. Ces lignes directrices devraient préciser les durées minimales et maximales de conservation.
- En vertu du principe 4.8 énoncé à l’annexe 1 de la Loi, une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne.
- Au cours de notre visite, nous avons constaté que la base de données principale de l’intimée contenait toutes les données brutes des utilisateurs sous une forme non chiffrée. Des centaines de téraoctets de renseignements recueillis depuis le lancement de Wajam et de Social2Search y étaient stockés, notamment des renseignements personnels – dont certains potentiellement sensibles – qui se rapportaient à des utilisateurs en particulier.
- L’intimée a ajouté qu’elle conservait ces renseignements dans la base de données pendant une période indéterminée, même si les utilisateurs en question avaient désinstallé le logiciel et n’avaient plus aucun lien avec elle. L’équipe technique de l’intimée n’a pu expliquer pourquoi l’entreprise procédait ainsi, mais la haute direction a expliqué que cette mesure visait à prévenir les fraudes, plus précisément le versement de plusieurs paiements aux distributeurs en cas d’installation et de désinstallation à plusieurs reprises. Selon nous, il pourrait être nécessaire de conserver certains renseignements des utilisateurs pour une courte période afin d’éviter ce type de fraudes, mais la conservation de tous les renseignements des utilisateurs pendant une période indéterminée à une fin aussi limitée serait déraisonnable et excessive.
- Nous avons également constaté que, malgré les règles d’élimination adoptées par l’intimé pour régir la conservation des renseignements dans ses plus petites bases de données, son équipe technique ne savait pas vraiment pourquoi certaines périodes de conservation avaient été fixées et a confirmé qu’il n’existait aucune politique, aucune procédure ni aucun calendrier globaux régissant la conservation et la destruction des renseignements.
- De plus, la politique de confidentialité de l’intimée indiquait aux utilisateurs qu’elle ne recueillerait leurs renseignements qu’aussi longtemps que nécessaire pour fournir les services, respecter les obligations lui incombant en vertu de la loi, régler les différends et faire appliquer les ententes conclues. Elle n’expliquait pas les fins visées par la conservation des renseignements personnels et des identificateurs uniques après la désinstallation du logiciel, ni la période pendant laquelle elle conserverait ces renseignements avant de les détruire de façon sécuritaire.
- À la lumière de ces éléments de preuve, nous concluons que l’intimée a contrevenu aux principes 4.5, 4.5.2 et 4.8 énoncés à l’annexe 1 de la Loi.
Section 4 – Mesures de sécurité
- En vertu du principe 4.7.1 énoncé à l’annexe 1 de la Loi, les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. Les organisations doivent protéger ces renseignements quelle que soit la forme sous laquelle ils sont conservés.
- En vertu du principe 4.7.2 énoncé à l’annexe 1 de la Loi, la nature des mesures de sécurité variera en fonction du degré de sensibilité des renseignements personnels recueillis, de la quantité, de la répartition et du format des renseignements personnels ainsi que des méthodes de conservation. Les renseignements plus sensibles devraient être mieux protégés.
- En vertu du principe 4.7.3 énoncé à l’annexe 1 de la Loi, les méthodes de protection devraient comprendre a) des moyens matériels, par exemple le verrouillage des classeurs et la restriction de l’accès aux bureaux; b) des mesures administratives, par exemple des autorisations sécuritaires et un accès sélectif; et c) des mesures techniques, par exemple l’usage de mots de passe et du chiffrement.
- Nous avons examiné la manière dont l’intimée recueillait, transmettait, utilisait et conservait les renseignements des utilisateurs au moment de l’installation du logiciel, pendant son utilisation et après sa désinstallation. Nous avons constaté que les renseignements étaient au départ recueillis et transmis sous une forme non chiffrée, c’est-à-dire en texte clair. L’intimée avait qualifié ces renseignements de « non personnels »Note de bas de page 32, mais certains étaient clairement reliés à des utilisateurs individuels et, dans certains cas (par exemple l’historique de navigation antérieur), ils pouvaient être considérées comme sensibles. Par conséquent, nous estimons que l’intimée aurait dû prendre des mesures appropriées pour protéger ces renseignements pendant de leur transmission.
