La réutilisation de millions de profils d’utilisateurs Facebook canadiens effectuée par une entreprise contrevient à la loi en matière de protection de la vie privée

Rapport de conclusions d’enquête en vertu de la LPRPDE n^o #2018-002

Le 12 juin 2018

Plaintes déposées en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « Loi » ou la « LPRPDE ») contre Profile Technology Ltd.

Plaintes

1. L’enquête est liée aux plaintes de cinq personnes relativement à la collecte et à l’utilisation de leurs renseignements personnels provenant d’anciens profils et groupes Facebook (collectivement les « renseignements des profils ») par Profile Technology Ltd. (« Profile Technology » ou le « mis en cause ») aux fins associées à son site Web, www.profileengine.com (le « site Web » ou « Profile Engine »).
2. Les cinq plaignants ont allégué que Profile Technology a recueilli leurs renseignements personnels et les a utilisés à leur insu et sans leur consentement.
3. Les plaignants ont aussi sollicité l’aide du Commissariat pour que leurs renseignements personnels soient supprimés du site Web. À cet égard, les plaignants ont soulevé un certain nombre de préoccupations au sujet de la collecte, de l’utilisation et de la communication de leurs renseignements personnels sur le site Web, notamment :
   1. dans certaines circonstances, les individus n’ont pas réussi à faire supprimer leurs renseignements personnels du site Web;
   2. les renseignements personnels utilisés par Profile Technology n’étaient pas exacts; et
   3. Profile Technology n’avait pas en place de procédures adéquates pour recevoir et gérer des plaintes et des demandes d’information concernant ses politiques et ses pratiques liées au traitement des renseignements personnels.
4. Durant l’enquête, nous avons relevé d’autres points préoccupants, à savoir si Profile Technology : (i) utilisait et divulguait des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances; (ii) conservait plus longtemps que nécessaire certains renseignements concernant des demandes adressées au centre d’assistance (p. ex. les renseignements recueillis auprès de personnes désirant que leur profil soit supprimé).

Résumé de l’enquête

Conclusions préliminaires

5. Une fois terminée notre évaluation initiale de la question, nous avons remis à Profile Technology un rapport d’enquête préliminaire (REP) qui exposait nos points de vue préliminaires selon lesquels le mis en cause : (i) n’avait pas obtenu de consentement pour la collecte et l’utilisation des renseignements des profils utilisés afin d’alimenter son propre site de réseautage social; et (ii) avait, par la conservation pour une période indéterminée des renseignements contenus dans les demandes de service adressées au centre d’assistance, conservé des renseignements personnels plus longtemps que nécessaire pour satisfaire aux fins pour lesquelles ils ont été recueillis.
6. Dans notre REP, nous avons recommandé que Profile Technology retire et supprime tous les profils individuels et groupes associés à des Canadiens et qu’elle adopte une politique de conservation des renseignements recueillis par son système d’assistance (voir le paragraphe 120 pour les recommandations complètes).
7. Profile Technology n’était pas d’accord pour mettre en œuvre les recommandations proposées dans notre REP, présentant d’autres documents et arguments pour appuyer sa position. Le mis en cause a fait part de plusieurs observations à l’égard de la compétence, de l’équité procédurale, de l’interprétation législative, de nos recommandations et de la constitutionnalité de la LPRPDE.
8. Dans notre réponse à ces observations, nous avons exprimé notre autre point de vue préliminaire ainsi que l’analyse connexe selon laquelle Profile Technology n’utilisait pas les renseignements des profils à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances; et nous avons invité Profile Technology à présenter des observations supplémentaires sur la question.
9. Les faits et l’analyse suivants reflètent : (i) notre examen des observations présentées par le mis en cause, simultanément avant et après la publication de notre REP; (ii) l’information fournie par les plaignants; (iii) nos propres recherches.

Compétence

10. Le mis en cause, une société de la Nouvelle Zélande, exploite le site Web. En collaborant avec nous au cours de l’enquête, elle nous a indiqué que le Commissariat à la protection de la vie privée de la Nouvelle Zélande (le « CPVP-NZ ») avait déjà publié un rapport détaillé sur la collecte de données qu’elle effectuait et sa procédure de traitement des demandes de suppression. Le mis en cause a adopté la position, dès le début de notre enquête, que c’est le Commissariat à la protection de la vie privée de la Nouvelle Zélande qui doit s’occuper de toute plainte relative au site Web, affirmant que l’organisation n’avait aucune présence au Canada. Le Commissariat était d’avis qu’il existait plusieurs facteurs (énoncés au paragraphe 78 ci-dessous ) indiquant une connexion réelle et importante entre les activités du mis en cause et le Canada pour soutenir la compétence du Commissariat à enquêter sur les plaintes.
11. En outre, nous soulignons que nous avons communiqué avec chacun des cinq plaignants au moyen d’une adresse et d’un numéro de téléphone au Canada.

Collecte

12. Les plaignants affirment qu’ils ont appris que leurs renseignements étaient affichés sur le site Web après avoir effectué des recherches sur Internet au sujet de leur propre nom. Le Commissariat a confirmé que chaque plaignant fait l’objet d’un profil individuel ou d’un « groupe » (c.-à d. d’un groupe de personnes ayant un intérêt ou une opinion en commun) sur le site Web.
13. D’après notre examen, les renseignements des profils varient d’un plaignant à l’autre. Dans l’ensemble, les renseignements des profils contiennent une variété d’ informations personnelles, incluant une partie ou la totalité des types de renseignements indiqués dans la figure 1 ci dessous.
    Figure 1 : Renseignements des profils

    • Nom
    • Genre
    • Date de naissance (p. ex. jour et mois)
    • Nom d’utilisateur
    • Photo
    • Situation amoureuse (p. ex. célibataire)
    • Politique (p. ex. très libéral)
    • Situation concernant les communications (p. ex. joignable – adresse courriel disponible)
    • Lieu (p. ex. ville et pays)
    • Écoles, collèges ou universités pertinents
    • Groupes et clubs d’admirateurs pertinents (c. à d. des intérêts partagés avec d’autres)
    • Noms d’amis
    • Choix musicaux
    • QI estimatif
    • Influence sociale (p. ex. pas d’influence mesurable; influence de nombreux amis)
    • Allégations concernant des comportements sociaux (p. ex. l’intimidation).
14. Les plaignants ont affirmé que les renseignements susmentionnés provenaient de Facebook. Le mis en cause a confirmé avoir pris les renseignements des profils sur Facebook.
15. À cet égard, le mis en cause a déclaré ce qui suit au Commissariat :

    [Traduction]
    Facebook a signé un contrat avec nous afin que nous lui fournissions des fonctions de recherche avancée pour son site à partir de 2007 et en avril 2008, la société a accepté de nous donner un accès illimité aux renseignements que leurs utilisateurs avaient consenti à rendre publics et accessibles au moyen des moteurs de recherche.

16. Le site Web contenait une politique de confidentialité qui expliquait quels renseignements le mis en cause a collectés au sujet des individus, incluant :

    [Traduction]
    Les parties de votre profil affiché sur un autre réseau social, lequel nous a autorisés, au moyen de notre moteur de recherche, à télécharger vos renseignements et à les stocker, et ce, à un moment où vos paramètres de confidentialité permettaient que les moteurs de recherche indexent ces parties de votre profil. Veuillez prendre note que ces renseignements ne sont pas obtenus par des « interfaces de programmation d’applications (API) de la plateforme » et par conséquent, notre utilisation de ces renseignements n’est pas contrôlée par les politiques du développeur qui relèvent de sa politique sur les réseaux sociaux. Les informations recueillies sont de cette façon traitées par nous comme de l’« information publique ». Remarque : Nous ne sommes pas avisés si vous révoquez l’autorisation que vous avez donnée pour l’indexation de votre profil par les moteurs de recherche; par conséquent, votre profil ne sera pas supprimé de notre base de données. La révocation de cette autorisation empêche seulement les moteurs de recherche d’avoir accès aux changements apportés à votre profil à partir de la date de révocation. [Caractères gras ajoutés]

17. Le site Web contient également des pages d’aide et une foire aux questions (la « FAQ ») qui expliquent où et comment le mis en cause a recueilli les renseignements sur le site Web. Plus particulièrement, nous avons relevé ce qui suit :

    [Traduction]
    Les profils sur Profile Engine provenaient de deux sources :

    1. Profile Engine a été lancé en 2007 et depuis, environ dix millions de personnes ont créé directement un profil sur Profile Engine et ont demandé à ce qu’il soit public et consultable afin que ce soit plus facile pour les autres personnes de les trouver.
    2. Facebook a rendu accessibles plus de 420 millions de profils publics et nous a confié le contrat de lui fournir un puissant moteur de recherche (à l’origine simplement appelé « Advanced Search for Facebook » et renommé par la suite « The Profile Engine ». [)] Nous ajoutons ces profils de Facebook à la base de données de Profile Engine avec la pleine connaissance, l’approbation et l’autorisation de Facebook. La société Facebook accepte qu’il en soit ainsi, car nous lui fournissons les caractéristiques d’un moteur de recherche puissant et novateur qui ne sont pas offertes sur la plateforme Facebook elle-même.

Objectifs

Moteur de recherche/réseau social

18. Le site Web indique que son objectif, depuis 2011, consistait à être un [traduction] « réseau social complet ». À cet égard, le site Web affirme que les utilisateurs peuvent « [p]arler à des amis, parcourir leur fil d’actualité, rencontrer de nouvelles personnes ou trouver un rendez-vous galant, tout en écoutant leur musique préférée et les choix musicaux de leurs amis, de façon absolument gratuite ». Dans la FAQ, le mis en cause se réfère aux profils qu’il a copiés en provenance de Facebook et qu’il affiche sur son site Web comme des « profils de Profile Engine », peu importe si des individus les ont revendiqués ou non.
19. Nous avons observé que, conformément à ces objectifs, le mis en cause : (i) affiche le contenu (c. à d. les renseignements des profils) sur son propre site Web; (ii) permet aux utilisateurs de faire des recherches dans les profils et les groupes sur le site Web; (iii) offre d’autres fonctionnalités de réseautage social. Lorsque l’utilisateur n’est pas connecté, il ou elle peut rechercher des profils et des groupes sur le site Web et les afficher (p. ex. en utilisant la fonction pour trouver des personnes), mais il est bloqué s’il veut effectuer d’autres recherches après de multiples visites. Pour être en mesure d’ouvrir une session sur le site Web, l’individu doit d’abord revendiquer son profil. L’utilisateur connecté peut alors avoir accès aux diverses autres fonctionnalités que nous avons repérées sur le site Web, comme l’indique la figure 2 ci-dessous.
    Figure 2 : Fonctionnalités du site Web

    • Trouver des personnes (p. ex. des profils individuels);
    • Trouver des groupes de personnes (p. ex. le groupe visé dans la présente enquête);
    • Recherche de rencontres : Trouver des célibataires (p. ex. une personne ayant une situation amoureuse appropriée);
    • Recherche de musique (p. ex. accès à de la musique en continu adaptée aux intérêts de la personne);
    • Jeux;
    • Outils de recherche (décrits en détail au paragraphe 25 ci après); et
    • « Applications » (p. ex. un test de QI dont les résultats sont présentés seulement à l’utilisateur connecté).
20. La page « À propos » du mis en cause indique qu’il a utilisé les profils Facebook pour bâtir son réseau social; on peut y lire en partie ce qui suit :

    [Traduction]
    Au début de 2008, un important réseau social a autorisé l’indexation par le moteur Profile Engine de la partie publique des profils d’individus (comme le font Google et d’autres moteurs de recherche). Après quoi, nous avons continué d’ajouter des profils, si bien que Profile Engine compte aujourd’hui plus de 420 millions de personnes et 50 millions de groupes, ce qui en fait le deuxième réseau social en importance au monde!

