Café et pâtisseries gratuits pour compenser la surveillance permanente
Au Canada, la chaîne de cafés Tim Hortons a trouvé un accord avec quatre groupes de plaignants dans le cadre d’un litige concernant des données de localisation collectées : La société a suivi pendant 18 mois les moindres faits et gestes de ses clients par le biais d’une application et a revendu ces informations. Les personnes affectées recevront alors un café et une pâtisserie gratuits.
« Toutes les parties sont d’accord pour dire qu’il s’agit d’un accord équitable », écrit l’entreprise au magazine informatique Motherboard. Selon l’accord, aucune autre sanction n’est prévue. Les tribunaux compétents du Québec, de la Colombie-Britannique et de l’Ontario doivent encore l’approuver.
Comme l’a expliqué l’Office canadien de la protection de la vie privée (OPC) après une enquête en juin, l’application de la chaîne de restaurants demandait toutes les trois à cinq minutes la localisation des smartphones et d’autres données d’appareils de ses clients entre le 1er avril 2019 et le 30 septembre 2020, même si l’application n’était pas ouverte. Les conditions d’utilisation promettaient pourtant que la localisation n’était collectée que lorsque l’application était ouverte. « En réalité, l’application suivait les utilisateurs tant que l’appareil était allumé », écrit l’OPC.
Selon l’autorité, les données de localisation étaient utilisées, entre autres, pour déterminer où les utilisateurs habitaient, où ils travaillaient et s’ils étaient en déplacement. L’application enregistrait également quand les utilisateurs entraient ou sortaient d’un magasin concurrent, de grands complexes sportifs, de leur domicile ou de leur lieu de travail. L’entreprise prévoyait que cette collecte de données lui permettrait de mieux cibler la publicité pour ses produits.
Après l’enquête, l’OPC a mis en garde : « Les données de localisation sont très sensibles […]. Elles peuvent être utilisées pour tirer des conclusions sur les convictions religieuses, les préférences sexuelles, les appartenances sociopolitiques et plus encore ».
Selon les déclarations de l’entreprise, l’application compterait environ quatre millions d’utilisateurs actifs. Tim Hortons exploite près de 5000 magasins à travers le monde et est la première chaîne de cafés du Canada.
Risque d’identification
Le journaliste canadien James McLeod a découvert la collecte excessive de données au milieu de l’année 2020, à la suite de quoi l’OPC a ouvert une enquête en collaboration avec les autorités de certaines provinces – et Tim Hortons a cessé le suivi continu de la localisation en septembre 2020.
L’OPC a également constaté que la chaîne de cafés transmettait les données à l’entreprise américaine Radar Labs et l’autorisait à faire du commerce avec les données. Bien que les données aient dû être anonymisées avant d’être transférées, l’OPC a mis en garde contre le « risque réel que les données de géolocalisation anonymisées soient à nouveau identifiées ». C’est également ce qu’a montré un rapport de recherche de l’organisme canadien de protection des données.
Dans le cas du journaliste McLeod, l’application du café a collecté plus de 2700 enregistrements GPS en moins de cinq mois. En outre, le programme a enregistré, entre autres, les mouvements de l’appareil, le niveau de charge de la batterie, l’adresse IP, l’opérateur de réseau mobile, l’espace de stockage disponible, l’identifiant publicitaire Android et l’activité Bluetooth.
Pas conscience d’être coupable
Le commissaire canadien à la protection de la vie privée, Daniel Therien, a commenté l’affaire : « Tim Hortons a clairement dépassé les bornes […]. Suivre les mouvements des gens toutes les quelques minutes chaque jour était clairement une forme de surveillance inappropriée. Ce cas souligne une fois de plus […] la nécessité de lois strictes sur la protection des données pour protéger les droits des Canadiens ».
Tim Hortons a annoncé qu’il allait désormais supprimer les données d’utilisateurs enregistrées, tout comme Radar Labs. Un aveu de culpabilité de la part de l’entreprise reste cependant absent même après l’accord. L’entreprise a déclaré que les accusations portées n’avaient pas été prouvées devant le tribunal et que l’accord ne constituait pas un aveu de faute. L’enquête des autorités de protection des données avait cependant constaté des violations de facto de la loi fédérale canadienne sur la protection des données.
L’entreprise a informé vendredi par e-mail les utilisateurs d’applications concernés de l’accord et de la compensation des dommages par la nourriture. Dans la lettre, la valeur de la boisson chaude est estimée à 6,19 dollars canadiens (plus les taxes) et le prix d’achat de la pâtisserie à 2,39 dollars.
Lorsqu’un utilisateur de Twitter a demandé avec indignation quels avocats avaient pu accepter cet accord, le journaliste plaignant a répondu : « Ils aiment probablement les donuts ». (hcz)