Protection de la vie privée : Facebook et ses utilisateurs sommés d’améliorer leurs pratiques

La commissaire à la vie privée du Canada a formulé des recommandations à Facebook, qui en a suivi certaines, mais en a refusé d’autres. Le réseau social, qui a 30 jours pour modifier ses pratiques au risque d’une procédure judiciaire, souligne sa bonne volonté, sans plus. La commissaire conseille aux utilisateurs du réseau de faire leurs devoirs.

La commissaire à la vie privée du Canada, Jennifer Stoddart, a dévoilé les résultats d’une enquête sur les pratiques et les politiques en matière de protection de la vie privée du réseau social Facebook, où 12 millions de Canadiens entretiennent un profil.

L’enquête découle d’une plainte en onze points qui a été formulée par la Clinique d’intérêt public et de politique d’Internet du Canada Samuelson-Glushko (CIPPIC), un organisme qui est chapeauté par la Section de common law de la Faculté de droit de l’Université d’Ottawa. Cet organisme avait formulé des allégations de diverses natures où on affirmait que le réseau Facebook contrevenait à des points de la Loi sur la protection des renseignements personnels et des documents électroniques qui s’applique au secteur privé.

Ces onze points ont été étudiés par l’équipe de la commissaire afin de définir si les allégations du CIPPIC étaient fondées ou non. Des recommandations de modification des pratiques ont été ensuite formulées dans un rapport préliminaire qui a été acheminé aux gestionnaires de Facebook. Le rapport, dévoilé par la commissaire Stoddart, fait état des réponses obtenues de la part de Facebook, qui a accepté certaines suggestions, mais en a aussi refusé d’autres.

En clair, Mme Stoddart et la commissaire adjointe Elisabeth Denham ont déclaré que le réseau social offrait à ses utilisateurs une information incomplète ou pouvant porter à confusion quant aux mesures qui ont trait à la protection de la vie privée.

Les commissaires ont rapporté que Facebook avait accepté plusieurs des suggestions d’apport de clarification à ses informations. Le réseau social est à roder une nouvelle version d’un outil nommé « Publisher Privacy Control » qui permettra aux utilisateurs de mieux définir qui pourra accéder à quel contenu diffusé [un billet du blogue de Facebook publié récemment donne plus d’information à ce sujet].

La commissaire à la vie privée recommande aussi à Facebook de faire preuve davantage de transparence, de ce qui constitue un danger pour les utilisateurs.

« Les gens s’aventurent sur Facebook sans vraiment comprendre que leurs renseignements personnels peuvent être utilisés à leur insu, dans des situations qu’ils n’avaient pas prévues. Dans les médias, depuis quelques mois, nous voyons d’amples exemples de personnes qui y mettent des informations et qui sont étonnées de les retrouver dans les médias », commente Mme Stoddart.

Refus

Toutefois, ce sont les recommandations rejetées ou ignorées par Facebook qui suscitent le plus d’interrogations.

Les recommandations refusées ont trait, entre autres, à l’absence d’une politique de suppression des comptes désactivés et de leurs renseignements personnels des serveurs de Facebook – le réseau a une politique de conservation de l’information d’une durée indéterminée – tout comme à l’absence d’une mention dans la politique de vie privée que les sites de membres défunts sont conservés à des fins de commémoration.

La commissaire s’inquiète aussi de la transmission de renseignements personnels des utilisateurs aux développeurs d’applications de tierce partie. Non seulement les développeurs peuvent-ils accéder à une quantité d’informations plus élargie que celle qui est requise pour l’application suggérée, mais les renseignements personnels des amis des utilisateurs peuvent être obtenus dans certaines situations par ces développeurs, sans que les amis concernés ne fassent utilisation de l’application en question. Plus de 950 000 développeurs de 180 pays ont produit quelque 200 000 applications sur le réseau Facebook, comme des logiciels d’envoi de cadeaux virtuels ou des questionnaires de toutes sortes.

