Photo by Caleb Woods on Unsplash

Rapport et recommandations en matière de renseignements personnels d’usagers mineurs

Le Commissariat à la protection de la vie privée du Canada (le « Commissariat ») publiait il y a quelques jours son rapport suivant le ratissage effectué cette année par l’initiative nommée Global Privacy Enforcement Network (ou « GPEN ») (le « ratissage »). Cette année, le GPEN s’est penché en particulier sur des services en ligne (par ex. des sites Web) destinés aux étudiants du primaire et du secondaire -donc généralement mineurs. Le but ici était notamment de faire un tour d’horizon de ce type de services/plateformes, en en examinant une vingtaine opérant au Canada et, surtout, comment chaque fournisseur et service interagit avec l’usager et ses renseignements personnels.

Le résultat de ce ratissage permet au Commissariat de nous faire part de ses préoccupations et recommandations quant à ce qu’il a constaté et ce qu’il aimerait voir à l’avenir, autant pour les fournisseurs de ce type de services que pour les autres. Ce rapport s’avère donc utile comme exemple de ce que le Commissariat considère comme de bonnes pratiques, particulièrement en ce qui touche le contrôle que peuvent exercer (ou non) les usagers quant à leurs renseignements. En l’occurrence, le ratissage effectué cette année révèle une grande disparité dans la façon dont les fournisseurs traitent les renseignements personnels de leurs usagers, même quand ces derniers s’avèrent mineurs. Pour le Commissariat, les pratiques problématiques couvrent quatre grands thème :

  1. La question de la transparence de ce que le fournisseur pourra faire avec les renseignements qu’il recueille

Les entreprises devraient faciliter l’accès à leur description de leurs pratiques en matière de renseignements personnels. Bien que la plupart des entreprises disposent maintenant de politique placées en ligne, la qualité de ce qu’on y énonce varie encore passablement. L’information en question n’est pas non-plus toujours facile à accéder au moment de s’inscrire.

Leçon pour les entreprises à ce sujet : clarifiez vos politiques (en langage clair) et référez-y les usagers directement au moment de leur inscription.

  1. La façon dont on obtient le consentement des usagers, particulièrement des mineurs

Pour le Commissariat, le fait qu’un tiers des services ratissés n’obtenaient pas le consentement de l’individu visé (seulement le consentement de l’enseignant) s’avère problématique. Sans grande surprise, on aimerait voir à chaque fois un consentement exprimé par l’individu visé ou, pour un mineur, celui d’un parent. Le ratissage révèle aussi que les fournisseurs font généralement peu d’efforts pour adapter leurs explications en matière de renseignements personnels à l’âge de l’individu. Or, pour des adolescents (13-18), le degré de compréhension peut évidemment grandement varier en fonction de l’âge, ce pourquoi les explications devraient être adaptées en conséquence.

Leçon pour les entreprises à ce sujet : un consentement doit évidemment être exprimé par la personne visée ou le détenteur de l’autorité parentale, au besoin, en adaptant l’information si on s’adresse à un adolescent.

  1. Le contrôle de la cueillette et de la divulgation éventuelle des renseignements

Le Commissaire encourage les entreprises à réduire au minimum la quantité de renseignements personnels que leurs services permettent de recueillir auprès d’usagers, particulièrement ceux qui s’avèrent mineurs. À l’inverse, le fait de permettre à de tels usagers de fournir plus de renseignements est à décourager, même si c’est sur une base volontaire. Les services qui s’adressent aux adolescents et aux enfants devraient aussi inclure des dispositifs de contrôle destinés aux parents et aux enseignants.

Leçon pour les entreprises à ce sujet : Ne demandez pas plus d’information que ce qui est strictement nécessaire et offrez des outils de contrôle aux parents si certains de vos usagers sont mineurs.

  1. La possibilité (ou l’impossibilité) de supprimer ses renseignement chez ce fournisseur

Environ le tiers des fournisseurs visé par le ratissage n’offraient pas de dispositif visant à permettre à l’usage de supprimer son compte et/ou des renseignements personnels. C’est évidemment là quelque chose qui doit être évité, question de faciliter l’exercice par les usagers de leurs droit de faire supprimer leurs renseignements au besoin. Certains services conservaient aussi des données pour une durée indéterminée, ce qui est évidemment à proscrire, puisque ces données doivent être conservés seulement le temps nécessaire pour réaliser les fins déclarées.

Leçon pour les entreprises à ce sujet : donnez des outils aux usagers pour supprimer leurs renseignements dans votre base de données et munissez-vous (et publiez) des règles clairs quant à quand les données seront supprimées de votre système.

 

 

 

One comment

Laisser un commentaire

Entrer les renseignements ci-dessous ou cliquer sur une icône pour ouvrir une session :

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l’aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s