Extraits pertinents : 

2. Le 15 juillet 2015, une personne ou un groupe se faisant appeler « The Impact Team » a annoncé qu’il avait piraté ALM et menaçait de publier les renseignements personnels des utilisateurs d’Ashley Madison à moins qu’ALM ne ferme ce site ainsi qu’un autre de ses sites, Established Men. L’entreprise n’a pas obtempéré. Le 20 juillet 2015, à la suite de reportages dans les médias et sur invitation du Commissariat à la protection de la vie privée du Canada (CPVP), ALM lui a fourni de son plein gré des détails concernant l’incident. Par la suite, les 18 et 20 août 2015, The Impact Team a publié des renseignements qu’il affirmait avoir volés à ALM, y compris les détails de près de 36 millions de comptes d’utilisateur d’Ashley Madison. Le piratage d’ALM par « The Impact Team » et la publication subséquente de données piratées en ligne constituent l’incident désigné dans le présent rapport par l’expression « atteinte à la sécurité des données ».

3. Étant donné l’ampleur de l’atteinte à la sécurité des données, la sensibilité des renseignements en jeu, les conséquences sur les personnes touchées et la dimension internationale des activités d’ALM, le Commissariat à l’information de l’Australie (Office of the Australian Information Commissioner — OAIC) et le CPVP ont mené une enquête conjointe sur les pratiques d’ALM en matière de protection de la vie privée au moment de l’atteinte à la sécurité des données. Leur enquête conjointe a été menée conformément à la Privacy Act de 1998 de l’Australie (Privacy Act de l’Australie) et à la Loi sur la protection des renseignements personnels et les documents électroniques du Canada (LPRPDE). La collaboration des deux organismes a été possible du fait que l’OAIC et le CPVP sont parties à l’Accord de coopération sur la protection transfrontière des données du Forum de coopération économique Asie Pacifique (APEC) et conformément aux paragraphes 40(2) de la Privacy Act de l’Australie et 11(2) et 23.1 de la LPRPDE.

5.La première question considérée consistait à déterminer si les mesures de sécurité prises par ALM pour protéger les renseignements personnels de ses utilisateurs étaient adéquates. Même si « The Impact Team » a compromis la sécurité d’ALM, cela ne signifie pas nécessairement que l’entreprise a contrevenu à la LPRPDE ou à la Privacy Act de l’Australie. Pour le déterminer, il faut savoir :

• dans le cas de la LPRPDE : si, au moment de l’incident, ALM avait mis en œuvre des mesures de sécurité correspondant au degré de sensibilité des données qu’elle détenait;
• dans le cas de la Privacy Act de l’Australie : si, au moment de l’incident, ALM avait pris les mesures raisonnables dans les circonstances pour protéger les renseignements personnels qu’elle détenait.

6. L’enquête a aussi examiné certains aspects des pratiques d’ALM en matière de traitement des données :

• la conservation des renseignements personnels des utilisateurs après la désactivation ou la suppression du profil par ces derniers et en cas d’inactivité de leur compte (c. à d. lorsque l’utilisateur n’y a pas accédé depuis longtemps);
• l’imposition de frais aux utilisateurs pour la « suppression définitive » de leur profil;
• la non-confirmation de l’exactitude de l’adresse de courriel de l’utilisateur avant de la recueillir ou de l’utiliser;
• la transparence d’ALM envers les utilisateurs concernant ses pratiques de traitement des renseignements personnels.

7. L’enquête a révélé de nombreuses infractions aux APP et à la LPRPDE.

8. ALM avait mis en place toute une gamme de mesures de protection des renseignements personnels, mais elle ne disposait pas d’un cadre général de sécurité de l’information adéquat pour déterminer si la sécurité de l’information était adéquate. Certaines mesures de sécurité dans certains domaines étaient insuffisantes ou inexistantes au moment de l’incident.

9. Les conclusions énoncées dans le présent rapport comportent des leçons importantes pour d’autres organisations qui détiennent des renseignements personnels. Selon la leçon qui s’applique le plus largement, les organisations qui détiennent des renseignements personnels sous forme électronique doivent adopter des processus, des procédures et des systèmes explicites et appropriés afin de gérer les risques d’atteinte à la sécurité des données. Elles doivent également posséder l’expertise adéquate (interne ou externe) pour ce faire. C’est particulièrement important lorsqu’il s’agit de renseignements sensibles dont la communication pourrait porter gravement atteinte à la réputation des personnes touchées ou leur causer préjudice autrement. Les organisations qui détiennent des renseignements personnels sensibles ou de grandes quantités de renseignements personnels, comme c’était le cas dans ce dossier, devraient mettre en place des mesures de sécurité de l’information, entre autres :

• une ou plusieurs politiques de sécurité;
• un processus de gestion des risques explicite qui traite des questions de sécurité de l’information, élaborée par des personnes possédant une compétence adéquate;
• une formation adéquate sur la sécurité et la protection de la vie privée donnée à tous les employés.

10. Dans le cas d’une organisation comme ALM ou de toute autre organisation détenant de grandes quantités de renseignements personnels sensibles, il ne suffit pas de veiller à la sécurité des données; il faut également disposer d’un cadre de gouvernance adéquat et cohérent.

