Le fait de rester connecté par défaut aux services de courriel pose de graves problèmes de protection des renseignements personnels pour les utilisateurs qui accèdent à leur courrier électronique sur un ordinateur public ou partagé

Conclusions en vertu de la LPRPDE n^o 2021-005

Le 15 mars 2021

---

Plainte déposée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « Loi »)

Description

La plaignante a allégué que le paramètre du site Yahoo! Canada permettant aux utilisateurs de Yahoo Courriel, et en particulier aux utilisateurs de Courriel Rogers Yahoo, de rester connecté par défaut posait de grands problèmes de protection des renseignements personnels pour les utilisateurs accédant à leur courrier électronique sur un ordinateur public ou partagé.

Points à retenir

• Les courriers électroniques peuvent contenir des renseignements personnels très sensibles (renseignements de santé ou financiers, contenu intime, opinions privées, orientation sexuelle, etc.) qui, s’ils sont révélés, peuvent porter gravement atteinte à la réputation, aux finances (par vol d’identité) ou même à la sécurité d’une personne.
• Étant donné que les courriels peuvent contenir des renseignements personnels très sensibles, les organisations doivent mettre en place des mesures de protection solides contre les accès non autorisés. De telles mesures de protection devraient généralement inclure d’obtenir le consentement explicite des utilisateurs pour s’inscrire au paramètre.
• Une organisation qui met en place une fonction « rester connecté » doit, entre autres, fournir aux utilisateurs un langage clair et bien visible concernant les conséquences potentielles sur la vie privée de l’activation de cette fonction, entre autre la possibilité qu’un utilisateur du même appareil obtienne involontairement accès aux courriels d’un autre utilisateur.

Rapport de conclusions

Aperçu

La plaignante a allégué que le paramètre du site Yahoo! Canada (« Yahoo ») permettant aux utilisateurs de Yahoo Courriel (les « utilisateurs »), et en particulier aux utilisateurs de Courriel Rogers Yahoo, de rester connecté par défaut posait de grands problèmes de protection des renseignements personnels pour les utilisateurs accédant à leur courrier électronique sur un ordinateur public ou partagé.

Au début de l’enquête, nous avons noté que les clients de Courriel Rogers Yahoo acceptaient les modalités de service de Yahoo, et que Yahoo était responsable du mécanisme par lequel les utilisateurs de Courriel Rogers Yahoo se connectaient à leurs comptes de courriel.

En conséquence, nous avons axé notre enquête sur la question de savoir si Yahoo, par son paramètre « Rester connecté » : (i) protégeait adéquatement le contenu des courriels des utilisateurs, y compris les utilisateurs de Courriel Rogers Yahoo, contre l’accès non autorisé de tiers sur un ordinateur public ou partagé; et (ii) obtenait un consentement valide pour la communication de renseignements personnels à des tiers qui accèdent par la suite à ces courriels.

Étant donné que les courriels peuvent contenir des renseignements personnels très sensibles, nous nous attendrions à ce que des mesures de protection solides contre les accès non autorisés soient prises. Nous n’avons pas accepté l’affirmation de Yahoo selon laquelle toute personne raisonnable comprendrait que le paramètre « Rester connecté » est activé par défaut, ou que les mesures de protection supplémentaires qu’elle a présentées au Commissariat étaient suffisantes pour atténuer le risque pour un utilisateur qui reste connecté par inadvertance sur un ordinateur partagé ou public. À notre avis, les mesures de protection de Yahoo n’étaient donc pas adaptées à la sensibilité des renseignements.

En ce qui concerne le consentement, nous avons noté de nouveau que : (i) les renseignements contenus dans les courriels peuvent être très sensibles; (ii) les personnes ne s’attendent pas raisonnablement à ce que leur compte soit configuré par défaut pour « rester connecté »; et (iii) l’accès non autorisé aux renseignements sensibles contenus dans les courriels d’un utilisateur par un tiers, en particulier un membre de la famille ou un ami avec qui il partage un appareil (comme un ordinateur personnel), pourrait porter gravement atteinte à sa réputation, voire pire. Selon nous, Yahoo était donc tenue d’obtenir un consentement positif explicite pour son paramètre « Rester connecté ». Nous avons également noté que Yahoo n’a pas clairement indiqué à l’utilisateur que toute personne qui visiterait ultérieurement le site Web de Yahoo sur cet appareil serait en mesure d’accéder à tous les renseignements potentiellement sensibles contenus dans les courriers électroniques de l’utilisateur, ce qui pourrait à son tour lui causer des préjudices potentiellement graves, de sorte que le consentement n’était pas valable.

