Facebook accepte de ne plus utiliser les renseignements personnels des non-utilisateurs figurant dans les carnets d'adresses des utilisateurs

Rapport de conclusions d’enquête en vertu de la LPRPDE n^o 2018-003^{Note de bas de page 1}

Le 24 mai 2018

Plainte déposée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « Loi » ou la « LPRPDE ») contre Facebook Inc.

1. Dans le présent rapport, « Facebook » désigne le site Web et la plateforme Facebook, tel qu’indiqué par Facebook Inc. (« FB Inc. » ou « FB »).
2. Le 20 juin 2013, FB Inc., une entreprise de la Californie, a avisé le Commissariat à la protection de la vie privée du Canada (« le Commissariat »). qu’elle avait fait l’objet d’une atteinte à la vie privée en lien avec la communication de coordonnées téléchargées par les utilisateurs de Facebook par l’entremise de la fonction d’importation de contacts (l’« atteinte »).
3. Le 23 juin 2013, une plainte a été déposée auprès du Commissariat contre FB Inc., alléguant que FB Inc. avait recueilli et communiqué, à cause de l’atteinte, les renseignements personnels d’utilisateurs et de non-utilisateurs de Facebook sans leur consentement.
4. Le 5 juillet 2013, le Commissariat et le Commissariat à la protection des données d’Irlande (Office of the Data Protection Commissioner of Ireland) ont avisé FB que les commissariats coordonneraient leurs enquêtes sur l’atteinte. L’atteinte a fait ressortir des questions quant à la protection assurée par FB des coordonnées téléchargées par ses utilisateurs et quant à la conformité à la LPRPDE du processus de jumelage de coordonnées à l’échelle des carnets d’adresses. L’enquête du Commissariat a donc porté sur les questions suivantes :
   1. si FB recueille les coordonnées d’utilisateurs et de non-utilisateurs sans leur consentement;
   2. si FB disposait de mesures de sécurité appropriées avant l’atteinte pour protéger les coordonnées des utilisateurs et des non-utilisateurs et, si ce n’est pas le cas, si FB dispose maintenant de telles mesures pour protéger ces renseignements personnels;
   3. si FB utilise les renseignements personnels des utilisateurs et des non-utilisateurs lors du processus de jumelage à l’échelle des carnets d’adresses et, si c’est le cas, si FB obtient un consentement valable des utilisateurs et des non-utilisateurs pour l’utilisation de leurs renseignements personnels lors de ce processus de jumelage;
   4. si FB permet aux utilisateurs et aux non-utilisateurs d’avoir accès à leurs renseignements personnels/données et de corriger ces renseignements/données tel que l’exige la LPRPDE.

Fonctions de Facebook

(a) Outil d’importation de contacts (également connu sous le nom « chercheur d’amis ») et processus de recherche d’amis

5. L’outil d’importation de contacts de FB est une fonction qui permet à ses utilisateurs de télécharger et de stocker leurs contacts dans leurs comptes, et d’utiliser ces contacts pour (i) inviter d’autres utilisateurs à devenir leurs amis sur Facebook, (ii) obtenir des suggestions d’amis et (iii) inviter leurs contacts qui ne sont pas des utilisateurs à se joindre à Facebook.
6. Le Commissariat comprend qu’avant avril 2012, le processus de recherche d’amis commençait par effectuer une recherche dans la base de données de FB pour voir si les coordonnées exactes importées qui avaient été téléchargées étaient déjà inscrites pour un utilisateur sur Facebook. Si ces coordonnées étaient déjà inscrites pour un utilisateur, Facebook offrait à l’utilisateur importateur un bouton « Ajouter un ami » pour ajouter cet utilisateur à titre d’ami. Si les coordonnées exactes importées n’étaient pas inscrites pour un utilisateur, FB permettait à l’utilisateur importateur d’envoyer au contact un courriel d’invitation pour se joindre à Facebook.
7. L’exemple suivant illustre la compréhension qu’a le Commissariat du processus de recherche d’amis avant avril 2012 :

   Mark inscrit son compte Facebook à l’adresse mark@gmail.com. Jeanne est une utilisatrice de Facebook qui télécharge l’autre adresse de courriel de Mark, soit mark@yahoo.com, à son compte Facebook. Puisque Mark n’a pas inscrit son compte Facebook avec l’adresse mark@yahoo.com, et qu’il n’a pas ajouté mark@yahoo.com à son profil Facebook, Jeanne ne reçoit pas le bouton l’invitant à ajouter Mark à titre d’ami. Puisque le compte Facebook de Mark ne comprend pas l’adresse mark@yahoo.com, même s’il est inscrit à Facebook avec l’adresse mark@gmail.com, Facebook offre à Jeanne l’option d’envoyer un courriel à Mark à mark@yahoo.com pour l’inviter à se joindre à Facebook. Cela a lieu peu importe le fait que Steve, une troisième personne, a importé les adresses de courriel de Mark mark@yahoo.com et mark@gmail.com ensemble.

(b) Processus de jumelage à l’échelle des carnets d’adresses

8. En avril 2012, selon FB ses ingénieurs ont commencé à réfléchir à différentes façons d’améliorer l’expérience des utilisateurs en diminuant le nombre de courriels d’invitation que les utilisateurs de Facebook pouvaient envoyer à leurs contacts importés qui étaient déjà des utilisateurs de Facebook. Comme l’illustre l’exemple plus haut, cela pouvait avoir lieu lorsque les coordonnées que l’utilisateur ajoutait à son profil Facebook étaient différentes des coordonnées que d’autres utilisateurs de Facebook avaient importées à l’aide de l’outil d’importation de contacts.
9. Les ingénieurs de FB ont conçu un processus qui relie différents éléments des coordonnées téléchargées par différents utilisateurs de Facebook à la même personne. Le processus effectue un « jumelage » de l’information comprise dans tous les carnets d’adresses importés par les utilisateurs de FB afin de trouver les éléments d’information que différents contacts importés peuvent avoir en commun (c.-à-d. adresses de courriel et/ou numéros de téléphone). Grâce à ce processus, FB peut relier des coordonnées différentes et distinctes à une seule et même personne. Cela permet à FB de déterminer de façon plus exacte si un contact est déjà un utilisateur de Facebook afint d’éviter de lui envoyer une invitation par courriel à se joindre à Facebook.
10. L’exemple suivant illustre la compréhension qu’à le Commissariat de la fonction de recherche d’amis après avril 2012 dans le cadre du processus de jumelage à l’échelle des carnets d’adresses :

    Mark inscrit son compte Facebook à l’aide de l’adresse mark@gmail.com. Jeanne est une utilisatrice de Facebook qui importe les coordonnées de Mark vers son compte Facebook. L’information concernant Mark dont Jeanne dispose ne comprend que son autre adresse de courriel, soit mark@yahoo.com. Facebook effectue une recherche dans sa base de données pour voir si mark@yahoo.com est inscrit à un compte Facebook déjà créé ou si Facebook a associé mark@yahoo.com à un utilisateur de Facebook existant par l’entremise du processus de jumelage à l’échelle des carnets d’adresses.

    Dans ce cas, Steve a déjà importé les adresses de courriel de Mark mark@yahoo.com et mark@gmail.com. Facebook est donc en mesure de déterminer que mark@gmail.com et mark@yahoo.com appartiennent probablement à Mark, qui est un utilisateur de Facebook. Plutôt que de suggérer à Jeanne d’envoyer à Mark un courriel d’invitation inutile à se joindre à Facebook, Facebook présente à Jeanne un bouton lui permettant d’ajouter Mark à titre d’ami, même si Mark n’a pas ajouté l’adresse mark@yahoo.com à son profil Facebook.

11. Selon FB le processus de jumelage n’entraîne pas l’ajout d’information au profil de l’utilisateur de Facebook ou aux coordonnées importées. Dans l’exemple plus haut, même si FB a associé mark@yahoo.com à Mark, « [FB] n’enregistre pas [mark@yahoo.com] au compte Facebook de [Mark] [traduction] ».

(c) Outil Télécharger vos informations

12. Cet outil est conçu pour permettre aux utilisateurs de Facebook d’avoir accès à leurs données personnelles, telles qu’elles sont stockées par FB dans leur profil, et de télécharger toute l’information qu’ils ont contribuée à Facebook et qui est associée à leur profil Facebook. En mai 2012, un ensemble d’ingénieurs, autre que celui responsable des changements apportés au processus de recherche d’amis, a ajouté des catégories de données accessibles sur les profils des utilisateurs de Facebook grâce à l’outil Télécharger vos informations, et a donc accordé aux utilisateurs de Facebook l’accès à une copie de tous leurs contacts importés.

