Tim Hortons a enfreint les lois sur la protection de la vie privée

Les résultats d’une enquête conjointe lancée en juin 2020 par le Commissariat à la protection de la vie privée du Canada (CPVP) et les organismes provinciaux de protection de la vie privée de l’Alberta, de la Colombie-Britannique et du Québec visant l’exploitant et franchiseur canadien de Tim Hortons, TDL Group et sa société mère Restaurant Brands International (RBI), publiés aujourd’hui ont révélé que l’entreprise avait violé les lois fédérales et provinciales sur la protection de la vie privée avec la géolocalisation intégrée à son application.

map
Image : Getty

L’enquête a été principalement déclenchée à la suite de la publication en juin 2020 par le Financial Post d’un article dans lequel l’auteur expliquait en détail comment il avait découvert que, malgré l’autorisation accordée à l’application Tim Hortons d’accéder à la fonctionnalité de localisation de son téléphone mobile uniquement lorsqu’elle était ouverte, en réalité, elle suivait sa position même lorsqu’elle était fermée.

L’application l’a fait, a-t-il dit, plus de 2 700 fois en moins de 5 mois, afin de connaître l’emplacement de son domicile, son lieu de travail, ses déplacements et ses visites chez un concurrent.

L’ enquête a conclu que la collecte continuelle et vaste d’informations de localisation de Tim Hortons n’était « pas proportionnelle aux avantages qu’elle aurait pu espérer tirer d’une promotion mieux ciblée de son café et d’autres produits ». Elle constate également que même après que l’entreprise ait mis de côté ses plans d’utilisation des données pour de la publicité ciblée, elle a continué à les collecter jusqu’à l’ouverture de l’enquête.

 « Notre enquête a également révélé que Tim Hortons n’avait pas mis en place de solides garanties contractuelles pour limiter l’utilisation et la divulgation des informations des clients par les fournisseurs de services », a noté Jill Clayton, commissaire à l’information et à la protection de la vie privée de l’Alberta, lors d’un point de presse. « Je reconnais que le grand nombre de fournisseurs de services tiers impliqués dans le développement d’applications est un facteur de complication, mais ce n’est pas une excuse pour limiter la responsabilité. La loi de l’Alberta stipule que vous êtes responsable de ce que vos fournisseurs de services font en votre nom. Et cela implique de s’assurer qu’il existe des mesures de sécurité et de confidentialité raisonnables dans les contrats. »

À la suite de l’enquête, TDL a accepté de mettre en œuvre plusieurs recommandations concernant l’application Tim Horton.

Premièrement, elle a accepté de supprimer les données de localisation, et toutes les données qui en sont dérivées, dans un délai d’un mois à compter de la publication du rapport, et d’ordonner à son fournisseur de services tiers de faire de même – et de prendre des mesures pour s’assurer que le fournisseur l’a bel et bien fait.

Deuxièmement, elle a accepté d’établir et de maintenir un programme de gestion de la confidentialité concernant son application et de toute autre application qu’elle lancera à l’avenir, dans les douze mois suivant la publication du rapport. Elle a également accepté de fournir des mises à jour écrites trimestrielles aux bureaux de la protection de la vie privée précisant le travail accompli et ses progrès vers l’achèvement du programme de gestion de la protection de la vie privée.

Pour plus de détails. l’article original (en anglais) est disponible sur le site IT World Canada, une publication sœur de Direction informatique.

Lire aussi :

Le commissaire à la protection de la vie privée sortant critique les entreprises et Ottawa

Le CPVP aide les entreprises canadiennes à gérer les renseignements personnels

Organisations sensibilisées à la vie privée pour leur survie

Traduction et adaptation française par Renaud Larue-Langlois

Lynn Greiner
Lynn Greiner
Lynn œuvre dans le domaine de la technologie pour les entreprises depuis plus de 20 ans et a travaillé dans l'industrie tout en écrivant à ce sujet, lui donnant une perspective unique sur les problèmes auxquels les entreprises sont confrontées. Elle possède à la fois des diplômes en informatique et un diplôme en commerce.

Articles connexes

PLUS DE DÉTAILS – Le gouvernement dépose sa réforme de la législation sur la protection de la vie privée

Le gouvernement libéral a présenté sa deuxième tentative de réforme des lois sur la protection de la vie privée au pays couvrant le secteur des entreprises.

Le commissaire à la protection de la vie privée sortant critique les entreprises et Ottawa

Dans un de ses derniers discours publics avant la fin de son mandat la semaine prochaine, le commissaire fédéral à la protection de la vie privée (CPVP) a de nouveau exhorté le Parlement à faire de la vie privée un droit exécutoire pour tous les Canadiens.

Le CPVP aide les entreprises canadiennes à gérer les renseignements personnels

Le Commissariat à la protection de la vie privée du Canada (CPVP) a publié la semaine dernière un bulletin d'interprétation pour aider les responsables de la protection des données, les RSI et les responsables informatiques à respecter les exigences de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

La protection de la vie privée doit être davantage renforcée, selon le commissaire

Le commissaire à la protection de la vie privée du Canada recommande au Parlement de réformer la législation sur la protection de la vie privée.

Ottawa dépose un projet de loi pour mieux protéger la vie privée des internautes

Alors que les transactions et l’échange d’informations en ligne connaissent un essor sans précédent, le gouvernement fédéral a déposé mardi un projet de loi pour mieux protéger les données personnelles des Canadiens.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.