Vu via le tweet du Bouillon, le Canada aurait lancé un ultimatum au site de réseau social Facebook au motif que ce dernier ne respecterait pas la Loi sur la protection des renseignements personnels et des documents électroniques (LPRPDE).

Les problèmes autour du respect de la vie privée par les sites de réseaux sociaux -et par nombre de sites se réclamant du 2.0 plus largement- ne sont pas récents et ont déjà fait parler d'eux mais c'est la première fois à ma connaissance qu'un état ou plus exactement qu'une commission nationale intervient directement.

C'est en effet suite à une plainte déposée par la Clinique d’intérêt public et de politique d’Internet du Canada (CIPPIC) que le Commissariat à la protection de la vie privée au Canada s'est penchée sur l'utilisation des données personnelles par le site de réseau social.

Dans le cadre de son enquête, le Commissariat s’est penché sur la question de savoir si Facebook donnait suffisamment d’information pour soutenir le consentement valable des utilisateurs en documentant les fins de la collecte, de l’utilisation et de la communication des renseignements personnels et en portant ces fins à l’attention des personnes de manière raisonnablement directe et transparente. La question de la conservation des renseignements personnels fait plus précisément surface dans les allégations relatives à la désactivation et à la suppression des comptes ainsi qu’aux renseignements des non-utilisateurs. La question des mesures de sécurité occupait une place importante dans les allégations relatives aux applications de tiers et à Facebook Mobile.

Rapporte le commissaire dans son rapport, disponible en ligne en version intégrale.

Pour être précis, le rapport examine 11 points distincts et apporte pour chacun ses conclusions décrétant pour certains que la plainte n'est pas fondée (par exemple, tromperie et fausse représentation, Facebook Mobile), pour d'autres que la plainte est fondée mais résolue au regard des réponses et des mesures correctives de Facebook (par exemple, les paramètres de confidentialité par défaut et la publicité), pour d'autres encore que la plainte est fondée (par exemple soit les applications de tiers, la désactivation et la suppression du compte, les comptes des utilisateurs décédés, et les renseignements personnels des non-utilisateurs) et que l'entreprise doit encore faire des efforts et accepter les modifications préconisées par le Commissariat.

Un suivi est censé être opéré 30 jours après ces premières conclusions, vérifiant d'une part que les premières mesures correctives sont toujours en place et d'autre part espérant que celles préconisées mais refusées soient finalement adoptées.

Du coup, je me demande ce qu'il en sera au bout de ce laps de temps. La seule phrase trouvée à ce sujet est "À défaut de telles preuves, nous déterminerons le meilleur moyen de traiter toute autre question non résolue conformément à nos pouvoirs" ce qui en soit ne veut pas dire grand chose. L'affaire sera-t-elle portée devant les tribunaux ? Avec quelle conséquence ? Ou un accord à l'amiable sera-t-il trouvé ? Sur quelles bases ? A dire vrai, maintenant que la discussion est lancée, les échanges vont devenir d'autant plus intéressants...