Formations et audits Informatique et Libertés

Des professionnels en conformité Informatique et Libertés : formation, audit, formalités cnil, contrôle cnil et l’application Data Privacy Manager dédiée au CIL

Dictionnaire juridique

Facebook viole la loi sur la protection de la vie privée au Canada

Facebook - Données à caractère personnel - Rapport CPVP 16 juillet 2009

Vous êtes ici : Accueil > Actualités

Suite à la plainte de la Clinique d’intérêt public et de politique d’Internet du Canada (CIPPIC) déposée contre Facebook, le Commissariat à la protection de la vie privée du Canada (CPVP) a publié son rapport de conclusions de l’enquête le 16 juillet dernier.

mardi 21 juillet 2009

La plainte de la CIPPIC comprenait 24 allégations portant sur 11 aspects distincts.

Parmi ceux-ci, on retrouve les paramètres de confidentialité par défaut, la collecte et l’utilisation des renseignements personnels des utilisateurs à des fins publicitaires, la communication des renseignements personnels des utilisateurs aux tiers développeurs d’applications, et la collecte et l’utilisation des renseignements personnels des non- utilisateurs.

Résumé des conclusions du CPVP

Allégations non fondées

En ce qui a trait aux nouveaux usages des renseignements personnels, à la collecte de renseignements personnels de sources externes à Facebook, à Facebook Mobile et aux mesures de sécurité, et à la tromperie et la fausse représentation, le CPVP conclut que les allégations de la CIPPIC ne sont pas fondées.

Allégations fondées et résolues

En ce qui a trait à la collecte de la date de naissance, aux paramètres de confidentialité par défaut, à la publicité et au suivi des activités irrégulières, le CPVP conclut que les allégations de la CIPPIC sont fondées et résolues à la lumière des mesures correctives que Facebook propose en réponse aux recommandations du Commissariat canadien.

A ce titre, Facebook a été avisé que le Commissariat effectuera un suivi après 30 jours pour vérifier si les mesures proposées ont été mises en œuvre.

Allégations fondées comportant des questions non résolues

En ce qui a trait aux applications de tiers, à la désactivation et la suppression du compte, aux comptes des utilisateurs décédés, et aux renseignements personnels des non-utilisateurs, le CPVP conclut que les allégations de la CIPPIC sont fondées.

Facebook n’a pas encore accepté d’adopter certaines des recommandations du CPVP, ni des solutions de rechange acceptables.

Les recommandations qui demeurent en suspens sont les suivantes :

  • Applications de tiers
    • Limiter l’accès des développeurs d’applications aux renseignements des utilisateurs qui ne sont pas nécessaires au fonctionnement d’une application particulière.
    • Informer les utilisateurs des renseignements qu’une application requiert et des fins y afférentes.
    • Obtenir le consentement exprès des utilisateurs pour que les développeurs aient l’autorisation d’accéder à ces renseignements ;
    • Interdir toute communication de renseignements personnels des utilisateurs qui n’ajoutent pas eux-mêmes une application.
  • Désactivation et suppression du compte
    • Mette en place une politique en matière de conservation des renseignements en vertu de laquelle les renseignements personnels des utilisateurs qui ont désactivé leur compte seraient éliminés des serveurs de Facebook après une période raisonnable, et que Facebook en informe les utilisateurs.
  • Comptes des utilisateurs décédés
    • Facebook doit expliquer dans sa Politique de confidentialité, dans le contexte de tous les usages des renseignements personnels prévus, l’usage des renseignements personnels du compte des utilisateurs décédés prévu à des fins commémoratives.
  • Renseignements personnels des non-utilisateur
    • Facebook doit examiner et mette en place des mesures pour améliorer le service d’invitation afin de répondre à la préoccupation du Commissariat quant au fait que les non-utilisateurs ignorent que Facebook recueille, utilise et conserve leur adresse de courriel et qu’ils n’y consentent pas.
    • Facebook doit établir une limite raisonnable de conservation des adresses de courriel de non-utilisateurs aux fins du suivi de l’historique des invitations et du succès du programme d’invitation.

Facebook doit reconsidérer ces recommandations en suspens à la lumière des constatations du CPVP.

Le Commissariat vérifiera, 30 jours après la présentation du rapport, que les recommandations en suspens, ou des solutions de rechange acceptables, ont été acceptées et mises en œuvre par Facebook.

À défaut de telles preuves, le CPVP déterminera le meilleur moyen de traiter toute autre question non résolue conformément à se pouvoirs.

Rapport de conclusions de l’enquête menée à la suite de la plainte déposée par ?la Clinique d’intérêt public et de politique d’Internet du Canada (CIPPIC) contre Facebook Inc.?aux termes de la Loi sur la protection des renseignements personnels et les documents électroniques ?par Elizabeth Denham ?Commissaire adjointe à la protection de la vie privée du Canada (http://www.priv.gc.ca/cf-dc/2009/2009_008_0716_f.pdf).

Nicolas Samarcq, Juriste
Consultant TIC / CNIL

Nos partenaires

Réalisation : Clic Story ®

Plan du site