Une enquête du Commissariat à la protection de la vie privée révèle que le site de réseautage social Nexopia, dédié aux jeunes, a contrevenu « à plusieurs aspects de la loi fédérale sur la protection des renseignements personnels dans le secteur privé, la Loi sur la protection des renseignements personnels et les documents électroniques ».
Fondée en 2003, Nexopia est une entreprise basée à Edmonton qui compte plus de 1,6 million d’utilisateurs inscrits. Près de la moitié d’entre eux habitent en Alberta ou en Colombie‑Britannique. Plus du tiers des utilisateurs actifs de Nexopia sont âgés de 13 à 18 ans, selon le Commissariat à la vie privée.
« Notre enquête démontre que les paramètres de confidentialité par défaut du site sont inappropriés, que Nexopia a fourni des renseignements inadéquats sur un certain nombre de pratiques de protection des renseignements personnels et que l’entreprise conserve des renseignements personnels indéfiniment, même si une personne a choisi l’option “supprimer un compte” », soutient la commissaire à la protection de la vie privée, Jennifer Stoddart, dans un communiqué diffusé jeudi.
Après analyse, la commissaire a formulé 24 recommandations « visant à mieux expliquer les pratiques de protection des renseignements personnels du site aux utilisateurs et à fournir un plus grand contrôle sur la communication des renseignements personnels ».
Mme Stoddart souligne que « Nexopia a bien collaboré tout au long de l’enquête et nous nous réjouissons du fait que l’organisation a accepté la plupart de nos recommandations, mais certaines questions importantes ne sont pas encore résolues ».
« Les questions non résolues concernent quatre recommandations visant à répondre aux préoccupations soulevées par la conservation des renseignements personnels des utilisateurs par Nexopia. L’entreprise conserve ces renseignements indéfiniment, même si la loi fédérale sur la protection des renseignements personnels oblige les entreprises à élaborer des politiques sur la conservation », ajoute la commissaire.
« Nous avons recommandé à Nexopia de préparer une telle politique et d’offrir une véritable option « supprimer » aux utilisateurs. Nexopia a cependant rétorqué que les coûts des changements à apporter au système pour permettre de supprimer définitivement des renseignements sont prohibitifs », ajoute Mme Stoddard.
« L’entreprise soutient également que l’archivage des renseignements personnels pour une durée indéterminée est utile dans l’éventualité où un organisme d’application de la loi demande de consulter les données. À notre avis, bien que de telles demandes puissent justifier une période de conservation plus longue pour certains cas particuliers, elles ne justifient pas la conservation entière et indéfinie de tous les dossiers, sous prétexte qu’une demande pourrait être faite un jour », ajoute le communiqué.
« Nous sommes déçus de la position de Nexopia en ce qui a trait à ces questions non résolues. Nous aborderons celles‑ci à l’aide des pouvoirs qui me sont conférés par la LPRPDE, ce qui comprend la possibilité de demander à la Cour fédérale que les recommandations soient appliquées », explique la commissaire Stoddart.
La commissaire à la vie privée s’est intéressée au site à la suite d’une plainte déposée par le Centre pour la défense de l’intérêt public, basé à Ottawa. Il s’agissait de la première enquête du Commissariat à la protection de la vie privée du Canada sur un site de réseautage social conçu spécialement pour les jeunes.
Pour me joindre :
