Facebook et vie privée – les allégations de l’enquête


Jean-François Ferland - 17/07/2009

Dans son rapport de 97 pages, la commissaire à la vie privée du Canada disserte de façon détaillée à propos des onze points qui ont fait l’objet d’allégations de la part de la Clinique d’intérêt public et de politique d’Internet du Canada. Voici, en trois segments, les résumés des allégations fondées dont les recommandations ont été acceptées ou refusées par Facebook, ainsi que les allégations jugées non fondées par la commissaire.

Recommandations acceptées par Facebook

Le réseau social a accepté de modifier certaines pratiques et de bonifier ses politiques pour ainsi adopter quelques-unes recommandations de la commissaire à la vie privée du gouvernement du Canada.

Collecte de la date de naissance

Une première allégation d’exigence non valable d’une date de naissance comme condition d’inscription a été rejetée par la commissaire, puisque les fins d’utilisation qui sont liées à une loi de protection des enfants aux États-Unis ont été jugées comme étant appropriées.

Toutefois, la commissaire concède que Facebook devait indiquer clairement à l’inscription et dans la documentation en ligne pourquoi la date de naissance est requise à l’inscription et de quelle façon l’information serait utilisée. Facebook a accepté ces recommandations.

Paramètres de confidentialité par défaut

Une allégation avait trait aux paramètres de confidentialité par défaut, où les plaignants déploraient le recours à un consentement négatif et à l’absence d’efforts raisonnables pour assurer que les membres du réseau social étaient suffisamment informés des fins d’utilisation et de communication de leurs renseignements personnels.

La commissaire constate que les utilisateurs téléversaient volontairement leurs renseignements dans le réseau social et que les paramètres par défaut étaient acceptables à l’exception des albums de photos et de l’accessibilité via les moteurs de recherche. Elle constate aussi que l’information fournie aux utilisateurs en rapport à cet aspect est insuffisante.

La commissaire a recommandé de rendre les profils inaccessibles aux moteurs de recherche par défaut, de remplacer les paramètres par défaut des albums de photos par celui de « mes réseaux et mes amis » et de fournir un lien vers les paramètres de confidentialité au moment de l’inscription, un énoncé portant sur l’objet des paramètres ainsi qu’un avis qui stipule que les paramètres présélectionnés peuvent être modifiés selon les préférences des utilisateurs.

Facebook a répondu qu’il avait modifié ses réglages de confidentialité pour permettre aux utilisateurs d’établir le niveau des paramètres à faible, moyen ou élevé. Le réseau social a précisé qu’il travaillait au développement d’un outil de confidentialité par objet, qui permettra de régler les paramètres pour chaque élément ajouté.

Publicités

Les plaignants alléguaient que le réseau social ne faisait pas d’efforts raisonnables pour informer les utilisateurs de l’emploi de leurs renseignements personnels à des fins publicitaires et que les publicités sociales avaient recours au consentement implicite. Ils dénonçaient aussi que Facebook ne permette pas le retrait du consentement aux publicités et que la demande de consentement aux publicités Facebook pour utiliser le service ne reposait pas sur des raisons valables.

Précisons que l’expression « publicité Facebook » réfère aux pubs qui ciblent des mots clés des profils des utilisateurs ou bien des profils démographiques. La « publicité sociale » réfère aux pubs qui tiennent compte d’interactions sociales – comme joindre un groupe d’adeptes ou de mentionner la réalisation d’une activité – afin qu’un bandeau publicitaire soit publié dans un message d’un utilisateur qui sera affiché la section « Actualités » de ses amis.

La commissaire a constaté que l’absence de retrait de consentement à toute forme de publicité était liée à la nécessité des revenus publicitaires pour le maintien du site à accès gratuit. Elle précise toutefois que le consentement aux publicités sociales était possible et que le réseau social n’informe pas les utilisateurs des fins de la publicité Facebook.

Mme Stoddart a donc demandé à Facebook d’ajouter des précisions à sa politique de confidentialité pour mieux expliquer le rôle de la pub et pour aviser que l’information du profil sert à la publicité ciblée, ce que le réseau social a accepté de faire.

Suivi d’activités irrégulières

Les plaignants affirmaient que les utilisateurs de Facebook n’étaient pas avisés de la surveillance du site pour détecter des comportements irréguliers. Ces comportements irréguliers, qui ont trait à quinze activités interdites qui sont définies par Facebook dans son code de conduite – comme envoyer un trop grand nombre de demandes d’ami ou recueillir des adresses de courriel ou des coordonnées d’utilisateurs – visent à prévenir la fraude et le pollupostage.