Atteinte et réponse de FB

13. Selon FB lorsque ses ingénieurs ont mis en œuvre le processus de jumelage des coordonnées à l’échelle des carnets d’adresses, une partie du code qu’ils ont utilisé pour déterminer les aspects des coordonnées pouvant être associés a entraîné par inadvertance le stockage des coordonnées jumelées au même endroit, dans la base de données de Facebook, que les contacts importés des utilisateurs de Facebook dans leurs carnets d’adresses.
14. Après ce qui a été caractérisé par Facebook comme étant une « erreur de codage commise par inadvertance », l’outil Télécharger vos informations extrayait, non seulement les coordonnées de la personne utilisant l’outil d’importation des contacts, mais également les coordonnées jumelées à l’échelle des carnets d’adresses par Facebook.
15. Plus précisément, l’atteinte a eu lieu lorsque les utilisateurs de Facebook utilisaient l’outil Télécharger vos informations et demandaient leurs renseignements personnels. Les résultats téléchargés comprenaient tout contact que l’utilisateur de Facebook avait importé dans son compte Facebook, ainsi que toute coordonnée que Facebook avait associée à chacun de ces contacts importés (c.-à-d. autres numéros de téléphone et adresses de courriel) lors du processus de jumelage à l’échelle des carnets d’adresses.
16. Au début de juin 2013, un chercheur en sécurité a signalé l’atteinte par l’entremise du programme White Hat Bounty de FB. Ce programme fait partie du programme de sécurité de l’information de FB et encourage les chercheurs en sécurité externes à signaler les vulnérabilités potentielles en matière de sécurité sur Facebook en échange d’une compensation financière pour certaines vulnérabilités.
17. Selon FB l’outil Télécharger vos informations a été désactivé pendant son enquête sur l’atteinte. Lorsque cette atteinte a été confirmée, le code ayant entraîné l’affichage de données supplémentaires dans les téléchargements a été corrigé et l’outil a été réactivé dans un délai de 24 heures.
18. Entre mai 2012 et juin 2013, l’atteinte a entraîné environ 1,1 million de téléchargements par inadvertance comprenant au moins une adresse de courriel ou un numéro de téléphone supplémentaire que la personne utilisant l’outil Télécharger vos informations n’avait pas importé dans Facebook. FB a indiqué que dans plus de 99 % des téléchargements, les coordonnées supplémentaires avaient été reçues par deux autres utilisateurs de Facebook au plus. Selon FB le bogue a entraîné l’ajout des coordonnées additionnelles dans un rapport beaucoup plus important de données, et la plupart des personnes qui ont reçu les points de données supplémentaires n’en étaient probablement pas conscientes.
19. Le 21 juin 2013, FB a envoyé des courriels d’avis à environ six millions d’utilisateurs de Facebook partout dans le monde dont les coordonnées supplémentaires avaient été communiquées dans le cadre de l’atteinte. Au Canada, des coordonnées supplémentaires d’environ 142 000 utilisateurs canadiens de Facebook ont été ajoutées accidentellement aux téléchargements. Le courriel indiquait aux utilisateurs de Facebook les coordonnées communiquées (partiellement obscurcies) et le nombre de téléchargements comprenant ces coordonnées. FB a décidé de ne pas communiquer aux utilisateurs de Facebook concernés les noms des autres utilisateurs qui avaient reçu leurs coordonnées suite à l’atteinte.
20. FB a également indiqué que, dans l’ensemble, environ 14 millions d’éléments de coordonnées (c.-à-d. adresses de courriel et numéros de téléphone) qui ne pouvaient pas être reliés à un utilisateur de Facebook avaient également été communiqués par inadvertance en raison de l’atteinte. FB a décidé qu’il n’était pas approprié de communiquer avec les non-utilisateurs de FB à l’aide des coordonnées limitées disponibles.
21. Le 21 juin 2013, FB a également publié un blogue sur son site Web pour discuter de l’incident^{Note de bas de page 2}. Selon FB il n’a pas reçu de plainte concernant une mauvaise utilisation des données, et il n’a pas détecté de comportement anormal dans l’outil Télécharger vos informations ou sur le site de Facebook permettant de croire que l’erreur de codage avait entraîné un acte répréhensible ou un préjudice à l’égard des personnes concernées.

Collecte de renseignements personnels sans consentement

22. La plainte reçue par le Commissariat présumait que FB recueille des renseignements personnels d’utilisateurs et de non-utilisateurs de Facebook sans leur consentement. Le Commissariat n’a pas trouvé d’indication que le processus utilisé par FB pour permettre aux utilisateurs d’importer des coordonnées vers leurs comptes Facebook a changé de façon conséquente depuis la dernière fois que le Commissariat s’est penché sur la question^{Note de bas de page 3}. Plus particulièrement, nous n’avons trouvé aucun motif de conclure que FB avait enfreint la LPRPDE en permettant à ses utilisateurs de télécharger et de stocker des coordonnées dans leurs comptes Facebook. L’enquête actuelle visait donc à établir si FB comptait des mesures de protection appropriées pour protéger les coordonnées que les utilisateurs de Facebook avaient importées, si son processus de jumelage des coordonnées à l’échelle des carnets d’adresses respectait la LPRPDE et si FB permettait aux utilisateurs d’avoir accès aux coordonnées auxquelles ils étaient jumelés et de les corriger. /li>

Mesures de protection

Question

23. Le Commissariat a effectué une enquête afin d’établir si FB avait des mesures de protection appropriées en place avant l’atteinte afin de protéger les coordonnées des utilisateurs et des non-utilisateurs de Facebook, et si ce n’était pas le cas, si FB avait maintenant mis en œuvre les mesures appropriées afin de protéger ces renseignements personnels après l’atteinte.

Résumé de l’enquête

24. Selon FB l’atteinte a eu lieu à cause d’une erreur isolée qui ne pouvait pas être détectée facilement, et non à cause de l’absence d’un processus ou de l’omission de suivre des procédures. FB a soutenu que son approche complète en matière d’assurance de la qualité et de sécurité lui a permis de découvrir l’erreur de codage grâce au programme White Hat Bounty. Il a également noté le fait que le bogue qui a eu lieu dans ce cas ne mène pas forcement à la conclusion juridique selon laquelle les mesures de protection en place au moment de l’atteinte n’étaient pas appropriées pour satisfaire aux obligations juridiques de FB en vertu de la LPRPDE.
25. FB a fourni au Commissariat un aperçu de son programme de sécurité et de son processus d’élaboration de logiciels pour démontrer sa position selon laquelle la sécurité des données et les préoccupations concernant la protection des renseignements personnels sont ciblées et traitées tout au long de ce processus. Par exemple, selon FB son processus d’examen de produits est conçu de façon à faciliter les examens relatifs à la protection des renseignements personnels dès les premières étapes de l’élaboration d’un produit et que des réunions ont lieu régulièrement avec un groupe interfonctionnel d’intervenants du secteur de la protection des renseignements personnels pour examiner les principales décisions concernant la protection de la vie privée en lien avec les produits.
26. En ce qui a trait aux processus d’élaboration d’outils et de fonctions de FB liés à l’atteinte, FB affirme que son service de génie a suivi un processus d’examen rigoureux au cours duquel les fonctions concernées dans l’atteinte avaient été étudiées, peaufinées et acceptées. En règle générale, ce processus prévoit que les ingénieurs mettent en œuvre des fonctions nouvelles et mises à jour, effectuent des essais des fonctions de façon indépendante et de façon intégrée à d’autres fonctions, et qu’ils envoient ces fonctions mises en œuvre à d’autres ingénieurs à des fins d’examen. Après cet examen, la formulation de rétroaction, l’apport d’améliorations et des discussions, les changements sont acceptés et adoptés. Les changements sont alors regroupés à des fins d’examen par un groupe d’essai et déployés de façon plus vaste s’il n’y a pas de problème.
27. Bien que FB ait indiqué que ses équipes d’ingénierie qui élaborent des produits demeurent responsables de s’assurer que le développement et l’essai de ces produits et fonctions respectent le processus établi de FB son équipe de sécurité travaille également avec ces équipes pour s’assurer que ces produits et fonctions sont intégrés de façon appropriée. FB a informé le Commissariat que l’élaboration et les essais ne relèvent pas de différentes équipes au sein de FB car il est essentiel que les développeurs responsables de la rédaction, de l’examen et du diagnostic du code demeurent responsables de l’essai de ce code.
28. FB a affirmé avoir pris les mesures correctives ci-dessous à la suite de l’atteinte :
    1. elle a corrigé l’erreur de codage sous-jacente qui a causé le stockage inadéquat des coordonnées jumelées;
    2. elle a vérifié l’outil Télécharger vos informations pour voir s’il y avait d’autres données inattendues et aucune erreur de codage similaire n’a été décelée;
    3. elle a supprimé les coordonnées superflues des carnets d’adresses existants de tous les utilisateurs;
    4. les systèmes de FB ont initialement été migrés dans un nouveau dépôt de données connexe qui ne contenait aucune adresse de courriel ni aucun numéro de téléphone associés, mais plutôt des coordonnées transformée au moyen d’une fonction de hachage;
    5. elle a déplacé l’outil Télécharger vos informations dans une interface de programmation d’application différente de celle qui stockait inadéquatement les données.
29. FB a indiqué qu’à la suite de l’atteinte, elle avait mis en œuvre le hachage des coordonnées dans le répertoire des coordonnées transformées au moyen d’une fonction de hachage pour protéger l’information dans l’improbable éventualité où les données seraient encore communiquées par inadvertance en tant que mesure de protection supplémentaire visant à empêcher toute autre communication non autorisée.
30. FB a aussi déclaré au Commissariat qu’elle avait :
    1. examiné des portions clés du code d’importation de contacts existant;
    2. initialement remanié le processus de jumelage pour utiliser les adresses de courriel transformées au moyen d’une fonction de hachage plutôt que des adresses de courriel réelles;
    3. simplifié et centralisé la logique pour la mise en correspondance d’une adresse de courriel ou d’un numéro de téléphone avec un compte;
    4. augmenté la fréquence à laquelle elle examinait le code pertinent pendant la mise en œuvre de ces changements et d’autres changements fonctionnels.
31. FB a fourni les justifications ci-dessous lorsque le Commissariat lui a demandé pourquoi ses processus d’examen n’avaient pas permis de détecter le problème technique.
    1. Elle utilise des données synthétiques lors de ses opérations d’essai. En l’occurrence, ces données n’ont pas reflété avec précision la façon dont le changement de code proposé fonctionnerait avec les vraies données; le bogue n’a donc pas été détecté pendant l’essai.
    2. L’erreur de codage a été causée par une interaction entre deux systèmes, c’est-à-dire le code d’importation de contacts qui stockait les données dans un endroit particulier et le code de l’outil Télécharger vos informations qui communiquait de manière indépendante aux utilisateurs toute l’information qui était stockée dans leur carnet d’adresses. Comme les ensembles de codes des deux systèmes fonctionnaient séparément et ont été examinés individuellement, aucun problème n’a été décelé.
    3. Il n’était pas apparent lors de l’inspection visuelle que les coordonnées importées par l’outil Télécharger vos informations contenaient de l’information qui ne faisait pas partie de la liste de contacts originalement importée par l’utilisateur procédant au téléchargement parce que les coordonnées exposées étaient habituellement associées à une personne dont les coordonnées figuraient déjà dans le carnet d’adresses de l’utilisateur importateur.
32. FB a indiqué qu’avant l’atteinte, elle possédait un ensemble solide de mesures de protection et de processus d’assurance de la qualité qui étaient conçus pour protéger les coordonnées importées par les titulaires d’un compte Facebook, notamment :
    1. un programme de sécurité complet;
    2. un ensemble de mesures de contrôle et de processus précis qui étaient intégrés dans les opérations de Facebook pour faire en sorte que les risques liés à la protection de la vie privée et à la sécurité soient définis à presque toutes les étapes du cycle de développement d’un produit;
    3. un processus pour la réalisation d’essais automatisés, d’essais manuels et d’examens par les pairs par rapport aux modifications logicielles pour valider la fonctionnalité et cerner les bogues potentiels;
    4. le programme White Hat Bounty;
    5. une équipe multidisciplinaire et grandement axée sur la collaboration qui facilitait une correction rapide des bogues et des autres problèmes.
33. FB croit que ces mesures de sécurité étaient appropriées au moment de l’atteinte, surtout compte tenu du fait que les données touchées n’étaient pas de nature délicate selon elle, et qu’elles respectaient les exigences en matière de protection prévues par les principes 4.7 et 4.7.1 énoncés à l’annexe 1 de la LPRPDE.