APERÇU DE L'ENQUÊTE

Contexte 

13. ALM est une entreprise privée, constituée en personne morale au Canada, qui exploite plusieurs sites Web de rencontres pour adultes ciblant chacun un groupe particulier. Les sites Web exploités parALM sont :

• Ashley Madison, qui s’adresse aux personnes à la recherche d’une aventure;
• Cougar Life, qui s’adresse aux femmes d’âge mûr désireuses de rencontrer des jeunes hommes (et vice versa);
• Established Men, qui s’adresse aux hommes d’âge mûr désireux de rencontrer des jeunes femmes (et vice versa);
• Man Crunch, qui s’adresse aux hommes désireux de rencontrer d’autres hommes.

L'atteinte à la sécurité des données 

15. Le 12 juillet 2015, les employés des technologies de l’information d’ALM ont remarqué une irrégularité dans le système de gestion de la base de données de l’entreprise, ce qui les a portés à croire qu’un intrus avait accédé au système. ALM a pris immédiatement des mesures pour tenter de mettre fin aux manœuvres du pirate.

16. Le 13 juillet 2015, un message s’est affiché sur les ordinateurs utilisés par les employés du service à la clientèle d’ALM. Ce message, provenant prétendument du pirate (qui se faisait appeler « The Impact Team »), mentionnait que le site de l’entreprise avait été piraté. Le message indiquait aussi que « The Impact Team » publierait en ligne les données piratées à moins que l’entreprise ne ferme les sites Web Ashley Madison et Established Men. Le 19 juillet 2015, « The Impact Team » a affiché sur Internet un message annonçant l’attaque et réitérant l’ultimatum lancé à ALM.

17. L’entreprise n’a pas obtempéré. Les 18 et 20 août 2015, le pirate a publié en ligne un grand nombre de dossiers renfermant des fichiers tirés de la base de données d’Ashley Madison et du réseau d’entreprise d’ALM. Les fichiers de la base de données d’Ashley Madison contenaient les détails de près de 36 millions de comptes d’utilisateur. Ceux de l’entreprise comprenaient des courriels, des codes sources et d’autres documents commerciaux appartenant à ALM.

Renseignements personnels des utilisateurs touchés par l'incident 

18. les renseignements publiés par le pirate se classaient dans trois grandes catégories^{Note de bas de page3} :

• Renseignements du profil saisis par les utilisateurs pour se décrire et indiquer le type d’expériences qu’ils recherchaient sur le site Web Ashley Madison — entre autres : nom de l’utilisateur, code postal, état des relations, sexe, taille, poids, type de silhouette, origine ethnique et date de naissance. Ces renseignements comportaient également plusieurs champs facultatifs, y compris des cases à cocher et des champs de texte libre à l’usage des utilisateurs (par exemple pour préciser « mes désirs intimes», « mon partenaire idéal», « mes intérêts personnels » et « mes limites sont »).
• Renseignements sur les comptes utilisés afin de faciliter l’accès au service d’Ashley Madison— entre autres l’adresse de courriel fournie au moment de l’inscription, les questions de sécurité et les réponses correspondantes ainsi que les mots de passe chiffrés.
• Renseignements sur la facturation pour un sous-groupe d’utilisateurs ayant effectué des achats sur le site Web Ashley Madison — entre autres le nom véritable des utilisateurs, leur adresse de facturation et les quatre derniers chiffres du numéro de leur carte de crédit^{Note de bas de page4}. D’après le contenu et le formatage des renseignements sur la facturation publiés par le pirate, il est fort probable que ces renseignements, dont ALM conservait certains sous une forme chiffrée, auraient été obtenus auprès d’un service de traitement des paiements avec lequel ALM faisait affaire, et non directement auprès d’ALM — possiblement en utilisant des renseignements d’identification d’ALM que le pirate s’était appropriés

SÉCURITÉ DE L'INFORMATION 

Obligation de protéger les renseignements personnels 

42. Les organisations sont tenues de protéger les renseignements personnels qu’elles détiennent. Selon le principe 4.7 de la LPRPDE, les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Le principe 4.7.1 précise que les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées.

44. En vertu de la LPRPDE, une évaluation valable du niveau de protection requis pour tout renseignement personnel fourni doit être fondée sur le contexte et proportionnelle au degré de sensibilité des données et prendre en compte le risque de préjudice qu’entraînerait pour les personnes concernées la consultation, la communication, la copie, l’utilisation ou la modification non autorisées de ces renseignements. Cette évaluation devrait prendre en compte non seulement le risque de pertes financières pour les personnes concernées en raison d’une fraude ou d’un vol d’identité, mais aussi leur bien-être physique et social, y compris les conséquences potentielles sur les relations et les risques d’atteinte à la réputation, d’embarras ou d’humiliation.

46. Dans le présent cas, la possibilité d’atteinte à la réputation constitue l’un des principaux risques pour les personnes. L’atteinte à la réputation peut avoir de graves conséquences, car elle est susceptible de réduire très longtemps la capacité de la personne touchée à trouver et à conserver un emploi, à entretenir des relations cruciales et à se sentir en sécurité, entre autres, selon la nature des renseignements détenus. Dans l’environnement en ligne moderne, lorsque des données (véridiques ou non) entachant la réputation d’une personne sont communiquées, celle-ci peut subir un préjudice à jamais.