21. De plus, dans la FAQ du site Web du mis en cause, en réponse à [traduction] « Je ne pense pas avoir autorisé Profile Engine à me créer un profil », le mis en cause affirme ce qui suit : [traduction] « Dans la plupart des cas, les gens acceptent que Profile Engine crée leur profil quand ils cochent la case dans les paramètres de confidentialité de Facebook : "Autoriser les moteurs de recherche en dehors de Facebook à afficher votre profil." »
22. Le mis en cause a affirmé qu’en ce qui concerne les plaignants, son site est simplement un moteur de recherche. Il affirme qu’il utilise les renseignements des profils uniquement pour le réseautage social des personnes qui ont revendiqué leur profil et qui ont accepté la politique de confidentialité du site qu’en aux renseignements des utilisateurs qui n’ont pas revendiqué leur profil, ce qui est le cas des plaignants, ces derniers sont traités uniquement en lien avec la fonction du moteur de recherche. Puisque les plaignants n’avaient pas revendiqué leur profil, le mis en cause a prétendu qu’il traitait seulement les renseignements des plaignants dans le contexte de la fonction du moteur de recherche.
23. Profile Technology a également fait la déclaration suivante : [Traduction] « Nous ne sommes pas différents de Google dans la mesure où nous avons simplement indexé des renseignements qui étaient déjà disponibles sur un site Web public; toutefois, contrairement à la plupart des moteurs de recherche, nous avons une entente écrite précise [soit un contrat] avec Facebook qui nous permet de recueillir les données. »

Autres objectifs

24. Dans sa politique de confidentialité affichée sur le site Web, le mis en cause indique qu’elle peut utiliser les renseignements personnels [traduction] « pour aider les publicitaires à joindre leur public cible. Nous pouvons utiliser les renseignements personnels que nous recueillons auprès de vous pour être en mesure de répondre aux souhaits de nos publicitaires en vous présentant leurs annonces. » Comme il est énoncé au paragraphe 78, nous avons trouvé de la publicité qui ciblait les Canadiens sur le site Web.
25. Sous la fonctionnalité des outils de recherche, le site Web annonce que Profile Engine pouvait fournir [traduction] « […] un large éventail de données de recherche fascinantes et une analyse des réseaux sociaux ». Cependant, le mis en cause a soutenu dans ses observations à l’intention du Commissariat qu’elle [traduction] « […] n’a jamais fourni de services de marketing ou d’analytique. Nous avons examiné ces possibilités, mais n’avons pas trouvé de client qui avait, selon nous, l’intention d’utiliser les renseignements d’une façon que nous approuvions. »

Consentement

26. La FAQ du site Web comportait la phase suivante : [traduction] « Je ne crois pas avoir autorisé Profile Engine à me créer un profil » :

    [Traduction]
    Dans la plupart des cas, les gens autorisent Profile Engine à créer leur profil quand ils cochent la case dans les paramètres de confidentialité de Facebook : « Autoriser les moteurs de recherche en dehors de Facebook à afficher votre profil.

    Nous ajoutons les profils de Facebook à la base de données de Profile Engine avec la pleine connaissance, l’approbation et l’autorisation de Facebook. La société Facebook a accepté qu’il en soit ainsi, et nous lui fournissons les caractéristiques d’un moteur de recherche puissant et novateur qui ne sont pas offertes sur la plateforme Facebook elle-même.

Renseignements accessibles au public

27. Le mis en cause a déclaré qu’en vertu de la Loi, le public avait accès aux renseignements des profils, car ils [traduction] « […] étaient du domaine public avant notre collecte et qu’ils ont été versés dans le domaine public par les utilisateurs eux mêmes ». Elle a affirmé par conséquent qu’il n’était pas nécessaire d’obtenir le consentement des individus pour l’utilisation de ces renseignements par Profile Engine.
28. Le mis en cause a aussi soutenu qu’il incombait à Facebook [traduction] « […] d’obtenir l’autorisation de rendre les renseignements publics et disponibles pour les moteurs de recherche […] ».
29. Profile Technology a fourni des extraits des politiques de confidentialité de Facebook et d’un blogue de Facebook qui, selon lui, étaient en place pendant une partie de la période où Profile Technology recueillait les profils de Facebook pour appuyer son affirmation que le public avait accès aux renseignements ou que, subsidiairement, les utilisateurs de Facebook avaient consenti à ce qu’il utilise les renseignements de leurs profils pour Profile Engine. Voici quelques extraits :
    1. tiré de la politique de confidentialité de Facebook, de novembre 2009

       [Traduction]
       Les renseignements destinés à « tout le monde » sont accessibles au public. Ils peuvent être consultés par tous sur Internet (y compris les personnes non connectées à Facebook) et soumis à l’indexation par les moteurs de recherche tiers. Ils peuvent être associés à vous en dehors de Facebook (notamment lorsque vous visitez d’autres sites sur Internet); ils peuvent être importés et exportés par nous et d’autres personnes, sans aucune restriction liée au droit à la vie privée. Le paramètre de confidentialité de certains types de renseignements que vous publiez sur Facebook est configuré par défaut à « tout le monde ». Pour modifier l’option par défaut, il faut aller dans vos paramètres de confidentialité.

    2. tiré de la politique de confidentialité de Facebook, version de décembre 2010

       [Traduction]
       Certaines catégories de renseignements, tels votre nom, votre photo de profil, votre liste d’amis et les pages que vous aimez, votre genre, votre région géographique et les réseaux auxquels vous appartenez, sont accessibles à tout le monde, y compris les applications améliorées de Facebook. Par conséquent, elles ne sont pas visées par les paramètres de confidentialité. Vous pouvez cependant limiter la capacité des autres à trouver ces renseignements par la recherche en modifiant vos paramètres de confidentialité des recherches.

    3. tiré d’un billet du blogue de Facebook en 2007

       [Traduction]
       À partir d’aujourd’hui, nous mettons des listes de recherche publique limitées à la disposition des personnes qui ne sont pas connectées à Facebook... Dans quelques semaines, nous permettrons à ces listes d’être retrouvées grâce aux moteurs de recherche... Comme toujours, si vous ne voulez pas donner accès à votre liste de recherche publique à des non-membres de Facebook, vous pouvez contrôler cet accès à partir de la page de confidentialité des recherches.

30. En particulier, le mis en cause a prétendu que les communications susmentionnées indiquent ce qui suit :

    [Traduction]
    Toutes les données faisant partie du service du mis en cause étaient « considérées comme publiquement accessibles à tous », « assujetties à une indexation par les moteurs de recherche tiers » et « susceptibles d’être associées à vous à l’extérieur de Facebook ». Dans la période en cause, c’était la compréhension de toutes les personnes qui s’inscrivaient sur Facebook ou qui avaient un compte Facebook. En d’autres mots, les renseignements étaient publics et s’ils l’étaient, c’était que les personnes concernées en avaient décidé ainsi.

31. Plus précisément, le mis en cause a affirmé que les profils Facebook auxquels le public a accès devraient être considérés comme une « publication » en vertu du Règlement précisant les renseignements auxquels le public a accès (le Règlement) de la LPRPDE. À l’alinéa 1e) du Règlement, il est question des « renseignements personnels qui figurent dans une publication, y compris les magazines, livres et journaux, sous forme imprimée ou électronique, qui est accessible au public, si l’intéressé a fourni les renseignements ». Le mis en cause a indiqué que ce serait une erreur d’interprétation d’estimer que la définition de « publication » énoncée dans le Règlement n’inclut pas les profils Facebook. Plus précisément, il a précisé qu’une personne qui met de l’information sur son profil Facebook « publie l’information », faisant des renseignements du profil Facebook une « publication » aux fins d’application du Règlement. Le mis en cause a également avancé que l’utilisation du terme « y compris » à l’alinéa 1e) du Règlement est large, ce qui signifie que les exemples de publication fournis le sont à titre indicatif et non restrictif. Il a aussi souligné le fait que, compte tenu de la nature de Facebook à titre de plateforme en ligne, le Règlement inclut les termes « sous forme imprimée ou électronique ».
32. Le mis en cause a également cité une déclaration faite à la presse par Facebook en juillet 2010 en réponse à une situation où un chercheur en sécurité a « exploré » et indexé des millions de profils Facebook accessibles au public^{Note de bas de page 2}. À l’égard de cette déclaration, Profile Technology a soutenu que [traduction] « Facebook a affirmé en 2010 que les profils [indexés] contiennent des renseignements que les personnes choisissent de rendre publics et qu’ils sont accessibles au moyen d’autres moteurs de recherche. Toute déclaration subséquente de Facebook (que nous ne pouvons vérifier) ne changerait pas la réalité d’alors, qui est très contemporaine de l’indexation de Facebook par le mis en cause. »
33. L’organisation a aussi soutenu que toute interprétation de la LPRPDE qui a pour effet de réglementer l’indexation de contenu public et de fournir des liens aux utilisateurs au moyen d’un moteur de recherche est contraire à l’alinéa 2b) de la Charte canadienne des droits et libertés (la « Charte »). Plus précisément, elle a fait valoir que la réglementation des activités d’un moteur de recherche viole le droit à la liberté d’expression à la fois des exploitants de moteurs de recherche (par la limitation de leur droit de communiquer un sens à son indexation de sites Web et de rendre ce contenu disponible aux autres) et celui des internautes (par la limitation de leur droit de recevoir du contenu expressif).