Application

34. Pour analyser les faits et rendre ses décisions, le Commissariat a appliqué les principes ci dessous de la LPRPDE.
35. Selon le principe 4.7 énoncé à l’annexe 1 de la LPRPDE, les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Le principe 4.7.1 précise que les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées.

Analyse et conclusions

36. L’atteinte a été causée par une interaction entre deux fonctions, c’est-à-dire le code d’importation de contacts qui stockait les données dans un endroit particulier et le code de l’outil Télécharger vos informations qui communiquait de manière indépendante aux utilisateurs de Facebook toute l’information qui était stockée dans leur compte, y compris leur carnet d’adresses. Pendant la longue période qui a précédé sa détection, l’atteinte a entraîné la communication non autorisée de coordonnées aux utilisateurs de Facebook qui employaient l’outil Télécharger vos informations. Ces utilisateurs ont bel et bien eu accès à des coordonnées qu’ils n’avaient pas importées dans leur compte Facebook.
37. Selon le Commissariat, l’essai que FB a effectué lors de la mise à jour de l’outil Télécharger vos informations était inadéquat. Bien que FB affirme que l’erreur de stockage n’aurait pas pu être détectée facilement lors de l’essai, cela ne signifie pas pour autant que l’erreur n’aurait pas pu être détectée à l’aide de mesures appropriées. Cette situation est peut être le reflet des limites des données synthétiques utilisées lors de l’essai ou des moyens utilisés pour leur compilation.
38. Par exemple, comme le changement apporté à l’outil Télécharger vos informations donnait accès à d’autres catégories d’informations liées aux profils des utilisateurs, notamment des numéros de téléphone et des adresses de courriel provenant des carnets d’adresses des utilisateurs, FB aurait dû avoir des processus en place pour s’assurer que l’information affichée par l’outil Télécharger vos informations correspondait à celle figurant dans les carnets d’adresses des utilisateurs. FB détient de l’information importante à propos de ses utilisateurs – qui ne se limite pas seulement aux adresses de courriel, aux numéros de téléphone et aux associations; ses processus de développement et d’essai de produits devraient donc lui permettre de s’assurer que seule l’information prévue soit rendue disponible par une fonction.
39. Le Commissariat conclut que FB n’avait pas de mesures de protection appropriées en place avant l’atteinte pour protéger les renseignements personnels des utilisateurs et des non utilisateurs, tel que l’exigent les principes 4.7 et 4.7.1 énoncés à l’annexe 1 de la LPRPDE. Avant l’atteinte, les mesures de protection de FB n’étaient pas appropriées dans les circonstances parce qu’elles ne permettaient pas de vérifier si l’information affichée par l’outil Télécharger vos informations correspondait à celle figurant dans le carnet d’adresses de l’utilisateur de Facebook concerné.

Recommandations et réponse

40. Par conséquent, il a été recommandé dans le rapport d’enquête préliminaire du Commissariat que FB mette en œuvre de nouvelles mesures pour améliorer les essais et l’examen des interactions entre les fonctions de Facebook, surtout lorsqu’elle ajoute une nouvelle fonction à son système existant. Nous recommandions que ces mesures permettent à FB de détecter l’erreur de stockage qui avait causé l’atteinte et fassent en sorte que l’information communiquée par l’outil Télécharger vos informations corresponde à celle figurant dans le carnet d’adresses de l’utilisateur de Facebook concerné. À cet égard, nous avons indiqué à FB qu’elle pourrait envisager des moyens garantissant que les données utilisées lors des essais soient conçues de façon plus appropriée ou qu’elles soient sélectionnées selon la fonction mise à l’essai et reflètent mieux les données contenues dans Facebook.
41. Après avoir reçu nos recommandations, FB a indiqué qu’elle abandonnait le répertoire de coordonnées transformées au moyen d’une fonction de hachage qu’elle avait mis en œuvre un cadre de protection de la vie privée fondé sur le principe de droit d’accès minimal^{Note de bas de page 4}. Ce processus permet de désigner les destinataires autorisés pour chaque coordonnée téléchargée lors de l’utilisation de l’outil d’importation de contacts, de manière à ce que lorsqu’une personne accède à ses contacts par l’outil Télécharger vos informations, le cadre de protection de la vie privée détermine l’identifiant de l’utilisateur de Facebook pertinent, vérifie les destinataires autorisés pour chaque coordonnée figurant dans un carnet d’adresses avant de la présenter à un utilisateur de Facebook afin de vérifier qu’il a le droit de voir chaque élément communiqué et récupère seulement les coordonnées stockées ayant été téléchargées dans le carnet d’adresses de cet utilisateur. Selon FB ce système amélioré offre un processus automatisé qui est conçu spécifiquement pour prévenir la communication de données par inadvertance.
42. Selon FB le cadre de protection de la vie privée applique un ensemble de règles claires régissant l’accès aux coordonnées téléchargées et offre des outils pour établir des essais automatisés fondés sur des ensembles de données appropriés pour assurer le respect de ces règles. L’outil Télécharger vos informations accède aux données de l’outil d’importation de contacts par l’entremise du cadre de protection de la vie privée, ce qui selon FB fait en sorte que seules les données appropriées soient accessibles et que les changements apportés à l’outil Télécharger vos informations soient mis à l’essai plus efficacement.
43. Par conséquent, FB a indiqué que ses « mesures de protection de nature technique et administrative, ses processus d’assurance de la qualité et d’essai solides, son programme White Hat Bounty et son nouveau cadre de protection de la vie privée forment un cadre de sécurité de l’information très réfléchi et hautement efficace qui aide à prévenir les erreurs similaires à celle qui a causé l’atteinte. [traduction] »

Conclusion

44. Compte tenu des changements que FB a apportés depuis l’atteinte, le Commissariat conclut, aux termes de la LPRPDE, que la question relative aux mesures de protection est fondée et résolue. Comme FB l’a affirmé, le nouveau cadre de protection de la vie privée fait en sorte que seules les données appropriées soient accessibles par l’entremise de l’outil Télécharger vos informations et permet de réaliser des essais pour vérifier que les règles régissant l’accès aux coordonnées téléchargées soient respectées – ces éléments ne faisaient pas partie des mesures de protection de FB avant l’atteinte. FB a apporté des changements qui sont conçus pour empêcher qu’un incident similaire à l’atteinte se produise à l’avenir.
45. Le Commissariat continue à inciter FB à améliorer le processus d’essai et d’examen des interactions entre les fonctions de Facebook en général, mais surtout lorsqu’elle ajoute une nouvelle fonction à son système existant. Une documentation appropriée et systématique ainsi qu’une démonstration des procédures d’essai et de la portée des essais aideront à évaluer la conformité lors d’une vérification ou d’une inspection interne ou externe.

Question du consentement au processus de jumelage à l’échelle des carnets d’adresses

Utilisation de renseignements personnels

Question

46. Avant de se pencher sur la question du consentement, le Commissariat a examiné si FB utilisait les renseignements personnels des utilisateurs et des non-utilisateurs de Facebook lors du processus de jumelage à l’échelle des carnets d’adresses.

Résumé de l’enquête

47. FB a indiqué qu’en plus de stocker les adresses de courriel et les numéros de téléphone que les utilisateurs de Facebook importaient dans leur compte, elle gardait ces coordonnées dans des endroits distincts des carnets d’adresses des utilisateurs, mais tout de même reliés. Elle procédait ainsi pour associer les coordonnées importées par divers utilisateurs de Facebook aux utilisateurs existants et, au bout du compte, aider les utilisateurs à trouver des amis ayant déjà un compte Facebook et à inviter d’autres personnes à se joindre à Facebook tout en évitant d’envoyer aux utilisateurs des invitations non désirées et inutiles à se joindre à Facebook.
48. Plus précisément, lorsqu’un utilisateur importait un carnet d’adresses dans Facebook, les données en question étaient versées dans un carnet d’adresses structuré faisant partie de son compte Facebook. De plus, pour éviter l’envoi d’invitations non désirées et inutiles à se joindre à Facebook à des utilisateurs existants, FB conservait une entrée précise pour chaque adresse de courriel ou numéro de téléphone importé ainsi qu’une liste des utilisateurs de Facebook ayant téléchargé cette coordonnée précise. Pour chaque coordonnée, FB stockait aussi des adresses de courriel et des numéros de téléphone possiblement connexes qu’elle avait associés à l’information sur les coordonnées lors du processus de jumelage à l’échelle des carnets d’adresses. De plus, FB conservait séparément des adresses de courriel, transformées au moyen d’une fonction de hachage, d’utilisateurs ayant refusé de recevoir des invitations par courriel de Facebook (le « répertoire des non-participants »).
49. FB a précisé qu’elle n’avait pas de « répertoire central », mais qu’elle conservait plutôt des associations entre certaines coordonnées importées pour éviter d’envoyer aux utilisateurs de Facebook des invitations non désirées et inutiles à se joindre à Facebook.
50. FB a affirmé qu’elle « utilisait les contacts importés par les utilisateurs de Facebook pour les aider à trouver des amis et non pas pour définir des associations, et qu’elle faisait des associations pour aider les utilisateurs de Facebook à trouver leurs amis qui utilisaient déjà Facebook [traduction] ». Selon FB les associations sont un moyen technique pour trouver des amis ainsi que permettre aux utilisateurs d’envoyer des invitations. Selon FB cet énoncé avait pour but de préciser que les utilisateurs de Facebook téléchargeaient des coordonnées pour trouver des amis, et que FB devait faire des associations pour les aider à le faire. Toujours selon FB elle a fait des associations entre les coordonnées téléchargées et les comptes Facebook existants – le fait de faire des associations en soi n’est pas un but nouveau ou distinct.
51. FB a ajouté que « les adresses de courriel importées étaient seulement traitées avant l’envoi d’une invitation pour vérifier si elles étaient liées à un compte Facebook ou non (ce processus comprend l’étape du jumelage) [traduction] ». En se fondant sur l’exemple fourni au paragraphe 10, FB a affirmé ce qui suit :

    Lorsque Jeanne importe ses contacts dans Facebook, FB traite les contacts pour être en mesure de permettre à Jeanne d’inviter un contact à interagir avec elle sur Facebook. Lorsqu’une adresse de courriel est associée à un compte Facebook ou si le processus de jumelage permet à FB de déterminer avec un haut degré de certitude que l’adresse de courriel appartient à un utilisateur précis de Facebook, FB offre plutôt à Jeanne la possibilité d’envoyer une demande d’amitié à cet utilisateur.

