1 juin 2022
L’application de Tim Hortons a enfreint les lois sur la protection des renseignements personnels
1er juin 2022 – Les personnes qui avaient téléchargé l’application de Tim Hortons ont vu leurs déplacements suivis et enregistrés à quelques minutes d’intervalle chaque jour, même lorsque leur application n’était pas ouverte, ce qui contrevient aux lois québécoise et canadiennes sur la protection des renseignements personnels. Telles sont les conclusions d’une enquête menée conjointement par l’autorité fédérale de protection de la vie privée et ses homologues provinciaux.
Le Commissariat à la protection de la vie privée du Canada, la Commission d’accès à l’information du Québec, le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique et le Commissariat à l’information et à la protection de la vie privée de l’Alberta ont publié aujourd’hui leur rapport de conclusions.
L’enquête a, entre autres, révélé :
- Que cette vaste et continuelle collecte de données de géolocalisation par Tim Hortons n’était pas proportionnelle aux avantages que Tim Hortons aurait pu espérer tirer d’une publicité ciblée améliorée faisant la promotion de son café et de ses autres produits;
- Que si l’application de Tim Hortons demandait la permission d’accéder aux services de géolocalisation de l’appareil mobile, elle a néanmoins trompé de nombreux utilisateurs en les amenant à croire que l’accès aux données ne s’effectuerait que lorsque l’application était ouverte. En réalité, l’application faisait le suivi des utilisateurs dès que leur appareil était allumé, recueillant ainsi continuellement leurs données de géolocalisation;
- Que l’application se servait aussi des données de géolocalisation pour déduire où habitaient et travaillaient les utilisateurs, en plus d’établir s’ils étaient en déplacement. Elle générait un « événement » chaque fois que les utilisateurs entraient dans les lieux suivants ou en sortaient : concurrents de Tim Hortons, principaux sites où se tiennent des événements sportifs, lieu de résidence et lieu de travail;
- Que Tim Hortons a continué à recueillir de grandes quantités de données de géolocalisation pendant une année après qu’elle eut délaissé ses plans relatifs à leur utilisation à des fins de publicité ciblée, et ce, même si elle n’avait aucun besoin légitime d’agir en ce sens.
Enfin, Tim Hortons a cessé d’effectuer le suivi continuel des données de géolocalisation des utilisateurs en 2020, après le début de l’enquête. Cependant, cette décision n’a pas éliminé le risque de surveillance. L’enquête a révélé que le contrat qu’avait conclu Tim Hortons avec un tiers américain fournisseur de services de géolocalisation contenait un libellé à ce point large et peu encadré que ce tiers aurait pu vendre les données de géolocalisation « dépersonnalisées » à ses propres fins.
Les quatre autorités de protection de la vie privée ont formulé les recommandations suivantes à l’intention de Tim Hortons :
- Supprimer toutes les données de géolocalisation restantes et exiger des fournisseurs de services tiers qu’ils fassent de même;
- Instaurer et maintenir un programme de gestion de la protection des renseignements personnels qui comprend ce qui suit : des évaluations des facteurs relatifs à la vie privée pour l’application en question et toute autre application qui pourrait être lancée, un processus permettant de s’assurer que les renseignements recueillis sont nécessaires et proportionnels aux répercussions sur la vie privée qui ont été relevées et des mécanismes pour veiller à ce que les communications relatives à la protection de la vie privée cadrent avec les pratiques liées à l’application et les expliquent de manière adéquate;
- Faire rapport de manière détaillée des mesures prises par l’entreprise pour se conformer aux recommandations.
Tim Hortons a accepté de mettre en œuvre ces recommandations.
CITATION
« Ce rapport illustre de façon éloquente les risques inhérents à l’utilisation de la géolocalisation et l’importance de pratiques de protection des renseignements personnels transparentes et responsables. Sans une évaluation préalable appropriée, Tim Hortons a recueilli des renseignements sensibles sur ses clients par le biais de son application, sans qu’ils en soient adéquatement informés ou y aient consenti. C’est pour mettre fin à ce genre de pratiques que le Québec a revu sa législation protégeant les renseignements personnels de manière à donner plus de pouvoirs à la Commission et à responsabiliser davantage les entreprises. » – Me Diane Poitras, présidente de la Commission d’accès à l’information du Québec
Pour plus d’information, consultez :
- Communiqué commun
- Déclaration de Me Diane Poitras, présidente de la Commission d’accès à l’information du Québec
- Rapport de conclusions
- Communiqué du lancement de l’enquête conjointe, 29 juin 2020 :