La commissaire a confirmé que Facebook faisait une telle surveillance, mais elle a recommandé au réseau social d’en faire l’explication dans sa politique de confidentialité.

Recommandations refusées par Facebook

Certaines allégations, qui ont été jugées par la commissaire à la vie privée comme étant fondées, ont fait l’objet d’un refus de coopération de la part de Facebook.

Applications de tierces parties

Cet aspect a fait l’objet du plus grand nombre de dénonciations de la part du CIPPIC. Les plaignants déploraient que les utilisateurs de Facebook ne soient pas informés des raisons de la communication des renseignements personnels aux tiers qui développent des applications. Ils dénonçaient l’accès aux renseignements personnels par ces tiers qui dépassait les besoins des applications, tout comme l’exigence de Facebook que les utilisateurs acceptent une communication excédentaire de ces renseignements.

Les plaignants déplorent aussi l’absence d’avis des conséquences d’un retrait de consentement, la conservation des renseignements personnels par les tiers après la suppression d’une application, l’accès aux renseignements personnels à l’insu d’amis ou de membres de réseaux d’un utilisateur d’une application et l’absence de surveillance ou de vérification de la qualité ou la légitimité des applications. L’absence d’avis efficace aux utilisateurs de la portée des renseignements personnels qui sont communiqués aux tiers – avec une allégation d’information trompeuse ou erronée sur le partage avec les tiers – l’absence de responsabilité et l’impossibilité de refuser la communication de données personnelles lorsqu’un ami installe une application faisaient aussi partie des dénonciations du CIPPIC.

La commissaire Stoddart a recommandé à Facebook d’implanter des mesures technologiques qui limiteraient l’accès des développeurs d’applications aux renseignements non nécessaires. Elle a aussi recommandé d’ajouter au site un mécanisme qui informerait les utilisateurs des renseignements spécifiques qui sont requis par une application et de l’utilisation de ces derniers, en plus de permettre aux utilisateurs de consentir à l’accès aux renseignements spécifiques lors de leur inscription. Mme Stoddart a aussi recommandé la prise de mesure pour interdire la communication des renseignements personnels d’utilisateurs qui n’emploient pas une application.

Désactivation et suppression de compte

Les plaignants ont déploré que le réseau Facebook, bien qu’il accepte de désactiver un compte, refuse à en faire la suppression.

La commissaire a souligné que les deux notions sont mentionnées à deux endroits sur le site du réseau social, ce qui pourrait laisser croire aux utilisateurs que seulement la désactivation est possible. Elle a aussi constaté que les renseignements personnels des comptes désactivés sont conservés pour une durée indéterminée.

Mme Stoddart a recommandé à Facebook d’ajouter de l’information relative à la suppression d’un compte à sa politique de confidentialité, ce qui a été accepté par Facebook. Toutefois, le réseau social a refusé une autre recommandation qui visait la mise en place d’une politique de conservation de l’information où les renseignements personnels d’un compte seraient détruits de ses serveurs. Cette suppression aurait eu lieu après un délai raisonnable et la personne concernée en ait été informée.

Compte des utilisateurs décédés

Les plaignants déploraient que Facebook n’obtienne pas le consentement des utilisateurs quant à l’utilisation des renseignements personnels contenus dans leur compte lors d’un décès. Le réseau social conserve le profil d’une personne décédée à des fins commémoratives. Les plaignants avaient ajouté que la commémoration n’était pas nécessaire à l’objectif principal du service.

La commissaire et son équipe estiment que la commémoration constitue une utilisation primaire du service, en affirmant que « la plupart des utilisateurs auraient des attentes raisonnables à cet égard ». Mais le rapport d’enquête précise que les utilisateurs, qui ne sont pas informés de ce type d’emploi de leur compte, ne peuvent y consentir.

La commissaire avait donc recommandé à Facebook d’expliquer cette pratique d’utilisation posthume des renseignements personnels. Le réseau social a refusé d’en faire ainsi parce qu’il considérait que cette explication « n’était pas nécessaire aux termes de la loi ».

Renseignements personnels des non-utilisateurs

Des allégations relatives à l’utilisation sans consentement des renseignements personnels de non-utilisateurs de Facebook sur ce réseau social ont fait l’objet de plusieurs recommandations dans le rapport de la commissaire.