Contrat avec Facebook

34. Nous avons demandé au mis en cause de fournir des éléments de preuves (p. ex. une copie ou des extraits de son contrat avec Facebook) pour appuyer son allégation que Facebook lui avait accordé l’accès aux renseignements des profils aux fins du moteur Profile Engine, et que Facebook était tenu par contrat d’obtenir le consentement en vue de l’utilisation et de la communication subséquentes par le mis en cause des renseignements des profils par le biais de Profile Engine.
35. Profile Technology a décidé de ne pas fournir au Commissariat de copie de son contrat avec Facebook, invoquant des préoccupations relatives à la confidentialité. Le Commissariat a offert de discuter de ces préoccupations dans le but d’en arriver à une solution, mais le mis en cause a décliné notre offre quant à la tenue de cette discussion.
36. En réponse à notre REP, le mis en cause a, cependant soutenu que Facebook avait, en violation du contrat conclu entre les parties, bloqué son accès à Facebook, rendant ainsi [traduction] « impossible à Profile Engine de déterminer quels renseignements avaient changé dans les profils publics, notamment si l’utilisateur avait décidé de ne plus avoir de profil public ».

Observations de Facebook

37. Le Commissariat a communiqué avec la société Facebook pour lui demander si ce dernier avait permis au mis en cause d’avoir accès aux renseignements des profils et pour clarifier toute restriction concernant les fins pour lesquelles elle aurait pu donner cet accès. Facebook a confirmé qu’elle entretenait une relation contractuelle avec le mis en cause. Plus précisément, la société a affirmé que le mis en cause, à titre de développeur d’applications de la plateforme Facebook, s’était pleinement engagé à respecter les conditions standard qui régissent l’utilisation par un développeur de la plateforme Facebook, y compris l’accès aux données des profils des utilisateurs de Facebook et leur utilisation. Facebook a de plus fait valoir qu’en contravention de cette entente et de cet engagement, le mis en cause [traduction] « avait retiré, copié, indexé et affiché certaines données de profils publics d’utilisateurs à ses propres fins (c. à d. pour un site Web à l’extérieur de la plateforme Facebook) (i) en contravention directe des conditions de Facebook et (ii) sans obtenir, au moyen de Facebook (ou autrement), le consentement des utilisateurs d’agir ainsi ».
38. Nous avons aussi demandé à Facebook d’exprimer sa position sur un litige entre Facebook et le mis en cause et qui porte précisément sur ce contrat. Facebook a affirmé ce qui suit :

    [Traduction]
    « [E]n raison de l’utilisation des données des utilisateurs de Facebook [par le mis en cause et son propriétaire/exploitant] en violation flagrante de [leurs ententes contractuelles avec Facebook] et de leur refus de rendre leurs activités conformes, Facebook a engagé une procédure judiciaire contre les mis en cause en mars 2013. […] La cour a déterminé que [le protocole d’entente confidentiel conclu entre les parties pour régler le litige] était une entente exécutoire et a établi un échéancier pour la respecter. Les mis en cause s’y sont conformés en partie en indiquant qu’ils avaient supprimé certaines données, mais Facebook continuait de s’inquiéter du fait qu’ils conservaient et utilisaient toujours d’autres données des profils d’utilisateur publics. En juin 2014, Facebook a déposé une requête auprès de la cour fédérale de la Californie en vue d’obtenir une ordonnance enjoignant les mis en cause de respecter l’accord de règlement (ou le protocole d’entente). Les mis en cause s’y sont opposés et les parties ont terminé de présenter leurs observations en août 2014. […] La cour étudie les questions soumises depuis ce temps… »

39. Dans notre REP et les communications subséquentes, nous avons donné l’occasion au mis en cause de répondre aux observations de Facebook, entre autres en fournissant les extraits que nous considérions importants pour notre analyse.
40. Le mis en cause a confirmé que la relation entre les parties était devenue conflictuelle et qu’il existait un litige entre elles (notamment une plainte déposée en premier par Profile Technology contre Facebook qui a, à son tour, déposé une plainte). Ce litige a été réglé (nous faisons remarquer, comme il est indiqué au paragraphe 38 ci dessus, que Facebook a affirmé que le mis en cause n’avait pas respecté les exigences du règlement). Le mis en cause a aussi soutenu qu’elle a été [traduction] « victime d’une campagne continue de désinformation, entre autres par Facebook ». Elle a prétendu qu’elle ne pouvait pas nous fournir de copie de son règlement ou son entente avec Facebook, en raison d’une entente de confidentialité.
41. De plus, le mis en cause a affirmé qu’en bloquant l’accès de Profile Engine à Facebook, en contravention de l’entente entre les parties, Facebook n’a pas permis à Profile Engine de déterminer quels renseignements avaient changé dans les profils publics, y compris si l’utilisateur avait décidé de ne plus avoir de profil public. Elle a aussi indiqué que si Facebook lui donnait l’accès nécessaire, elle serait ravie de supprimer ou de retirer les profils qui ne sont plus publics.

Autres préoccupations soulevées dans les plaintes

Suppression de renseignements

Profils individuels

42. Sur le site Web lui même, on explique qu’il y a deux options possibles pour les individus qui veulent supprimer leur profil :
    1. Selon l’option 1, un individu peut lui même supprimer son profil notamment : (a) en entrant l’adresse courriel associée à son profil sur le site Web; (b) en ouvrant une session avec son nom d’utilisateur et le mot de passe qu’il reçoit par la suite par courriel; et (c) en supprimant comme tel le profil.
    2. Selon l’option 2, une personne peut soumettre au centre d’assistance une demande de suppression de son profil en fournissant : (a) une adresse courriel aux fins de communication liée à sa demande; (b) l’adresse URL du profil à supprimer; et (c) une copie numérisée ou une photo de sa pièce d’identité officielle avec photo.
43. Selon le site Web, une personne peut caviardé certains renseignements figurant sur le document d’identité fourni avec la demande de suppression; ce document doit toutefois contenir : (a) le nom correspondant au profil sur Profile Engine; (b) une photo permettant de reconnaître la personne en question lorsque le profil sur Profile Engine affiche une photo.
44. En ce qui concerne l’option 1, certains plaignants ont affirmé que le mis en cause a recueilli leurs renseignements sur Facebook sans avoir leur adresse courriel, si bien qu’ils n’avaient pas le choix d’essayer de procéder à la suppression en choisissant l’option 2. Un plaignant caractérise les exigences relatives à la suppression des données comme étant un moyen visaient à empêcher les personnes d’avoir accès à leurs renseignements personnels et de les contrôler.
45. Pour ce qui est de l’option 2, certains plaignants ont informé le Commissariat qu’ils étaient réticents à soumettre des documents d’identité au mis en cause étant donné que ce dernier avait déjà recueilli et utilisé leurs renseignements personnels, à leur insu et sans leur consentement. Les plaignants ont aussi indiqué au Commissariat qu’ils trouvaient difficile de comprendre et de suivre les instructions des options susmentionnées pour la suppression de leur profil.
46. Plus particulièrement, nous avons reçu des éléments indiquant qu’une plaignante avait réussi à faire supprimer son profil après : (i) de multiples tentatives qui, selon elle, étaient nécessaires en raison des explications confuses fournies par le mis en cause ; et (ii) avoir soumis un document d’identité avec photo dans lequel elle avait caviardé certains renseignements.
47. Nous avons aussi constaté que la copie de la correspondance liée à la demande d’assistance que nous avons reçue de la plaignante, qui atteste de sa tentative de supprimer son profil du site Web, contenait : (i) son nom; (ii) une pièce jointe avec son document d’identité avec photo caviardé; et (iii) son adresse courriel.
48. Le mis en cause a soutenu qu’il ne recueille pas de renseignements concernant les demandes de suppression soumises au centre d’assistance. Le mis en cause a plutôt prétendu que les documents sont détenus par un tiers fournisseur du centre d’assistance, et qu’il ne voit les pièces d’identité avec photo que pour confirmer l’identité de la personne présentant la demande de suppression. Selon le mis en cause, il supprime l’image d’identification après avoir confirmé l’identité de la personne, sauf s’il croit que la demande de suppression est frauduleuse; dans ce cas, il peut conserver [traduction] « une image d’identification inacceptable qui a de toute évidence été modifiée avec le logiciel Photoshop ou d’une autre façon comme preuve qu’il a traité la demande de suppression correctement. De plus, le mis en cause a indiqué au Commissariat ce qui suit : [traduction] « [n]ous ne supprimons jamais les demandes d’assistance, car elles peuvent servir d’éléments d’information dans une enquête comme la vôtre. »
49. À l’égard de la conservation des demandes d’assistance, nous avons constaté qu’il en est question à la FAQ sur le site du centre d’assistance. Voici ce que nous avons noté :

    [Traduction]
    Les demandes d’assistance sont conservées et traitées sur les serveurs exploités par DeskPRO, le fournisseur du centre d’assistance, conformément à ses modalités de service et à sa politique de confidentialité. Votre compte lié au centre d’assistance est totalement séparé de votre compte sur Profile Engine. Ces renseignements ne sont jamais envoyés aux sites Web ni aux serveurs de Profile Technology sauf si vous revendiquez votre profil; nous ajouterons alors à votre profil sur Profile Engine l’adresse courriel que vous avez utilisée lors de votre inscription au centre d’assistance.

    Toutes pièces jointes contenant des images d’identification seront supprimées lorsque votre demande d’assistance aura été fermée. Le reste de votre correspondance avec le centre d’assistance sera conservée par DeskPRO. Cette dernière servira seulement à des fins liées à votre demande de soutien; par exemple, s’il y a une plainte mentionnant que votre demande n’a pas été traitée correctement, nous pouvons alors nous reporter à la correspondance.

50. Nous avons constaté que les conditions d’utilisation ainsi que la politique de confidentialité du mis en cause affichées sur son site Web contiennent dans les deux cas un lien qui dirige les personnes vers le site de son centre d’assistance. La page d’aide sur le site Web dirige également les personnes vers [traduction] « notre nouveau centre d’assistance et système de base de connaissances ». Le passage qui suit a particulièrement attiré notre attention :

    [Traduction]
    Nous exigeons désormais que toutes les demandes de soutien soient faites au moyen du système prévu à cette fin dans le nouveau centre d’assistance. CLIQUEZ ICI POUR LES NOUVELLES PAGES D’ASSISTANCE ET LE SYSTÈME DE DEMANDES DE SOUTIEN.