47. ALM offre des services de rencontres pour adultes en ligne. À cette fin, elle recueille, détient et utilise des renseignements sensibles^{Note de bas de page9} concernant ses utilisateurs, y compris des renseignements qui révèlent leurs pratiques, leurs préférences et leurs fantasmes sexuels. De surcroît, Ashley Madisonest un site Web conçu pour les gens à la recherche d’une aventure, activité où la discrétion est attendue et primordiale. Ainsi, même des renseignements qui pourraient sembler anodins pris isolément dans un autre contexte (p. ex. le nom et l’adresse de courriel) peuvent devenir sensibles lorsqu’ils sont associés au site Web Ashley Madison^{Note de bas de page10}.

50. Les mesures prises par ALM montrent bien que l’entreprise était consciente de la sensibilité des données qu’elle détenait. Elle faisait valoir la discrétion et la sécurité offertes à ses utilisateurs en tant qu’aspect clé de ses services, notamment sur le site Web Ashley Madison. Au cours de l’entretien mené par des représentants du CPVP et de l’OAIC le 29 octobre 2015, un membre de la haute direction d’ALM a mentionné que [traduction] « la protection de la confiance de la clientèle est au cœur de l’image de marque et des activités de l’entreprise ». Ce point de vue interne se reflète explicitement dans le marketing effectué par ALM auprès de ses utilisateurs.

53. Compte tenu de la nature des renseignements personnels recueillis par ALM et du type de services qu’elle offrait, le niveau des mesures de sécurité aurait dû être très élevé, conformément au principe 4.7 de la LPRPDE.

Obligation de mettre en place des pratiques, des procédures et des systèmes appropriés

57. De même, selon le principe 4.1.4 (Responsabilité) de la LPRPDE, les organisations doivent assurer la mise en œuvre des politiques et des pratiques destinées à donner suite aux principes, notamment mettre en œuvre des procédures afin de protéger les renseignements personnels et rédiger des documents explicatifs concernant leurs politiques et procédures.

58. Tant l’APP 1.2 que le principe 4.1.4 de la LPRPDE obligent les organisations à établir des processus opérationnels assurant qu’elles se conforment à la loi. En plus de se pencher sur les mesures de sécurité particulières en place à ALM au moment de l’incident, l’enquête a examiné le cadre de gouvernance dont l’entreprise s’était dotée pour s’assurer de respecter ses obligations en matière de protection des renseignements personnels.

Mesures de sécurité en place lorsde l'atteinte à la sécurité des données 

65. Au moment de l’incident, ALM n’avait aucune politique ni aucune pratique documentée en matière de sécurité de l’information pour gérer les autorisations sur le réseau. L’adoption de politiques et de procédures de sécurité documentées constitue une mesure de sécurité organisationnelle de base, en particulier pour une organisation qui détient de grandes quantités de renseignements personnels. En formulant de façon explicite les politiques et les pratiques concernant l’information, on s’assure que les attentes sont définies clairement pour faciliter ainsi l’uniformité et on contribue à éviter des lacunes dans les mesures de sécurité. On envoie aussi des signaux essentiels aux employés concernant l’importance accordée à la sécurité de l’information. En outre, il faut mettre à jour et examiner ces politiques et processus de sécurité en fonction de l’évolution du paysage des menaces, ce qui serait très difficile s’ils n’étaient pas officialisés d’une certaine manière.

66. Au début de 2015, ALM a embauché un directeur de la sécurité de l’information à temps plein. À l’époque de l’incident, celui-ci élaborait des procédures de sécurité écrites et la documentation connexe. Toutefois, ces travaux étaient incomplets au moment de la découverte de l’atteinte. D’après ALM, malgré l’absence de politiques ou de procédures documentées sur la sécurité de l’information, il existait des politiques non documentées que les employés compétents comprenaient bien et mettaient en œuvre comme il se doit.

67. Cependant, l’équipe d’enquête a relevé dans les mesures de sécurité de graves lacunes révélant l’absence de politiques et de pratiques appropriées. Par exemple, les politiques et procédures de sécurité devraient prévoir des mesures à la fois de prévention et de détection. Or, d’après l’information fournie, ALM n’avait pas mis en œuvre plusieurs contre-mesures de détection couramment utilisées qui pourraient aider à détecter les attaques ou à relever des anomalies indiquant des problèmes de sécurité. Ces systèmes n’auraient pas nécessairement permis de détecter des intrusions comme celle faite par le pirate, mais il s’agit d’importantes lignes de défense qui pourraient aider à limiter les répercussions des attaques.

Gestion du risque 

69. Au moment de l’incident, ALM ne disposait d’aucun cadre de gestion des risques documenté pour l’aider à déterminer les mesures de sécurité qui conviendraient compte tenu des risques auxquels elle était exposée. Une évaluation des risques périodique et documentée constitue en soi une importante mesure de sécurité organisationnelle qui permet à une organisation de choisir des mesures de sécurité appropriées afin d’atténuer les risques cernés et de réévaluer la situation à mesure que le paysage des activités et des menaces évolue. Ce type de processus devrait reposer sur un savoir-faire externe ou interne adéquat correspondant à la nature et au volume des renseignements personnels en main et aux risques à maîtriser.