Le CIPPIC déplorait la publication de tels renseignements personnels dans le fil d’actualités et sur le « Mur » des utilisateurs, mais aussi l’étiquetage de personnes sur des photos ou dans des vidéos. La fourniture de l’adresse de non-utilisateurs à des fins d’invitation d’inscription au service constituait aussi une pratique problématique aux yeux des plaignants.

La commissaire a répondu que les affichages d’informations étaient faits à des fins personnelles et que ces pratiques n’étaient pas assujetties à la loi. Toutefois, elle précise que la loi canadienne relative aux renseignements personnels s’applique lors de l’étiquetage d’un non-utilisateur ou de son invitation à joindre le réseau. Mme Stoddart estime que Facebook pourrait faire en sorte que les utilisateurs aient à obtenir le consentement des non-utilisateurs avant de procéder à leur étiquetage ou à l’envoi d’une invitation, au risque d’être puni.

La commissaire a donc recommandé à Facebook d’établir des mesures qui fourniraient des solutions aux préoccupations liées à l’ignorance des non-utilisateurs qu’ils ont été étiquetés dans un contenu sur le réseau social et qu’ils n’ont pu consentir à ce marquage. Elle a aussi recommandé d’améliorer le service d’invitation pour régler les préoccupations liées à l’obtention et la conservation de l’adresse de courriel d’un non-utilisateur sans son consentement. Aussi, l’établissement d’une limite raisonnable de conservation des adresses des non-utilisateurs a fait l’objet d’une recommandation.

Facebook a justifié son refus d’application des deux premières recommandations en affirmant que son site informait les non-utilisateurs de la présence de renseignements à leur égard et que c’était l’utilisateur qui avait téléversé les renseignements relatifs aux non-utilisateurs qui avaient la responsabilité de ces données. La dernière recommandation n’a pas fait l’objet d’une réponse directe de la part du réseau social.

Allégations non fondées selon la commissaire

Quatre allégations formulées par la Clinique d’intérêt public et de politique d’Internet du Canada ont été jugées comme étant non fondées par la commissaire à la vie privée :

Les plaignants alléguaient que Facebook n’avisait pas les utilisateurs des nouvelles fins du recueillement, de l’utilisation ou de la communication des renseignements personnels. La commissaire a jugé qu’il n’y avait aucune preuve que le réseau social a manqué d’informer les utilisateurs de ces nouvelles fins.

Aussi, le CIPPIC affirmait que Facebook ne fournissait pas de renseignements précis quant aux fins et aux modes de collecte des renseignements personnels en provenance de sources externes, ni sur les sources d’information ou sur l’utilisation et la communication de ces renseignements. La commissaire a répondu que le réseau social ne recueillait pas de tels renseignements à l’heure actuelle.

À propos de l’application Facebook Mobile, qui est utilisée sur des téléphones évolués et d’autres appareils multimédias portatifs, les plaignants affirmaient que le réseau social ne protégeait pas adéquatement les renseignements personnels des utilisateurs en ayant recours à un fichier témoin sans date d’expiration apparente. Les plaignants étaient préoccupés par des situations d’oubli de la fermeture d’une session par un utilisateur sur l’appareil d’une autre personne, tout comme l’ouverture de session avec un accès indéfini à un compte par une personne à qui on aurait révélé le mot de passe, et ce, même si le mot avait été changé par la suite.

La commissaire a répondu que le témoin utilisé sur Facebook Mobile expirait après 14 jours et qu’un changement de mot de passe entraînait la fermeture d’une session ouverte sur Facebook Mobile.

Enfin, le CIPPIC alléguait que Facebook faisait de la fausse représentation en se présentant comme un site de réseautage social, alors que d’autres activités ayant trait à d’autres allégations – comme la publicité et les applications de tierces parties – ne faisaient pas l’objet d’explications claires. Les plaignants affirmaient aussi que le réseau social ne présentait pas de façon exacte le contrôle qu’ont les utilisateurs sur leurs renseignements personnels. La commissaire a rétorqué qu’il n’y avait aucune preuve d’une tromperie ou d’une induction en erreur de façon volontaire.

Jean-François Ferland est journaliste au magazine Direction informatique.




Tags: , , , , , , ,

À propos de Jean-François Ferland

Jean-François Ferland est le rédacteur en chef du magazine Direction informatique. Il compte dix-sept années d'expérience en journalisme et en communication publique.
Google+