|

  • Accueil
  • Connaissances
  • Publications
  • Quand votre café matinal menace votre vie privée : les commissaires à la protection à la vie privée se ‎penchent sur la collecte de données de localisation
21 juin 2022

Quand votre café matinal menace votre vie privée : les commissaires à la protection à la vie privée se ‎penchent sur la collecte de données de localisation

Il y a eu un regain d'activité au Canada parmi les organismes en charge de la protection de la vie privée, tant au niveaux fédéral que provincial. L’adoption par la province de Québec de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (mieux connue par son numéro de projet de loi, 64) le 22 septembre 2021 a attiré l’attention des entreprises et des professionnels en raison des normes et exigences beaucoup plus sévères qu’elle promet d’apporter au cadre juridique de la protection des renseignements personnels applicable au Québec. Au Canada,  une refonte complète de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) avait également été proposée (pour être ensuite reportée en raison d’une élection fédérale).   L'Ontario a envisagé d'adopter ses propres lois provinciales sur la protection de la vie privée, ce qui aurait pour effet d’écarter l'application de la LPRPDE dans la province la plus peuplée du Canada. La Colombie-Britannique a récemment modifié ses lois sur la protection de la vie privée dans le secteur public et envisage de mettre à jour ses lois dans le secteur privé.

La publication récente d’un rapport d’enquête émis conjointement par le Commissariat à la protection de la vie privée du Canada et ses homologues provinciaux du Québec, de l’Alberta et de la Colombie-Britannique vient toutefois rappeler que les entreprises qui font affaire au Canada sont déjà soumises à des obligations strictes en matière de protection des renseignements personnels qu’elles négligent à leurs risques et périls.

L’enquête portait sur certaines pratiques en matière de gestion et protection des renseignements personnels de la chaîne de cafés et restaurants bien connue - Tim Hortons. Plus spécifiquement, l’enquête s’intéressait à certaines pratiques de collecte et de communication de renseignements personnels en lien avec l’utilisation d’une application mobile offerte par Tim Hortons. La plainte à l’origine de l’enquête alléguait que l’application recueillait, sans droit, une quantité importante de renseignements personnels. L’application aurait notamment recueilli des données de localisation à une très grande fréquence et même alors que l’application n’était pas en fonction. Ces données étaient traitées par un fournisseur tiers basé aux États-Unis.

Les commissaires ont analysé et traité les questions suivantes :  : i) le caractère raisonnable et justifié de la collecte des renseignements personnels dans les circonstances, ii) la validité et la suffisance du consentement demandé, iii) les mesures de protection des renseignements personnels incluses dans les contrats avec les fournisseurs tiers et iv) les pratiques et politiques de l’entreprise en matière de protection de la vie privée.

  • Caractère raisonnable de la collecte : Sur ce point, les commissaires sont catégoriques : la vaste collecte par l’application de renseignements personnels, incluant les données de localisation, n’était pas nécessaire compte tenu des fins annoncées, soit l’amélioration des services et pour effectuer de la publicité ciblée. Les données recueillies (seules ou combinées à d’autres données) pouvaient être utilisées pour déduire une foule d’informations sur la personne, y compris des renseignements hautement sensibles comme l’adresse du domicile, le lieu de travail, et les habitudes de déplacement. Les commissaires concluent que la vaste collecte de renseignements personnels n’était aucunement justifiée pour les fins annoncées de Tim Hortons, et était donc illégale. Les commissaires ont souligné qu’une collecte de données de cette nature est disproportionnée et illégale, et que cela constitue un vice fondamental auquel il n’est pas possible de remédier, même en obtenant le consentement de la personne concernée. Consentement : Les commissaires reprochent à Tim Hortons d’avoir insuffisamment informé les utilisateurs de la manière dont les données seraient recueillies. Plus spécifiquement, Tim Hortons aurait dû indiquer que la collecte se ferait en arrière-plan, même lorsque l’application n’était pas en cours d’utilisation. Le consentement était également déficient en raison de l’absence d’information quant aux conséquences de celui-ci. (En dehors de cette enquête, la plupart des fournisseurs d'applications et des écosystèmes d’appareils mobiles imposent désormais des autorisations spécifiques, avec option d'acceptation affirmative (opt-in), pour la collecte de renseignements de localisation en arrière-plan, en dehors de l'utilisation de l'application - comme beaucoup d'entre nous l'ont constaté lorsqu'ils ont dû accorder des autorisations à des applications pour qu'elles fonctionnent correctement à la suite de nouvelles mises à jour du système d'exploitation).
  • Clauses contractuelles : Bien que cela n’ait pas été soulevé dans la plainte, les commissaires se sont également intéressés aux clauses contractuelles liant Tim Hortons et le fournisseur auquel elle avait confié la tâche de traiter ces données. Les commissaires considèrent que le libellé des clauses portant sur l’utilisation des données était trop ouvert et pouvait facilement être interprété pour permettre l’utilisation des données par le fournisseur pour ses propres fins commerciales, et non simplement pour les fins dictées par Tim Hortons et sous sa direction. Bien que le fournisseur ne s’était pas livré à de telles utilisations, les commissaires ont néanmoins considéré que la simple possibilité que ces utilisations puissent avoir lieu était source d’inquiétude en soi. Le rapport note qu’il est, en théorie, possible de permettre à un tiers d’utiliser les données recueillies pour ses propres fins, mais qu’un consentement très clair et détaillé portant sur ces utilisations devait être obtenu, ce qui n’était pas le cas en l’espèce.
  • Gestion et des politiques internes : Les commissaires ont notamment reproché à Tim Hortons un manque de responsabilisation à l’interne en matière de renseignements personnels, et surtout de ne pas avoir procédé à une évaluation des facteurs relatifs à la vie privée avant de mettre son application en service. Les évaluations des facteurs relatifs à la vie privée n'étaient pas obligatoires en vertu de la législation sur le secteur privé au Canada (y compris la loi québécoise sur la protection des renseignements personnels dans le secteur privé telle qu’elle existait au moment de l’enquête). De telles évaluations étaient toutefois considérées comme une bonne pratique pour évaluer les répercussions sur la vie privée de tout nouveau programme ou de toute nouvelle technologie, et sont fortement recommandées par les commissaires à la protection de la vie privée. Suite à l’adoption du projet de loi 64 au Québec, les évaluations des facteurs relatifs à la vie privée deviendront obligatoires à compter du 22 septembre 2023 dans cette province, et nous nous attendons à ce que des exigences similaires soient un sujet d’importance lors de l’adoption d’amendements aux lois fédérales et provinciales sur la protection de la vie privée ailleurs au pays.