52. Selon FB elle ne conserve pas d’associations à propos des non utilisateurs de Facebook. Elle « prend une coordonnée qu’elle peut (avec un haut degré de certitude) associer avec un utilisateur existant de Facebook dans le but de faciliter l’envoi de demandes d’amitié d’un utilisateur de Facebook à un autre. Si elle n’est pas suffisamment convaincue qu’une information particulière est associée à un utilisateur existant de Facebook, elle peut alors choisir de ne pas l’associer [traduction] ».
53. Pendant l’enquête, FB a indiqué qu’elle avait apporté d’autres changements à son processus de jumelage à l’échelle des carnets d’adresses. Plus précisément, les données contenues dans les carnets d’adresses sont maintenant transférées de la base de données des carnets d’adresses se trouvant dans l’environnement de production vers l’environnement de traitement. Lorsque les données sont dans l’environnement de traitement, FB effectue une analyse poussée pour déterminer si les contacts téléchargés sont associés à des comptes Facebook existants. Cela permet à FB de faire une distinction entre les contacts téléchargés qui sont associés à un compte Facebook et ceux qui sont probablement des non utilisateurs.
54. Lorsqu’un contact téléchargé est associé à un compte Facebook existant, ce contact est inclus dans l’ensemble de données sur les correspondances entre utilisateurs. Cet ensemble de données comprend des métadonnées dimensionnelles sur les relations entre l’utilisateur et le contact. Il est important de noter que l’ensemble de données sur les correspondances entre utilisateurs ne comprend pas les points de contact téléchargés qui ne sont pas associés à un utilisateur existant de Facebook.
55. FB a affirmé que si Facebook doit copier les données du carnet d’adresses (c.-à-d. en faire une copie) pour réaliser l’objectif du produit, cela ne signifie pas que ces renseignements sont utilisés à d’autres fins. Pour clarifier la question, FB a indiqué que les coordonnées téléchargées par les personnes au moyen de l’outil d’importation des contacts sont traitées de façon à les aider à retrouver plus facilement leurs amis, leur famille et d’autres contacts, ce qui est l’objectif fondamental principal de Facebook en tant que plateforme de médias sociaux, et qui nécessite que FB trouve des correspondances entre les contacts.
56. FB estime qu’elle utilise les renseignements personnels aux fins pour lesquelles elles ont été recueillies, conformément au principe à l’article 4.5 de la LPRPDE, et qu’il n’y a donc nul besoin d’obtenir un consentement supplémentaire de la part des utilisateurs et des non-utilisateurs de Facebook dans les circonstances.

Application

57. Dans le cadre de l’analyse des faits et pour rendre ses décisions, le Commissariat a appliqué les dispositions suivantes de la LPRPDE.
58. Le principe à l’article 4.5 de l’annexe 1 de la LPRPDE stipule que les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n’y consente ou que la loi ne l’exige. Il indique également que les renseignements personnels doivent être conservés uniquement aussi longtemps que nécessaire pour la réalisation des fins déterminées.

Analyse et conclusions

59. L’utilisation des coordonnées importées par FB dans le but d’aider les utilisateurs de Facebook à retrouver des amis sur cette plateforme et à inviter d’autres personnes à créer un compte Facebook a déjà fait l’objet d’une enquête par le Commissariat et, suite à des modifications, a été jugée conforme à la LPRPDE.^{Note de bas de page 5} Par le passé, FB Inc. a indiqué au Commissariat qu’elle ne conserve pas les adresses de courriel de non-utilisateurs pour son propre usage, sauf pour constituer une liste de non-utilisateurs qui ne souhaitent pas recevoir de courriels de Facebook, et que ces adresses ont seulement été conservées dans les carnets d’adresses des utilisateurs Facebook qui ont téléchargé leur liste de contacts vers Facebook.
60. Toutefois, l’enquête en cours vise les modifications apportées par FB à son processus de recherche d’amis en avril 2012. Après avril 2012, FB a mis en œuvre le processus de jumelage à l’échelle des carnets d’adresses afin d’identifier et d’associer différents points de contact d’un même utilisateur de Facebook dans le but d’aider les utilisateurs de Facebook à trouver des amis qui ont déjà un compte Facebook et d’inviter d’autres personnes à créer un compte. De plus, l’entreprise traitait, stockait et conservait les coordonnées d’utilisateurs et de non-utilisateurs de Facebook dans un dépôt de données autre que les carnets d’adresses de ses utilisateurs. Ces dépôts de données contenaient une entrée distincte pour l’ensemble des adresses de courriel ou des numéros de téléphone importés, peu importe si l’information appartenait à un utilisateur ou à un non-utilisateur, ainsi que pour toutes les adresses de courriel ou les numéros de téléphone que FB avait associés aux coordonnées.
61. En conséquence, le Commissariat conclut que le processus de jumelage à l’échelle des carnets d’adresses constitue un usage des renseignements personnels d’utilisateurs et de non-utilisateurs de Facebook pour lequel FB doit obtenir le consentement valable, comme l’exige le principe à l’article 4.3 de l’annexe 1 de la LPRPDE. Le Commissariat reconnaît que, même si les fins n’ont pas changé, la façon dont FB utilise les carnets d’adresses des utilisateurs de Facebook a changé et est plus étendue qu’avant avril 2012.
62. La conclusion du Commissariat ne repose pas sur le fait que FB copie les données contenues dans les carnets d’adresses ou qu’elle les conserve à plusieurs endroits afin d’en permettre le traitement, mais plutôt sur le fait que FB utilise les renseignements personnels d’une manière « différente [traduction] » : en effectuant une analyse sophistiquée pour déterminer si les adresses de courriel téléchargées sont associées à des comptes Facebook existants grâce au processus de jumelage à l’échelle des carnets d’adresses.

Consentement valable et ouverture – Utilisateurs de Facebook

Question

63. À la lumière de ce qui précède selon lequel FB utilise les renseignements personnels des utilisateurs dans le cadre du processus de jumelage à l’échelle des carnets d’adresses, le Commissariat a examiné la question à savoir si FB obtenait le consentement valable des utilisateurs en vue de l’utilisation de ces renseignements personnels dans le cadre du processus de jumelage à l’échelle des carnets d’adresses et si l’entreprise respectait son obligation de faire pas preuve d’ouverture en ce qui concerne ses politiques et ses pratiques.

Résumé de l’enquête

64. FB a indiquée qu’elle donne aux utilisateurs de Facebook un avis détaillé et à plusieurs volets concernant cette utilisation dans sa politique d’utilisation des données et des flux des utilisateurs en matière d’importation de renseignements personnels^{Note de bas de page 6} (anciennement appelé la Politique d’utilisation des données) et dans ses Pages d’aide^{Note de bas de page 7}, et que, ce faisant, elle obtient le consentement clair pour utiliser les données personnelles importées.
65. En ce qui concerne l’avis contenu dans son flux des utilisateurs en matière d’importation de renseignements personnels, FB a affirmé qu’elle effectue des communications « contextuelles » et « ponctuelles » aux utilisateurs de Facebook sous forme de fenêtre flash indiquant :

    Importez les contacts de votre compte pour les enregistrer sur les serveurs de Facebook d’où nous pouvons les utiliser pour présenter des suggestions, à vous comme à d’autres personnes. Les coordonnées de vos contacts et les dossiers de messages peuvent être importés. Des contacts professionnels peuvent être importés, mais vous ne devriez envoyer d’invitations qu’à vos contacts personnels. Veuillez envoyer vos invitations uniquement aux personnes qui sont susceptibles de les accepter. Vous pouvez toujours gérer vos contacts importés [hyperlien] ou tous les supprimer [hyperlien]. [soulignement ajouté]

66. Le Commissariat note que cet avis a légèrement été modifié de la version susmentionnée; la dernière phrase est maintenant : « Découvrez comment gérer les contacts que vous avez importés en tout temps à l’adresse facebook.com/invite_history.php. [traduction] » Cet avis peut également être consulté par les personnes qui utilisent déjà Facebook grâce à l’outil « Retrouver des amis ».
67. L’avis suivant est affiché lorsqu’une personne crée un compte grâce à l’application Facebook :

    Qui a un compte Facebook – Lorsque vous choisissez de retrouver des amis sur Facebook, nous utiliserons et conserverons de façon sécurisée de l’information sur vos contacts, y compris des renseignements comme leur nom et surnom; photo; numéro de téléphone et autres coordonnées ou renseignements connexes que vous avez ajoutés comme votre lien avec le contact et la profession de celui-ci; ainsi que des données sur ces contacts qui sont stockées sur votre téléphone. Cette information aide Facebook à faire des recommandations, à vous et à d’autres personnes, et à offrir un meilleur service. Il vous est toujours possible de gérer ou de supprimer [hyperlien] les contacts que vous partagez avec Facebook. Vous pouvez désactiver le téléchargement des contacts dans les paramètres. Vous pouvez avoir des contacts professionnels et personnels dans votre téléphone. Veuillez envoyer une invitation d’amitié uniquement aux personnes que vous connaissez personnellement et qui se réjouiraient de l’invitation. [traduction et soulignement ajouté]

68. Sur la page Gérer vos invitations et vos contacts importés, il est indiqué :

    Les contacts figurant dans cette liste comprennent des renseignements que vous avez importés ou synchronisés vers Facebook. Pour supprimer un contact, sélectionnez-le et cliquez sur « Supprimer la sélection ». Vous pouvez également supprimer tous vos contacts importés [hyperlien]. Vous êtes la seule personne qui peut consulter vos contacts, mais cette information peut servir pour présenter des suggestions d’amis, à vous comme à d’autres personnes… [traduction et soulignement ajouté]

69. Le Commissariat note que cet avis a aussi été modifié de la façon suivante par rapport à ce qui est décrit ci-dessus :

    Voici les contacts que vous avez importés sur Facebook. Si vous avez choisi d’importer en continu vos contacts, vous avez peut-être importé des informations sur ces contacts en plus des adresses de courriel et les numéros de téléphone ci-dessous. Vous pouvez voir quelles données vous avez importées sur Facebook en consultant nos pages d’aide [hyperlien].