    Cette façon de procéder contribuera à accroître l’efficacité et à réduire le temps de traitement de vos demandes de soutien. […]

51. De plus, nous avons visité le site Web DeskPRO et avons constaté, dans la section « À propos » l’explication qui suit au sujet du contrôle des données :

    [Traduction]
    Vous êtes en contrôle

    En tant que client [de Profile Technology], vos données vous appartiennent et vous avez le droit de contrôler vos demandes de soutien soumises au centre d’assistance. Nous vous donnons le choix d’installer notre logiciel sur votre propre infrastructure ainsi que sur notre plateforme infonuagique. [Caractères gras dans l’original]

Groupe

52. L’une des plaintes concernait un groupe (c. à d. un groupe de personnes ayant un intérêt ou une opinion en commun). Nous avons révisé ce groupe et confirmé ce qui suit : (i) il fait référence au nom complet de la plaignante; (ii) il compte d’autres membres (soit des tiers autres que le plaignant); et (iii) il est relié à des allégations graves contre la plaignante, liées à une agression.
53. La plaignante a caractérisé les renseignements affichés de la manière suivante : (i) un acte d’intimidation et (ii) diffamatoire. Elle a indiqué au Commissariat que, même si le créateur à l’origine du groupe Facebook a supprimé le groupe, ce dernier existait toujours sur le site Web du mis en cause. La plaignante soutient que cela a entaché sa réputation et a affecté sa carrière. En outre, la plaignante estime que le mis en cause a fait en sorte qu’il soit impossible de supprimer le groupe de son site Web.
54. Le Commissariat a confirmé que le groupe susmentionné n’est plus sur Facebook.
55. Le site Web affiche la question suivante [traduction] « Puis-je modifier ou supprimer un groupe qui se trouve dans Profile Engine? » à laquelle le mis en cause répond qu’il [traduction] « […] ne permet pas actuellement d’apporter des changements à des groupes publics, car, ce faisant, tous les membres du groupe seraient touchés et pourraient voir leurs intérêts présentés de manière inexacte ». De plus, [traduction] « [n]ous traitons la description du groupe comme un élément du profil de chaque personne qui s’est jointe au groupe, si bien que modifier le groupe serait comme de modifier le profil de ces personnes, ce que nous ne pouvons pas faire sans leur consentement ».

Exactitude des renseignements

56. Tous les plaignants ont affirmé que leurs renseignements personnels sur le site Web étaient soit :
    1. jamais exacts (p. ex. le groupe susmentionné);
    2. inexacts du fait qu’ils sont périmés (p. ex. un ancien lieu de résidence; des renseignements relatifs aux années d’adolescence de la plaignante adulte).
57. Une plaignante a affirmé que les renseignements affichés sur Facebook alors qu’elle était adolescente sont maintenant sur le site Web et sont accessibles à des employeurs potentiels à l’aide d’une simple recherche sur le Web. Dans les observations de la plaignante, nous pouvons lire ce qui suit :

    [Traduction] Les renseignements conservés datent tous de l’époque où j’étais adolescence, ils me dépeignent comme immature et enfantine. […] Maintenant les employeurs potentiels qui accèdent à un profil de moi qui me fait paraitre comme un enfant.

58. Le Commissariat a confirmé, à partir d’une recherche effectuée sur Facebook, que les profils et le groupe en question qui apparaissent sur Profile Engine, ont été supprimés ou modifiés de Facebook.
59. Le mis en cause a avancé aussi qu’il n’est pas nécessaire pour une personne de pouvoir contester l’exactitude des renseignements personnels affichés sur le site Web, puisque l’utilisateur peut simplement : (i) supprimer les renseignements personnels qu’il juge inexacts ou (ii) revendiquer son profil et le modifier.
60. Le mis en cause a aussi fait remarquer que son site Web contient de l’information sur les limites de l’exactitude des profils. Plus précisément, il a affirmé que [traduction] « […] chaque page du site comporte des liens au bas de nos conditions de service et de notre politique de confidentialité. Ces conditions énoncent clairement que les renseignements sur le site peuvent être périmés ou inexacts et qu’ils ne sont donc pas fiables ».
61. Le Commissariat a passé en revue les conditions d’utilisation, qui étaient accessibles au moyen du lien et affichées en petits caractères gris au bas du site Web, et il a constaté ce qui suit :

    [Traduction]
    Fiabilité des renseignements affichés

    Les discussions, les clavardages, les messages, les transmissions, les dialogues, les commentaires ou tous les autres renseignements accessibles sur nos sites ne sont pas nécessairement exacts ou actuels et ne constituent pas des conseils nécessairement fiables.

Communication de préoccupations au mis en cause

62. Certains plaignants ont soulevé des préoccupations au sujet du fait : (i) qu’ils étaient incapables de joindre Profile Technology pour leur faire part de leurs préoccupations ou (ii) qu’ils n’ont pas reçu de réponse satisfaisante aux préoccupations soulevées.
63. À l’égard de ces préoccupations, le mis en cause a indiqué que son centre d’assistance présente des instructions détaillées sur comment : (i) revendiquer un profil; (ii) présenter une demande de suppression; et (iii) signaler tout contenu inapproprié.
64. Le Commissariat a visité le site Web et a établi qu’il contient des pages d’aide et une FAQ liées aux allégations qui font l’objet d'une enquête (p. ex. dans la FAQ, [traduction] D’où proviennent les renseignements figurant dans Profile Engine, et quand et comment ont-ils été affichés?).
65. Le Commissariat a également noté le contenu suivant dans la FAQ, sous [traduction] Comment puis-je vous joindre? :

    Veuillez prendre note que ce service est offert gratuitement et que notre personnel dispose de très peu de temps à y consacrer; par conséquent, nous ne répondons pas aux demandes de soutien liées à des questions qui ont déjà été répondues sur l’une de ces pages. Vous y trouverez des réponses à toutes les demandes d’information courantes.

    Si vous êtes certain de ne pouvoir trouver de réponse à votre demande à l’aide de la base de connaissances, vous pouvez alors créer une demande de soutien en utilisant l’onglet [traduction] « Pour nous joindre » dans le haut de la page et nous tâcherons de vous répondre dans un délai de 28 jours. [Caractères gras dans l’original]

Application de la Loi

66. Dans son analyse des faits, le Commissariat a examiné l’application du paragraphe 5(3), de l’alinéa 7(1)d), des sous-alinéas 7(2)c.1) et 7(3)h.1) ainsi que du paragraphe 13(1) de la Partie 1 de la LPRPDE, de même que l’application du Règlement précisant les renseignements auxquels le public a accès (le « Règlement ») et des principes 4.3, 4.3.2, 4.3.4, 4.3.5, 4.3.6, 4.5 et 4.5.2 de l’annexe 1 de la Loi.
67. Le paragraphe 5(3) énonce qu’une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances.
68. Le principe 4.3 stipule que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Le principe 4.3.2 ajoute que les organisations doivent faire un effort raisonnable pour s’assurer que la personne est informée des fins pour lesquels les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de manière à ce que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués. Le principe 4.3.4 stipule que la forme du consentement que l’organisation cherche à obtenir peut varier selon les circonstances et la nature des renseignements. Pour déterminer la forme que prendra le consentement, les organisations doivent tenir compte de la sensibilité des renseignements. Le principe 4.3.5 précise ensuite que dans l’obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes.
69. L’alinéa 7(1)d) de la Loi stipule que, pour l’application de l’article 4.3 de l’annexe 1, l’organisation peut recueillir des renseignements personnels à l’insu de l’intéressé ou sans son consentement s’il s’agit d’un renseignement réglementaire auquel le public a accès.
70. Le sous-alinéa 7(2)c.1) de la Loi stipule que pour l’application de l’article 4.3 de l’annexe 1, une organisation peut utiliser des renseignements personnels à l’insu de l’intéressé ou sans son consentement s’il s’agit d’un renseignement réglementaire auquel le public a accès.
71. L’article 1 du Règlement précise les renseignements et catégories de renseignements pour l’application de l’alinéa 7(1)d) et des sous-alinéas (2)c.1) et (3)h.1) de la Loi. Ces catégories de renseignements incluent :

    e) les renseignements personnels qui figurent dans une publication, y compris les magazines, livres et journaux, sous forme imprimée ou électronique, qui est accessible au public, si l’intéressé a fourni les renseignements.

72. Le principe 4.5 stipule que les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles pour lesquelles ils ont été recueillis à moins que la personne concernée n’y consente ou que la loi ne l’exige. Les renseignements personnels doivent être conservés aussi longtemps que nécessaire pour la réalisation des fins déterminées. En outre, le principe 4.5.2 stipule que les organisations devraient élaborer des lignes directrices et appliquer des procédures pour la conservation des renseignements personnels. Ces lignes directrices devraient préciser les durées minimales et maximales de conservation. Les renseignements personnels qui ont été utilisés afin de prendre une décision au sujet d’un individu devraient être conservés suffisamment longtemps pour permettre à l’individu concerné d’exercer son droit d’accès à l’information après que la décision ait été prise. Une organisation peut être assujettie à des exigences prévues par la loi en ce qui concerne les périodes de conservation.
73. Le paragraphe 13(1) de la LPRPDE énonce que le commissaire doit, dans l’année suivant la date du dépôt de la plainte ou celle où il en a pris l’initiative, dresser un rapport.