De plus, la commissaire déplore qu’il n’y ait pas de mécanisme qui avise les non-utilisateurs du réseau Facebook qu’ils sont mentionnés dans des propos écrits ou identifiés sur des images par des utilisateurs, ni qu’ils puissent consentir à ce que leur adresse de courriel soit fournie à Facebook dans le but de les inviter à se joindre au réseau.

Pour ces dernières recommandations refusées, le rapport de la commissaire Stoddart suggérait l’imposition de mesures de vérification et de surveillance des développeurs de tiers ou l’application de mécanismes d’avis des non-utilisateurs selon des délais raisonnables. Facebook a expliqué ses refus par des enjeux techniques ou par l’application du fardeau de la responsabilité de la diffusion de l’information aux utilisateurs.

Au moment de la publication de ce rapport, Mme Stoddart a souligné que Facebook avait 30 jours pour se conformer à la Loi canadienne qui a trait à l’utilisation des renseignements personnels. Dans le cas d’un refus d’obtempérer, la commissaire pourrait demander à la Cour fédérale d’imposer à Facebook le respect de ses recommandations.

« Trente jours, c’est long. Je dois dire que Facebook a bien coopéré avec l’enquête et a beaucoup bougé. C’est un des défis de notre enquête que le site change [ses pratiques] et nous avons bon espoir que Facebook va se ranger à nos recommandations », précise Mme Stoddart.

Mme Stoddart a ajouté qu’elle espérait que d’autres sites et réseaux sociaux du genre suivent le dossier et adaptent leurs politiques et pratiques en conséquence. La commissaire, à l’émission 24 heures en 60 minutes du Réseau de l’information de Radio-Canada, a déclaré qu’un rapport portant sur la protection des renseignements personnels sur les réseaux sociaux en général allait être publié d’ici la fin de l’été.

Coopération partielle

Facebook, dans le cadre de la publication de l’enquête de la commissaire à la vie privée du Canada, a manifesté sa satisfaction d’avoir participé à l’exercice, en soulignant qu’elle travaillait de bon gré à adapter ses pratiques.

« Facebook est ravi d’avoir été en mesure de contribuer à résoudre les problèmes soulevés dans la plainte. La commissaire a reconnu, comme Facebook le fait d’ailleurs, que le contrôle des renseignements personnels fournis sur le site de réseautage social constitue un nouveau domaine qui nécessite la collaboration des sites web, des utilisateurs et des autorités en matière de protection des données. Il ne fait aucun doute que Facebook et la commissaire à la protection de la vie privée partagent le même objectif, qui est de rendre Internet plus respectueux de la vie privée des Canadiens et des utilisateurs partout dans le monde », a déclaré l’entreprise dans un communiqué.

Comme le rapporte le collègue Brian Jackson dans un article du site ITBusiness.ca (ITBusiness fait partie du même groupe de presse que Direction informatique), le responsable de la vie privée chez Facebook, Chris Kelly, a mentionné que Facebook continuait à tenir des discussions productives avec le bureau de la commissaire. Il a toutefois refusé de confirmer dès maintenant que l’entreprise adhérerait aux recommandations canadiennes, ni si la juridiction canadienne serait reconnue.

Faire ses devoirs

Par ailleurs, Mme Stoddart et Densham ont souligné qu’il incombait aussi aux utilisateurs du réseau Facebook d’être proactifs pour protéger leurs renseignements personnels.

« En fin de compte, même la politique de vie privée la plus compréhensible et les outils les plus élaborés ne suffisent pas si les utilisateurs les ignorent. Je suggère fortement aux Canadiens de prendre l’habitude de lire les politiques de vie privée et de tirer avantage des mécanismes de configuration pour protéger leur information privée. Nous voulons nous assurer que les personnes sont les maîtres de leurs propres données », a déclaré Mme Denham.

Jean-François Ferland est journaliste au magazine Direction informatique.