Le rapport explique que l’affaire fut ultimement réglée conditionnellement par l’adoption volontaire par Tim Hortons des recommandations des commissaires. La compagnie devra toutefois demeurer sous observation pendant les 12 prochains mois afin de permettre aux commissaires de confirmer que l’ensemble des engagements consentis ont été dûment respectés.

Bien que le rapport des commissaires ne soit pas un  jugement final ayant force exécutoire, il est tout de même possible d’en tirer plusieurs leçons pratiques:

  • L’étendue des renseignements personnels recueillisdoit être proportionnel aux objectifs déclarés, car une collecte disproportionnée est illégale même avec le consentement du sujet;
  • La demande de consentement doit être précise et transparente quant à la nature des activités poursuivies, y compris celles des tiers et fournisseurs qui auront accès aux données, ainsi qu’à la manière dont les données seront recueillies et la fréquence de la collecte si celle-ci aura lieu continuellement suite à la collecte initiale. Comme d'habitude, les organismes canadiens de réglementation de la protection de la vie privée s'attendent à ce qu'il y ait un consentement valable et éclairé;
  • Une organisation qui fait appel à un fournisseur de services tiers pour conserver ou traiter des renseignements personnels reste responsable de ces renseignements et doit veiller à ce qu’ils soient correctement utilisés et sécurisés lorsqu’ils sont entre les mains du fournisseur de services. Les ententes écrites avec les tiers fournisseurs doivent comporter des clauses précises quant à l’utilisation des renseignements personnels: les formulations ouvertes ou portant à interprétation sont à proscrire;
  • Les communications accessoires qui font état des pratiques de l’entreprise en matière de protection des renseignements personnels y compris les fenêtres contextuelles (« pop-ups ») et les foires aux questions (« FAQ ») sont une source importante d’information pour le sujet et peuvent être retenues par les autorités comme sources pouvant induire le sujet en erreur relativement à l’impact et aux implications des activités de l'entreprise sur la vie privée. Un examen complet de l’ensemble des communications relatives à la vie privée au sein de l’entreprise s’impose donc pour assurer qu’elles soient conformes.

Les conclusions lapidaires du rapport ont été rendues en fonction des lois sur la protection de la vie privée telles qu'elles existaient au moment de l'enquête. Le projet de loi 64 du Québec a cependant modifié le cadre juridique de la protection des renseignements personnels dans cette province de manière considérable.  Étant donné le consensus général à l’effet que la nouvelle loi québécoise sera en tous points importants plus sévère que son ancienne incarnation, ainsi que le fait que des modifications sont en cours dans toutes les juridictions du Canada, ces conclusions laissent présager un réel resserrement en matière de protection des renseignements personnels au Canada pour les années à venir. Nous avons constaté la volonté des législateurs et organismes de réglementation canadiens de modifier la législation sur la protection de la vie privée afin d'y inclure de lourdes pénalités - les amendements du Canada en matière de protection de la vie privée, aujourd'hui en veilleuse, mais qui referont bientôt surface, prévoyaient une pénalité de 5% du chiffre ‎d’affaires mondial, et le projet de loi 64 du Québec impose des pénalités pouvant aller jusqu'à 4% du chiffre d'affaires mondial de l'année fiscale précédente. Les entreprises ont tout intérêt à procéder à un examen complet de leurs politiques et pratiques en matière de protection de la vie privée pour s'assurer qu'elles restent conformes.

Le communiqué de presse officiel ainsi que le rapport de conclusions peuvent être consultés ici. Notre équipe de spécialistes en matière de protection de la vie privée et des renseignements personnels est en mesure de vous aider à naviguer ces questions complexes à travers le Canada.

  

Savoir-faire complémentaires

Propriété intellectuelle
Imprimer
Mentions légalesPolitique d'utilisation de témoinsConfidentialitéPlan du site

DLA Piper est un cabinet d'avocats international exerçant ses activités par l'intermédiaire de diverses sociétés autonomes et distinctes. Pour plus d'informations sur ces sociétés et la structure de DLA Piper, veuillez consulter la page Mentions légales de ce site. Tous droits réservés. Dans certaines juridictions, cette information peut être considérée comme de la publicité.

© 2024 DLA Piper