Analyse

Compétence

74. Tout au long de l’enquête et dans le cadre de la réponse à notre REP, le mis en cause a soutenu que le Commissariat devrait refuser d’exercer sa compétence et renvoyer les plaignants devant le CPVP-NZ.
75. Après une analyse approfondie, et comme l’indique notre REP, le Commissariat a déterminé qu’il a compétence pour enquêter sur les cinq plaintes, même si Profile Technology a son siège social en Nouvelle-Zélande.
76. Nous estimons que Profile Technology recueille, utilise et divulgue des renseignements personnels dans le cadre d’activités commerciales, au sens de la Loi, en lien avec son site Web. Nous considérons les activités de Profile Technology comme étant de nature commerciale étant donné que le site Web a recours à de la publicité et offre des fonctions de réseau social ainsi que des services de recherche et d’analytique. En particulier, le site Web indique que ses services de recherche et d’analytique ne [traduction] « sont accessibles qu’aux clients élites. Pour obtenir un devis, veuillez nous contacter par l’intermédiaire du centre d’assistance en sélectionnant le secteur des partenariats d’affaires. »

Lien réel et substantiel

77. Il a été établi que la LPRPDE peut s’appliquer à une organisation étrangère exerçant une activité commerciale lorsqu’il existe un lien réel et substantiel avec le Canada [c’est nous qui soulignons]^{Note de bas de page 3}.
78. En l’espèce, les faits et les éléments de preuve suivants appuient notre conclusion selon laquelle il existe un lien réel et substantiel avec le Canada :
    1. le Commissariat a établi, à la suite de ses propres vérifications, que le site Web prétend contenir de l’information sur 4,47 millions de profils canadiens;
    2. les individus peuvent faire des recherches sur le site Web concernant directement des Canadiens;
    3. le mis en cause a besoin des renseignements personnels des Canadiens pour être en mesure d’offrir des services aux Canadiens par l’entremise de son site Web, ainsi que de retirer les renseignements sur les Canadiens du site Web;
    4. nos vérifications ont démontré que le site Web fournit de la publicité canadienne, y compris pour les entreprises qui sont situées au Canada et qui y font de la commercialisation;
    5. le mis en cause cherche à attirer les utilisateurs canadiens, puisqu’il copie et affiche les profils des Canadiens et les invite à « revendiquer » leurs profils; et
    6. l’impact de l’affichage par le mis en cause des renseignements personnels des Canadiens sur son site Web est ressenti par la population canadienne.
79. En ce qui concerne l’affirmation du mis en cause selon laquelle le Commissariat devrait renvoyer les plaintes au CPVP-NZ, comme il est indiqué ci-dessus, le Commissariat se base sur le fait qu’il existe un lien réel et substantiel entre les plaintes et le Canada afin d’ établir que le Commissariat a compétence pour faire enquête. À cet égard, la compétence du Commissariat est liée à la relation qu’il existe entre le Canada et les activités du mis en cause qui ont donné lieu à des allégations d’atteinte à la vie privée au Canada. Bien que le CPVP-NZ ait examiné certains aspects des pratiques du mis en cause, ce dernier n’a pas examiné la situation canadienne. Nous examinons la question sous l’angle de l’application de la loi canadienne sur la protection des renseignements personnels, qui, bien que semblable, est différente de la loi néo-zélandaise. De plus, nos conclusions et nos recommandations ne concernent que les renseignements personnels des Canadiens. Nous notons également que nous avons discuté de la question avec le CPVP-NZ qui ne s’est pas opposé à l’enquête du Commissariat.

Délai

80. Dans sa réponse à notre REP, le mis en cause a prétendu que le Commissariat a perdu sa compétence sur cette affaire, car nous n’avions pas préparé un rapport de conclusions dans un délai d’un an, comme le prévoit le paragraphe 13(1) de la LPRPDE.
81. Le mis en cause invoque l’affaire Alberta Teachers’ Assn c. Alberta (commissaire à l’information et à la protection de la vie privée)^{Note de bas de page 4} (« Alberta Teachers’ Assn ») comme principal fondement de sa position.
82. À notre avis, l’affaire Alberta Teachers’ Assn, qui traite des dispositions de la loi albertaine sur la protection de la vie privée, n’a pas d’incidence directe sur l’interprétation des délais prévus par la LPRPDE et sur l’exécution des enquêtes du Commissariat. Cela dit, selon l’analyse de la Cour dans l’affaire Alberta Teachers’ Assn, il est clair que le non-respect de l’échéancier prévu par la loi n’a pas entraîné une perte automatique de compétence. La Cour a plutôt déterminé que les conséquences de la non-conformité dépendraient des circonstances de l’affaire en question^{Note de bas de page 5}. Ainsi, même si l’on appliquait une analyse semblable à l’affaire qui nous concerne, nous sommes d’avis que le Commissariat aurait maintenu sa compétence.
83. Le Commissariat est d’avis qu’il n’a pas perdu la compétence requise pour préparer un rapport de conclusions dans cette affaire en application du paragraphe 13(1) de la LPRPDE. Bien que l’on puisse s’attendre à ce que, dans la plupart des cas, le délai prévu au paragraphe 13(1) soit respecté, nous estimons que cette disposition est davantage de nature indicative et non obligatoire. À cet égard, nous notons que le paragraphe 13(1) ne prévoit pas de pénalité en cas de non-respect du délai en cause. De plus, cette enquête a été longue en raison de divers facteurs, y compris le nombre de plaintes reçues (et que nous avons continué de recevoir tout au long de l’enquête), les efforts déployés par le Commissariat pour résoudre, abandonner ou combiner un certain nombre de plaintes, les interactions avec les plaignants et les tiers, l’examen d’un nombre volumineux de documents comportant de multiples variables présentées par le mis en cause et la complexité des questions étudiées. Nous estimons qu’il serait injuste pour les plaignants et contraire aux objectifs de la LPRPDE si ces derniers devaient perdre leur droit de recours relatif à toute atteinte à la vie privée en l’espèce pour des raisons entièrement hors de leur contrôle.

Constitutionnalité

84. En réponse à notre REP, le mis en cause a soutenu que la LPRPDE, dans la mesure où elle s’applique à la collecte, à l’utilisation et à la communication des renseignements personnels dans le cadre d’activités commerciales, est ultra vires puisqu’elle ne peut être justifiée en tant que loi fédérale valide en vertu du volet général du pouvoir fédéral en matière de trafic et de commerce énoncé au paragraphe 91(2) de la Alberta Teachers’ Assn.
85. Le Commissariat part du principe que la LPRPDE est valide sur le plan constitutionnel quant aux limites de la compétence fédérale sur les questions visées par la LPRPDE et, à moins qu’un tribunal n’en décide autrement, le Commissariat se base sur ce principe.

Consentement

86. Nous n’acceptons pas l’affirmation du mis en cause selon laquelle les renseignements des profils sont « accessibles au public », tel qu’il était exempté de l’obligation d’obtenir un consentement. De plus, même si nous avions été d’avis que le mis en cause avait obtenu le consentement des individus pour sa collecte initiale des renseignements des profils dans le but d’offrir des services de moteur de recherche, nous estimons qu’il n’avait pas le consentement nécessaire pour utiliser par la suite cette information dans le but de créer et d’alimenter son propre site Web de réseautage social.

Accessible au public

87. La question est de savoir si le mis en cause pourrait se baser sur une combinaison de l’alinéa 7(1)d) et du sous-alinéa (2)c.1) de la LPRPDE ainsi que de l’alinéa 1e) du Règlement pour recueillir et utiliser les renseignements personnels indiqués dans les plaintes sans le consentement des personnes concernées. Pour se faire, conformément à l’alinéa 1e) du Règlement, les renseignements personnels doivent figurer dans une publication, la publication doit être accessible au public et les renseignements personnels doivent avoir été fournis par l’intéressé. Il est de notre avis, tel que mentionné ci-dessous, que les profils Facebook ne sont pas une « publication », et bien que les profils Facebook en question aient pu être accessibles au public, ce ne sont pas tous les renseignements qu’ils contiennent qui auraient été fournis par les personnes concernées.
88. Le terme « publication » n’est pas défini dans la LPRPDE. Le mis en cause soutient que le sens habituel du mot « publication » est suffisamment large pour inclure les profils Facebook. Il affirme en outre que les exemples fournis à l’alinéa 1e) ne visent pas à limiter le sens du terme « publication ».
89. Nous convenons que le sens habituel du mot « publication » peut être interprété largement dans certains contextes et que les exemples de ce qui constitue une publication mentionnée à l’alinéa 1e) présentent une liste non exhaustive. Toutefois, nous devons l’interpréter conformément à l’esprit de la Loi, à ses objectifs et à l’intention du législateur. Dans ce contexte, pour les raisons exposées ci-dessous, nous sommes d’avis qu’un profil ou un groupe Facebook ne devrait pas être considéré comme étant une « publication ».
90. Nous notons d’abord que la LPRPDE établit que ce ne sont pas tous les renseignements du domaine public qui seront considérés comme étant « accessibles au public », mais seulement les catégories de renseignements précisées dans le Règlement. À cet effet, on reconnaît que même si l’information appartient au domaine public, elle peut tout de même nécessiter une protection.
91. De plus, depuis qu’il a été établi que la Loi est de nature quasi constitutionnelle^{Note de bas de page 6}, les droits qui sont conférés en vertu de cette loi devraient faire l’objet d’une interprétation téléologique, large et libérale et les restrictions imposées à ces droits devraient être interprétées de façon restrictive^{Note de bas de page 7}. Étant donné que l’exception prévue à l’alinéa 1e) efface une protection fondamentale de la Loi (c.¬à-d. qu’elle constitue une exception à l’exigence générale de consentement à l’utilisation des renseignements personnels à des fins commerciales), elle devrait être interprétée de façon restrictive.
92. À notre avis, basé sur l’examen du Résumé de l’étude d’impact de la réglementation associé au Règlement^{Note de bas de page 8}, la justification qui sous-tend l’exception pour les renseignements accessibles au public dans le Règlement prévoie que les renseignements accessibles au public décrits sont d’un certain type ou d’une certaine qualité, de sorte que le consentement des personnes à les rendre publics peut être déduit par le simple fait que la personne les a fournis ou ne s’est pas opposée à leur accès, ou encore que leur publication sert un objectif public plus large. Dans le cas des profils Facebook, nous estimons qu’il n’est pas que des individus auraient eu l’intention de rendre leurs renseignements publics, particulièrement en l’espèce, puisque les profils Facebook en question ont été créés à un moment où Facebook était relativement nouveau et où ses politiques étaient en évolution. De plus, à l’époque, les profils Facebook permettaient par défaut l’indexation par les moteurs de recherche. Toutefois, tel que nous l’avons indiqué dans notre rapport de conclusions en vertu de la LPRPDE n^o 2009-008, le Commissariat a analysé ce paramètre par défaut et soutenu qu’il n’était pas conforme aux attentes raisonnables des utilisateurs et qu’il n’avait pas été bien expliqué aux utilisateurs. De plus, les gens peuvent afficher de l’information sur Facebook pour diverses raisons (par exemple, pour être retrouvé et contacté par des amis), et pas nécessairement pour diffuser de l’information au grand public.
93. De plus, les profils Facebook se distinguent des autres publications mentionnées à l’alinéa 1e) de par leur caractère dynamique. Les individus conservent un contrôle significatif sur le contenu et l’accessibilité de leurs profils au fil du temps. Le titulaire d’un profil peut modifier ou supprimer des contenus de son profil accessible au public, et peut décider de modifier ses paramètres afin que son profil ne soit plus accessible au public. À notre avis, traiter un profil Facebook comme une publication serait contraire à l’intention de la Loi et omettrait de tenir compte du contrôle que les utilisateurs exercent autrement sur leurs renseignements à la source. À ce titre, il a été noté que le contrôle est un élément fondamental de la protection de la vie privée^{Note de bas de page 9}.
94. En ce qui concerne les autres exigences de l’alinéa 1e), il semblerait, selon les faits en l’espèce que les renseignements recueillis par le mis en cause auraient été « accessibles au public ». Toutefois, il est difficile d’évaluer comment le mis en cause serait en mesure de déterminer que tous les renseignements personnels qu’il a recueillis de Facebook et affichés sur son site Web auraient été fournis par les personnes concernées. À cet égard, nous constatons que le contenu des profils et des groupes Facebook peut inclure des renseignements personnels d’autres personnes qui n’ont pas été fournis par ces dernières. Par exemple, dans les cas qui nous intéressent, nous avons déterminé que le groupe susmentionné contient des renseignements personnels sur le plaignant qui ont été fournis par d’autres membres du groupe. De plus, l’un des profils en cause dans cette affaire contient des images d’autres personnes sur la photo du profil du plaignant.
95. Le Commissariat est donc d’avis que les renseignements personnels visés par les plaintes n’étaient pas accessibles au public au sens de la Loi. Ainsi, nous estimons que le mis en cause était tenu d’obtenir le consentement des individus pour l’utilisation de leurs renseignements personnels qu’il a copiés de Facebook et affichés sur son site Web.
96. En ce qui concerne les arguments du mis en cause selon lesquels cette interprétation contreviendrait à l’alinéa 2b) de la Charte, nous notons que les observations du mis en cause mettent l’accent sur la façon dont l’alinéa 2b) s’appliquerait à un moteur de recherche. Toutefois, le Commissariat est d’avis que les pratiques du mis en cause diffèrent sensiblement de celles d’un moteur de recherche. À cet égard, nous voyons une nette différence entre un moteur de recherche, qui fournit un outil permettant aux utilisateurs de naviguer et de trouver de l’information sur Internet, et la pratique avouée du mis en cause qui consiste à copier de l’information de Facebook et à la fournir aux utilisateurs sur son propre site Web. Sans prendre position sur l’application de l’alinéa 2b) de la Charte à un moteur de recherche, nous ne sommes pas convaincus que les arguments du mis en cause, qui se concentrent uniquement sur le scénario du moteur de recherche, tiennent la route dans le contexte actuel (à savoir où il y a copie et affichage des renseignements des profils sur le site Web du mis en cause). De plus, nous ne sommes pas d’avis qu’il y a un intérêt public supérieur à maintenir l’accessibilité de l’information affichée sur le site Web du mis en cause qui admet qu’il intègre de l’information désuète et souvent inexacte qui ne reflétera pas, en temps réel, l’information telle qu’elle apparaît à sa source.