70. D’après ALM, malgré l’absence d’un cadre de gestion du risque documenté, son programme de sécurité reposait sur une évaluation des menaces éventuelles. L’entreprise a certes géré les correctifs et effectuer les évaluations trimestrielles de la vulnérabilité, obligatoires pour une organisation qui accepte des renseignements sur les cartes de paiement (pour se conformer aux normes PCI-DSS). Toutefois, ALM n’a pu fournir aucune preuve qu’elle avait entrepris une quelconque évaluation structurée des menaces globales auxquelles elle était exposée ou qu’elle avait évalué son cadre de sécurité de l’information au moyen de démarches normalisées, comme des vérifications ou des évaluations internes ou externes.

71. En ce qui a trait à la pertinence du processus décisionnel d’ALM concernant le choix de mesures de sécurité, l’entreprise a signalé avoir envisagé, à un certain moment, de faire appel à un spécialiste de la cybersécurité externe pour l’aider à gérer les questions de sécurité, mais qu’elle avait finalement décidé de ne pas le faire. Au début de 2015, ALM a embauché un directeur de la sécurité de l’information à temps plein. Toutefois, malgré ce pas dans la bonne direction, l’enquête a révélé certains sujets de préoccupation en ce qui a trait au processus décisionnel portant sur les mesures de sécurité. Par exemple, puisque le pirate a utilisé le réseau VPN, l’OAIC et le CPVP ont cherché à mieux comprendre les mesures de protection en place afin de limiter aux utilisateurs autorisés l’accès à ce réseau.

Formation et mise en oeuvre 

74. Pour être efficaces, les politiques et les pratiques de sécurité doivent être mises en œuvre de façon appropriée et uniforme et suivies par les employés. C’est pourquoi dans toutes les organisations qui traitent des renseignements personnels, sauf les plus petites, une formation en bonne et due forme sur les responsabilités en matière de sécurité de l’information et de protection de la vie privée est essentielle pour s’assurer que les employés comprennent de façon uniforme les obligations leur incombant et qu’ils les respectent. Au moment de l’incident, un programme de formation sur la sécurité venait d’être lancé, mais il n’avait été donné qu’à environ 25 % du personnel — principalement les nouveaux employés, les cadres supérieurs et les responsables des TI. D’après ALM, bien que la plupart des employés (y compris certains responsables des TI) n’aient pas suivi le programme de formation sur la sécurité et que les politiques et procédures pertinentes ne fussent pas documentées, les employés connaissaient leurs obligations s’appliquant aux fonctions de leur emploi. Toutefois, l’enquête a révélé que ce n’était pas systématiquement le cas.

75. L’information fournie par ALM dans la foulée de l’incident a révélé plusieurs autres lacunes dans la mise en œuvre des mesures de sécurité, particulièrement en ce qui a trait aux pratiques de gestion des clés et des mots de passe. Mentionnons notamment le « secret partagé » pour le réseau VPN, dont nous avons fait état précédemment. Ce renseignement aurait été accessible sur le « Google drive » d’ALM, si bien que toute personne ayant accès au lecteur de n’importe quel employé d’ALM sur n’importe quel ordinateur, n’importe où, aurait pu découvrir ce secret. Des cas de stockage de mots de passe en texte clair et nettement identifiable dans des courriels et des fichiers textes ont aussi été détectés sur les systèmes. Des clés de chiffrement étaient également stockées sous forme de texte clair nettement identifiable sur les systèmes d’ALM. Ainsi, des intrus auraient pu utiliser ces clés pour consulter sans autorisation des renseignements chiffrés. Enfin, une clé SSH non protégée au moyen d’un mot de passe, qui a été trouvée sur un serveur, aurait pu permettre à un intrus de se brancher à d’autres serveurs sans avoir à fournir un mot de passe.

Conclusions 

78. Dans ce contexte, les commissaires estiment que plusieurs éléments clés étaient absents du cadre de sécurité d’ALM :

1. des politiques ou des pratiques en matière de sécurité de l’information documentées, sur lesquelles reposerait la promotion d’une culture de sensibilisation à la sécurité et de protection des renseignements personnels mettant l’accent sur la formation appropriée, le ressourcement et la gestion;
2. un processus de gestion des risques explicite, notamment des évaluations périodiques et proactives des menaces pour la vie privée ainsi que des évaluations des pratiques de sécurité pour s’assurer que ses dispositifs de sécurité étaient efficaces et continuaient de répondre à ses besoins;
3. une formation adéquate pour s’assurer que tous les membres du personnel (y compris la haute direction) comprenaient les obligations adaptées à leur rôle et à la nature des activités d’ALM leur incombant en matière de sécurité et protection de la vie privée et qu’ils s’en acquittaient comme il se doit.