À la suite de notre recommandation, Yahoo s’est engagée à modifier le paramètre « Rester connecté », en le faisant passer de l’option de refus à l’option d’acceptation, et à afficher de l’information claire et bien visible pour mieux informer les utilisateurs des conséquences sur la vie privée de l’acceptation de ce paramètre. Par conséquent, nous estimons que la plainte est fondée et conditionnellement résolue.

Au cours de l’enquête, nous avons appris que Rogers avait pris en charge l’authentification des utilisateurs de Courriel Rogers Yahoo. Nous sommes donc intervenus auprès de Rogers qui, bien que n’étant pas un intimé dans cette enquête, a accepté de prendre des engagements supplémentaires, détaillés dans ce rapport, afin de garantir une protection adéquate de la vie privée des utilisateurs de Courriel Rogers Yahoo.

Plainte

1. La plaignante a allégué que Yahoo! Canada (« Yahoo ») a contrevenu à la Loi sur la protection des renseignements personnels et les documents électroniques (la « Loi ») en omettant de mettre en place des mesures de sécurité adaptées à la sensibilité des renseignements relatifs aux comptes des utilisateurs de Courriel Rogers Yahoo (les « utilisateurs »). Plus précisément, la plaignante a allégué que lorsqu’elle accédait à un compte Courriel Rogers Yahoo (le « compte »), le paramètre de connexion était par défaut réglé sur « Rester connecté » (le « paramètre »). La plaignante a affirmé que cette fonctionnalité posait de gros problèmes de protection des renseignements personnels pour les utilisateurs, en particulier lorsqu’ils utilisaient des ordinateurs partagés (ou à accès public).
2. Au cours de notre enquête, nous avons estimé qu’il convenait d’examiner également si Yahoo obtenait un consentement valable pour sa communication de renseignements personnels à des tiers qui accèdent au compte de courriel d’un utilisateur à partir d’un appareil partagé, lorsque l’utilisateur n’a pas choisi de désactiver le paramètre « Rester connecté ».

Contexte

3. Les modalités de service de Rogers (« MSR ») indiquent que Rogers s’associe à Yahoo pour fournir aux clients Internet de Rogers l’accès à une collection de ressources, y compris divers outils de communication et contenus (les « Services Yahoo! »). Les MSR stipulaient que les obligations de Rogers et de Yahoo sont multiples et non conjointes, en ce qui concerne les services Internet de Rogers et les Services Yahoo!; et que lorsqu’un client utilise les Services de Yahoo!, les modalités de service, les lignes directrices et les règles de Yahoo! (« Modalités de Yahoo! ») s’appliquent^{Note de bas de page 1}.
4. Au cours de l’enquête, Yahoo a indiqué qu’elle appliquait la fonction « Rester connecté » à tous les points d’entrée de connexion de ses utilisateurs, y compris ceux de Courriel Rogers Yahoo. Nous avons donc évalué le paramètre à la fois par le point d’entrée de connexion de Rogers et indépendamment de celui-ci.
5. La justification que Yahoo a fournie au Commissariat pour le paramètre par défaut « Rester connecté » est qu’il s’agit d’un moyen d’améliorer l’expérience de l’utilisateur et de créer une expérience en ligne pratique.
6. Les faits énoncés ci-dessous sont basés sur : (i) les preuves reçues par le Commissariat de la part de la plaignante; (ii) les preuves reçues par le Commissariat de la part de Yahoo; et (iii) les essais indépendants du Commissariat, dans le cadre desquels nous avons effectué des essais à l’aide de la page de connexion de la messagerie Web et d’un compte d’essai Courriel Rogers Yahoo.
7. Au terme de notre enquête, ayant constaté que Yahoo a enfreint les principes 4.3 (Consentement) et 4.7 (Mesures de sécurité) de la Loi, nous avons remis à l’intimé un rapport d’enquête préliminaire assorti de certaines recommandations. Yahoo nous a informés qu’au cours de notre enquête, Rogers avait pris en charge l’authentification des utilisateurs de Courriel Rogers Yahoo. Nous sommes intervenus auprès de Rogers pour traiter certaines de nos recommandations relevant de la sphère de contrôle de Rogers. Ce rapport détaille les conclusions de notre enquête, ainsi que les engagements pris par Yahoo et Rogers pour répondre à nos recommandations.