- Au cours de nos premiers essais, nous avons également constaté que les recherches par mot-clé étaient recueillies et transmises aux serveurs de l’intimée en tant qu’« événements » non chiffrés. Pendant l’enquête, l’intimée a modifié sa pratique de sorte que ces recherches soient recueillies et transmises sous une forme chiffrée ou non selon le profil de sécurité du site Web source où l’utilisateur avait fait une recherche ou une requête. Nous reconnaissons qu’il s’agit là d’une amélioration. Toutefois, si l’intimée avait poursuivi l’exploitation du logiciel, nous l’aurions encouragée à continuer d’examiner et d’améliorer ses mesures de protection de la vie privée à intervalles réguliers pour s’assurer de bien protéger les requêtes de recherche des utilisateurs au moment de leur collecte et de leur transmission.
- En raison de la portée et du contenu des renseignements des utilisateurs conservés par l’intimée dans la base de données principale ainsi que du fait que, pendant notre enquête, la base de données est demeurée non chiffrée, nous étions préoccupés par le risque réel, pour l’intimée et les utilisateurs, qu’un tiers ait accès à ces renseignements sans autorisation. Malgré les autres mesures de sécurité prises par l’intimée, l’accès non autorisé à la base de données constituerait, le cas échéant, une atteinte majeure à la sécurité des renseignements personnels – parfois sensibles – des utilisateurs.
- À la lumière des lacunes susmentionnées, nous estimons que l’intimée a contrevenu aux principes 4.7.1, 4.7.2 et 4.7.3 énoncés à l’annexe 1 de la Loi.
Nos recommandations
- Au départ, l’intimée a accepté d’interrompre temporairement la distribution de son logiciel au Canada pendant l’enquête et de ne servir que ses clients existants. Les administrateurs ont par la suite décidé de cesser ses opérations au pays et de vendre les actifs de l’organisation à une nouvelle entreprise de Hong Kong appelée « IMTL ». En conséquence, l’intimée s’est engagée à cesser de recueillir les renseignements personnels auprès des Canadiens sur l’ordinateur de qui le logiciel avait été installé et à détruire tous les renseignements qu’elle détenait sur les utilisateurs canadiens.
- Comme nous estimions que le processus de transition, y compris le transfert des actifs, était en cours et que l’intimée conservait un intérêt dans IMTL, nous lui avons présenté notre rapport préliminaire, la tenant responsable de veiller au respect de la Loi.
- Dans le rapport préliminaire, nous avons recommandé que l’intimée ou IMTL, selon le cas, prenne les mesures suivantes :
- Établir et adopter un cadre de responsabilité en matière de protection de la vie privée, notamment élaborer et mettre en œuvre des politiques et des procédures écrites portant sur les points suivants :
- l’exactitude et la correction des renseignements personnels des utilisateurs;
- la protection des renseignements personnels des utilisateurs pendant leur transmission et après leur versement dans les bases de données
- la réception et le traitement des demandes d’accès émanant des utilisateurs;
- la gestion et la résolution des plaintes pour atteinte à la vie privée, notamment leur transfert au responsable de la protection de la vie privée et à la haute direction;
- la conservation et la destruction des renseignements personnels des utilisateurs, notamment l’établissement de durées minimales et maximales de conservation;
- l’accroissement de la transparence et la communication d’information supplémentaire concernant les questions régies par les nouvelles politiques et procédures.
- Produire des communications et donner aux employés une formation sur le nouveau cadre de responsabilité en matière de protection de la vie privée, notamment en ce qui a trait aux nouvelles politiques et procédures internes à ce sujet découlant de la mise en œuvre de la recommandation formulée au paragraphe a) ci-dessus.
- Cesser de faire appel à des distributeurs tiers qui offrent le logiciel en l’ajoutant à un logiciel principal, sauf si des mesures adéquates sont mises en place afin que cette méthode de distribution n’entraîne pas l’installation du logiciel sans consentement.
