L’enquête du Financial Post a suscité l’examen minutieux du chien de garde
Contenu de l’article
Tim Hortons a enfreint les lois fédérales et provinciales sur la protection de la vie privée en utilisant son application mobile pour recueillir des informations « hautement personnelles » sur ses clients sans leur consentement, selon les conclusions d’une enquête menée par une coalition d’organismes canadiens de surveillance de la vie privée.
Publicité 2
Contenu de l’article
Dans un communiqué mercredi, le commissaire fédéral à la protection de la vie privée Daniel Therrien appelé Tim Hortons pour une « invasion massive » de la vie privée et s’est plaint que « les entreprises privées pensent si peu à notre vie privée et à notre liberté qu’elles peuvent initier ces activités sans y penser plus qu’un instant ».
Tim Hortons dit qu’il n’utilise plus la technologie de géolocalisation en question et se conforme aux demandes des enquêteurs de supprimer toutes les données incriminées et de créer un plan pour s’assurer que son application est conforme aux lois sur la confidentialité à l’avenir.
Mais Therrien a déclaré que l’affaire met en évidence une tendance troublante dans les entreprises canadiennes, où les entreprises suivent avec désinvolture les mouvements de leurs clients et traitent ces données de localisation comme une marchandise à utiliser pour aider à vendre des choses comme le café. Mais vraiment, a-t-il dit, ces données devraient être traitées avec beaucoup plus de soin, car elles peuvent révéler les détails intimes de la vie de quelqu’un – pas seulement où ils vivent et travaillent, mais où ils adorent et quel type de services de santé ils utilisent.
Publicité 3
Contenu de l’article
« Il peut être utilisé pour faire des déductions sur les préférences sexuelles, les affiliations politiques sociales et bien plus encore », a-t-il déclaré. « Notre enquête conjointe raconte une autre histoire troublante d’une entreprise qui n’a pas réussi à assurer la conception appropriée d’une technologie intrusive, ce qui a entraîné une invasion massive de la vie privée des Canadiens. »
Therrien, avec ses homologues de la Colombie-Britannique, de l’Alberta et du Québec, a lancé l’enquête sur l’application mobile Tim Hortons en 2020 à la suite d’un rapport du journaliste du Financial Post James McLeod.
McLeod a découvert que l’application Tim Hortons suivait ses mouvements de si près qu’elle savait où il habitait, où il travaillait, où il passait ses vacances, ainsi que chaque fois qu’il entrait dans certains restaurants de restauration rapide concurrents. Une analyse de mois de données obtenues grâce à la loi fédérale sur la protection de la vie privée a suggéré que l’application le suivait même lorsqu’elle était fermée.
Publicité 4
Contenu de l’article
L’enquête des commissaires a révélé que Tim Hortons avait induit les utilisateurs en erreur en leur faisant croire que leurs informations n’étaient consultées que lorsqu’ils utilisaient l’application.
« En réalité, l’application suivait les utilisateurs tant que l’appareil était allumé, collectant continuellement leurs données de localisation », a déclaré le bureau de Therrien dans un communiqué de presse mercredi.
Tim Hortons a déclaré aux commissaires qu’il avait prévu d’utiliser le suivi de localisation comme moyen d’offrir des promotions pertinentes aux clients. Par exemple, si un client habite à Montréal et se rend à Calgary, l’application saura ne proposer que les offres disponibles dans les succursales de Calgary, et non à Montréal. Mais Tim Hortons a déclaré qu’il n’avait jamais utilisé les données comme prévu et qu’il ne les avait utilisées que sur « une base agrégée et anonymisée pour étudier les tendances de notre entreprise – et les résultats ne contenaient aucun renseignement personnel sur les clients ».
Publicité 5
Contenu de l’article
Mais Therrien a averti que les données de géolocalisation anonymisées risquent toujours de divulguer des détails personnels – connus sous le nom de «ré-identifiés». Et les commissaires à la protection de la vie privée ont contesté le contrat de Tim Hortons avec Radar Labs Inc., une société américaine tierce qui fournissait des services de localisation améliorés pour l’application.
-
Suivi double-double : Comment Tim Hortons sait où vous dormez, travaillez et partez en vacances
-
Les lois canadiennes sur la protection de la vie privée n’ont «pas de mordant» : ce que j’ai appris au cours d’une enquête de huit mois sur le suivi des données de Tim Hortons
-
Vous voulez les données personnelles que les entreprises ont sur vous ? Bon courage, ce n’est pas aussi simple que ça en a l’air
Therrien a déclaré que Tim Hortons « n’a pas adopté de mesures contractuelles appropriées pour empêcher son fournisseur de services américain d’utiliser ces données sensibles à ses propres fins ».
Publicité 6
Contenu de l’article
Tim Hortons a accepté de supprimer les données de localisation et de demander à son sous-traitant de faire de même.
En réponse à mercredi rapportTim Hortons a déclaré qu’il travaillait déjà sur les recommandations des commissaires et a réitéré qu’il avait arrêté le suivi de localisation en 2020, après le début de l’enquête conjointe.
« Nous avons renforcé notre équipe interne qui se consacre à l’amélioration des meilleures pratiques en matière de confidentialité et nous continuons à nous concentrer sur la garantie que les clients peuvent prendre des décisions éclairées concernant leurs données lorsqu’ils utilisent notre application », a déclaré le porte-parole Michael Oliveira dans un e-mail. .
Tim Hortons ne fera face à aucune pénalité dans cette affaire. Cela seul «souligne le besoin urgent d’une réforme du droit dans ce pays», puisque seul le Québec a la capacité d’imposer des amendes lorsque les entreprises enfreignent la loi sur la protection de la vie privée, a déclaré le commissaire à la protection de la vie privée de la Colombie-Britannique, Michael McEvoy.
Lors d’une conférence de presse mercredi, Therrien a déclaré qu’il espérait une réforme juridique qui donnerait à son bureau le pouvoir d’enquêter activement sur les infractions et d’imposer des sanctions.
« Si, comme nous l’avons vu ici, ils ne réfléchissent pas à ces choses avant de commencer ces programmes et que les informations personnelles sont considérées comme une simple marchandise et non comme quelque chose qui peut entraîner des risques importants pour la vie privée, il devrait y avoir une sanction financière », a-t-il déclaré. .
• Courriel : [email protected] | Twitter: jakeedmiston