Analyse

Question 1 : Mesures de sécurité contre la communication non autorisée

8. Le principe 4.7 énonce que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Le principe 4.7.1 ajoute que les mesures de sécurité doivent protéger les renseignements personnels contre le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées.
9. Les courriers électroniques peuvent contenir des renseignements personnels très sensibles (renseignements de santé ou financiers, contenu intime, opinions privées, orientation sexuelle, etc.) qui, s’ils sont révélés, peuvent porter gravement atteinte à la réputation, aux finances (par vol d’identité) ou même à la sécurité d’une personne.
10. Nous nous attendrions à ce que Yahoo mette en place des mesures de sécurité solides pour protéger les utilisateurs contre tout accès non autorisé à ces renseignements.

Rester connecté

11. Yahoo a affirmé que son portail de connexion au courriel comprend ce qu’elle considère comme un mécanisme de désactivation clair et bien visible (c.-à-d. le paramètre en cause dans la présente plainte), qui permet aux utilisateurs de choisir de décocher la case « Rester connecté » précochée.
12. Yahoo a également fait valoir que le paramètre est conforme aux normes de l’industrie et que, parmi les millions d’utilisateurs d’Internet dans le monde, chaque personne raisonnable comprend cette fonctionnalité et a, à tout moment, la possibilité de contrôler le paramètre.
13. Tout d’abord, nous n’acceptons pas que le paramètre soit affiché de manière claire ou bien visible lors de la connexion de l’utilisateur. Nous avons noté que le processus de connexion au courriel Yahoo comporte deux étapes (comme indiqué ci-dessous). Sur la première page de connexion, l’utilisateur doit simplement saisir son adresse électronique. Sur la deuxième page, l’utilisateur saisit ensuite son mot de passe pour se connecter.

14. Comme indiqué ci-dessus, ce n’est que sur la première page que le paramètre précoché « Rester connecté » s’affiche, et non lorsque l’utilisateur saisit son mot de passe pour se connecter. Le paramètre est également affiché en petits caractères gris clair et bleus, sous le grand bouton « Suivant » bleu vif, beaucoup plus visible, qui se trouve lui-même sous l’espace où l’utilisateur doit saisir des renseignements.
15. En outre, nous ne pouvons pas accepter l’affirmation de l’intimé selon laquelle toute personne raisonnable comprendrait que ce paramètre est « activé » par défaut. À notre avis, Yahoo doit s’assurer que les utilisateurs sont conscients, et ont autorisé, que lorsqu’ils quittent le site Web de Yahoo et ferment leur navigateur, la prochaine personne qui accédera au site Web de Yahoo sur le même appareil aura un accès sans entrave à tous les renseignements potentiellement sensibles dans ses courriels. Si certains utilisateurs peuvent être conscients de ce paramètre par défaut, il y en aura inévitablement beaucoup d’autres, comme la plaignante, qui ne le remarqueront pas, de sorte que l’accès à leurs courriels par la prochaine personne qui visitera le site Web de Yahoo sur l’appareil sera non autorisé.
16. Enfin, nous n’acceptons pas l’affirmation de Yahoo selon laquelle son paramètre par défaut « Rester connecté » est une norme au sein de l’industrie. Nous avons effectué des recherches et des essais afin de déterminer si d’autres grands fournisseurs de messagerie appliquaient des paramètres similaires pour que les utilisateurs restent connectés à leurs comptes de courriel. Parmi les deux principaux fournisseurs de services de courriel que nous avons mis à l’essai, l’un proposait une option « rester connecté », tandis que l’autre exigeait des utilisateurs qu’ils se déconnectent activement avant de fermer leur navigateur, sans option d’acceptation ou de refus. Cela semble indiquer qu’une telle norme n’existe pas. En tout état de cause, même si une pratique peut être considérée comme une norme de l’industrie, cela ne la rend pas conforme à la Loi.

