01. COLLECTE D’INFORMATIONS PERSONNELLES

Explique le terme « information personnelle » et le cadre légal entourant la collecte et la gestion de ces données lorsqu’on compte des enfants parmi ses usagers.

1.1 Qu’est-ce qu’une information personnelle?
Toute information concernant l’identité d’un individu, c’est-à-dire lorsqu’il y est possible que l’individu soit identifié par l’utilisation de ces données, seules ou en combinaison avec des renseignements d’autres sources* :

  • Nom et prénom
  • Adresse physique, incluant nom de la rue, du quartier ou de la ville
  • Coordonnées en ligne (adresse courriel, identifiant de messagerie instantanée, etc.)
  • Numéro de téléphone
  • Lieu et date de naissance
  • Numéro d’assurance sociale
  • Documents audio, vidéo ou photographie contenant l’image ou la voix
  • Information sur l’emplacement, y compris les données GPS
  • Identifiants persistants, comme les adresses IP et MAC, numéro de client d’un cookie (fichier témoin), identifiant unique d’appareil pour les téléphones et tablettes, etc.
  • Données sur le parcours, l’historique de navigation, les signets
  • Données des réseaux sociaux créées par l’utilisateur, comme les commentaires, les évaluations, les « J’aime », le flux Twitter, les interactions avec les services à la clientèle.

On peut séparer les informations sur l’individu en deux types d’identifiants :

  • Direct : nom et prénom, numéro d’assurance sociale, photo ou vidéo, etc.
  • Indirect : date et le lieu de naissance, nom de jeune fille de leur mère, le nom de l’école, le nom de la commission scolaire, le nom du professeur, etc.

*Attention aux risques d’identification de données anonymes : la combinaison de bribes d’information provenant de plusieurs sources peut mener à la création de profils détaillés permettant d’identifier un individu.

1.2 Qu’est-ce qu’une métadonnée?

C’est une information qui donne du sens et du contexte à une autre donnée. Ce sont souvent des statistiques d’usage en lien avec votre produit, comme le nombre d’essais nécessaires pour que les usagers réussissent une quête.

Les métadata anonymisées, c’est-à-dire dépouillées d’identifiants directs et indirects, ne sont pas considérées comme des données personnelles. Par exemple, vous pourriez utiliser et analyser la ville des participants à un concours pourvu que vous la dissociiez de ses identifiants directs et indirects. L’utilisation des métadonnées anonymisées ne requiert pas de consentement.

1.3 Qu’est-ce qu’on entend par la collecte d’informations personnelles?

Fait référence à l’ensemble des pratiques entourant la gestion des données personnelles des usagers. On parle donc de la collecte elle-même, mais également des usages, du stockage et du partage et/ou de la vente de données avec un tiers.

Parmi le Canada, les États-Unis, l’Union européenne (UE), la France et l’Australie, seuls les États-Unis sont dotés d’une loi spécifique pour encadrer la collecte d’informations personnelles chez les moins de 13 ans.Le Canada, l’UE, la France et l’Australie traitent chacun la question des données personnelles sous une loi de portée générale couvrant l’ensemble de la population. Chaque loi s’applique aux compagnies qui font affaire sur leur territoire.

CANADA

La Loi sur la protection des renseignements personnels numériques

Loi fédérale définissant les règles applicables aux pratiques entourant la gestion des données personnelles par les organisations du secteur privé. Une entreprise doit obtenir le consentement valable pour recueillir, utiliser ou partager des renseignements personnels. De plus, elles doivent aviser les personnes touchées par la perte ou le vol de renseignements personnels, leur indiquer s’il y a un risque de préjudice, par exemple un vol d’identité et les informer des mesures à prendre pour se protéger. De plus, l’entreprise devra rapporter l’incident auprès du Commissariat à la protection de la vie privée du Canada.

Les entreprises doivent communiquer dans un langage clair et simple pour faire en sorte que les Canadiens vulnérables, et particulièrement les enfants, comprennent pleinement les répercussions que peut avoir la communication de leurs renseignements personnels en ligne.

Attention! Elle ne s’applique pas aux entreprises qui exercent leurs activités exclusivement à l’intérieur d’une province ayant une loi provinciale essentiellement similaire :

Informations complémentaires:

Commissariat à la protection de la vie privée du Canada : Protéger les renseignements personnels : Un outil d’auto-évaluation à l’intention des organisations

Une occasion à saisir : Développer les applis mobiles dans le respect du droit à la vie privée

ÉTATS-UNIS

Children’s Online Privacy Protection Act (COPPA)

Loi fédérale qui impose de hauts standards pour la protection des données personnelles des enfants collectées en ligne. Son objectif est de permettre aux parents de superviser les pratiques entourant la gestion des données personnelles de leur enfant de moins de 13 ans.

Elle s’applique aux produits qui recueillent des informations personnelles d’enfants américains de moins de 13 ans, et ce, même pour les compagnies basées à l’extérieur des États-Unis et les produits destinés au grand public qui comptent des Américains de moins de 13 ans parmi leurs usagers (c.-à-d. couvre plus large que les produits jeunesse)

  • Si vous êtes conscient de recueillir des données personnelles d’usagers américains de moins de 13 ans, vous devez envoyer un avis direct aux parents et obtenir leur consentement parental vérifiable avant de commencer la collecte;
  • Si vous modifiez les pratiques auxquelles le parent a consenti, vous devez informer le parent dans un avis direct  et lui demander à nouveau son consentement parental vérifiable avant de poursuivre la collecte;
  • À la demande d’un parent, vous devez être en mesure de lui fournir :
    • La description des données personnelles collectées de l’enfant, une explication claire des usages, des pratiques de stockage et de partage;
    • L’opportunité à tout moment de révoquer son consentement, d’arrêter l’usage et la collecte future et de supprimer les données stockées.

