Archives pour la catégorie ‘La protection des renseignements personnels’

le 25 oct 2017

Blogue Savoir Techno : Voir un monde différent : les possibilités qu’évoquent la réalité virtuelle et la réalité amplifiée


Les téléphones, les lunettes et les casques ont tous la capacité de superposer l’information sur le monde qui nous entoure ou de nous immerger complètement dans des mondes imaginaires. Le processus de superposition de l’information, qu’on appelle aussi la « réalité amplifiée », se produit lorsque nous voyons des Pokémon apparaître sur nos écrans de téléphones portables, que nous obtenons les directions pour nous rendre au restaurant de notre choix ou lorsque nous avons accès à l’information nutritionnelle des aliments en pointant l’appareil photo de notre portable vers notre assiette.

L’immersion complète dans des mondes parallèles, qu’on appelle la « réalité virtuelle », nous permet d’observer l’espace qui nous entoure, de jouer avec d’autres personnes dans des cockpits simulés ou de grimper des chaînes de montagnes. Ces deux technologies offrent de nouvelles façons de voir le monde tout en soulevant des questions sur la façon dont nos données sont recueillies et utilisées. Tandis que la réalité amplifiée présente couramment de l’information sur notre monde réel, la réalité virtuelle, pour sa part, le remplace complètement. Les technologies sous-jacentes à la réalité amplifiée et à la réalité virtuelle possèdent des caractéristiques communes, mais diffèrent dans leur façon de recueillir et de traiter les données.

En savoir plus »


le 17 juil 2017

Blogue Savoir Techno : Peut-on encore être un visage dans la foule?


La technologie de reconnaissance faciale peut permettre d’identifier rapidement une personne en analysant automatiquement les traits de son visage. On peut recueillir ses caractéristiques faciales (son information biométrique) lorsqu’elle demande un document d’identité, par exemple un passeport, qu’elle se fait prendre en photo pour obtenir une carte d’employé ou qu’elle téléverse des photos en ligne sur des sites de médias sociaux.

Les occasions d’enregistrer le visage d’individus sont nombreuses et il y a lieu de se demander s’il est encore possible de demeurer anonyme dans la foule.

En savoir plus »


le 13 juin 2017

Blogue Savoir Techno: Qui surveille vos déplacements au volant?


Lorsque vous roulez sur la route ou que vous stationnez votre automobile, vous êtes-vous déjà demandé qui pourrait enregistrer l’emplacement de votre véhicule à un moment précis et dans quel dépôt de données ce type de renseignement est stocké et partagé? De nos jours, des organismes publics et des entreprises du secteur privé utilisent un système de reconnaissance des plaques d’immatriculation (SRPI) pour suivre des véhicules partout au Canada.

Ces systèmes ont des répercussions sur la vie privée, car ils enregistrent l’emplacement de véhicules déterminés à certains moments, souvent à l’insu du conducteur.

En savoir plus »


le 1 mars 2017

Ne ratez pas le Symposium de recherche Parcours de protection de la vie privée 2017


Le vendredi 10 mars 2017, le groupe Behavioural Economics in Action at Rotman (BEAR) de l’Université de Toronto réunira des représentants du milieu universitaire et de celui de la recherche, des organismes de réglementation, de l’industrie et des groupes de consommateurs pour relever les défis en matière de protection de la vie privée dans le monde en ligne.

Patricia Kosseim, avocate générale principale, CPVP

Le groupe BEAR bénéficie du financement du Programme des contributions du Commissariat à la protection de la vie privée du Canada. Il sera l’hôte du symposium, qui mettra l’accent sur les défis liés à la vie privée auxquels les consommateurs se heurtent quotidiennement sur Internet.

Le thème de la journée sera « La protection de la vie privée en ligne : L’approche centrée sur la personne ». En plus de présenter les recherches récentes financées par le Programme des contributions du Commissariat, le symposium explorera les principaux facteurs – cognitifs, contextuels et sociaux – qui poussent les consommateurs à décider de communiquer ou non leurs renseignements personnels en ligne.

En savoir plus »


le 8 déc. 2016

Blogue Savoir Techno : Uniquement vous : les identifiants sur notre téléphone utilisés pour nous suivre à la trace


 

techblog-uniquelyyou

Les appareils mobiles des Canadiens comportent plusieurs applications qui recueillent des renseignements personnels, y compris des identifiants intégrés à différentes composantes des appareils. Mais, quels sont précisément ces identifiants et comment sont-ils utilisés?