Mesures de protection supplémentaires

17. Yahoo a expliqué qu’elle utilise les mesures supplémentaires suivantes pour éviter que les renseignements des utilisateurs ne soient communiqués à un tiers du fait qu’un utilisateur reste connecté involontairement :
    1. Un algorithme qui tente de reconnaître les ordinateurs à accès public et de désélectionner le paramètre « Rester connecté » pour ces ordinateurs;
    2. La possibilité de se déconnecter de presque toutes les pages Web de Yahoo grâce à un en-tête universel, qui affiche l’état de connexion des utilisateurs et offre la possibilité de se déconnecter à tout moment, écrasant ainsi le paramètre;
    3. Une période d’expiration de 14 jours à compter de la dernière connexion, après laquelle les utilisateurs seront invités à revérifier leur mot de passe;
    4. La possibilité pour les utilisateurs d’invalider toute session Yahoo Courriel sur un appareil en accédant à leur compte sur un second appareil et en y modifiant leur mot de passe;
    5. L’information destinée aux utilisateurs sur la manière de sécuriser leur expérience en ligne, y compris avec Yahoo, disponible à l’adresse https://safety.yahoo.com/FR/ et plus particulièrement dans une section de cette page concernant l’Utilisation d’ordinateurs partagés.
18. En ce qui concerne l’algorithme mentionné au paragraphe 17(a), nous avons effectué des essais sur plusieurs ordinateurs à accès public pour évaluer l’efficacité de l’algorithme – pas une seule fois le paramètre n’a été laissé désélectionné. Yahoo a reconnu que l’algorithme ne fonctionnait pas toujours comme prévu. Il n’y a pas non plus de raison de s’attendre à ce qu’un tel algorithme entraîne la désélection du paramètre sur un ordinateur partagé qui n’est pas « d’accès public » (c.-à-d. l’appareil d’un ami ou celui partagé avec des membres de la famille, contexte dans lequel le contenu des courriels peut être encore plus sensible).
19. En ce qui concerne l’option de déconnexion mentionnée au paragraphe 17(b), nous avons observé que l’en-tête universel Yahoo n’affiche que le nom de l’utilisateur. L’option de déconnexion n’est pas visible pour l’utilisateur, à moins qu’il ne clique sur son nom pour que d’autres options s’affichent.
20. Nous n’avons pas mis à l’essai la période d’expiration des sessions de 14 jours mentionnée au paragraphe 17(c). Cela dit, si cette mesure de sécurité devait fonctionner comme prévu, on ne voit pas très bien en quoi elle empêche ou atténue la menace pour la vie privée sur un ordinateur partagé ou d’accès public, étant donné que la menace d’un accès non autorisé se présente dès que l’utilisateur laisse l’appareil involontairement connecté à son compte de courriel.
21. Bien que la plaignante ait affirmé que l’option de réinitialisation du mot de passe expliquée au paragraphe 17(d) n’a pas fonctionné pour elle, au moment des essais réalisés par le Commissariat, cette option fonctionnait comme décrit par Yahoo. Cela dit, nous estimons qu’elle est assez compliquée et qu’elle ne serait accessible à un utilisateur qu’après qu’il se soit rendu compte qu’il est resté connecté involontairement, auquel cas ses renseignements pourraient déjà avoir été exposés à un accès non autorisé.
22. Enfin, en ce qui concerne l’information relative à la sécurité fournie par Yahoo, comme indiqué au paragraphe 17(e), nous notons que, bien que disponible sur le site Web indiqué, il n’y avait pas de lien clair ou de référence à cette information pendant le processus de connexion.
23. En outre, nous notons que la page sur l’Utilisation d’ordinateurs partagés comprend le conseil suivant :

    Ne cochez pas la case « Garder ma session ouverte »

    De nombreux sites, dont Yahoo, proposent cette option. Lorsqu’un ordinateur se « souvient » de vous, il enregistre généralement un cookie persistant sur l’ordinateur, ce qui permet au site Web de vous identifier sans informations de votre part. Si vous cochez cette option, vous resterez connecté après avoir fermé votre navigateur. Cette option est pratique si vous êtes la seule personne à utiliser l’ordinateur, mais si vous partagez l’ordinateur, ne la cochez pas.