Recommandations adressées à ALM 

82. Pour donner suite aux conclusions formulées ci-dessus, leCPVP et l’OAIC ont recommandé àALM de prendre les mesures suivantes :

1. au plus tard le 31 décembre 2016, effectuer un examen complet des mesures mises en place pour protéger les renseignements personnels;
2. au plus tard le 31 mai 2017, étoffer son cadre de sécurité de l’information à un niveau approprié et le mettre en œuvre;
3. au plus tard le 31 mai 2017, documenter adéquatement ce cadre et ses processus de sécurité de l’information en général;
4. prendre des mesures afin que son personnel soit au courant des procédures de sécurité et qu’il les respecte, notamment en élaborant un programme de formation approprié et en veillant à ce que tous ses employés et les entrepreneurs ayant accès au réseau le suivent (les commissaires signalent qu’ALM a déclaré avoir mis en œuvre cette recommandation);
5. au plus tard le 31 juillet 2017, fournir au CPVP et à l’OAIC un rapport d’un tiers indépendant documentant les mesures prises par ALM afin de se conformer aux recommandations énoncées ci-dessus ou fournir un rapport détaillé d’un tiers indépendant certifiant qu’elle se conforme à une norme de protection de la vie privée et de sécurité reconnue à la satisfaction du CPVP et de l’OAIC.

CONSERVATION POUR UNE DURÉE INDÉTERMINÉE DES COMPTES D'UTILISATEUR ET FRAIS FACTURÉS EN CAS DE SUPRESSION 

Obligation de détruire ou de dépersonnaliser les renseignements personnels qui ne sont plus nécessaires

83. La LPRPDE et la Privacy Act de l’Australie imposent toutes deux des limites quant à la période pendant laquelle on peut conserver des renseignements personnels.

85. De même, selon le principe 4.5 de la LPRPDE, on ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des fins déterminées. Le principe 4.5.2 précise que les organisations devraient élaborer des lignes directrices précisant les durées minimales et maximales de conservation des renseignements personnels. Selon le principe 4.5.3 de la LPRPDE, on devrait détruire, effacer ou dépersonnaliser les renseignements personnels dont on n’a plus besoin et les organisations doivent élaborer des lignes directrices et appliquer des procédures régissant la destruction de ces renseignements.

87. À  la suite de l’incident, les médias ont rapporté que les renseignements personnels d’utilisateurs, qui avaient payé ALM pour qu’elle supprime leur compte, figuraient également dans la base de données des utilisateurs d’Ashley Madison affichée sur Internet.

Obligation de supprimer les renseignements des personnes qui en font la demande

88. Non seulement la LPRPDE interdit de conserver les renseignements personnels qui ne sont plus nécessaires, mais aussi son principe 4.3.8 précise qu’une personne peut retirer son contentement en tout temps, sous réserve de restrictions prévues par une loi ou un contrat et d’un préavis raisonnable^{Note de bas de page13}.

89. Les renseignements personnels d’utilisateurs qui avaient désactivé leur compte, mais qui n’avaient pas voulu acquitter les frais imposés pour la suppression définitive de leur profil, figuraient dans les renseignements personnels piratés lors de l’incident.

90. L’enquête a examiné la pratique ayant cours chezALM au moment de l’incident, qui consistait à conserver les renseignements personnels des personnes qui, soit :

n’avaient pas utilisé leur profil depuis longtemps (profil « inactif »);

avaient désactivé leur profil;

avaient supprimé leur profil.

afin de déterminer si l’entreprise avait contrevenu à la LPRPDE ou à la Privacy Act de l’Australie.

91. Dans ce dossier, il y a deux questions à trancher. Premièrement, il faut déterminer si ALM avait conservé des renseignements concernant des utilisateurs dont le profil était désactivé, inactif ou supprimé, plus longtemps que nécessaire pour la réalisation des fins pour lesquelles ces renseignements avaient été recueillis (en vertu de la LPRPDE) ou auxquelles ils pouvaient être utilisés ou communiqués (en vertu des APP de la Privacy Act de l’Australie).

92. Deuxièmement (en ce qui concerne la LPRPDE), il faut déterminer si la pratique d’ALM consistant à imposer des frais aux utilisateurs pour supprimer définitivement tous leurs renseignements personnels dans ses systèmes contrevient à la disposition du principe 4.3.8 de la LPRPDE concernant le retrait du consentement.

"Supression définitive" des comptes des utilisateurs 

102. ALM a expliqué que l’option de suppression définitive a été élaborée à la demande des utilisateurs et qu’elle a entraîné des coûts considérables. Cette option vise à garantir une plus grande confidentialité aux utilisateurs qui choisissent de quitter Ashley Madison. ALM a déclaré qu’il était particulièrement difficile, sur le plan technique, de supprimer toute trace d’un utilisateur dans son système. Par exemple, il a été difficile de supprimer les messages envoyés de la boîte de réception des destinataires de ces messages. ALM a indiqué que la suppression des comptes entraînait un coût au titre des services à la clientèle étant donné que les membres du personnel du service à la clientèle d’ALM recevaient des demandes de renseignements des utilisateurs, qui s’expliquaient mal que des messages aient disparu de leur boîte de réception lorsque la personne avec qui ils correspondaient avait décidé de supprimer son compte.

103. Au moment de l’incident, ALM imposait des frais aux utilisateurs qui souhaitaient avoir accès au service de suppression définitive. Pour les utilisateurs canadiens, ces frais s’élevaient à 19 $CAN. À ce moment-là, ni la Charte de confidentialité d’Ashley Madison ni les Conditions générales d’utilisation du site ne renfermaient un avis précisant qu’ALM imposerait des frais aux utilisateurs pour supprimer les renseignements personnels les concernant. ALM a informé le CPVP et l’OAIC qu’à la suite de l’incident, elle n’impose plus de frais pour la suppression définitive.

