Votre navigateur n'est plus à jour et il se peut que notre site ne s'affiche pas correctement sur celui-ci.

Pour une meilleure expérience web, nous vous invitons à mettre à jour votre navigateur.

Tim Hortons a enfreint les règles sur la protection de la vie privée

Par Catherine Crépeau
tim-hortons oasisamuel/Shutterstock.com

L’application de Tim Hortons a enfreint les lois sur la protection des renseignements personnels en recueillant «de grandes quantités» de données de géolocalisation sensibles, selon le commissaire à la protection de la vie privée du Canada après presque deux ans d’enquête.

Les déplacements des personnes qui ont téléchargé l’application avant le début de l’enquête, en juin 2020, ont été suivis et enregistrés à quelques minutes d’intervalle quotidiennement, même lorsque l’application n’était pas utilisée. «Cette façon de faire est contraire aux lois canadiennes sur la protection des renseignements personnels», conclut le commissaire Daniel Therrien dans son rapport.

L’affaire a été révélée en juin 2020 dans un article du National Post. Un journaliste rapportait que l’application avait enregistré les coordonnées de longitude et de latitude de son téléphone cellulaire plus de 2 700 fois en cinq mois. Cette récolte de données s’effectuait même lorsque l’application n’était pas utilisée. Ainsi, le journaliste indiquait que les données enregistrées à son sujet incluaient ses visites dans des restaurants autres que Tim Hortons, ainsi que les adresses de son domicile et de son travail.

La fonctionnalité permettant de suivre les déplacements des usagers faisait partie des nouveautés lors de la mise à jour de l’application pour téléphone intelligent, en 2019. Elle devait permettre d’envoyer des publicités ciblées aux consommateurs, mais a vite permis de récolter des quantités considérables de renseignements personnels sensibles.

Demande de consentement

Le commissaire fédéral à la protection de la vie privée et ses homologues de la Colombie-Britannique, du Québec et de l’Alberta avaient ouvert une enquête en juin 2020 pour déterminer si Tim Hortons avait obtenu un consentement valable des utilisateurs de l’application pour collecter et utiliser leurs données de localisation.

L’enquête conjointe conclut que l’application demandait bien aux utilisateurs la permission d’accéder aux services de géolocalisation. L’entreprise les a toutefois trompés en les laissant croire que leurs données n’étaient collectées que lorsque l’application était ouverte. En réalité, cette dernière récoltait en continu des informations sur leurs déplacements.

Pour le commissaire à l’information et à la vie privée de la Colombie-Britannique, Michael McEvoy, ce genre de collecte de renseignements représente une violation de la loi et un abus de confiance envers les clients.

Suivis à la trace

Selon le communiqué du commissaire à la protection de la vie privée, l’application puisait aussi des données de géolocalisation pour déduire où habitaient et travaillaient les utilisateurs. Elle générait un «événement» chaque fois que les utilisateurs entraient dans les lieux suivants ou en sortaient: concurrents de Tim Hortons, principaux sites où se tiennent des événements sportifs, lieux de résidence et lieux de travail.

L’enquête révèle que Tim Hortons a continué à recueillir de grandes quantités de données de géolocalisation pendant une année après avoir abandonné l’idée de les utiliser pour des publicités ciblées.

L’entreprise a fait valoir qu’elle utilisait des données de géolocalisation agrégées de manière limitée, pour analyser les tendances des utilisateurs – en vue de déterminer, par exemple, si un utilisateur avait changé de chaîne de cafés-restaurants.

Tim Hortons a cessé d’effectuer le suivi continuel des données de géolocalisation des utilisateurs en 2020, après le début de l’enquête.

Des risques toujours présents

Cette décision n’a pas éliminé le risque de surveillance et d’identification. En plus de pouvoir déterminer le lieu de résidence et de travail d’un individu, le type d’informations recueillies permet de faire des déductions à propos des croyances religieuses, des préférences sexuelles et des affiliations politiques, entre autres choses.

De plus, le contrat conclu par Tim Hortons avec un tiers américain fournisseur de services de géolocalisation contenait un libellé à ce point large et peu encadré que ce tiers aurait pu vendre les données de géolocalisation «dépersonnalisées» à ses propres fins. «Les organisations doivent établir de solides mécanismes de protection contractuels pour limiter l’utilisation et la communication, par les fournisseurs de services, des données des utilisateurs obtenues au moyen de leur application», précise le communiqué du commissaire.

Des conséquences limitées pour Tim Hortons

Le rapport du commissaire a cependant peu de conséquences pour Tim Hortons puisque la Loi sur la protection des renseignements personnels du Canada ne prévoit aucune amende en cas d’infraction.

Au Québec, 21 lois traitant de la protection de la vie privée ont été modifiées récemment. Ces changements prévoient notamment la possibilité d’imposer des amendes pouvant atteindre 25 millions de dollars ou 4 % du chiffre d’affaires d’une entreprise délinquante à partir de septembre 2023.

>> À lire aussi: notre dossier sur la protection de vos données personnelles et Renseignements personnels: la parabole Tim Hortons

 

  Ajouter un commentaire

L'envoi de commentaires est un privilège réservé à nos abonnés.

Il n'y a pas de commentaires, soyez le premier à commenter.