24. Ce conseil ne suggère pas de « désélectionner » le paramètre « Rester connecté ». Il ne donne pas non plus d’indication que le paramètre est déjà présélectionné. Au contraire, selon nous, ce conseil laisse plutôt à l’utilisateur l’impression qu’il n’a pas été présélectionné et qu’une action positive de « sélection » est nécessaire pour rester « connecté ».
25. Enfin, nous notons que Yahoo Courriel offrait des fonctions qui n’étaient pas disponibles aux utilisateurs de Courriel Rogers Yahoo, notamment : (i) une page d’historique de connexion; et (ii) la possibilité de se déconnecter à distance à partir d’un autre appareil, si l’utilisateur apprend qu’il reste connecté sur un autre appareil.
26. À la lumière de ce qui précède, nous sommes d’avis que les pratiques de sécurité de Yahoo n’étaient pas appropriées à la sensibilité des renseignements en jeu et que, par conséquent, elles ne répondent pas aux exigences du principe 4.7 de la LPRPDE.

Question 2 : Consentement à la communication de renseignements personnels

27. Le principe 4.3 exige que toute personne soit informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consente.
28. Lorsque Yahoo permet à un tiers d’accéder aux courriels d’un utilisateur sur un appareil partagé ou public, cela représente une communication des renseignements personnels de l’utilisateur. Comme indiqué ci-dessous, nous avons déterminé que Yahoo n’a pas obtenu de consentement valable pour cette communication.

Forme de consentement

29. Le principe 4.3.6 prévoit notamment que, en général, une organisation devrait chercher à obtenir un consentement explicite si les renseignements sont susceptibles d’être considérés comme sensibles. D’autre part, le principe 4.3.5 stipule que, dans l’obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes.
30. Les Lignes directrices pour l’obtention d’un consentement valable du CPVP^{Note de bas de page 2} (les « Lignes directrices ») prévoient en outre que les organisations doivent généralement obtenir un consentement explicite lorsque : (i) les renseignements en question sont sensibles; (ii) la collecte, l’utilisation ou la communication ne correspond pas aux attentes raisonnables de la personne; ou (iii) cela crée un risque résiduel important de préjudice grave.
31. Comme nous l’avons mentionné ci-dessus (aux paragraphes 9 et 15), à notre avis : (i) les renseignements contenus dans les courriers électroniques peuvent être très sensibles; (ii) les personnes ne s’attendraient pas raisonnablement à ce que leur compte soit configuré par défaut pour « rester connecté », de sorte que les personnes qui utiliseraient ensuite l’appareil partagé pourraient accéder à tous les renseignements contenus dans leurs courriers électroniques; et (iii) l’accès non autorisé aux renseignements sensibles contenus dans les courriers électroniques d’un utilisateur par un tiers, en particulier un membre de la famille ou un ami avec qui il partage un appareil (comme un ordinateur personnel), pourrait porter gravement atteinte à sa réputation, voire pire.
32. À ce titre, Yahoo devrait, selon nous, obtenir un consentement explicite avant de garder les utilisateurs connectés.

Validité

33. Le principe 4.3.2 précise que les organisations doivent faire un effort raisonnable pour s’assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon à ce que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués. L’article 6.1 de la LPRPDE précise que le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti.
34. Les Lignes directrices prévoient que pour obtenir un consentement valable, les organisations doivent permettre aux individus d’examiner rapidement les éléments clés qui auront une incidence sur leur décision en matière de protection des renseignements personnels au départ lorsqu’ils envisagent d’utiliser le produit ou le service offert, de faire un achat, de télécharger une application, etc. À cette fin, les organisations doivent de façon générale mettre davantage l’accent sur certains éléments clés : (i) renseignements personnels qui seront recueillis; (ii) tiers auxquels les renseignements personnels seront communiqués; (iii) fins auxquelles les renseignements personnels seront recueillis, utilisés ou communiqués; et (iv) risque de préjudice et autres conséquences.
35. À notre avis, la formulation « rester connecté » ne fournit pas aux utilisateurs l’information essentielle dont ils ont besoin pour prendre une décision judicieuse quant à l’acceptation ou non du paramètre. Plus précisément, il n’indique pas clairement à l’utilisateur que toute personne qui visite ensuite le site Web de Yahoo sur cet appareil pourra accéder à tous les renseignements potentiellement sensibles contenus dans les courriers électroniques de l’utilisateur, ce qui pourrait à son tour le mettre dans l’embarras, porter atteinte à sa réputation, risquer un vol d’identité ou avoir d’autres conséquences négatives.
36. Pour les raisons exposées ci-dessus, nous estimons que Yahoo n’obtient pas un consentement valable des utilisateurs de Yahoo Courriel pour sa communication de renseignements personnels aux tiers qui accèdent aux courriels d’un utilisateur qui est resté connecté à son compte Yahoo Courriel.