    Pour supprimer un ou plusieurs contacts, sélectionnez-les et cliquez sur « Supprimer la sélection ». Vous pouvez également supprimer tous vos contacts importés. Si vous supprimez tous les contacts sur cet écran, mais que l’importation continue est toujours activée, les contacts seront à nouveau importés automatiquement. Pour désactiver l’importation en continu, modifiez les paramètres dans l’application Facebook.

    Vous êtes la seule personne qui peut consulter vos contacts et les renseignements sur ces derniers, mais Facebook utilisera les renseignements que vous avez importés pour présenter des suggestions d’amis, à vous comme à d’autres personnes, et pour nous permettre d’offrir un meilleur service à tous. [traduction et soulignement ajouté]

70. La page Supprimer tous les contacts importés de Facebook, indique ce qui suit :

    Vous êtes la seule personne qui peut consulter vos contacts sur Facebook, mais cette information peut servir pour présenter des suggestions d’amis, à vous comme à d’autres personnes, conformément à la Politique de confidentialité de Facebook. Si vous choisissez de supprimer vos contacts importés, les suggestions d’amis qui sont présentées à vous et à vos amis pourraient être moins pertinentes. [traduction et soulignement ajouté]

71. Au départ, FB a mentionné les passages suivants de sa Politique sur l’utilisation des données, qui était en vigueur au début de l’enquête du Commissariat :

    Retrouver des amis
    Nous offrons plusieurs outils pour vous aider à télécharger les coordonnées de vos amis afin que vous et d’autres personnes soyez en mesure de retrouver des amis sur Facebook et d’inviter des amis qui n’utilisent pas Facebook à créer un compte, afin que nous puissions vous offrir à vous et à d’autres personnes une meilleure expérience sur Facebook grâce à des suggestions et à d’autres expériences personnalisées. Si vous ne voulez pas que nous conservions ces renseignements, veuillez consulter la page d’aide suivante : https://www.facebook.com/contact_importer/remove_uploads.php. [traduction et soulignement ajouté]
    …
    Informations sur vous que les autres partagent
    Nous recevons des renseignements à votre égard de vos amis et d’autres personnes, notamment lorsque ces personnes téléchargent les coordonnées de leurs contacts, publient une photo de vous, vous identifient dans une photo ou une publication ou un endroit, ou vous ajoutent à un groupe. Lorsque les personnes utilisent Facebook, elles peuvent conserver et partager de l’information sur vous et d’autres personnes qu’elles détiennent, notamment lorsqu’elles téléchargent une photo et gèrent leurs invitations et leurs contacts. [soulignement ajouté]

72. Le Commissariat note que les avis susmentionnés ne figurent plus dans la Politique d’utilisation des données de FB en vigueur. Selon FB cette suppression s’inscrit dans un objectif plus global visant à simplifier la Politique sur l’utilisation des données et la rendre plus facile à comprendre, et inclus notamment l’élimination d’avis propres à chaque produit qui s’affichent aux utilisateurs d’autres façons, comme dans les pages d’aide et dans les pages des produits.
73. Voici d’autres exemples d’avis figurant dans la Politique d’utilisation des données en vigueur :

    Les activités d’autres personnes et les informations qu’elles fournissent vous concernant – Nous recueillons également le contenu et les informations que d’autres personnes fournissent lorsqu’elles utilisent nos Services, y compris des informations vous concernant, par exemple lorsque d’autres personnes partagent une photo de vous, vous envoient un message, ou téléchargent, synchronisent ou importent vos coordonnées.

    Vos réseaux et connexions – Nous recueillons des informations sur les personnes et les groupes avec lesquels vous êtes en contact, ainsi que la manière dont vous interagissez avec eux, par exemple, les personnes avec lesquelles vous communiquez le plus ou les groupes dont vous faites partie. Nous recueillons également des coordonnées si vous choisissez de les télécharger, de les synchroniser ou de les importer à partir d’un appareil (par exemple, un carnet d’adresses).
    …
    Nous sommes passionnés par la création d’expériences stimulantes et personnalisées pour les gens. Nous utilisons toute l’information dont nous disposons pour nous aider à fournir et à soutenir nos Services. Voici comment :

    Proposer, personnaliser et améliorer nos Services – Nous sommes en mesure de fournir nos Services, d’en personnaliser le contenu et de vous faire des suggestions en utilisant cette information pour comprendre votre utilisation de nos Services et vos interactions avec ceux-ci, ainsi que les personnes ou les éléments avec lesquels vous êtes connecté(e) ou qui vous intéressent sur nos Services et en dehors.

74. D’autres exemples de façons dont Facebook fourni des renseignements sur comment établir des contacts figurant dans les pages d’aide :

    Comment puis-je retrouver mes amis sur Facebook? Une fois votre compte Facebook créé, il existe quelques façons de retrouver vos amis:

    Rechercher vos amis – Vous pouvez chercher vos amis en inscrivant leur nom ou leur adresse de courriel dans la barre de recherche. Lorsque vous retrouvez un ami, vous pouvez l’ajouter [hyperlien].

    Importer vos contacts – Vous pouvez importer votre liste de contacts [hyperlien] d’autres sources (p. ex. votre compte de courriel ou votre téléphone) et nous trouverons vos amis pour vous. Une fois que Facebook aura importé vos contacts, vous aurez le choix d’envoyer une demande d’amitié à vos amis qui ont déjà un compte Facebook ou d’inviter des personnes qui n’ont pas encore de compte Facebook à en créer un.
    Remarque : Vous pouvez gérer en tout temps votre liste de contacts [hyperlien] ainsi que les invitations et rappels que ceux-ci reçoivent.^{Note de bas de page 8}

    Comment puis-je gérer les contacts importés dans Facebook (p. ex. supprimer des contacts ou envoyer des rappels d’invitations)? Si vous importez vos contacts et les invitez à créer un compte Facebook, nous enregistrerons une liste des personnes à qui vous avez envoyé une invitation et leur enverrons des rappels afin qu’ils créent un compte. Passez en revue la liste de vos contacts [hyperlien] pour voir lesquels ont créé un compte, supprimer des contacts et envoyer des rappels supplémentaires. Vous pouvez également supprimer tous vos contacts et annuler des rappels d’invitations, en cliquant sur supprimer tous les contacts [hyperlien].^{Note de bas de page 9}

    Si j’importe mes contacts, les coordonnées importées seront-elles enregistrées? Lorsque vous importez des coordonnées, il est possible que nous conservions ces renseignements et que nous l’utilisions ultérieurement pour suggérer des amis, à vous et à d’autres personnes.^{Note de bas de page 10} [soulignement ajouté]

    Qu’est-ce que la section Vous connaissez peut-être? La section Vous connaissez peut-être contient des détenteurs de compte Facebook que vous êtes susceptible de connaître. Nous vous affichons des suggestions en fonction d’amis en commun, de renseignements sur vos réseaux professionnel ou éducatif, de réseaux dont vous faites partie, de contacts que vous avez importés [hyperlien] et de plusieurs autres facteurs. Il est possible qu’à l’occasion on vous suggère des personnes que vous ne connaissez pas ou avec lesquelles vous ne voulez pas établir de lien d’amitié. Pour retirer ces personnes de la liste Vous connaissez peut-être, cliquez sur le x à côté de leur nom. Facebook n’envoie pas de demande d’amitié en votre nom aux personnes figurant sur cette liste. Gardez à l’esprit que vous devriez envoyer une demande d’amitié uniquement aux personnes avec lesquelles vous avez un lien réel, comme vos amis, votre famille et vos collègues de travail ou de classe.^{Note de bas de page 11} [gras dans l’original]

    Comment Facebook établit-elle les suggestions de personnes que je pourrais connaître et qui me sont envoyées dans les invitations et les rappels par courriel alors que je n’ai pas de compte? Lorsque vos amis créent un compte Facebook, ils peuvent inviter leurs amis à faire de même. Leur message d’invitation peut contenir des suggestions d’autres personnes que vous pourriez connaître et qui vous ont peut-être déjà invité(e) par le passé. Cela peut vous aider à retrouver rapidement des amis sur Facebook et à partager du contenu avec eux si vous décidez de créer un compte.