CONCLUSIONS 

Conservation pour une durée indéterminée des comptes désactivés

111. La LPRPDE et la Privacy Act de l’Australie exigent toutes deux que les renseignements personnels soient conservés seulement s’ils sont encore nécessaires. En vertu de la LPRPDE, ils ne doivent être conservés qu’aussi longtemps que nécessaire pour la réalisation des fins pour lesquelles ils ont été recueillis. En vertu de la Privacy Act de l’Australie, ils ne doivent l’être qu’aussi longtemps qu’ils peuvent être utilisés ou communiqués à une fin déterminée dans les APP.

113. Cela dit, il n’y a rien ni dans la Charte de confidentialité d’ALM ni sur son site Web qui informe les utilisateurs actuels et potentiels des conséquences d’une désactivation de base sur la conservation des données. L’entreprise n’y mentionne assurément pas qu’elle conservera les renseignements personnels pour une durée indéterminée si l’utilisateur n’acquitte pas les frais imposés pour la suppression définitive.

114. À notre avis, il n’est pas raisonnable de conserver pour une période indéterminée les renseignements personnels des utilisateurs dont les comptes sont désactivés. D’après les statistiques communiquées par ALM, la grande majorité des utilisateurs ayant réactivé leur compte l’ont fait après une période extrêmement courte (dans les 29 jours pour 99,9 % d’entre eux) et la plupart des demandes de rejet de débit issues d’organismes de traitement des cartes de crédit se sont produites dans un délai de 12 mois. Ces statistiques ne justifient en rien la conservation des données pour une durée indéterminée.

116. Ainsi, bien qu’ALM ait le droit de conserver les données pendant une période raisonnable après la désactivation de base pour permettre à ses utilisateurs de revenir sur ses sites Web, sa pratique consistant à les conserver pour une durée indéterminée contrevient au principe 4.5 de la LPRPDE et à l’APP 11.2.

117. La LPRPDE n’établit pas de limites précises en ce qui a trait à la conservation des renseignements personnels par les organisations. En fait, selon le principe 4.5.2 de la LPRPDE, les organisations devraient élaborer des lignes directrices et appliquer des procédures pour la conservation des renseignements personnels et devraient, entre autres, préciser les durées minimales et maximales de conservation. En omettant d’établir les périodes de conservation maximales des renseignements personnels des utilisateurs associées aux comptes désactivés, ALM a contrevenu au principe 4.5.2 de la LPRPDE.

125. De même, selon le principe 4.5 de la LPRPDE, les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n’y consente ou que la loi ne l’exige. En outre, on ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des fins déterminées. Comme nous l’avons mentionné précédemment, bien qu’il soit clair qu’ALM recueille ces données en partie dans le but de traiter les paiements, les Conditions générales d’Ashley Madison précisent également que l’entreprise les conservera et les utilisera pour prévenir les rejets de débit frauduleux.

126. Toutefois, à notre avis, le fait que les photos des comptes supprimés ont été conservées par erreur au-delà de la période déterminée par ALM contrevient au principe 4.5 de la LPRPDE, car une proportion appréciable de ces photos aurait été celles d’utilisateurs. Les photos permettraient donc d’identifier les utilisateurs, même après avoir été extraites de leur profil respectif.

127. Pour les raisons mentionnées dans les paragraphes ci-dessus, nous sommes satisfaits que la politique d’ALM consistant à conserver les données de ses utilisateurs pour une durée limitée à la suite d’une « suppression définitive » uniquement dans le but de régler les problèmes de fraude de la part de ses utilisateurs est autorisée selon l’APP 11.2 de la Privacy Act de l’Australie et le principe 4.5 de la LPRPDE.

Imposition de frais pour la supression 

129. Cependant, l’option de suppression définitive offerte moyennant des frais était la seule méthode à la disposition des utilisateurs désireux de faire supprimer de façon permanente dans les bases de données d’ALM le profil même de leur compte. Les frais imposés étaient donc une condition que les utilisateurs devaient respecter pour exercer leur droit, selon le principe 4.3.8 de la LPRPDE, de retirer leur consentement à la conservation par ALM des renseignements personnels les concernant.

130. La LPRPDE ne précise pas si des frais peuvent ou non être imposés aux utilisateurs qui souhaitent retirer leur consentement. Selon le principe 4.3.8 de la LPRPDE, une personne peut retirer son consentement en tout temps, sous réserve de restrictions prévues par une loi ou un contrat et d’un préavis raisonnable. Dans ce cas ci, le paiement des frais ne peut pas être considéré comme une restriction prévue par une loi ou un contrat. Au moment crucial de l’inscription, lorsque les gens ont envisagé, accepté et décidé de créer un compte sur le site Ashley Madison, ni les messages reçus par les utilisateurs existants et potentiels ni les modalités générales du contrat ne faisaient état de ces frais.