Consentement par l’entremise de Facebook

97. Profile Technology affirme qu’en ce qui concerne les pratiques visées par la présente enquête, il s’est basé sur le consentement obtenu par l’entremise de Facebook et soutient que : (i) son site Web est simplement un moteur de recherche, qui indexe l’information accessible sur Facebook et (ii) Facebook était responsable [traduction] « […] d’obtenir l’autorisation de rendre les renseignements publics et disponibles pour les moteurs de recherche […] ».
98. Premièrement, nous n’acceptons pas l’affirmation du mis en cause selon laquelle Profile Engine est un simple moteur de recherche jusqu’à ce qu’un individu revendique son profil. Bien que l’objectif initial du mis en cause pour la collecte et l’utilisation des renseignements des profils ait pu être de fournir des services de moteur de recherche aux utilisateurs de Facebook, le mis en cause a par la suite copié et affiché ces renseignements sur son propre site Web, dans le but supplémentaire et nouveau de développer son propre réseau social. Même si le site Web comporte une fonction de recherche, il ne fait pas le lien avec l’information accessible sur Facebook (en fait, les renseignements associés aux profils des plaignants que l’on retrouve sur le site Web ne sont plus sur Facebook ou ont été modifiés). Au contraire, nous sommes d’avis qu’en conformité avec la description des pratiques du mis en cause sur son site Web, le mis en cause s’est servi des renseignements figurant dans les profils pour créer son propre site Web de réseautage social et pour encourager les gens à utiliser son site Web.
99. Deuxièmement, même si nous acceptions que le mis en cause ait obtenu le consentement nécessaire pour recueillir des renseignements des profils dans le but de fournir des services de moteur de recherche aux utilisateurs de Facebook (ce qui n’est pas l’objet de notre évaluation dans le contexte de la présente plainte), nous estimons qu’il n’a pas obtenu le consentement, par l’intermédiaire de Facebook, pour son utilisation subséquente de ces renseignements dans le but de créer et d’alimenter son propre réseau social.
100. Comme l’indique le résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2010-002^{Note de bas de page 10}, nous sommes d’avis qu’une organisation qui agit comme collectrice secondaire de renseignements personnels et qui souhaite se fier au consentement obtenu par un tiers pour l’utilisation et la communication de ces renseignements doit faire preuve de diligence raisonnable pour s’assurer de l’obtention d’un tel consentement. Dans de nombreux cas, cette diligence raisonnable pourrait prendre la forme de dispositions contractuelles exigeant que le tiers obtienne le consentement, ou de mesures prises pour s’assurer que le consentement a effectivement été obtenu par le tiers.
101. Dans ce cas, le mis en cause n’a pas démontré qu’il avait pris des mesures, par exemple par l’intermédiaire d’un contrat avec Facebook, pour s’assurer que Facebook avait obtenu le consentement de ses membres pour l’utilisation subséquente des renseignements des profils par Profile Engine.
102. Le mis en cause a porté notre attention sur certains extraits des politiques de confidentialité de Facebook accessibles en ligne pendant la période visée par les plaintes, comme l’indique le paragraphe 29. Nous avons examiné ces extraits pour déterminer s’ils auraient pu permettre au mis en cause de présumer qu’il avait obtenu un consentement valable pour utiliser les renseignements des profils sur son site Web de réseautage social. Le mis en cause a soutenu qu’en raison de ces politiques, les utilisateurs de Facebook savaient que les renseignements recueillis par le mis en cause étaient [traduction] « accessibles au public », « soumis à l’indexation par les moteurs de recherche tiers » et qu’ils « peuvent être associés à vous en dehors de Facebook » et qu’ils avaient le contrôle pour modifier ces éléments au moyen de leurs paramètres de confidentialité.
103. Nous sommes cependant d’avis que même si les utilisateurs avaient réglé leurs profils Facebook de façon à ce qu’ils soient consultables par les moteurs de recherche, ils ne se seraient pas raisonnablement attendus à ce qu’une photo instantanée des renseignements de leurs profils soit utilisée et communiquée, par un tiers avec lequel ils n’avaient aucune relation, dans le but supplémentaire de créer un nouveau profil de réseautage social sur un site Web entièrement différent. Les utilisateurs de Facebook s’attendraient plutôt à ce que le moteur de recherche renvoie directement à leurs profils actuels sur le réseau social, qui correspondraient à leur contenu à jour en fonction des paramètres de confidentialité actuels.
104. Enfin, il est difficile de savoir comment les extraits des politiques de confidentialité de Facebook soumis par le mis en cause s’appliqueraient à une personne dont les renseignements ont été publiés dans un groupe par d’autres utilisateurs de Facebook à son insu (voir les paragraphes 52 à 55).
105. Pour les raisons susmentionnées, nous estimons que le mis en cause ne pouvait pas se fier aux politiques de confidentialité de Facebook pour établir qu’il avait obtenu un consentement valable des utilisateurs de Facebook en vue d’afficher leurs profils et groupes Facebook sur son site Web.

Formes de consentement

106. En réponse à notre REP, Profile Technology a soutenu que s’il était nécessaire d’obtenir un consentement, le consentement négatif serait approprié, conformément au principe 4.3.4. de la LPRPDE. Pour appuyer cet argument, le mis en cause a mis en évidence la position du Commissariat voulant qu’un consentement négatif puisse être acceptable pour l’utilisation de renseignements non sensibles à des fins de publicité comportementale en ligne (« PCL ») en soutenant que les renseignements qu’il utilise ne sont pas sensibles, puisque les personnes ont choisi de rendre ces renseignements publics par l’entremise de Facebook.
107. Nous ne sommes pas convaincus que tous les renseignements personnels en cause soient nécessairement de nature non sensible parce qu’ils ont été mis à la disposition des moteurs de recherche sur Facebook à un moment ou à un autre. Toutefois, même si l’on estimerait que les renseignements ne sont pas de nature délicate, nous ne pensons pas que le consentement négatif serait acceptable dans cette situation. Le Commissariat a énoncé que le consentement négatif peut être acceptable dans certaines conditions, y compris dans le contexte de la PCL^{Note de bas de page 11}. Par exemple, l’organisation doit notamment s’assurer que les personnes sont informées des fins de ses pratiques d’une manière claire et compréhensible, et qu’elles sont informées de ces fins avant ou au moment de la collecte de renseignements personnels. Nous n’avons obtenu aucune preuve que ces conditions ont été respectées par le mis en cause dans le cas qui nous intéresse.
108. Nous avons notamment conclu que le site Web du mis en cause contient de nombreux profils qui ont été copiés et affichés sur le site Web à l’insu des personnes concernées. Ces personnes n’ont pas été informées avant ou au moment de la collecte de leurs renseignements que leurs profils seraient affichés sur le site Web du mis en cause. Elles n’ont probablement jamais su qu’elles pouvaient retirer leur consentement en demandant la suppression de leurs profils, à moins d’avoir découvert la présence de leurs profils sur le site Web du mis en cause.

Conclusion concernant le consentement

109. Compte tenu de ce qui précède, nous sommes d’avis que Profile Technology a recueilli, utilisé et communiqué des renseignements personnels aux fins de l’établissement de son site Web de réseautage social, à l’insu et sans le consentement des personnes dont les profils ont été utilisés pour alimenter ce site Web, en contravention du principe 4.3 de la Loi.