Un identifiant est un élément d’information (habituellement une suite de caractères) qui sert à conférer une identité unique à un appareil, à un utilisateur ou à une série de comportements repérés sur l’appareil. Les identifiants des appareils mobiles sont des applications de technologies qui ont une incidence sur la protection des renseignements personnels, étant donné qu’ils peuvent être utilisés pour mettre en corrélation les différentes activités d’une personne qui se sert d’un téléphone, d’une tablette ou de tout autre appareil branché, en plus d’établir un lien entre des appareils et des personnes réelles.

Nos appareils mobiles comportent plusieurs identifiants qui distinguent différentes composantes et caractérisent précisément des comportements. Les radios et d’autres appareils ainsi que les systèmes d’exploitation, les applications et même les navigateurs Web sont tous munis d’identifiants qui peuvent identifier précisément l’appareil, la personne qui l’utilise ou les comportements de l’utilisateur. Même si ces identifiants sont conçus habituellement à des fins utiles, l’utilisateur ignore souvent l’existence de ces identifiants et la façon dont ils sont recueillis ou utilisés. Nous allons décrire plusieurs des identifiants les plus importants, associés aux appareils mobiles, et leur importance en ce qui concerne la protection des renseignements personnels.

En savoir plus »


le 22 sept 2016

Comment se porte votre appareil? Les appareils connectés liés à la santé sont sous la loupe


Téléviseurs intelligents . . . moniteurs d’activité physique . . . thermostats automatisés . . . véhicules autonomes . . .

L’Internet des objets repousse les frontières de la technologie numérique, ce qui explique pourquoi le Global Privacy Enforcement Network (GPEN) a consacré son ratissage pour la protection de la vie privée de 2016 à ce marché en plein essor. Les ratisseurs se sont intéressés tout particulièrement à la façon dont les entreprises font connaître leurs pratiques en matière de traitement des renseignements personnels.

Compte tenu de la nature sensible de l’information que peuvent recueillir les appareils liés à la santé et les appareils de suivi de la condition physique ainsi que les applications et les sites Web connexes, le Commissariat à la protection de la vie privée du Canada s’est concentré sur 21 appareils – pèse-personnes intelligents, dispositifs mesurant la pression artérielle, moniteurs d’activité physique, dispositifs de surveillance du sommeil et moniteurs de fréquence cardiaque, un alcootest intelligent et une camisole de sport connectée à Internet.

Le choix des appareils concorde avec l’une des quatre priorités stratégiques liées à la vie privée – le corps comme source d’information – établies par le Commissariat au cours d’un exercice qui a pris fin en mai 2015. Le corps comme source d’information renvoie aux préoccupations croissantes que suscite pour la protection de la vie privée l’utilisation, à diverses fins nouvelles, de renseignements sur la santé ainsi que de renseignements génétiques et biométriques très sensibles par des organisations et des organismes gouvernementaux.

Au cours du ratissage, les ratisseurs – des employés du Commissariat – ont utilisé les appareils pour voir par eux-mêmes les renseignements demandés et vérifier si leur expérience correspondait aux énoncés de l’entreprise sur la protection de la vie privée. Dans certains cas, ils ont effectué un suivi auprès des entreprises visées en posant des questions précises liées à la protection de la vie privée.

On trouvera ci-après une brève évaluation des résultats obtenus pour les appareils évalués.

En savoir plus »


le 19 sept 2016

Génération débrouillards : le ratissage pour la protection de la vie privée des enfants a des retombées positives


Vous vous demandez ce qu’il est advenu du ratissage pour la protection de la vie privée des enfants?

Avant d’examiner en détail les résultats du ratissage de 2016 portant sur l’Internet des objets – qui seront publiés sous peu – nous avons jugé utile de vous présenter les résultats des discussions que nous avons tenues avec les concepteurs d’applications mobiles (applis) et de sites Web à propos desquels nous avions exprimé des préoccupations dans un billet de blogue ou dans des lettres l’automne dernier.

En savoir plus »


le 27 mai 2016

À l’intention des entreprises qui font du marketing par courriel : choses à ne pas faire en matière de collecte et d’utilisation d’adresses de courriel


1-shutterstock_66401092%20-%20spammail

Une enquête récemment menée à bien par le Commissariat à la protection de la vie privée a révélé deux importants aspects inédits du marketing par courriel et a permis d’en tirer de précieuses leçons pour les entreprises actives dans le domaine.

Cette enquête constitue la première mesure prise par le Commissariat en vertu des dispositions de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) régissant la « collecte d’adresses ». Ces dispositions découlent de la Loi canadienne anti-pourriel (LCAP). L’enquête a aussi donné lieu à la mise en œuvre de notre premier accord de conformité, nouvel outil rendu possible grâce aux modifications apportées à la LPRPDE par la Loi sur la protection des renseignements personnels numériques.