    • Pour rejoindre Facebook, cliquez sur le lien dans le message d’invitation de votre ami(e) ou accédez à facebook.com [hyperlink] pour créer un compte.
    • Pour ne plus recevoir ce type d’invitations, cliquez sur le lien prévu à cet effet en bas du message. Nous enregistrerons votre adresse de courriel afin de ne plus vous envoyer d’invitations d’amis à l’avenir.^{Note de bas de page 12} [gras dans l’original]

75. FB a indiqué que « les avis en vigueur permettent d’établir un équilibre adéquat en faisant en sorte que les renseignements importants soient manifestement et immédiatement accessibles et que des renseignements supplémentaires soient également facilement accessibles. Le cadre à plusieurs niveaux fournit aux utilisateurs une description significative des objectifs fondamentaux de la fonction d’importation de coordonnées. Les avis sont très clairs et explicites et, en raison de ceux-ci et de l’interaction et de l’expérience des utilisateurs sur la plateforme, les membres de Facebook s’attendent à ce que les coordonnées importées soient utilisées de cette façon pour les aider à trouver des gens sur la plateforme [traduction] ».
76. Selon FB « en raison de l’avis publié sur Facebook à l’intention du public et de leur [sic] façon de trouver des gens et de les ajouter dans leur liste d’amis sur la plateforme, les membres de Facebook comprennent comment leurs renseignements personnels sont utilisés par l’outil d’importation de coordonnées et donnent leur consentement pour l’utilisation de leurs données par celui ci [traduction] ».
77. Pour ce qui est de savoir si les utilisateurs de Facebook peuvent se retirer du processus de jumelage à l’échelle des carnets d’adresses, FB a déclaré que l’objectif principal de l’outil d’importation de coordonnées est de permettre aux utilisateurs de Facebook de trouver des amis sur Facebook et d’inviter leurs amis à devenir membres de Facebook. Nous comprenons donc qu’il est impossible pour les utilisateurs de Facebook de se retirer du processus de jumelage. Cependant, les utilisateurs de Facebook ne sont pas obligés d’importer des coordonnées et peuvent supprimer celles qu’ils ont importées en tout temps.

Application

78. Pour analyser les faits et rendre ses décisions, le Commissariat a appliqué les principes ci dessous de la LPRPDE.
79. Le principe 4.3 de l’annexe 1 de la LPRPDE stipule que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Plus précisément, le principe 4.3.1 stipule qu’il faut obtenir le consentement de la personne concernée avant de recueillir des renseignements personnels à son sujet et d’utiliser ou de communiquer les renseignements recueillis, alors que le principe 4.3.2 stipule que les organisations doivent faire un effort raisonnable pour s’assurer que la personne est informée des fins auxquelles les renseignements seront utilisés et que, pour que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués.
80. Le paragraphe 6.1 de la LPRPDE, qui est en vigueur depuis juin 2015, stipule que, pour l’application de l’article 4.3 de l’annexe 1, le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti.
81. Le principe 4.8 de l’annexe 1 de la LPRPDE stipule qu’une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne.

Analyse et conclusions

82. Les divers avis fournis aux utilisateurs de Facebook dont il est question plus haut ne comprennent pas de description explicite du processus de jumelage de FB ni d’explication quant au fonctionnement du processus. En particulier, ces avis n’expliquent pas comment les différents éléments des coordonnées d’un utilisateur de Facebook, y compris ceux qui ont été importés par d’autres utilisateurs de Facebook, seront utilisés dans le cadre du jumelage à l’échelle des carnets d’adresses. La seule allusion au jumelage de coordonnées qui se trouve dans les avis est la mention que FB se sert des coordonnées téléchargées par un utilisateur pour aider les « autres » à trouver des amis sur Facebook, tel qu’il est susmentionné. La référence aux « autres » dans ces avis fournit peu d’information et n’explique pas comment les coordonnées importées par les utilisateurs de Facebook seront utilisées dans le cadre du jumelage à l’échelle des carnets d’adresses.

Recommandations et réponse

83. Le Commissariat a recommandé à FB de fournir aux utilisateurs de Facebook de l’information sur le processus de jumelage à l’échelle des carnets d’adresses de manière à ce qu’ils soient adéquatement informés de l’utilisation que fait FB de leurs renseignements personnels et qu’ils puissent raisonnablement comprendre à quoi ils consentent dans ce contexte, y compris comment le processus fonctionne, comment les coordonnées importées par les utilisateurs de Facebook seront utilisées dans ce processus ainsi que la nature et les conséquences de cette utilisation de leurs renseignements personnels.
84. Cette information devrait, à tout le moins, être communiquée aux utilisateurs de Facebook lorsqu’ils en deviennent membres, dans la Politique sur l’utilisation des données de Facebook et lors du flux d’importation des coordonnées des utilisateurs. Le Commissariat a encouragé FB à utiliser des moyens créatifs pour fournir cette information à un endroit bien en vue et visible aux utilisateurs de Facebook.
85. Le Commissariat a constaté que les utilisateurs de Facebook peuvent ajouter des adresses de courriel pour eux-mêmes dans leur profil. Nous avons donc indiqué à FB qu’elle aurait peut-être avantage à envisager d’autres façons d’utiliser cette fonction afin d’améliorer l’expérience des utilisateurs et de réduire le nombre d’invitations envoyées par courriel à des personnes qui utilisent déjà Facebook.
86. FB n’était pas d’accord avec les recommandations ci-dessus en affirmant que les utilisateurs de Facebook reçoivent des avis à plusieurs niveaux au sujet de la collecte et de l’utilisation de renseignements personnels dans le cadre de la fonction d’invitation et de suggestion d’amis liée à l’outil d’importation de coordonnées et que ces avis sont mis à la disposition des utilisateurs à un endroit bien en vue de la plateforme. De plus, FB a ajouté que les utilisateurs de Facebook se sont ouvert un compte sur la plateforme dans le but d’entrer en contact avec des amis et qu’ils comprennent que la raison d’être de la plateforme est d’aider les gens à entrer en contact les uns avec les autres. FB a également déclaré qu’elle est très ouverte et transparente quant à ses pratiques concernant les renseignements personnels à cet égard.
87. Pour que le consentement des utilisateurs soit valide, il faut que ceux-ci comprennent le but, la nature et les conséquences de la collecte, de l’utilisation et de la communication des renseignements personnels. Dans le cas présent, l’utilisation que fait FB des coordonnées vise à améliorer et à rendre plus efficace le principal service qu’elle offre, à savoir permettre aux gens d’entrer en contact dans son réseau social. Après avoir pris en considération les arguments de FB nous convenons que cette dernière n’a pas changé la raison pour laquelle elle se sert des coordonnées des utilisateurs de FB. Elle ne fait qu’utiliser les coordonnées d’une autre façon. Dans les circonstances, les utilisateurs de FB s’attendraient tout de même généralement à ce que les coordonnées servent à faire des suggestions d’amis.
88. Par conséquent, le Commissariat conclut que FB ne contrevient pas au principe relatif au consentement – principe 4.3 de la LPRPDE – lorsqu’elle utilise des renseignements personnels lors du jumelage à l’échelle des carnets d’adresses.
89. Cela dit, nous ne sommes pas convaincus que FB est suffisamment ouverte à propos de ses pratiques concernant sa manière de gérer les coordonnées. Bien que le Commissariat reconnaisse que FB fournit des avis à ses utilisateurs au sujet de l’outil d’importation de coordonnées, plus précisément que Facebook se servira des coordonnées téléchargés pour aider les utilisateurs (« vous et d’autres personnes ») à trouver des amis et à envoyer des invitations, FB n’indique pas qui sont ces « autres personnes ». FB affirme que cette formulation pourrait laisser croire que, non seulement le carnet d’adresses d’un utilisateur de Facebook servirait à aider d’autres personnes à entrer en contact avec d’autres personnes dans Facebook, mais que l’utilisateur de Facebook pourrait réussir à entrer plus facilement en contact avec d’autres personnes grâce aux coordonnées téléchargées par ceux-ci. Par contre, la formulation n’est pas claire et n’explique pas adéquatement le processus de jumelage à l’échelle des carnets d’adresses (à savoir que FB combine et jumelle, pour un utilisateur en particulier, les coordonnées qui ont été téléchargés par d’autres utilisateurs).
90. Selon le Commissariat, FB n’en fait pas assez pour décrire avec ouverture et transparence sa pratique concernant le jumelage des coordonnées à l’échelle des carnets d’adresses. Ce processus est grandement méconnu des utilisateurs de Facebook, qui ont peut-être pris connaissance de son existence en raison de l’atteinte. Par conséquent, le Commissariat conclut que FB n’est pas suffisamment ouverte et transparente à l’égard des utilisateurs de Facebook à propos de cette utilisation particulière de leurs renseignements personnels, comme l’exige le principe 4.8 de l’annexe 1 de la LPRPDE.
91. FB a indiqué que, même si elle affichait respectueusement son désaccord avec les conclusions tirées par le Commissariat relativement à cette question, elle acceptait de réviser l’avis concernant le processus d’importation et de jumelage de coordonnées. Les modifications apportées à cet avis doivent être appliquées au plus tard le 25 mai 2018 afin de coïncider avec les préparatifs généraux de FB en vue de l’entrée en vigueur du Règlement général sur la protection des données (RGPD), dans le cadre desquels FB passe en revue tous les avis qu’elle donne à ses utilisateurs.

Conclusion

92. Par conséquent, le Commissariat conclut qu’en vertu de la LPRPDE, la question relative au consentement est non fondée et que la question relative à la transparence est fondée et conditionnellement résolue. FB fera le point auprès du Commissariat dans les quinze (15) jours suivant le 25 mai 2018.

Consentement valable et ouverture – non-utilisateurs de Facebook

Question

93. Le Commissariat a également examiné si FB obtient le consentement valable des non utilisateurs de Facebook pour utiliser leurs renseignements personnels lors du processus de jumelage à l’échelle des carnets d’adresses.

Résumé de l’enquête

94. FB a déclaré que les coordonnées téléchargées des non-utilisateurs sont traitées de façon limitée pour le compte des personnes qui téléchargent leurs carnets d’adresses au moyen de l’outil d’importation de coordonnées de Facebook et que, par conséquent, un consentement n’est pas requis en vertu de la LPRPDE. Plus précisément, FB a indiqué qu’elle doit procéder à un traitement limité de toutes les coordonnées téléchargés par un utilisateur de Facebook afin de déterminer, avec une assurance suffisante, si chaque coordonnée est associée à un compte Facebook existent.
95. Pour ce qui est de savoir si les non-utilisateurs de Facebook peuvent se retirer du processus de jumelage à l’échelle des carnets d’adresses, FB a fait référence à l’avis fourni aux non-utilisateurs de Facebook qui reçoivent par courriel des invitations à s’ouvrir un compte dans Facebook. Cet avis indique ce qui suit :

    Ce message est envoyé à l’adresse de courriel [adresse de courriel du non-utilisateur]. Si vous ne souhaitez plus recevoir ces messages de la part de Facebook ou que votre adresse soit utilisée pour les suggestions d’amis, veuillez cliquer sur « Annuler l’abonnement » [hyperlien] [soulignement ajouté].