- Élaborer et mettre en œuvre des politiques et des procédures proactives pour contacter et aviser les utilisateurs qui ont installé le logiciel sur leur ordinateur sans avoir pu accorder un consentement valable de manière à ce qu’ils aient une véritable possibilité de l’accorder ou mettre au point un mécanisme permettant de cesser la collecte de renseignements personnels auprès de ces utilisateurs.
- Modifier ses sites Web de manière à décrire exactement la fonctionnalité du logiciel en ce qui a trait à sa capacité d’établir des liens avec les comptes de médias sociaux des utilisateurs.
- Modifier sa politique de confidentialité, son contrat de licence d’utilisateur final et sa foire aux questions pour mieux expliquer ses pratiques de protection de la vie privée comme nous l’avons expliqué aux paragraphes 148 à 150 et 153Note de bas de page 33.
- Corriger tout bogue dans la procédure de désinstallation pour s’assurer que les identificateurs uniques sont supprimés des ordinateurs et des appareils des utilisateurs qui désinstallent le logiciel.
- Fournir aux utilisateurs plus d’information sur i) la manière dont des tiers peuvent empêcher la désinstallation du logiciel et la manière de surmonter ces difficultés, ii) la manière de vider la mémoire cache de leur navigateur pour s’assurer que toute trace du logiciel est supprimée après la désinstallation.
- Cesser immédiatement la présentation de publicités malveillantes aux utilisateurs cherchant à désinstaller son logiciel, notamment supprimer tout code source à l’appui de ces offresNote de bas de page 34.
- Supprimer les renseignements personnels des utilisateurs ayant désinstallé le logiciel, y compris les identificateurs uniques, des bases de données principale et secondaires, conformément aux nouveaux calendriers de conservation et de destruction des renseignements.
- Mettre en œuvre des mesures appropriées pour protéger les renseignements des utilisateurs transmis au moment de l’installation.
- Chiffrer le contenu de la base de données principale.
- Établir et adopter un cadre de responsabilité en matière de protection de la vie privée, notamment élaborer et mettre en œuvre des politiques et des procédures écrites portant sur les points suivants :
Réponse de Wajam aux recommandations
- En réponse au rapport préliminaire, l’intimée a indiqué qu’elle avait déjà vendu ses actifs à IMTL, que le processus de transition était terminé, qu’elle n’avait plus aucun intérêt dans IMTL et qu’elle n’exerçait plus aucun contrôle sur cette dernière. L’intimée a affirmé ne plus être en mesure de donner suite aux recommandations du Commissariat. Nous notons toutefois que Wajam a consenti à détruire de façon sécuritaire les documents stockés sur ses disques rigides, notamment tous les renseignements personnels des utilisateurs encore en sa possession.
- En ce qui a trait à la destruction de documents susmentionnée, nous nous attendons à ce que Wajam y procède immédiatement et qu’elle nous avise lorsque la destruction sera terminée.
Conclusions
- Compte tenu de ce qui précède, nous concluons que les préoccupations relatives à la responsabilité, au consentement, à la limitation de la conservation des renseignements, aux mesures de sécurité et à la transparence de l’information examinées dans le cadre de notre enquête sont fondées.
- Malgré le fait que l’intimée et IMTL sont des entreprises distinctes, nous demandons à ce que l’intimée fournisse à IMTL une copie du présent rapport de conclusions.
- Compte tenu du nombre d’infractions à la Loi relevées au cours de l’enquête, nous continuerons de surveiller la situation concernant ce logiciel. En outre, nous serons en contact avec nos homologues internationaux pour leur faire part de nos conclusions et de nos préoccupations.
- Si les activités d’IMTL ont maintenant ou dans l’avenir un lien réel et substantiel avec le Canada, la LPRPDE continuera de s’appliquer. Par exemple, si les opérations d’IMTL étaient dirigées à partir du Canada ou que l’entreprise souhaitait commercialiser son logiciel au pays et recueillir, utiliser, communiquer et conserver les renseignements personnels de Canadiens, nous nous attendrions à ce qu’IMTL s’acquitte des obligations en matière de protection de la vie privée qui lui incombent en vertu de la Loi, notamment en ce qui a trait aux préoccupations soulevées dans le présent rapport de conclusions.
- Date de modification :