En savoir plus »


le 11 mai 2016

Remanier le modèle de consentement : à la recherche de solutions


ReadingPrivacyPolicies

Lorsque nous naviguons en ligne, nous rencontrons une foule d’accords d’utilisation. Lisez-vous toutes les modalités qui régissent l’utilisation d’un site ou appuyez-vous simplement sur le bouton « J’accepte » pour pouvoir poursuivre votre navigation?

D’après certaines recherches, pour prendre connaissance de toute cette information, il faudrait passer chaque année plus de 10 journées de 24 heures à lire les politiques de confidentialité et le jargon juridique connexe. Si vous êtes plutôt enclin à sauter cette étape et à appuyer sur « J’accepte », sachez que vous permettez explicitement à l’organisation de recueillir, d’utiliser et de communiquer vos renseignements personnels, exactement comme le précise le texte en petits caractères que vous n’avez pas pris le temps de lire.

L’obtention d’un consentement valable est la pierre angulaire de la loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada.

En savoir plus »


le 2 sept 2015

Lesquels se sont démarqués? Survol des applications mobiles et des sites Web utilisés par les enfants et de leurs mesures de protection de la vie privée


Les enfants sont de plus en plus branchés et ont souvent une bonne longueur d’avance sur leurs parents lorsqu’il s’agit de naviguer sur Internet et dans les applications mobiles.

Ils font également partie des groupes démographiques les plus vulnérables et, dans leur désir d’avoir accès à leur jeu ou à leur réseau social favori, ils sont susceptibles de donner des renseignements personnels sans avoir vraiment songé aux répercussions éventuelles sur leur vie privée.

C’est pourquoi le Global Privacy Enforcement Network (GPEN) a retenu le thème de la protection de la vie privée des enfants pour son troisième ratissage annuel pour la protection de la vie privée.

Le Commissariat à la protection de la vie privée du Canada ainsi que 28 autres autorités chargées de l’application des lois sur la protection de la vie privée partout au pays et ailleurs dans le monde ont examinés les communications et les pratiques en matière de protection de la vie privée de quelque 1 494 sites Web et applications mobiles.

Le but était de déterminer lesquels recueillaient des renseignements personnels, quels renseignements personnels étaient recueillis, s’ils avaient mis en place des mesures de protection pour en limiter la collecte et s’ils permettaient de supprimer facilement l’information d’un compte.

L’exercice, dans le cadre duquel les ratisseurs utilisaient brièvement les sites Web et les applications, visait à recréer l’expérience des consommateurs âgés de 12 ans ou moins. Les ratisseurs, soit plusieurs adultes qui s’étaient portés volontaires et neuf enfants, cherchaient à examiner les mesures de protection de la vie privée en se fondant sur quatre indicateurs clés :

  1. Collecte de données auprès des enfants : L’application ou le site Web recueille-t-il des renseignements personnels auprès des enfants et, le cas échéant, lesquels? (Ex., nom, courriel, date de naissance, adresse, numéro de téléphone ou fichiers photo, vidéo ou audio.) Y trouve-t-on une politique de confidentialité ou un autre énoncé quelconque sur la protection de la vie privée? Le cas échéant, cette politique ou cet énoncé explique-t-il clairement les pratiques de l’application ou du site Web relatives au traitement des renseignements personnels?
  2. Mesures de protection : L’application ou le site Web comporte-t-il des mesures de protection? Le cas échéant, ces mesures limitent-elles efficacement la collecte de renseignements personnels? (Ex., sollicitation de la participation des parents, avertissements au moment de quitter le site, avatars ou noms d’utilisateur prédéfinis, fonctions de clavardage ou babillard supervisé pour prévenir la communication imprévue de renseignements personnels.) Les communications concernant la protection de la vie privée sont-elles adaptées aux enfants? (Ex., langage simple, gros caractères, communications vocales et animation.)
  3. Moyens de supprimer l’information d’un compte : L’application ou le site Web offre-t-il un moyen simple de supprimer l’information d’un compte?
  4. Préoccupation générale quant à l’utilisation par un enfant d’une application ou d’un site Web : Dans l’ensemble, le ratisseur serait-il à l’aise qu’un enfant utilise l’application ou le site Web examine?

Au total, le Commissariat s’est penché sur 172 sites Web et applications mobiles pour les plateformes Android et iOS. Il s’est concentré sur les applications et les sites ciblant les enfants de 12 ans ou moins ou très populaires auprès de cette clientèle.