96. En ce qui a trait à l’avis fourni dans le produit aux non-utilisateurs de Facebook, FB a affirmé que lorsque ceux-ci cliquent sur le lien « Annuler l’abonnement » qui figure dans l’invitation envoyée par courriel, le texte suivant est affiché :

    Réception de courriels provenant d’utilisateurs de Facebook – De temps à autre, il se peut que des gens vous envoient des courriels par l’entremise de Facebook, par exemple lorsqu’ils vous invitent à un événement, vous identifient dans une photo ou vous ajoutent comme ami. Si vous poursuivez votre démarche d’annulation, vous ne recevrez plus ces courriels. De plus, Facebook n’utilisera plus votre adresse de courriel pour vous présenter des suggestions d’amis et vous proposer comme ami à d’autres personnes. Nous conserverons tout de même votre adresse de courriel en lieu sûr afin de pouvoir nous assurer que vous ne recevrez plus ces courriels. Voulez-vous cesser de recevoir ces avis à l’adresse [adresse de courriel]?

97. FB a également fait référence à l’avis fourni aux utilisateurs de Facebook lors du processus d’importation de coordonnées et d’envoi d’invitations, qui indique ce qui suit :

    Facebook enverra automatiquement une invitation et jusqu’à deux rappels à votre nom à chaque ami que vous invitez. Les rappels peuvent différer de l’invitation initiale et être annulés dans la page Invitations et contacts importés [hyperlien], où vous pouvez gérer vos contacts. Nous stockerons pour vous les adresses de courriel que vous fournissez comme contacts et nous pourrons les utiliser plus tard pour vous présenter des suggestions d’amis et en présenter à d’autres personnes. Vous pouvez supprimer tous vos contacts dans la page Supprimer tous vos contacts [hyperlien] [soulignement ajouté].

Application

98. Pour analyser les faits et rendre ses décisions, le Commissariat a appliqué les principes ci dessous de la LPRPDE.
99. Le principe 4.3 de l’annexe 1 de la LPRPDE stipule que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Plus précisément, le principe 4.3.1 stipule qu’il faut obtenir le consentement de la personne concernée avant de recueillir des renseignements personnels à son sujet et d’utiliser ou de communiquer les renseignements recueillis, alors que le principe 4.3.2 stipule que les organisations doivent faire un effort raisonnable pour s’assurer que la personne est informée des fins auxquelles les renseignements seront utilisés ; de plus, pour que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués.
100. Le paragraphe 6.1 de la LPRPDE, qui est en vigueur depuis juin 2015, stipule que, pour l’application de l’article 4.3 de l’annexe 1, le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti.
101. Le principe 4.8 de l’annexe 1 de la LPRPDE stipule qu’une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne.

Analyse et conclusions

102. Il est important de prendre note qu’en raison de l’atteinte, des coordonnées (p. ex., des adresses de courriel et des numéros de téléphone) n’ayant pas pu être associées à des utilisateurs de Facebook ont également été communiquées par inadvertance. Cela s’est produit parce qu’avant que l’atteinte n’ait lieu et au moment de celle-ci, FB jumelait les coordonnées des non utilisateurs de Facebook et stockait ces jumelages.
103. En ce qui concerne l’argument de FB selon lequel un avis est fourni aux non-utilisateurs de Facebook dans le courriel les invitant à s’ouvrir un compte dans Facebook, le Commissariat considère que cet avis est imprécis et non conforme au paragraphe 6.1 de la LPRPDE et aux principes 4.3 et 4.8 de l’annexe 1 de la LPRPDE. Cet avis n’informe pas adéquatement les non-utilisateurs au sujet du processus de FB consistant à jumeler les coordonnées à l’échelle des carnets d’adresses de manière à ce que les non utilisateurs puissent raisonnablement comprendre cette utilisation de leurs renseignements personnels.
104. En outre, l’argument de FB ne tient pas compte du fait qu’avant qu’un non-utilisateur ne reçoive un courriel l’invitant à s’ouvrir un compte dans Facebook, FB a déjà utilisé ses coordonnées lors du jumelage à l’échelle des carnets d’adresses et elles sont déjà stockées dans les bases de données de FB. Il est également important de prendre note que l’avis s’adressant aux non utilisateurs de Facebook n’est envoyé à ceux-ci que lorsqu’un utilisateur de Facebook décide de leur envoyer une invitation. Cela revient à dire qu’il se peut qu’un non utilisateur de Facebook ne reçoive jamais de courriel l’invitant à s’ouvrir un compte dans Facebook et qu’il ne reçoive donc jamais cet avis.
105. Le Commissariat conclut qu’au moment de l’atteinte, FB utilisait des données/renseignements personnels sans le consentement de non-utilisateurs de Facebook lors du jumelage à l’échelle des carnets d’adresses, en contravention du paragraphe 6.1 de la LPRPDE et des principes 4.3 et 4.8 de l’annexe 1 de la LPRPDE.

Recommandations et réponse

106. Le Commissariat a recommandé à FB de faire ce qui suit, à moins que FB soit en mesure d’obtenir un consentement valable des non-utilisateurs de Facebook avant de traiter leurs renseignements personnels pour les utiliser dans le but de faire le jumelage des coordonnées à l’échelle des carnets d’adresses :
     1. supprimer du répertoire des coordonnées transformées au moyen d’une fonction de hachage les renseignements personnels des personnes qui n’ont pas été identifiées avec suffisamment de certitude par FB comme étant des utilisateurs de Facebook;
     2. éviter d’utiliser, lors du jumelage à l’échelle des carnets d’adresses, les renseignements personnels des personnes qui n’ont pas été identifiées avec suffisamment de certitude par FB comme étant des utilisateurs de Facebook.
107. Les renseignements personnels des non-utilisateurs de Facebook devraient uniquement être conservés dans les carnets d’adresses des utilisateurs de Facebook qui les ont importés, et dans la liste d’exclusion s’ils ont choisi de ne plus recevoir des invitations par courriel de la part de Facebook à l’avenir.
108. En réponse à cette recommandation, FB a signalé que son répertoire des coordonnées transformées au moyen d’une fonction de hachage est en train d’être abandonné, puisqu’il n’est plus utilisé pour appuyer la fonctionnalité des produits, et le site s’emploie à effacer les données qui s’y trouvent. Comme il a été susmentionné, l’ensemble de données sur la correspondance d’utilisateurs qui le remplacera, qui fait partie du cadre de protection de la vie privée, ne contient pas d’associations pour les coordonnées qui n’ont pas été associées à un compte Facebook existant avec suffisamment de certitude.

Conclusion

109. Compte tenu du fait que FB dans le cadre de son processus révisé, ne tient plus à jour les coordonnées mises en correspondance des non-utilisateurs de Facebook, le Commissariat conclut qu’en vertu de la LPRPDE, cette question est fondée et résolue.

Capacité d’accéder aux renseignements personnels/données et de les corriger

Question

110. Le Commissariat a également cherché à déterminer si FB offre aux utilisateurs et aux non utilisateurs de Facebook la capacité d’accéder à leurs renseignements personnels/données et de les corriger, comme l’exige la LPRPDE.

Résumé de l’enquête

111. FB a indiqué que les personnes se trouvant sur Facebook ont plusieurs options pour accéder facilement à leurs renseignements personnels, ce qui est entièrement conforme au droit d’accès découlant du principe 4.9 de la LPRPDE. FB estime qu’aucun autre service n’offre autant d’accès à ces renseignements et qu’il a déployé des efforts extraordinaires pour rendre l’information rapidement et facilement disponible pour tous les utilisateurs de Facebook.
112. En réponse aux précisions quant à la façon dont les utilisateurs de Facebook peuvent en apprendre davantage sur leurs coordonnées mises en correspondance, FB a informé le Commissariat qu’il n’offre pas aux utilisateurs de Facebook un accès aux contacts importés des autres utilisateurs; selon FB il s’agit de données de tiers.
113. Plus particulièrement, FB a indiqué que chaque utilisateur de Facebook contrôle les coordonnées conservées dans son compte Facebook, ce qui est semblable à la façon dont les utilisateurs contrôlent les coordonnées enregistrées dans leurs carnets d’adresses sur leurs appareils mobiles ou dans leurs comptes de courriel; de plus, FB ne permet pas à d’autres personnes de modifier les contacts qu’un utilisateur de Facebook conserve dans son carnet d’adresses, et ne communique pas les coordonnées importées d’un utilisateur de Facebook à un autre utilisateur de Facebook, à moins que ces utilisateurs aient intentionnellement communiqué ces renseignements.
114. Plus particulièrement, FB a indiqué que la communication de tels renseignements peut donner de l’information sur une autre personne, et FB n’a aucun moyen de savoir quand cela pourrait se produire. Par conséquent, en vertu de l’exemption obligatoire du paragraphe 9(1) de la LPRPDE, il est interdit de répondre à une demande d’accès pour des données inférées, car cela pourrait communiquer des renseignements personnels au sujet d’une tierce partie.
115. FB a fait part de ses préoccupations à l’égard du fait que la communication des contacts importés d’un utilisateur de Facebook à un autre utilisateur de Facebook constituerait une communication des renseignements personnels qu’une personne raisonnable ne jugerait pas appropriée dans les circonstances et qu’il s’agirait donc d’une contravention au paragraphe 5(3) de la LPRPDE.
116. En outre, FB a indiqué que les coordonnées inférées soulèvent des préoccupations importantes en matière de sécurité en fonction de l’exploitation potentielle du mécanisme d’accès, ce qui serait incompatible avec les obligations de FB en vertu du principe 4.7 de la LPRPDE.

