Le Commissariat à la protection de la vie privée du Canada (CPVPC) vient de publier son rapport d'enquête sur l'utilisation par Apple d'identifiant unique d'appareil (UDID) à des fins de publicités ciblées.
Même si le CPVPC conclut que la plainte est résolue car Apple a modifié ses pratiques durant l'enquête (par. 50 et 57), le CPVPC rappelle néanmoins que:
- "des renseignements qui, à eux seuls, peuvent ne pas être considérés comme personnels peuvent être considérés comme personnels lorsqu'une organisation a la capacité d'établir un lien entre ces renseignements et un individu identifiable" (par. 34). Dès lors même si les identifiants utilisés par Apple, "en eux-même et indépendamment de tout autre renseignement disponible, ne permettent pas nécessairement d'identifier un individu, [Apple a néanmoins] la capacité de faire le rapprochement entre ces identifiants et des individus [notamment "en cas de fraude, aux fins du soutien à la clientèle ou pour se conformer à un ordre de la Cour" (par. 11)]" (par. 35). Par conséquent, "étant donné qu'Apple peut associer ses [identifiants] à des détenteurs de comptes personnels Apple, [le CPVPC] est d'avis que les identifiants [utilisés par Apple] constituent des renseignements personnels au sens de la [Loi sur la protection des renseignements personnels et les documents électroniques ou LPRPDÉ]" (par. 35);
- en vertu de la LPRPDÉ, le consentement peut prendre une forme différente en fonction "de la nature et de la sensibilité des renseignements et des attentes raisonnables de l'individu" (par. 36) tout en précisant que les avis expliquant les raisons de la collecte et les utilisations qui seront faites des renseignements personnels doivent être "suffisamment clair[s] et compréhensible[s] pour servir de fondement à un consentement valable des utilisateurs à l'utilisation [des identifiants] aux fins de la publicité comportementale en ligne" (par. 40). Comme Apple a modifié ses pratiques en cours d'enquête, le CPVPC considère que les avis sont suffisants (par. 40);
- Apple, comme elle "contrôle le fonctionnement de son système d'exploitation iOS, puisque c'est elle qui l'a conçu" (par. 43) doit "s'assurer que l'utilisateur donne un consentement valable à la communication de [ses] renseignements personnels" (par. 44) aux développeurs d'applications. Comme les pratiques d'Apple ont été modifiés en cours d'enquête (i.e. réglage de l'appareil et Apple ne donne plus accès aux identifiants en cause aux développeurs d'application depuis le 1er mai 2013), le CPVPC considère que le consentement est "valable à ce qu'Apple communique [l'identifiant] à des développeurs d'applications à des fins publicitaires" (par. 47).
Pour aller plus loin,
- COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, Rapport de conclusions en vertu de la LPRPDÉ n°2013-017.
Aucun commentaire:
Enregistrer un commentaire
Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.