Quelque 118 sites Web et applications semblaient cibler directement les enfants, tandis que 54 étaient considérés comme très populaires auprès de cette clientèle – en d’autres termes, les enfants semblent utiliser fréquemment ces applications ou ces sites s’adressant à des personnes plus âgées ou de tout âge.

La grande majorité des applications et des sites Web examinés étaient exploités par des entreprises canadiennes ou américaines. Notre ratissage comprenait un grand nombre d’applications et de sites Web ludiques et éducatifs ainsi que des applications et des sites de loisirs hébergés, par exemple, par des musées et des zoos. Les sites Web et les applications traditionnels et de médias sociaux complétaient la liste.

Quelques précisions s’imposent avant d’aller plus loin. Comme les applications et les sites Web évoluent constamment, il convient de considérer les résultats présentés ici comme un portrait de la situation à un moment précis. Soulignons également que le ratissage n’était pas une enquête officielle. Nous n’avons pas cherché à relever de façon concluante des problèmes de non-conformité ou d’éventuelles infractions à la législation sur la protection de la vie privée. Il ne s’agissait pas non plus d’évaluer les pratiques globales d’une application ou d’un site Web en matière de protection de la vie privée, ni d’analyser en profondeur la conception et le développement des applications ou des sites Web examinés.

Nous avons plutôt comparé certaines caractéristiques et pratiques en matières de la vie privée des applications et des sites Web que nous jugions particulièrement bien adaptées aux enfants et celles qui, nous semblait-il, gagneraient à mieux protéger les enfants. Le ratissage nous a beaucoup appris et nous espérons que les exemples concrets qui suivent aideront les Canadiens ainsi que les concepteurs de sites Web et d’applications à mieux comprendre nos conclusions.

La fonction de message ou de clavardage supervise

Les fonctions de message ou de clavardage supervisé permettent de s’assurer que l’on vérifie l’information avant de la publier. Il est possible de vérifier non seulement le contenu de chaque élément, mais aussi les renseignements personnels qui s’y trouvent, car les portails en format libre peuvent ouvrir la porte à la communication imprévue de détails parfois sensibles.

Le site Family.ca, qui cible manifestement les enfants, indiquait que sa fonction de babillard était supervisée. Nos ratisseurs ont vérifié ce qu’il en était en essayant de publier un message qui précisait le nom et le prénom, l’âge et la ville natale de l’auteur. Le message modifié qui suit a été affiché en ligne le lendemain :

Image Family.ca (La fonction de message ou de clavardage supervisé).  Message modifié pour ne révéler aucune information personnelle.

Exemple disponible en anglais seulement.

Nous avons fait la même expérience sur le site Lego.com. Comme vous le voyez, le modérateur nous a informés qu’il avait rejeté notre communication pour des raisons de protection de la vie privée. Excellente décision, Maître Constructeur Emmet!

image lego.com

Fourni uniquement en anglais.

Félicitations à Family.ca et à Lego.com, qui nous montrent bien qu’on peut faire beaucoup avec un peu de supervision!

En revanche, l’application de réseautage social Moviestar Planet, qui cible les enfants, n’est pas un modèle de rigueur. Alors que l’application affirme superviser le contenu, les enfants ont pu librement afficher des égoportraits et demander dans le titre, par exemple, d’évaluer s’ils « sont chou ou non ». Ce n’est pas vraiment le genre de choses qu’on veut voir apparaître sur Internet toute sa vie. Afin de protéger la vie privée des enfants, nous n’afficherons aucune de ces images, mais vous pouvez voir que notre ratisseur a été en mesure de fournir une kyrielle de renseignements personnels en utilisant la fonction de clavardage en format libre. À éviter à tout prix! Qu’est-ce qui empêcherait un enfant d’inscrire son adresse, le nom de son école ou ses plans pour l’après-midi?

image Moviestar Planet

Exemple disponible en anglais seulement.

Par ailleurs, les ratisseurs ont constaté que les applications et les sites Web populaires auprès des enfants peuvent filtrer certains contenus mais n’empêchent pas les enfants de partager des détails personnels en ligne. Par exemple, le site Web de la FIFA, organisme de réglementation du soccer dont le site est populaire auprès des mordus de soccer de tout âge, supervise son site pour s’assurer du respect des conditions d’utilisation. Mais comme on peut le voir ci-après, notre ratisseur a pu y exprimer son âge et son emplacement. En conséquence, cette référence à la supervision vise davantage le caractère approprié du contenu. On sait bien comment peuvent être les amateurs de soccer!

Image FIFA

Exemple disponible en anglais seulement.