Fins appropriées

110. Le paragraphe 5(3) limite les fins pour lesquelles une organisation peut recueillir, utiliser ou communiquer des renseignements personnels à celles « qu’une personne raisonnable estimerait acceptables dans les circonstances ». Cette condition s’applique qu’importe qu’un consentement ait été obtenu ou non et même lorsque le consentement n’est pas nécessaire (par exemple, lorsque l’information est « accessible au public » conformément au Règlement).
111. Comme nous l’avons indiqué ci-dessus, nous ne sommes pas d’accord avec l’affirmation du mis en cause selon laquelle Profile Engine est seulement un moteur de recherche. Bien que l’objectif initial du mis en cause à l’égard de la collecte et de l’utilisation des renseignements des profils soit de fournir une capacité de recherche aux utilisateurs de Facebook, le mis en cause a ensuite copié et affiché cette information sur son propre site Web, dans le but nouveau et supplémentaire de développer son propre réseau social.
112. Dans ces circonstances, le mis en cause a réutilisé les renseignements des profils à de nouvelles fins, à l’insu ou sans le consentement des personnes et sans tenir compte des mises à jour, des changements dans les paramètres de confidentialité ou de la suppression de contenu que les individus auraient pu faire par la suite sur leurs comptes Facebook au fil du temps. En particulier, les conditions d’utilisation initiales de Facebook auraient permis aux personnes de mettre à jour et de modifier leurs profils et leurs paramètres de confidentialité, notamment en ce qui concerne l’indexation de ceux-ci par les moteurs de recherche. Par conséquent, les renseignements personnels de ces personnes, qui peuvent avoir été mis à jour ou supprimés de Facebook, demeurent sur le site Web du mis en cause jusqu’à ce qu’une personne découvre que ses renseignements s’y trouvent et prenne des mesures pour les faire supprimer.
113. Enfin, nous constatons que le mis en cause utilise et divulgue des renseignements de profils qui sont périmés ou qui ne sont plus publics sur Facebook. Le fait qu’il puisse le faire, en partie en raison d’un différend contractuel avec Facebook, ne rend pas cette pratique appropriée. Cela illustre seulement que le mis en cause n’est pas en mesure de refléter la nature dynamique de l’information telle qu’elle apparaît sur Facebook ou de respecter le contrôle que les propriétaires de profils Facebook exercent sur ces renseignements.
114. À notre avis, la perte de vie privée résultant de l’utilisation par le mis en cause des renseignements issus des profils est disproportionnée par rapport aux avantages découlant de cette pratique, à savoir le développement et l’alimentation de son réseau social à partir de données provenant d’un autre réseau social et leurs utilisations sans autorisation. De plus, le mis en cause aurait pu alimenter son réseau social d’une manière moins envahissante pour la vie privée, en permettant aux individus de fournir leurs renseignements directement à cette fin.

Conclusion concernant les fins appropriées

115. Par conséquent, nous estimons que la création et l’affichage d’une réplique statique de la page Facebook d’une personne dans le but de développer et d’alimenter le site Web du mis en cause, page qui demeure hors du contrôle de la personne et qui n’est pas modifiée, mise à jour ou supprimée comme celle-ci le souhaite, n’est pas une fin qu’une personne raisonnable estimerait acceptable dans les circonstances, conformément au paragraphe 5(3) de la LPRPDE.

Conservation

116. Au cours de notre enquête, nous avons relevé des préoccupations concernant la conservation par le mis en cause des renseignements personnels contenus dans les demandes d’assistance, notamment ceux fournis par les personnes en vue de faire supprimer leur profil. À notre avis, Profile Technology : (i) était responsable, en vertu de la Loi, de ces renseignements personnels (p. ex. nom, adresse électronique et pièce d’identité avec photo caviardée), et (ii) a conservé certains renseignements plus longtemps qu’il était nécessaire pour atteindre les fins pour lesquelles ils ont été recueillis (c.-à-d. pour traiter la demande d’assistance).
117. Premièrement, bien que nous acceptions que DeskPRO (le tiers fournisseur du centre d’assistance du mis en cause) recueille et conserve les renseignements relatifs aux demandes d’assistance, nous estimons qu’il le fait pour le compte du mis en cause, qui contrôle en dernier ressort ces renseignements et qui en est, par conséquent, responsable. Le mis en cause dirige les personnes, par l’entremise de son site Web, vers le site de DeskPRO, où on leur demande d’entrer leurs renseignements personnels. DeskPRO affirme lui-même que l’information relève de ses clients (p. ex. Profile Technology). De plus, Profile Technology peut à sa discrétion : (i) consulter les demandes d’assistance, (ii) supprimer les copies des pièces d’identité avec photo, et (iii) extraire les adresses électroniques.
118. Enfin, le mis en cause conserve indéfiniment les demandes d’assistance. Nous sommes d’avis qu’une période de conservation indéfinie aille au-delà de ce qui est nécessaire pour traiter la demande d’assistance ou répondre aux demandes de renseignements subséquentes, et n’est pas justifié par la simple possibilité d’une enquête réglementaire future.

Conclusion concernant la conservation

119. Par conséquent, le Commissariat est d’avis que le mis en cause a omis de détruire, d’effacer ou de rendre anonymes des renseignements personnels qui ne sont plus nécessaires pour réaliser les fins déterminées et qu’il a contrevenu au principe 4.5 de la Loi.

Recommandations

120. Dans notre REP, nous avons recommandé que le mis en cause :
     1. retire de son site Web et supprime de ses dossiers tous les profils individuels et groupes associés à tout Canadien (ou Canadiens), y compris ceux liés aux plaignants. Afin de respecter le choix qu’ont fait des Canadiens d’utiliser les services de réseautage social du mis en cause, cette recommandation ne s’appliquerait pas aux profils ou aux groupes qui ont été : (i) créés par une personne directement sur le site Web ou (ii) revendiqués par une personne, lorsque celle-ci n’a pas également demandé leur suppression;
     2. rédige une politique de conservation pour les renseignements recueillis par son système d’assistance, qui prévoit une période de conservation raisonnable pour les renseignements personnels, et supprime les demandes d’assistance qui sont postérieures à cette période de conservation raisonnable.
121. Le mis en cause n’a pas répondu à notre deuxième recommandation, même lorsque nous avons réitéré notre demande en ce sens.
122. Le mis en cause a toutefois répondu que notre recommandation de supprimer en bloc les données concernant des Canadiens (paragraphe 120(i) ci-dessus) n’est pas appropriée dans les circonstances, puisqu’il ne sait pas, et ne peut pas savoir, quels profils appartiennent à des Canadiens, et que notre recommandation aurait pour effet d’entraîner la suppression de renseignements associés à des personnes qui ne sont pas canadiennes.
123. En réponse à cette préoccupation, le Commissariat a demandé des renseignements supplémentaires au mis en cause, notamment : des éléments de preuve précis concernant la façon dont elle obtient les résultats de recherche pour les profils liés au « Canada » ou ceux situés dans un rayon de « X » kilomètres d’un code postal canadien (y compris une liste complète des éléments d’information qu’il utilise à ces fins); une explication des raisons pour lesquelles il n’a pas pu utiliser ces renseignements pour mettre en œuvre nos recommandations; la proposition de mesures de conformité de rechange adéquates pour donner suite à notre recommandation.
124. Le mis en cause n’a pas répondu à notre demande pour l’obtention d’une liste complète des éléments d’information qu’il utilise pour associer des personnes au Canada, mais il a expliqué de quelle manière le processus par lequel il établit que des personnes sont « canadiennes » pourrait produire comme résultat un éventail de personnes ayant un lien avec le Canada. Par exemple, les résultats pourraient indiquer l’emplacement actuel d’une personne, un endroit qu’elle a visité, son domicile ou un endroit qu’elle aime bien. Le mis en cause n’a pas fourni suffisamment d’éléments de preuve pour persuader le Commissariat qu’il n’était pas en mesure de déterminer les profils associés aux Canadiens.
125. Le mis en cause n’a proposé aucune mesure pour donner suite à nos recommandations.

Développements récents

126. Avant la publication du présent rapport, nous avons découvert, grâce à notre examen indépendant, que Profile Technology avait retiré les profils de son site Web. Depuis le 1^er avril 2018, le site Web contenait simplement une page d’avis intitulée « Profile Engine has now been donated to the Internet Archive (31st March 2018)^{Note de bas de page 12} » « depuis le 31 mars 2018, Profile Engine était archivé sur le site Internet Archive ». Cette page :
     1. fournissait des liens vers des « torrents^{Note de bas de page 13} » par lesquels les fichiers de la base de données et des images de Profile Engine (collectivement, les « fichiers torrents ») pouvaient être téléchargés et partagés avec d’autres;
     2. affichait un message qui a entrainé les effets suivants :
        1. encourager les personnes à « préserver les fichiers de la base de données en répliquant et en semant (c’est-à-dire en téléchargeant et en partageant) les torrents. Il y était précisé que les fichiers étaient énormes et contenaient des centaines de millions de profils associés à des milliards de membres de groupes et d’amis et plusieurs téraoctets d’images » [traduction];
        2. préciser que les personnes « ont le droit de télécharger la totalité de la base de données de Profile Engine pour créer leur propre moteur de recherche à partir des archives historiques des données publiques de Facebook pour la période comprise entre 2007 et 2010 » [traduction];
        3. inviter les personnes à « écrire à une [adresse électronique donnée] si elles avaient de l’intérêt à cet égard ou si elles souhaitaient bâtir quelque chose qui nécessite des données » [traduction];
        4. indiquer que les personnes qui procèdent au téléchargement doivent «utiliser ces données de manière responsable et respectueuse, conformément aux souhaits des utilisateurs de Facebook qui ont choisi à l’origine de les rendre publiques et accessibles pour les moteurs de recherche » [traduction];
        5. demander aux utilisateurs d’envisager la possibilité de donner de l’argent au dirigeant du mis en cause par l’intermédiaire d’un site Web qui facilite le sociofinancement (où celui-ci a également demandé aux gens de « penser à donner 10 % des profits de toute entreprise commerciale utilisant les données qu’il a rendues disponibles » [traduction]); et
        6. prétendre que le mis en cause « n’a plus les renseignements des profils en sa possession ou sous son contrôle et que, par conséquent, il ne peut traiter aucune forme de demande de suppression ou de retrait » [traduction].
127. Lors de notre examen du site Web du mis en cause le 5 avril 2018, nous avons constaté, entre autres changements apportés à la page d’avis, que les liens vers les fichiers torrents avaient été retirés.
128. Nous avons communiqué avec le mis en cause pour obtenir plus de détails sur ces faits nouveaux. Pour expliquer la situation, il a notamment fait les affirmations suivantes :
     1. Seul un sous-ensemble de la base de données a été téléchargé sur le site Internet Archive, plus précisément :
        1. Les données ont été « anonymisées » par la suppression de certains renseignements personnels, y compris les noms de famille, les noms d’utilisateur et les identifiants Facebook;
        2. les noms de famille et les identifiants Facebook ont été téléchargés séparément dans un format crypté;
        3. le mot de passe de chiffrement est conservé par le mis en cause et ne serait révélé que si [traduction] « des conditions strictes sur l’utilisation appropriée, éthique et légale étaient respectées ».
     2. Les fichiers téléchargés comprenaient un fichier de « licence » qui indique que [traduction] « les données ne sont fournies qu’à des fins légales, éthiques et conformes aux autorisations données par les utilisateurs ».
     3. Les données contenues sur les serveurs de Profile Engine ont été nettoyées ou sont en train de l’être.
129. Nos propres recherches nous ont permis d’établir ce qui suit :
     1. Internet Archive sème des torrents pour de nombreux fichiers fournis par la communauté (comme ceux téléchargés par le mis en cause), à moins que le contributeur demande qu’il en soit autrement^{Note de bas de page 14};
     2. Bien que le site Internet Archive semble avoir retiré les fichiers en question de son site Web, bon nombre de ces fichiers avaient déjà été téléchargés ou étaient en cours de téléchargement, par l’entremise de torrents, et sont maintenant semés (partagés) par des tiers. Nous avons pu situer ces torrents à l’aide de moteurs de recherche (p. ex. Google) et sur le Web caché^{Note de bas de page 15}; et
     3. Bien que nous ayons pu confirmer que certains de ces fichiers avaient été téléchargés par diverses entités, nous n’avons pas été en mesure de déterminer si tous les fichiers torrents avaient été téléchargés par une seule entité.
130. Le Commissariat a pu trouver et télécharger le « fichier de licence » et le fichier de la base de données de Profile Engine. Nous avons été en mesure de confirmer que la base de données incluait des fichiers contenant de l’information provenant de profils Facebook (p. ex. les prénoms ainsi que des renseignements sur les amis et les groupes). Comme nous n’avons pas examiné tous les fichiers de la base de données, qui était extrêmement volumineuse, nous n’avons pas été en mesure de confirmer que les noms de famille et les identifiants Facebook avaient été téléchargés séparément dans un format crypté.
131. Nous avons communiqué avec Facebook afin de déterminer s’il y a des renseignements supplémentaires, qu’il pourrait nous transmettre pour nous aider à comprendre ces faits nouveaux et les risques qui y sont associés. Facebook a notamment confirmé qu’étant donné les renseignements accessibles au public, il était au courant de la situation et qu’il explorait diverses avenues relativement aux renseignements de Profile Engine, y compris par l’intermédiaire des tribunaux relativement au règlement reconnu par la cour dont il est question au paragraphe 38 ci-dessus.
132. Le 9 avril 2018, nous avons constaté que les fichiers devenaient de plus en plus difficiles à trouver par l’entremise des moteurs de recherche (qui avaient vraisemblablement désindexé les liens vers les fichiers torrents) mais qu’il était toujours possible de trouver les torrents sur le Web caché.