131. Par conséquent, la pratique d’ALM consistant à imposer des frais, sans donner de préavis et sans avoir d’entente à cet égard, aux utilisateurs qui souhaitent retirer leur consentement contrevient au principe 4.3.8 de la LPRPDE. Comme nous l’avons mentionné précédemment, ALM n’impose plus de frais pour son service de suppression définitive et nous l’encourageons à poursuivre dans cette voie.

Recommandations adressées à ALM

133. Pour donner suite aux conclusions énoncées ci-dessus, leCPVP et l’OAIC recommandent àALM de prendre d’ici le 31 mars 2017 les mesures suivantes pour l’ensemble de ses sites Web :

1. ne plus conserver indéfiniment les renseignements personnels des utilisateurs dont les comptes sont inactifs ou désactivés; déterminer une période appropriée après la désactivation d’un compte ou après une période d’inactivité prolongée, selon les habitudes d’utilisation et les besoins opérationnels, à la fin de laquelle elle supprimera les renseignements personnels des utilisateurs; et informer ces derniers de ces politiques;
2. s’assurer de ne pas conserver les renseignements personnels au-delà de la période de conservation susmentionnée et, par la suite, examiner régulièrement sa politique de conservation pour s’assurer que la période de conservation choisie demeure appropriée;
3. mettre en œuvre le calendrier de conservation pour les comptes actuellement désactivés et ceux qui le seront ultérieurement;
4. mettre en œuvre le calendrier de conservation pour les comptes actuellement inactifs et ceux qui le seront ultérieurement;
5. s’engager à continuer d’offrir une option sans frais aux utilisateurs qui souhaitent faire supprimer les renseignements du profil de leur compte (cette mesure ne comprend pas forcément tous les services de suppression supérieurs actuellement offerts dans le cadre de la suppression définitive, par exemple la suppression des renseignements personnels envoyés à la boîte de réception d’autres utilisateurs d’ALM);
6. présenter au CPVP et à l’OAIC de l’information détaillée sur les mesures qu’elle a prises pour donner suite aux recommandations ci dessus.

TRANSPARENCE AUPRÈS DES UTILISATEURS 

Obligation de transparence et de consentement éclairé 

169. En vertu de l’article 6.1 de la LPRPDE, le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti.

170. Selon le principe 4.8 de la LPRPDE, une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne. Le principe 4.8.1 précise que ces renseignements doivent être fournis sous une forme généralement compréhensible.

171. Selon le principe 4.3, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Le principe 4.3.5 précise que, dans l’obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes.

172. Enfin, selon le principe 4.3.5, entre autres exigences, le consentement ne doit pas être obtenu par un subterfuge.

173. La transparence et un consentement valable sont des principes importants sans lesquels une personne ne peut prendre de décisions éclairées concernant les organisations à qui confier ses renseignements personnels. Pour qu’un consentement soit valable, la LPRPDE n’exige pas comme condition générale la communication aux utilisateurs d’information sur les mesures de sécurité prises pour assurer la confidentialité des données confiées par les utilisateurs. Cependant, elle exige que les personnes soient en mesure de comprendre la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles elles consentent. Les enquêteurs ont donc vérifié si l’information fournie par ALM aux utilisateurs au moment de décider s’ils lui confieraient ou non des renseignements personnels était adéquate.