La page du site Web sur les conditions d’utilisation établit aussi que les parents sont entièrement responsables de surveiller les activités de leurs enfants sur le site. Il semble que c’est là que prend fin la responsabilité de la FIFA en ce qui concerne la supervision du contenu que peuvent échanger les enfants. Les parents ont bien sûr un rôle à jouer pour protéger la vie privée des enfants lorsqu’ils sont en ligne mais franchement, chère FIFA, cela ne vous empêcherait tout de même pas, de faire preuve d’esprit d’équipe. Si vous surveillez déjà le contenu, pourquoi ne pas veiller à ce que les enfants ne partagent pas trop d’information? Cette faute grave mérite un carton rouge.

Moins, c’est mieux!

Le profil affiché ne doit pas nécessairement tout dire. Laissez planer un peu de mystère!

Le site GamezHero.com est un site Web destiné aux enfants qui permet aux utilisateurs de publier dans leur profil une grande quantité de renseignements personnels, notamment leur nom, leur année, leur âge et leur ville. L’application affirme ne pas recueillir de renseignements auprès d’enfants âgés de moins de 13 ans, mais elle ne s’est pas privée d’afficher les renseignements d’un enfant de 10 ans. Heureusement, il n’y avait pas d’option permettant de télécharger une photo!

image gamezhero

Fourni uniquement en anglais.

Une interface similaire sur le site Family.ca limitait quant à elle les options pour la communication de renseignements personnels. La photo était une image prédéfinie et les messages, un texte fixe. En d’autres termes, les jeunes pouvaient choisir ce qu’ils voulaient écrire à partir d’une liste d’énoncés prédéfinis.

Image Family.ca (Moin c'est mieux)

Fourni uniquement en anglais.

Les choses peuvent être un peu plus délicates dans le cas des applications et des sites Web populaires. Même s’ils sont utilisés par de nombreux enfants, la plupart ne sont pas conçus pour les jeunes de moins de 12 ans. Citons à titre d’exemple le site Gurl.com. Comme vous pouvez le constater, la plateforme sociale s’adressant davantage aux adolescentes a recueilli et publié le nom et le prénom, la date de naissance, l’occupation et la ville de notre ratisseur âgé de 10 ans.

En outre, aucun avertissement ni aucune mesure n’empêchait les utilisateurs de télécharger des photos ou de publier des renseignements personnels sur les babillards, dont certains abordaient des sujets très délicats tels que la dépression, le suicide et l’automutilation.

En raison de l’absence de contrôles de protection, il est impossible de savoir quelle information les enfants pourraient afficher et qui pourrait la voir, ce qui soulève une foule de questions sur le potentiel d’atteinte à la réputation et au bien-être.

image gurl.com

Fourni uniquemement en anglais.

Par ailleurs assez bien adapté aux enfants, le site Santasvillage.ca comporte un mode de fonctionnement que nous ne pouvions passer sous silence. Le site offrait aux enfants un moyen facile de s’inscrire sur la liste du Père Noël – en donnant leur nom, leur prénom et leur adresse de courriel. En échange, il promettait de bombarder les abonnés de matériel de marketing. Merci quand même, Père Noël, mais nous attendrons plutôt la fée des dents!

image santasvillage.ca

Fourni uniquement en anglais.

Avatars

L’image que vous choisissez pour vous représenter en ligne ne doit pas nécessairement être personnelle. Par exemple, le site PBSkids.org, qui cible les enfants, a demandé à notre ratisseur de sélectionner une image dans une mosaïque d’icônes prédéfinies.

image pbskids.org

Fourni uniquement en anglais.

D’autres applications et sites Web demandaient aux ratisseurs de télécharger eux-mêmes leur avatar, ce qui ouvrait la porte à l’utilisation de photos personnelles. Par exemple, le site Cookie Monster Challenge nous a demandé de prendre un égoportrait pour notre profil. La politique de confidentialité générale laissait également entendre que les renseignements personnels pourraient être communiqués à des tiers.

Comme le dirait sans doute lui-même le monstre mangeur de biscuits : Parents pas contents quand Cookie avaler renseignements personnels sensibles comme photos et partager avec autres monstres.

image Cookie Monster Challenge 1

image Cookie Monster Challenge 2

Fourni uniquement en anglais.

Le nom, très révélateur

Il faudrait dissuader les enfants non seulement de publier leur photo en ligne, mais aussi d’utiliser leur propre nom.