Évaluation des faits nouveaux

133. Nous sommes d’avis que les mesures prises par le mis en cause, telles que décrites ci-dessus, ne donnent pas suite à nos recommandations ou ne règlent pas les infractions cernées dans notre rapport. Dans les faits, elles pourraient exacerber les risques actuels en matière de protection de la vie privée et créer de nouveaux risques pour les personnes touchées, dépendamment de la façon dont les renseignements seront utilisés ou divulgués à l’avenir.
134. Nous observons certains éléments mitigés concernant ces faits nouveaux. Par exemple, étant donné que les anciens profils Facebook ne peuvent plus être trouvés sur le site Web, ils ne sont plus facilement accessibles ou indexés par les moteurs de recherche. De plus, d’après ce que nous avons pu constater, il y aurait certains obstacles pour les tiers souhaitant utiliser la totalité des fichiers de Profile Engine. Les renseignements des profils, y compris les données et les images (qui représentent des renseignements personnels en soi), peuvent actuellement être téléchargés à partir de plusieurs fichiers séparés très volumineux dans lesquels certains identifiants semblent avoir été supprimés ou chiffrés. Pour assembler et organiser de nouveau les données et les images en profils individuels, plusieurs étapes seraient requises, dont les suivantes : (i) trouver et télécharger tous les fichiers torrents qui, comme il est indiqué ci-dessus, sont de plus en plus difficiles à trouver par l’entremise des moteurs de recherche; (ii) créer un outil de recherche de manière indépendante ou acquérir le code source de Profile Engine, que le mis en cause prévoit rendre disponible à une date ultérieure; (iii) obtenir le mot de passe de chiffrement ou décrypter indépendamment les fichiers en question.
135. En revanche, nous ne sommes pas en mesure de confirmer que le mis en cause a, en fait, supprimé les fichiers de ses serveurs, comme il prétend l’avoir fait. Même si cela avait été fait, nous notons que le mis en cause et son dirigeant pourraient toujours avoir accès aux données par l’intermédiaire des torrents qu’ils ont fait créer.
136. Le mis en cause affirme avoir « anonymisé » les données tel qu’il est indiqué au paragraphe 128 ci-dessus. Cependant, nous dressons les constats suivants :
     1. Bien que la suppression de certains éléments d’identification ferait en sorte qu’il serait plus difficile d’établir un lien entre les renseignements et une personne identifiable, nous nous demandons si cette transformation des données les rendrait anonymes, étant donné que les profils contenaient des renseignements détaillés (y compris des images) sur les personnes;
     2. Même si le mis en cause a effectivement publié les identificateurs dans un fichier chiffré distinct, ce fichier a apparemment été communiqué de manière à être conservé par un tiers pour une période indéfinie, ce qui signifie que la force du chiffrement se dégradera en raison de la progression continue des capacités de décryptage;
     3. Quoi qu’il en soit, les fichiers partagés comprennent des images qui, dans la plupart des cas, incluent et constituent des renseignements personnels.
137. Le mis en cause, par l’entremise de son dirigeant, affirme qu’il possède la clé de chiffrement et qu’il ne la communiquera qu’aux personnes qui utiliseront l’information [traduction] « à des fins légales, éthiques et conformes aux autorisations données par les utilisateurs ». Cette affirmation ne rassure pas le Commissariat étant donné que, selon nous, le mis en cause a lui-même utilisé les renseignements à des fins inappropriées et contraires à la loi canadienne en matière de protection des renseignements personnels et a ensuite refusé de prendre des mesures pour se conformer à la LPRPDE.
138. Bien que les profils, qui ont été retirés du site Web de Profile Engine, ne soient plus, à l’heure actuelle, facilement accessibles et indexés par les moteurs de recherche, nous ne pouvons pas savoir comment ces données seront utilisées et diffusées à l'avenir, dans la mesure où n’importe qui peut télécharger et recréer les fichiers de la base de données du mis en cause — par exemple, un exploitant de site Web qui demande de l’argent pour la suppression des fichiers, des courtiers en données qui utilisent l'information pour le ciblage en ligne ou la revente, ou des tiers qui peuvent exploiter l'information à des fins potentiellement néfastes et préjudiciables pour la réputation.

Conclusions

139. Par conséquent, le Commissariat estime que l’affaire est fondée.

Autre

140. Au cours de l’enquête, nous avons communiqué avec le Commissariat à la protection de la vie privée de la Nouvelle-Zélande pour discuter et confirmer notre compréhension du contexte du rapport susmentionné. À cet égard, nous avons retenu les renseignements suivants.
141. En 2012, le CPVP-NZ a enquêté sur la collecte initiale par Profile Technology des renseignements des profils de Facebook, au moment où Profile Engine était un outil de recherche pour les utilisateurs de Facebook. Plus précisément, il s’est demandé si Profile Technology aurait dû recueillir l’information directement auprès des personnes concernées. Il avait conclu qu’il n’était pas nécessaire que Profile Technology ait recueilli les renseignements auprès des personnes, car l’information était accessible au public et qu’elle pouvait être indexée. Le rapport faisait notamment le constat suivant : [traduction] « Toute information qui se trouve sur Internet est considérée comme étant généralement accessible au public et peut être copiée ou réutilisée par d’autres personnes. »
142. Comme il est indiqué dans le rapport susmentionné du commissaire à la protection de la vie privée de la Nouvelle-Zélande^{Note de bas de page 16}, le Commissariat de ce pays a examiné l’application du principe 2 de la loi néo-zélandaise sur la protection de la vie privée qui stipule que [traduction] « lorsqu’un organisme recueille des renseignements personnels, il doit le faire directement auprès de la personne concernée. Il n’est pas nécessaire que l’organisme se conforme au principe 2 s’il croit, pour des motifs raisonnables, que l’information est accessible au public. »
143. Dans le cadre de notre évaluation en vertu de la LPRPDE, il s’agissait de déterminer si le consentement était nécessaire pour l’utilisation des renseignements personnels sur le site Web du mis en cause et, notamment, si les renseignements personnels en cause sont accessibles au public tel que le définit, de façon restreinte, le Règlement. À ce titre, la LPRPDE définit plus étroitement ce qui constitue de l’information « accessible au public », conformément au Règlement (voir les paragraphes 69 à 71 ci-dessus).
144. Nous sommes d’avis que la situation se prête à une évaluation différente de celle exigée par la loi néo-zélandaise sur la protection de la vie privée. Le Commissariat a également tenu compte de la pertinence des fins du mis en cause pour l’utilisation des renseignements personnels dans les circonstances, ainsi que de certaines obligations en matière de conservation, deux éléments qui n’ont pas été examinés par le commissaire à la protection de la vie privée de la Nouvelle-Zélande dans le rapport susmentionné.
145. Étant donné les développements récents décrits ci-dessus et le fait que le mis en cause soit situé en Nouvelle-Zélande, nous avons communiqué de nouveau avec le CPVP-NZ pour lui faire part de nos constatations et de nos préoccupations actuelles. Ce dernier examinera notre rapport et déterminera les options qui s’offrent à lui en matière de conformité pour donner suite à cette question en vertu de la loi néo-zélandaise sur la protection de la vie privée et si la conduite en question peut soulever des préoccupations en vertu d’autres lois nationales de la Nouvelle-Zélande. Le Commissariat continuera de collaborer avec ses homologues néo-zélandais dans toute la mesure permise en vertu de la LPRPDE pour appuyer toutes les démarches entreprises pour aborder ce problème en cours.
146. Étant donné le risque en cours associé à la disponibilité des renseignements de Profile Engine sur le Web, nous continuerons de surveiller cette situation afin de déterminer si les renseignements tirés des profils des Canadiens sont utilisés ou communiqués par le mis en cause ou un autre tiers à l’avenir. Si nous découvrons une telle utilisation ou communication, nous déterminerons les mesures appropriées à prendre à ce moment-là.