Application

117. En analysant les faits et en rendant ses décisions, le Commissariat a appliqué les dispositions suivantes de la LPRPDE.
118. Selon le principe 4.6 de l’annexe 1 de la LPRPDE, les renseignements personnels doivent être aussi exacts, complets et à jour que l’exigent les fins auxquelles ils sont destinés.
119. Selon le principe 4.9 de l’annexe 1 de la LPRPDE, une organisation doit informer toute personne qui en fait la demande de l’existence de renseignements personnels qui la concernent, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers, et lui permettre de les consulter. Plus précisément, selon le principe 4.9.1, une organisation doit permettre à la personne qui en fait la demande de consulter les renseignements personnels à son sujet, et selon le principe 4.9.5, lorsqu’une personne démontre que des renseignements personnels sont inexacts ou incomplets, l’organisation doit apporter les modifications nécessaires à ces renseignements.
120. Le paragraphe 9(1) de la LPRPDE précise que malgré le principe 4.9, une organisation ne peut communiquer de renseignement à l’intéressé dans le cas où cette communication révélerait vraisemblablement un renseignement personnel sur un tiers. Toutefois, si ce dernier renseignement peut être retranché du document en cause, l’organisation est tenue de le retrancher puis de communiquer à l’intéressé le renseignement le concernant.

Analyse et conclusions

121. Conformément aux principes 4.6, 4.9, 4.9.1 et 4.9.5 de l’annexe 1 de la LPRPDE, FB doit s’assurer que les renseignements personnels au sujet d’une personne sont exacts et complets, fournir à une personne l’accès à ses renseignements personnels, sur demande, et modifier ces renseignements personnels s’ils sont inexacts ou incomplets.
122. Étant donné que FB ne laisse pas simplement les coordonnées importées par les utilisateurs de Facebook intactes dans le carnet d’adresses d’un utilisateur de Facebook, mais qu’il utilise ces renseignements et les stocke dans un magasin de données, qui est conservé séparément du carnet d’adresses de l’utilisateur de Facebook, le Commissariat est d’avis que FB est tenu de fournir aux personnes un accès à ces renseignements mis en correspondance, comme l’exige la LPRPDE. Par exemple, si dans le cadre du processus de jumelage à l’échelle des carnets d’adresses FB associe cinq adresses de courriel distinctes à un utilisateur de Facebook, bien que ces adresses de courriel ne fassent pas partie du profil de l’utilisateur de Facebook, FB doit fournir à cet utilisateur, sur demande, un accès aux adresses déterminées par FB comme étant associées à cette personne. En outre, si ces renseignements sont inexacts ou incomplets, FB doit également permettre à l’utilisateur de modifier ses renseignements personnels. Le Commissariat n’exige pas que FB révèle l’identité de la personne qui a téléchargé les coordonnées sur Facebook, et n’exige pas que FB mette à jour les carnets d’adresses des utilisateurs de Facebook.
123. En ce qui concerne l’observation de FB selon laquelle la fourniture d’un accès aux renseignements personnels dans le cadre du processus de jumelage à l’échelle des carnets d’adresses entraînerait vraisemblablement la communication des renseignements personnels de tiers, le Commissariat est sceptique. Les renseignements qui seraient communiqués à un utilisateur de Facebook comprendraient uniquement ses propres coordonnées (p. ex. d’autres adresses de courriel qui selon FB sont associées à l’utilisateur de Facebook au moyen du processus de jumelage à l’échelle des carnets d’adresses). Dans les circonstances, le Commissariat ne voit pas comment il est probable que cette information limitée dévoile l’identité ou d’autres renseignements personnels d’un tiers inconnu.
124. De même, le Commissariat reconnaît l’importance des préoccupations en matière de sécurité et de s’assurer que le mécanisme d’accès n’est pas exploité pour révéler les coordonnées d’un utilisateur à un tiers. Toutefois, FB n’a pas convaincu le Commissariat que le fait de permettre à un utilisateur d’accéder aux coordonnées le concernant détenues par FB suscite des préoccupations en matière de sécurité, à la condition, bien entendu, qu’un mécanisme d’authentification efficace soit en place. Bien que le potentiel d’exploitation soit possible en théorie, ce potentiel ne répondrait pas à la norme suivante : « révélerait vraisemblablement un renseignement personnel sur un tiers », conformément au paragraphe 9(1) de la LPRPDE, dans la mesure où des mesures appropriées sont prises. À cet égard, il semble que l’accent devrait être mis sur la prévention de l’exploitation du mécanisme d’accès, et non sur le fait de priver les personnes de leur droit d’accéder aux renseignements qui les concernent. Le Commissariat estime donc que FB pourrait élaborer des mécanismes pour réduire au minimum les préoccupations concernant l’exploitation du mécanisme d’accès.
125. Le Commissariat conclut que FB n’offre pas aux utilisateurs et aux non-utilisateurs de Facebook la capacité d’accéder à leurs renseignements personnels/données et de les corriger, comme l’exigent les principes 4.6, 4.9, 4.9.1 et 4.9.5 de l’annexe 1 de la LPRPDE.

Recommandations et réponse

126. Par conséquent, le rapport d’enquête préliminaire du Commissariat recommande que FB élabore un système permettant à un utilisateur d’accéder, sur demande, à toutes les coordonnées associées à cet utilisateur dans le cadre du processus de jumelage à l’échelle des carnets d’adresses, et de corriger ces renseignements au besoin.
127. Le rapport d’enquête préliminaire du Commissariat ne présente pas de recommandations particulières à cet égard puisque cela concerne les non-utilisateurs de Facebook. Étant donné que l’ensemble de données de FB sur la correspondance d’utilisateurs exclut les objets de données sur les contacts qui ne sont pas associés à un compte Facebook connu, la recommandation du Commissariat ne s’applique pas aux renseignements personnels des non-utilisateurs de Facebook.
128. En réponse à la recommandation du Commissariat, FB a indiqué que les individus n’ont pas expressément accès aux carnets d’adresses d’autres personnes. FB croit que les recommandations formulées par le Commissariat ne sont pas exigées par la loi et que, d’une certaine façon, cela nuirait aux mesures de protection mises en place. De plus, FB a d’abord affirmé qu’il ne peut pas mettre en œuvre la recommandation du Commissariat, puisque le fait d’accorder un droit d’accès aux coordonnées inférées ne correspond pas aux attentes des utilisateurs, n’est pas nécessaire, approprié ou sécuritaire pour les utilisateurs de Facebook, et ne cadre pas avec ses obligations aux termes de la LPRPDE.
129. À la suite de discussions supplémentaires avec FB sans se prononcer sur la portée et l’étendue de ses obligations juridiques sur cette question, la compagnie a élaboré une solution provisoire selon laquelle il accepte de : (a) répondre aux demandes d’accès particulières en vue d’obtenir des données mises en correspondance, sous réserve des exemptions au droit d’accès (et en conformité avec celles-ci); et (b) répondre aux demandes particulières en vue de corriger les données en supprimant des correspondances spécifiques. FB a confirmé qu’il utilise un processus existant pour les demandes de données personnelles afin de faciliter l’examen et la correction (au moyen de la suppression) des données mises en correspondance, à l’aide d’un formulaire disponible par l’entremise de son centre d’aide, sur la page relative aux demandes de données personnelles^{Note de bas de page 13}.
130. De plus, FB a indiqué qu’il examine également une solution à long terme appropriée dans le cadre de l’examen complet de son approche en matière d’accès et de portabilité des données, qui est mené pour veiller à la conformité au RGPD. Le Commissariat prévoit qu’une telle solution provisoire sera maintenue jusqu’à ce qu’elle soit remplacée par une solution permanente à long terme, assurant ainsi qu’il n’y ait aucune interruption de la capacité des consommateurs d’accéder à leurs renseignements et de les corriger.
131. Le Commissariat a demandé plus de précisions sur la solution provisoire mise en œuvre par FB. Par exemple, la page « Accéder à vos informations Facebook »^{Note de bas de page 14}, dans la section « Où trouver mes informations sur Facebook? », ne mentionne pas le processus qui doit être utilisé par les utilisateurs de FB pour leur permettre d’accéder à leurs « coordonnées mises en correspondance ». De plus, la page « Accéder à vos informations Facebook »^{Note de bas de page 15}, dans la section « À quelles catégories de mes données Facebook puis-je avoir accès? », ne tient pas compte du fait que les « données mises en correspondance » sont mises à la disposition des utilisateurs de FB. D’autre part, les utilisateurs de FB n’ont pas facilement accès au formulaire existant pour les demandes de données personnelles à partir de la page « Demandes de données personnelles »^{Note de bas de page 16}.
132. En réponse, FB a mis à jour le tableau « À quelles catégories de mes données Facebook puis-je avoir accès? », qui se trouve sur la page « Accéder à vos informations Facebook » pour ajouter une référence à l’information sur les « comptes mis en correspondance », et a ajouté un lien dans cette rangée (dans la colonne « Où puis-je les trouver? ») afin de rendre transparent pour les utilisateurs le fait que les coordonnées mises en correspondance peuvent être rendues disponibles sur demande en remplissant le formulaire, et de rendre la page Demandes de données personnelles plus accessibles aux utilisateurs.

Conclusion

133. En conséquence, le Commissariat conclut qu’en vertu de la LPRPDE, cette partie de l’enquête est fondée et résolue.
134. Nous comprenons que, dans le cadre de l’examen approfondi de FB qui s’inscrit dans ses efforts en matière de conformité au RGPD, la compagnie tente également de trouver une solution à long terme appropriée. Par conséquent, en plus de faire un suivi auprès de FB relativement à la mise en œuvre de recommandations liées à la transparence, le Commissariat fera également un suivi auprès de la compagnie en ce qui concerne une solution à plus long terme pour permettre aux utilisateurs de Facebook d’accéder aux données mises en correspondance et d’y apporter des corrections. FB a souligné qu’il continue d’évaluer des options supplémentaires, y compris rendre disponible les coordonnées mises en correspondance par l’entremise de l’outil Télécharger vos informations dans le cadre d’une solution à plus long terme.

Mise à jour

En raison de l’engagement de FB à réviser l’avis concerant la fonction d’importation de contacts et le processus de jumelage, le Commissariat a fait un suivi et a confirmé que des révisions ont été apportées.