Certains sites, comme Pottermore.com/fr, qui est destiné aux amateurs de Harry Potter, n’offrent pas cette option aux enfants. Le site a plutôt demandé aux ratisseurs de sélectionner un nom d’utilisateur sur une liste prédéterminée. Merci d’avoir pensé à la protection de nos jeunes camarades de Poudlard, Harry!

image Pottermore.com (Le nom, très révélateur)

Par ailleurs, le site de gestion de classe Classdojo.com/fr-CA, qui relie les enseignants, les élèves et leurs parents, a obtenu une note parfaite pour avoir indiqué aux ratisseurs, dans un langage simple et facile à comprendre pour les enfants, de ne pas utiliser leur vrai nom. Malheureusement, il a aussitôt dû être recalé, car le site n’a prévu aucune mesure pour nous empêcher d’utiliser notre vrai nom.

image classdojo.com

Fourni uniquement en anglais.

Contrôle parental

En ce qui concerne le contrôle parental, il y a des façons efficaces de limiter les fonctions d’une application ou d’un site Web pour protéger la vie privée. L’ajout d’un tableau de bord parental constitue un excellent moyen à cette fin. Voici quelques exemples d’applications et de sites Web qui permettent aux parents de rester aux commandes pour protéger la vie privée de leurs enfants.

L’application Grimm’s Red Riding Hood, qui cible les enfants, permet aux parents d’activer ou de désactiver certains paramètres, par exemple l’achat d’applications et l’accès au magasin.

image Grimm's Red Riding Hood

Fourni uniquement en anglais.

Citons également à titre d’exemple Battle.net, site de jeu populaire s’adressant aux jeunes de plus de 13 ans, mais aussi utilisé par des plus jeunes. Pour autant que les jeunes utilisateurs fournissent l’adresse de courriel valide d’un parent, les parents peuvent contrôler les paramètres à partir d’un tableau de bord assez détaillé.

Image de l'interface parentale du site battle.net permettant de contrôler les réglages de vie privée et la vidéoconférence.

Fourni uniquement en anglais.

Sur le site de réseautage social GeckoLife.com, les parents de jeunes enfants doivent créer un compte auquel ils peuvent ajouter leur enfant.

Image du site GeckoLife.com qui signale aux parents que leur enfant a demandé la création d'un compte.

Fourni uniquement en anglais.

Les parents peuvent également surveiller les activités de leur enfant, entre autres le téléversement de fichiers et les connexions avec d’autres utilisateurs. Toutefois, le site Web a recueilli une assez grande quantité de renseignements personnels auprès de notre ratisseur au cours du processus.

Image de l'interface du site GeckoLife.com qui permet aux parents d'ajuster les réglages de vie privée mais exige le nom complet, le sexe et la date de naissance de l'enfant.

Fourni uniquement en anglais.

Tout comme les enfants de première année à Poudlard doivent obtenir l’autorisation de leurs parents pour une escapade de fin de semaine à Pré-au-Lard, les jeunes utilisateurs de Pottermore.com doivent faire de même pour activer leur compte. Bien sûr, ils devront à cette fin utiliser un sortilège d’attraction : adresse de courriel parental, Accio! Bravo de faire participer les parents.

Mais ce site Web demandait non seulement l’adresse de courriel d’un parent, mais aussi le prénom de l’enfant, son pays, sa date de naissance et quels livres et films de Harry Potter il avait vu ou lu avant d’envoyer par courriel le lien menant au consentement parental. As-tu vraiment besoin de tous ces renseignements, Harry?

image pottermore.com (Contrôle parental)

Le site Web de poupées American Girl proposait des options permettant de recueillir des renseignements personnels dans le cadre de séries de questions et de concours, mais les parents devaient signer une dispense pour que leur enfant puisse afficher sa photo en compagnie de sa poupée favorite.

Image American Girl 1

Fourni uniquement en anglais.

Image American Girl 2

Fourni uniquement en anglais.

Les applications suivantes, qui ciblent manifestement et directement les enfants, ont trouvé des façons originales de garder les tout-petits en dehors des sections du site à l’intention des adultes, mais supposent à cette fin que les jeunes utilisateurs ne savent pas lire ou suivre des instructions très simples. Peut-être pourrait-on leur compliquer un peu la tâche? N’oublions pas que certains enfants apprennent comment faire glisser leur doigt sur l’écran d’une tablette avant même de savoir marcher!

Contrôle parental montrant que la portion du site est réservée aux adultes et qu'il faut entrer des numéros pour y avoir accès.

Fourni uniquement en anglais.

Contrôle parental sur le site qui exige de cliquer sur des lettres dans un certain ordre.

Fourni uniquement en anglais.

