Les résultats d’une enquête conjointe lancée en juin 2020 par le Commissariat à la protection de la vie privée du Canada (CPVP) et les organismes provinciaux de protection de la vie privée de l’Alberta, de la Colombie-Britannique et du Québec visant l’exploitant et franchiseur canadien de Tim Hortons, TDL Group et sa société mère Restaurant Brands International (RBI), publiés aujourd’hui ont révélé que l’entreprise avait violé les lois fédérales et provinciales sur la protection de la vie privée avec la géolocalisation intégrée à son application.
L’enquête a été principalement déclenchée à la suite de la publication en juin 2020 par le Financial Post d’un article dans lequel l’auteur expliquait en détail comment il avait découvert que, malgré l’autorisation accordée à l’application Tim Hortons d’accéder à la fonctionnalité de localisation de son téléphone mobile uniquement lorsqu’elle était ouverte, en réalité, elle suivait sa position même lorsqu’elle était fermée.
L’application l’a fait, a-t-il dit, plus de 2 700 fois en moins de 5 mois, afin de connaître l’emplacement de son domicile, son lieu de travail, ses déplacements et ses visites chez un concurrent.
L’ enquête a conclu que la collecte continuelle et vaste d’informations de localisation de Tim Hortons n’était « pas proportionnelle aux avantages qu’elle aurait pu espérer tirer d’une promotion mieux ciblée de son café et d’autres produits ». Elle constate également que même après que l’entreprise ait mis de côté ses plans d’utilisation des données pour de la publicité ciblée, elle a continué à les collecter jusqu’à l’ouverture de l’enquête.
« Notre enquête a également révélé que Tim Hortons n’avait pas mis en place de solides garanties contractuelles pour limiter l’utilisation et la divulgation des informations des clients par les fournisseurs de services », a noté Jill Clayton, commissaire à l’information et à la protection de la vie privée de l’Alberta, lors d’un point de presse. « Je reconnais que le grand nombre de fournisseurs de services tiers impliqués dans le développement d’applications est un facteur de complication, mais ce n’est pas une excuse pour limiter la responsabilité. La loi de l’Alberta stipule que vous êtes responsable de ce que vos fournisseurs de services font en votre nom. Et cela implique de s’assurer qu’il existe des mesures de sécurité et de confidentialité raisonnables dans les contrats. »
À la suite de l’enquête, TDL a accepté de mettre en œuvre plusieurs recommandations concernant l’application Tim Horton.
Premièrement, elle a accepté de supprimer les données de localisation, et toutes les données qui en sont dérivées, dans un délai d’un mois à compter de la publication du rapport, et d’ordonner à son fournisseur de services tiers de faire de même – et de prendre des mesures pour s’assurer que le fournisseur l’a bel et bien fait.
Deuxièmement, elle a accepté d’établir et de maintenir un programme de gestion de la confidentialité concernant son application et de toute autre application qu’elle lancera à l’avenir, dans les douze mois suivant la publication du rapport. Elle a également accepté de fournir des mises à jour écrites trimestrielles aux bureaux de la protection de la vie privée précisant le travail accompli et ses progrès vers l’achèvement du programme de gestion de la protection de la vie privée.
Lire aussi :
Le commissaire à la protection de la vie privée sortant critique les entreprises et Ottawa
Le CPVP aide les entreprises canadiennes à gérer les renseignements personnels
Organisations sensibilisées à la vie privée pour leur survie
Traduction et adaptation française par Renaud Larue-Langlois
