Tim Hortons a enfreint la loi sur la protection de la vie privée

La façade d'un restaurant Tim Hortons. Photo : Radio-Canada / Ivanoh Demers
Anaïs Brasier
 
| Mis à jour
 

Le commissaire à la protection de la vie privée du Canada, Daniel Therrien, estime que l’application de Tim Hortons a enfreint les lois sur la protection des renseignements personnels en recueillant de « grandes quantités » de données de géolocalisation de nature sensible, au terme d’une enquête qui a duré près de deux ans.

Les personnes qui ont téléchargé l’application de Tim Hortons avant le début de l’enquête, en juin 2020, ont vu leurs déplacements suivis et enregistrés à quelques minutes d’intervalle chaque jour, et ce, même lorsque l’application n’était pas ouverte.

Cela contrevient aux lois canadiennes sur la protection des renseignements personnels, estime le commissaire dans son rapport publié mercredi matin.

C’est un journaliste du National Post, James McLeod, qui a sonné l’alarme en 2020, après avoir obtenu des données montrant que l’application de Tim Hortons sur son téléphone cellulaire avait suivi sa position plus de 2700 fois en moins de cinq mois.

La géolocalisation se produisait même lorsque l’application n’était pas ouverte sur son téléphone. Les visites probables chez des restaurants concurrents ainsi que les adresses domiciliaire et professionnelle du journaliste figuraient parmi les données enregistrées.

Sans consentement valable des utilisateurs

L’enquête qui s’en est suivie visait à déterminer si Restaurant Brands International, la société mère de Tim Hortons, obtenait un consentement valable des utilisateurs pour collecter et utiliser leurs données de localisation.

Le commissaire a conclu que, si l’application demandait bel et bien la permission d’accéder aux services de géolocalisation, elle était toutefois trompeuse en laissant croire aux utilisateurs que l’accès aux données ne s’effectuait que lorsqu’elle était ouverte.

« Cette enquête envoie un message clair aux organisations : vous ne pouvez pas espionner vos clients simplement parce que cela s’inscrit dans votre stratégie de marketing. »

— Une citation de  Michael McEvoy, commissaire à l’information et à la protection de la vie privée de la Colombie‑Britannique

Non seulement ce genre de collecte de renseignements représente une violation de la loi, mais c’est aussi un abus de confiance total envers les clients, a déclaré Michael McEvoy, commissaire à l’information et à la protection de la vie privée de la Colombie‑Britannique, qui a participé à l’enquête.

Identifier le domicile des clients

L’application puisait aussi des données de géolocalisation pour déduire où habitaient et travaillaient les utilisateurs, est-il écrit dans le communiqué du commissaire à la protection de la vie privée.

Elle générait un événement chaque fois que les utilisateurs entraient dans les lieux suivants ou en sortaient : concurrents de Tim Hortons, principaux sites où se tiennent des événements sportifs, lieu de résidence et lieu de travail.

L’entreprise s’est défendue en disant qu’elle ne se servait des données de géolocalisation que de façon limitée avec l’objectif d’analyser les tendances des utilisateurs.

Tim Hortons a cessé son suivi continu des données de géolocalisation des utilisateurs en 2020, après le début de l’enquête.

Un danger

Mais le commissaire estime que cela n’a pas éliminé le risque de surveillance et d’identification. Il est en fait facile d’identifier des individus grâce à leurs déplacements, explique-t-il.

En plus de pouvoir déterminer le lieu de résidence et de travail d’un individu, ces informations permettent de faire des déductions à propos des croyances religieuses, des préférences sexuelles et des affiliations politiques, entre autres.

L’enquête a aussi révélé que le contrat qu’avait conclu Tim Hortons avec un tiers américain fournisseur de services de géolocalisation « contenait un libellé à ce point large et peu encadré que ce tiers aurait pu vendre les données de géolocalisation dépersonnalisées à ses propres fins ».

« Tim Hortons est allé beaucoup trop loin en amassant une très grande quantité de renseignements de nature très sensible au sujet de ses clients. »

— Une citation de  Daniel Therrien, commissaire à la protection de la vie privée du Canada

Le commissaire Daniel Therrien a mené l’enquête conjointement avec les commissaires à la protection de la vie privée de la Colombie-Britannique, du Québec et de l’Alberta.

Des recommandations

Les quatre autorités de protection de la vie privée ont formulé les recommandations suivantes à l’intention de l’entreprise :

  • Supprimer toutes les données de géolocalisation restantes et exiger des fournisseurs de services tiers qu’ils fassent de même;

  • Instaurer et maintenir un programme de gestion de la protection des renseignements personnels;

  • Faire rapport de manière détaillée des mesures prises par l’entreprise pour se conformer aux recommandations.

Tim Hortons a accepté de mettre en œuvre ces recommandations.

Source : https://ici.radio-canada.ca/nouvelle/1887713/application-geolocalisation-renseignements-personnels-canada