L’application Tim Hortons responsable d’une atteinte massive à la vie privée

L’application mobile de Tim Hortons a enfreint les lois sur la protection des renseignements personnels en recueillant de «grandes quantités» de données de géolocalisation de nature sensible, selon le commissaire à la protection de la vie privée du Canada, Daniel Therrien. 

C’est ce que conclut une enquête conjointe des commissaires fédéral et provinciaux de protection des renseignements personnels, rendue publique mercredi.

Ainsi, les personnes qui avaient téléchargé l’application avant le début de l’enquête, soit en 2020, ont vu leurs déplacements suivis et enregistrés à quelques minutes d’intervalle même lorsque leur application n’était pas ouverte, ce qui contrevient aux lois canadiennes sur la protection des renseignements personnels.

L’application se servait des données de géolocalisation pour déduire où habitaient et travaillaient les utilisateurs, en plus d’établir s’ils étaient en déplacement. Elle générait une mention chaque fois que les utilisateurs entraient dans des entreprises concurrentes à Tim Hortons ou en sortaient. La même alerte était émise à chaque fois qu’un utilisateur entrait dans un lieu où se tenait des événements sportifs, leur résidence et leur lieu de travail.

«Tim Hortons est allée beaucoup trop loin en amassant une très grande quantité de renseignements de nature très sensible au sujet de ses clients. Cette affaire révèle une fois de plus les torts que peuvent causer des technologies qui sont mal conçues. Elle fait aussi ressortir la nécessité d’établir des lois rigoureuses pour protéger les renseignements personnels des Canadiens», a déclaré Daniel Therrien, commissaire à la protection de la vie privée du Canada, par communiqué.

L’entreprise a cessé d’effectuer le suivi de ces données après le début de l’enquête. Les conséquences pour ce genre d’action sur le plan législatif risquent d’être minimes, puisque rien n’est prévu dans la Loi sur la protection des renseignements personnels du Canada et dans les lois protégeant les renseignements personnels.

«Sans une évaluation préalable appropriée, Tim Hortons a recueilli des renseignements sensibles sur ses clients par le biais de son application, sans qu’ils en soient adéquatement informés ou y aient consenti. C’est pour mettre fin à ce genre de pratiques que le Québec a revu sa législation protégeant les renseignements personnels de manière à donner plus de pouvoirs à la Commission et à responsabiliser davantage les entreprises», a pour sa part déclaré Me Diane Poitras, présidente de la Commission d’accès à l’information du Québec.

Ainsi, à compter de septembre 2023, «des sanctions importantes sont prévues pour les entreprises qui n’adopteront pas des pratiques responsables, transparentes et conformes à la législation», a précisé Mme Poitras.