Suppression

Ce qui semble très simple est parfois bien compliqué! Le moins que l’on puisse dire, c’est que toutes les fonctions de suppression ne sont pas équivalentes. De « simple comme bonjour » à « mission impossible », voici toute la gamme de possibilités qui s’offrent lorsqu’il s’agit de la facilité de supprimer un compte.

Dans certaines applications ou certains sites Web, il suffisait d’un simple clic pour supprimer un compte. Par exemple, le site Web éducatif Quizlet.com permet aux utilisateurs de s’inscrire et de se joindre à des groupes d’études portant sur divers sujets. Une fois que l’utilisateur a terminé, il suffit de cliquer sur le bouton des paramètres situé dans la partie supérieure de l’écran, de faire défiler l’écran vers le bas et de cliquer sur le bouton de suppression.

image quizlet.com

Exemple disponible en anglais seulement.

D’autres applications et sites Web prévoyaient un processus en plusieurs étapes pouvant exiger l’envoi de courriels ou des appels téléphoniques à l’entreprise. Dans le cas de l’application de jeu ciblée Despicable Me: Minion Rush, l’option de suppression se trouvait enfouie au milieu de la politique de confidentialité.

Image Moi, Moche et Méchant : Minion Rush

Fourni uniquement en anglais.

Le site Web Stardoll.com, qui cible les enfants et leur permet de créer des poupées et d’interagir avec d’autres utilisateurs, exige que les parents ou les tuteurs remplissent un formulaire. En lisant l’extrait de la politique de confidentialité (voir ci-après), il est difficile de savoir si l’entreprise détruit véritablement les renseignements personnels qu’elle recueille ou bien si elle arrête simplement de les recueillir, de les utiliser et de les communiquer à des tiers. Compte tenu de la quantité d’information recueillie et publiée par ce site – pays, sexe, date de naissance et autres renseignements par l’intermédiaire de sa fonction en format libre – il a soulevé de vives préoccupations chez les ratisseurs.

Image Stardoll.com

Malheureusement, de nombreux sites Web et applications populaires recueillant des renseignements personnels n’offraient pas de moyens évidents pour supprimer les données d’un compte, laissant supposer à nos ratisseurs que leurs renseignements personnels demeureraient à jamais dans le cyberespace.

Dans le champ!

Il ne faut pas s’étonner que les enfants aiment cliquer sur les objets aux couleurs vives qui sont légion dans de nombreux sites Web et applications. Malheureusement, ces objets les dirigent parfois vers des sites ayant des pratiques différentes en matière de collecte de renseignements personnels ou un contenu douteux.

Les utilisateurs étaient souvent redirigés vers un autre site au moyen d’une publicité ou de l’icône d’un concours qui semblait parfois faire partie du site initial.

Environ le tiers des sites Web et applications ne redirigeaient les utilisateurs vers aucun autre site ou application. Bravo! En revanche, 14 % d’entre eux, y compris Barbie.fr, affichaient au moins un message éclair d’avertissement.

Image barbie.fr

D’autres applications et sites avaient des pratiques plus douteuses à cet égard. Par exemple, certains d’entre eux, y compris ceux ciblant directement les enfants, contenaient des annonces de boissons alcoolisées et de sites de rencontre susceptibles de détourner les utilisateurs qui cliquaient sur ces liens. Certains avaient même des icônes neutres qui, lorsqu’on cliquait dessus, dirigeaient les ratisseurs vers d’autres sites contenant des vidéos explicites et violentes. De quoi donner des frissons!

EN PRIME : La guerre des étoiles!

Les grandes vedettes de la chanson Justin Bieber, Taylor Swift et le groupe One Direction sont toutes très populaires auprès des jeunes de moins de 12 ans. Mais lequel des sites à l’intention des admirateurs en tient compte lorsqu’il s’agit de protéger les renseignements personnels des enfants?

Selon nos indicateurs, voici comment se comparent les sites de ces têtes d’affiche du monde musical.

Le site Taylorswift.com recueillait le nom d’utilisateur, le courriel, le nom et le prénom, la photo, la date de naissance, la ville, le sexe et l’occupation des utilisateurs. Il contenait également une fonction texte en format libre non supervisée où les utilisateurs pouvaient écrire ce que bon leur semblait. Le site pouvait afficher le nom d’utilisateur, la photo et la ville. Il tentait de bloquer les utilisateurs de moins de 13 ans, mais on pouvait facilement contourner cette mesure en modifiant sa date de naissance. Le site redirigeait également les visiteurs vers une demi-douzaine de sites de médias sociaux, le magasin Google Play et un autre magasin Taylor Swift recueillant lui aussi toute une variété de renseignements personnels. Enfin, selon la politique de confidentialité du site Web, les utilisateurs pouvaient accéder à leurs renseignements personnels, les mettre à jour ou les supprimer par courriel. Il est mentionné que les utilisateurs peuvent également le faire dans la section « my account » du site Web. C’est formidable, à un détail près : nous n’avons pas trouvé le bouton de suppression.