Recommandations

37. Dans notre rapport préliminaire, nous avons recommandé à Yahoo d’accepter les mesures suivantes pour atténuer de manière adéquate le risque que des tiers accèdent aux renseignements personnels d’utilisateurs sans leur autorisation ou leur consentement :
    1. mettre en place un mécanisme d’acceptation pour rester connecté;
    2. fournir de l’information claire et bien visible pour informer l’utilisateur des conséquences potentielles sur la vie privée de rester connecté;
    3. s’assurer que les fonctions d’historique d’utilisation et de déconnexion à distance sont activées pour Courriel Rogers Yahoo, comme pour les utilisateurs de Yahoo.
38. En définitive, nous reconnaissons que le fait de rester connecté peut être pratique et améliorer l’expérience de l’utilisateur, dans certaines circonstances. Toutefois, cela ne dispense pas Yahoo de son obligation de garantir des mesures de sécurité et un consentement adéquats. Nous notons que Yahoo n’est pas tenue d’obtenir le consentement pour maintenir un utilisateur connecté chaque fois qu’il se connecte à son compte de courriel, pour autant que Yahoo explique clairement et de manière bien visible, au moment de la décision, que l’utilisateur restera connecté à son compte pour les visites futures, sous réserve d’une option de refus facilement accessible.

Réponse aux recommandations

39. Yahoo s’est engagée, dans un délai d’un mois à compter de la publication du présent rapport, à (i) changer son paramètre « rester connecté » de consentement négatif à consentement positif; et (ii) ajouter une « fenêtre contextuelle » qui s’affichera lorsqu’un utilisateur déplacera son curseur sur le paramètre « rester connecté », indiquant « N’utilisez pas cette option sur un ordinateur partagé, car votre compte sera accessible par d’autres ». Yahoo déplacera également le paramètre de la première page (nom d’utilisateur) du processus de connexion à la deuxième page (mot de passe).
40. En ce qui concerne notre troisième recommandation, Yahoo a indiqué au cours de notre enquête que Rogers avait pris en charge l’authentification des utilisateurs du service Courriel Rogers Yahoo, de sorte que Yahoo n’a pas la capacité de contrôler l’authentification ou d’afficher de l’information sur les événements d’authentification. Yahoo a invité le Commissariat à faire un suivi directement auprès de Rogers pour la mise en œuvre de cette recommandation.
41. Le Commissariat a communiqué notre rapport préliminaire et nos recommandations à Rogers. Bien que Rogers n’ait pas fait l’objet de cette enquête, nous sommes heureux qu’elle ait accepté de mettre en œuvre des mesures pour répondre aux préoccupations que nous détaillons dans ce rapport, pour les utilisateurs de Courriel Rogers Yahoo. Plus précisément :
    1. Rogers a indiqué que le processus actuel de connexion à Courriel Rogers Yahoo n’offre pas d’option « rester connecté », mais s’est engagé à ce que, s’il devait ajouter un tel paramètre à l’avenir, il le ferait sur la base d’un consentement positif.
    2. Rogers s’est en outre engagée à modifier, d’ici avril 2022, son Centre des comptes et services de Rogers afin que les utilisateurs puissent voir un journal de l’historique des sessions de courriel gérées par Rogers. Cette page comprendra également des instructions expliquant comment modifier le mot de passe de l’utilisateur afin de forcer la déconnexion de chaque session, si l’utilisateur se rend compte qu’il reste connecté sur un appareil public ou partagé.

Conclusion

42. Le Commissariat est convaincu que les changements proposés par Yahoo permettront à l’organisation de se conformer à la LPRPDE. Notre Commissariat considère donc que la plainte est fondée et conditionnellement résolue.
43. Le Commissariat continuera à veiller à ce que Yahoo instaure les mécanismes nécessaires pour se conformer pleinement à la Loi. À ce titre, le Commissariat effectuera un suivi pour confirmer la mise en œuvre de nos recommandations par l’organisation.