GATINEAU, QC, le 24 oct. 2017 /CNW/ – Le ratissage de certaines applications en ligne fréquemment utilisées dans les salles de classe au Canada a démontré que de nombreux fournisseurs de services tiennent compte des besoins des jeunes utilisateurs en matière de protection de la vie privée; toutefois, d’autres affichent certaines lacunes.
« Nous constatons avec satisfaction que bon nombre des concepteurs d’applications que nous avons étudiées prennent les mesures nécessaires pour protéger la vie privée des enfants et des jeunes, en offrant, par exemple, des explications adaptées aux enfants afin qu’ils comprennent pourquoi des renseignements personnels sont recueillis », affirme Daniel Therrien, commissaire à la protection de la vie privée du Canada.
« Malheureusement, nous avons relevé des cas d’applications éducatives qui doivent faire mieux. Nous sommes préoccupés de constater l’existence de sites Web qui encouragent les élèves à fournir plus de renseignements personnels que nécessaire. »
Le Commissariat à la protection de la vie privée du Canada (CPVP) a pris part au cinquième ratissage annuel pour la protection de la vie privée du Global Privacy Enforcement Network (GPEN), auquel ont aussi participé 24 organismes de réglementation de la protection des données de partout dans le monde.
Cette année, le CPVP a travaillé en collaboration avec le Bureau du commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP) afin d’examiner certaines questions de protection de la vie privée en lien avec des applications éducatives visant les enfants et les jeunes de la maternelle à la douzième année. Ensemble, les deux organismes ont examiné plus d’une vingtaine d’applications et plateformes.
Les « ratisseurs » ont examiné les politiques de confidentialité des applications ainsi que les renseignements personnels recueillis et les mesures mises en place pour protéger les renseignements personnels.
Pour faire suite au ratissage, le CPVP a produit un rapport détaillant les principaux points à retenir pour les fournisseurs de services et d’outils éducatifs en ligne ainsi que pour les utilisateurs.
Voici les principales constatations du ratissage :
- La plupart des services affichaient l’information sur la manière dont ils traitent les renseignements personnels, mais la qualité de cette information était variable et parfois difficile à trouver.
- Des préoccupations ont été soulevées quant à la manière dont certains services obtenaient le consentement pour la collecte et l’utilisation des renseignements personnels. Par exemple, plus du tiers ne cherchaient pas à obtenir le consentement des élèves ou de leurs parents, ni à offrir aux enseignants les ressources nécessaires en vue de l’obtenir.
- Seule une poignée de services avaient mis en place différents mécanismes de consentement pour les élèves en fonction de l’âge, ce qui était surprenant considérant les différences au niveau de la capacité des enfants d’âges différents de comprendre ce que sont des pratiques sécuritaires et appropriées en matière de protection de la vie privée.
- Certains services employaient des pratiques visant à réduire au minimum la collecte et la divulgation des renseignements personnels des élèves et avaient mis en place des contrôles permettant aux enseignants et aux parents de superviser ou de configurer des limites appropriées selon l’âge des élèves quant à la collecte et à la divulgation des renseignements personnels de ces derniers. Cependant, dans certains cas, trop de renseignements personnels étaient recueillis. Par exemple, une plateforme de blogue conçue pour une utilisation en milieu scolaire avait recours à des champs pour la collecte des pseudonymes de messagerie instantanée, des photos et des biographies des élèves.
- Dans le cas de nombreux services, il était difficile, voire impossible, de supprimer les renseignements personnels qui n’étaient plus utiles.
Le ratissage du CPVP ne constituait pas une enquête. Il ne visait pas non plus à relever de façon concluante les problèmes liés à la conformité ou d’éventuelles infractions aux lois qui assurent la protection de la vie privée. Les « ratisseurs » cherchaient plutôt à vivre l’expérience de l’utilisateur en consacrant quelques instants sur les sites Web et applications pour consigner certaines pratiques en matière de respect de la vie privée relativement à un ensemble d’indicateurs commun.
L’initiative vise à inciter les organisations à se conformer aux lois sur la protection des renseignements personnels et à améliorer la coopération entre les organismes chargés de l’application des lois en matière de protection de la vie privée. Les préoccupations relevées au cours du ratissage donneront lieu à un travail de suivi comme une campagne d’information ciblée, la sensibilisation des organisations ou la mise en place de mesures d’application de la loi.
Le thème principal sélectionné pour le ratissage de 2017 du GPEN était « le contrôle qu’exercent les utilisateurs sur leurs renseignements personnels ». Les organismes de réglementation participants ont adopté différentes approches dans le cadre de cette initiative. Dans son ensemble, le ratissage a démontré que les énoncés de confidentialité des sites Web sont souvent trop vagues et généralement inadéquats.
Au sujet du commissaire à la protection de la vie privée du Canada
Le Parlement a confié au commissaire à la protection de la vie privée du Canada le mandat d’agir à titre d’ombudsman et de gardien du droit à la vie privée au Canada. Le commissaire est responsable de l’application de deux lois fédérales relatives à la protection des renseignements personnels : la Loi sur la protection des renseignements personnels, qui s’applique au secteur public fédéral, et la Loi sur la protection des renseignements personnels et les documents électroniques, qui s’applique aux organisations du secteur privé au Canada.
Voir également :
Communiqué du Bureau du commissaire à l’information et à la protection de la vie privée de l’Ontario intitulé « New IPC report on online teaching tools & best practices for protecting student privacy » (disponible en anglais seulement)
Communiqué de la commissaire à l’information du Royaume-Uni intitulé « International enforcement operation finds website privacy notices are too vague and generally inadequate » (disponible en anglais seulement)
SOURCE Commissariat à la protection de la vie privée du Canada