Le site Justinbiebermusic.com recueillait le prénom, le courriel, la date de naissance, le code postal et le pays des admirateurs. Il bloquait lui aussi les utilisateurs de moins de 13 ans, mais cette mesure pouvait être contournée de la même façon que dans le site Taylorswift.com. Le site contenait également des liens redirigeant les utilisateurs vers de nombreux sites de musique et de médias sociaux, notamment la page Facebook des admirateurs de la vedette populaire. Pour corriger, mettre à jour, modifier, supprimer ou retirer des renseignements personnels, les utilisateurs doivent envoyer une lettre par la poste à une adresse en Californie ou remplir un formulaire en ligne. Le site indique que les utilisateurs peuvent également le faire dans la page d’information à l’intention des membres, mais nous n’avons pu trouver cette page.

Par ailleurs, Onedirectionmusic.com ne recueillait pas de renseignements personnels directement sur le site, mais les utilisateurs pouvaient être redirigés vers de nombreux sites de médias sociaux et de musique. Toutefois, le magasin One Direction recueillait toute une variété de renseignements personnels.

Sans vouloir se brouiller avec nos idoles, il semble que les trois sites bénéficieraient d’un encadrement plus serré! Cela étant dit, selon notre dernier indicateur, les ratisseurs du Commissariat se sont dits le plus à l’aise avec le site de One Direction, qui semblait obtenir la note la plus élevée parmi les trois sites examinés en ce qui a trait à la protection de la vie privée. Dommage que le groupe se soit dissous:( Mais est-ce bien le cas?

Si nous reconnaissons qu’il peut être ardu de contrôler l’âge des visiteurs étant donné le génie de certains enfants pour contourner ces mécanismes, nous félicitons One Direction d’avoir limité la collecte. Souvenez-vous : ne recueillez rien dont vous n’avez pas besoin. Nous avons aussi vu d’autres sites qui reconnaissaient l’adresse URL d’un utilisateur et qui l’empêchait de revenir et d’inscrire une autre date de naissance pendant un certain temps pour lui refuser l’accès au site. D’autres redirigeaient automatiquement les jeunes utilisateurs vers une version pour enfants du site. Bien que plusieurs des contrôles de protection ne soient pas infaillibles, nous encourageons les développeurs à faire preuve de créativité et de trouver de nouveaux moyens de se servir de la technologie pour protéger les utilisateurs les plus vulnérables.

En guise de derniers mots . . .

Comme vous pouvez le constater, les ratisseurs du Commissariat à la protection de la vie privée du Canada ont trouvé de nombreux exemples édifiants d’applications mobiles et de sites Web qui ne recueillaient aucun renseignement personnel. Nous croyons qu’il existe de nombreuses façons efficaces de limiter – à tout le moins – la collecte de ces renseignements.

Lorsqu’il s’agit de protéger la vie privée des enfants en ligne, tout le monde a un rôle à jouer. Les enfants doivent pour leur part être éduqués sur les questions de protection des renseignements personnels numériques et sur les dangers de divulguer ses renseignements personnels en ligne. Les enseignants et les parents peuvent aider à inculquer aux enfants ces connaissances, et devraient eux-mêmes être conscients des sites Web et des applications que leurs enfants utilisent, et des types de renseignements qu’on leur demande de fournir. Enfin, les développeurs devraient se soucier de savoir qui sont leurs utilisateurs, et réduire, voire éliminer la collecte de renseignements personnels auprès des enfants grâce à des contrôles de protection de la vie privée innovants.

Après avoir analysé tous les résultats, comme le font nos partenaires provinciaux et internationaux, nous déterminerons ensemble les mesures de suivi qui s’imposent, le cas échéant.

Comme ce fut le cas au cours du ratissage de l’an dernier, dans le cadre de nos activités de suivi, nous pourrions communiquer notamment avec les organisations pour leur faire part de nos constatations et proposer des améliorations. Nous avons également la possibilité de prendre des mesures d’application de la loi.

Soit dit en passant, avant de publier ce billet, nous avons écrit aux entreprises mentionnées pour leur faire part de nos préoccupations. Selon notre expérience, l’éducation et la sensibilisation suffisent souvent à renforcer la protection de la vie privée.