CONCLUSIONS

188. ALM fournissait de l’information concernant ses mesures de sécurité, les options relatives à la fermeture d’un compte et les pratiques de conservation des renseignements personnels. Toutefois, certains aspects essentiels de ses pratiques qui auraient pu jouer pour beaucoup dans la décision d’éventuels utilisateurs d’ouvrir un compte sur le site Ashley Madison étaient soit absents, soit difficiles à comprendre ou trompeurs. En particulier :
     1. Même si ALM fournissait dans sa Charte de confidentialité et ses Conditions générales de l’information concernant les mesures de sécurité, elle a confirmé que la marque de confiance que le site s’était vu décerner et qui figurait sur sa page d’accueil, avait été inventée de toutes pièces par l’entreprise et ne constituait pas une reconnaissance officielle par une tierce partie.
     2. Même après une lecture attentive de la Charte de confidentialité et des Conditions générales, on ne peut savoir avec certitude si le profil d’un utilisateur sera conservé indéfiniment à moins qu’il opte pour une suppression définitive de son profil. Pour reprendre le libellé exact de la Charte de confidentialité, l’information sera conservée « au moins pendant la période où [son] profil d’annonce reste actif ou caché ». Pourtant, selon une autre section des Conditions générales, si l’utilisateur ne s’est pas connecté à son compte après un délai de 90 jours, ALM se réserve le droit d’annuler ses crédits restants. Cette ambiguïté pourrait être une source de confusion supplémentaire pour les utilisateurs ou bien les amener à s’attendre à ce que l’inactivité puisse à elle seule entraîner la désactivation ou la suppression de leur compte. Dans ce contexte, on ne sait trop si un profil d’annonce « actif » est simplement n’importe quel profil qui n’a pas été caché ou supprimé, peu importe la date à laquelle il a été créé. D’après ALM, le fait que les Conditions générales font état de l’existence de l’option de « suppression définitive du profil », qui est présentée séparément de la « résiliation de base », montre clairement que la résiliation de base n’inclut pas la suppression des renseignements personnels. Nous sommes en désaccord. Cette description à elle seule n’efface pas l’impression créée par les autres énoncés et, en fait, elle pourrait rendre la question encore plus confuse.
     3. Les utilisateurs qui choisissent de faire supprimer définitivement leur profil apprendront seulement après avoir acquitté les frais imposés pour la suppression définitive que les données les concernant seront, en réalité, conservées pendant une période supplémentaire de 12 mois.
189. Dans ce contexte, ALM ne respecte pas les obligations découlant du principe 4.8.1 de la LPRPDE, selon lequel elle doit faire preuve de transparence au sujet de ses politiques et de ses pratiques concernant la gestion des renseignements personnels et fournir ces renseignements sous une forme généralement compréhensible.
190. Puisqu’ALM n’a pas fait preuve de transparence au sujet de ses pratiques de gestion des renseignements personnels, il convient de déterminer si le consentement obtenu par l’entreprise pour recueillir les renseignements personnels des utilisateurs était valable et s’il a été obtenu par un subterfuge.
191. En vertu de l’article 6.1 de la LPRPDE, le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti. Selon le principe 4.3.5, dans l’obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes et le consentement ne doit pas être obtenu par un subterfuge.
192. Vu la nature particulière du service offert par le site Web Ashley Madison, notamment les conséquences potentielles pour les utilisateurs en cas de communication non autorisée des renseignements personnels les concernant, il est raisonnable de s’attendre à ce que la transparence concernant la sécurité de l’information et les pratiques de conservation constitue un élément essentiel d’un consentement valable dans ce contexte. De même, compte tenu de la nature des services offerts (c. à d. des services de rencontres pour les personnes à la recherche d’une aventure) et de la discrétion recherchée et attendue par les utilisateurs, il est raisonnable de présumer que certains d’entre eux auraient pu choisir de ne pas communiquer leurs renseignements personnels à ALM s’ils n’avaient pas été induits en erreur lors de l’inscription par une marque de confiance fictive en matière de sécurité et s’ils avaient été informés qu’ALM conserverait ces renseignements personnels pour une durée indéterminée, à moins qu’ils n’acquittent les frais imposés pour la suppression définitive de leur profil.
193. ALM semble d’ailleurs avoir utilisé cette marque de confiance fictive dans le but délibéré de susciter chez les utilisateurs potentiels la fausse impression générale que les pratiques de protection des renseignements personnels de l’entreprise avaient été jugées de qualité par une tierce partie indépendante à l’issue d’un examen en bonne et due forme. Il s’agit là de l’un des quelques éléments d’« information » mis bien en évidence concernant les pratiques de gestion des renseignements personnels d’ALM auxquels les utilisateurs potentiels avaient accès au moment de décider s’ils s’inscriraient ou non. Comme cette marque de confiance influe grandement sur le jugement d’un utilisateur raisonnable lorsqu’il évalue la sécurité et la discrétion dans ces circonstances particulières, nous concluons que sa présence sur la page d’accueil du site Web Ashley Madisoninvalide le consentement et contrevient au principe 4.3.5 de la LPRPDE.
194. Qu’on les examine séparément ou en lien l’un avec l’autre, le CPVP est d’avis que le manque de clarté concernant les pratiques de conservation des renseignements personnels et la présence d’une marque de confiance trompeuse sur la page d’accueil du site ont pu jouer pour beaucoup dans le consentement éclairé d’un utilisateur potentiel à ouvrir un compte sur le site d’Ashley Madison et à autoriser la collecte, l’utilisation et la communication de ses renseignements personnels.
195. Par conséquent, le manque de transparence d’ALM concernant ses pratiques de gestion des renseignements personnels revêt une importance incontestable quant à la validité du consentement. Dans ces circonstances, nous concluons que le consentement obtenu par ALM pour recueillir des renseignements personnels lors de l’inscription d’un utilisateur n’était pas valable et contrevenait par conséquent à l’article 6.1 de la LPRPDE.
196. 196. En fournissant des renseignements trompeurs au sujet de ses mesures de sécurité et en omettant de communiquer de l’information importantes au sujet de ses pratiques de conservation des renseignements personnels, ALM a contrevenu à l’article 6.1 ainsi qu’aux principes 4.3 et 4.8 de la LPRPDE.

Recommandations adressées à ALM

197. Pour donner suite aux conclusions formulées ci-dessus, leCPVP recommande àALM de prendre les mesures suivantes d’ici le 28 février 2017 :
     1. réviser ses Conditions générales, sa Charte de confidentialité et d’autres renseignements pouvant être consultés par les utilisateurs afin d’en assurer l’exactitude et la clarté concernant ses pratiques de gestion des données. Entre autres, elle devrait indiquer clairement dans ses Conditions générales et sur la page où les utilisateurs choisissent la manière dont ils désactiveront leur profil, de l’information détaillée sur toutes les options de désactivation et de suppression à leur disposition;
     2. revoir toutes les déclarations figurant sur son site Web et ailleurs concernant ses pratiques de gestion des renseignements personnels afin de s’assurer de ne pas donner d’indications trompeuses;
     3. présenter au CPVP de l’information détaillée sur les mesures qu’elle a prises pour se conformer aux recommandations formulées ci dessus.