Informations complémentaires:

Federal Trade Commission (FTC) : COPPA Rule : A Six-Step Compliance Plan for Your Business,

FTC : Complying with COPPA : Frequently Asked Questions

FRANCE

Loi informatique et libertés

Définit les principes à respecter pour les entreprises lors de la collecte, du traitement et de la conservation des données personnelles. Elle touche les entreprises qui exercent leurs activités commerciales en France ou qui font faire du traitement de données en territoire français.

Avant de colliger des données personnelles en ligne, vous devez faire une déclaration pour les traitements auprès de la Commission nationale de l’informatique et des libertés (CNIL). Elle doit être validée par l’attribution d’un numéro d’enregistrement à indiquer sur votre site web avec l’adresse de contact du service qui va gérer les données.

La loi informatique et libertés n’autorise pas la collecte par un moyen détourné. Par exemple, les cookies (fichiers témoins) peuvent être implantés seulement avec l’accord préalable de l’usager (opt-in).

Informations complémentaires :

Commission nationale de l’informatique et des libertés

UNION EUROPÉENNE

Directive sur la protection des données personnelles

Directive vie privée et communications électroniques

Ces directives encadrent la protection de la vie privée pour les citoyens de l’UE et touchent les entreprises qui exercent leurs activités commerciales dans un des pays membres de l’UE.

Safe Harbor (Sphère de sécurité) : Il s’agit d’un accord entre les États-Unis et l’UE obligeant les entreprises américaines à se conformer aux principes européens de confidentialité lorsqu’elles traitent des données européennes. Elle ne s’applique pas aux compagnies canadiennes puisque l’UE juge que le cadre légal canadien de la protection des données personnelles est compatible avec le sien.

Informations complémentaires:

Manuel de droit européen en matière de protection des données

AUSTRALIE

Privacy Act

Loi fédérale de portée générale sur la protection des informations personnelles touchant les entreprises exerçant des activités commerciales à l’intérieur de l’Australie. Elle dicte qu’une compagnie doit avoir une politique de confidentialité facilement accessible qui explique les pratiques de partage de données à l’extérieur de l’Australie.

Informations complémentaires :

Office of the Australian Information Commissioner: Privacy law reform

App Store d’Apple

La boutique d’applications a une section « Kids » qui offre des applications au public jeunesse. Les développeurs qui veulent distribuer leur application dans la section Kids doivent se conformer à des règles particulières, entre autres :

  • Prévoir un mécanisme qui demande à l’usager de donner sa date de naissance pour respecter la COPPA;
  • Obtenir le consentement parental ou utiliser une barrière parentale avant de laisser l’enfant suivre des liens le faisant sortir de l’application et/ou le dirigeant vers des transactions commerciales.

Informations complémentaires sur l’App Store d’Apple

Appstore d’Amazon

Amazon classifie les applications de l’Appstore selon un nombre de paramètres afin de définir l’âge approprié pour chaque application. Des critères protègent la confidentialité des enfants, par exemple les applications « Tous âges » ne peuvent pas faire la collecte de données personnelles ou utiliser les données de localisation.

Les applications pour les moins de 13 ans ne peuvent pas intégrer le réseau publicitaire « Amazon Mobile » parce qu’il est basé sur la publicité ciblée qui est interdite par la COPPA.

Informations complémentaires sur l’Appstore d’Amazon :

FAQ

App Distribution and Service Agreement

Google Play

Google Play a un système de classification des applications basé sur le contenu. Certaines règles protègent la confidentialité des enfants, par exemple une application permettant la localisation de l’usager ne peut pas être dans le niveau « Tous ». Ces instructions s’appliquent à l’ensemble du contenu de l’application, y compris le contenu généré par les utilisateurs et la publicité intégrée.

Cette fiche s’en remet à la règlementation : la collecte de données personnelles est une sphère bien couverte par la loi.
  • Favorisez une approche transparente : affichez une politique de confidentialité, même si vous ne faites pas la collecte d’informations personnelles;
  • N’exigez pas plus de renseignements personnels qu’il est nécessaire pour participer à une activité. Par exemple, si possible, donnez l’option à l’enfant de ne pas s’identifier et/ou d’utiliser un pseudonyme;
  • Affichez votre Politique de confidentialité de manière à ce qu’elle soit visible et facilement accessible : utilisez une grande taille de police et/ou utilisez une couleur contrastante;
  • Votre Politique de confidentialité doit être à jour et expliquer de manière claire et concise les pratiques liées à la collecte et la gestion des informations personnelles. Évitez le jargon légal et les informations superflues;
  • À l’intérieur de votre Politique de confidentialité , fournissez le nom des tierces parties qui collectent des informations personnelles à partir de votre produit;
  • Faites une vérification périodique des pratiques de gestion de données personnelles des fournisseurs de service et des tierces parties avec qui vous partagez des informations;
  • Vous n’êtes pas tenu d’obtenir le consentement parental pour l’usage de métadonnées anonymisées. On vous recommande toutefois d’expliquer cette pratique de manière transparente dans votre Politique de confidentialité;
  • Utilisez les données personnelles uniquement aux fins pour lesquelles le parent a donné son consentement;
  • Évitez de collecter des données de localisation précise de l’enfant. Si elles sont nécessaires au fonctionnement de votre produit, expliquez aux parents pour quoi et à quelles fins elles seront utilisées et assurez-vous d’obtenir le consentement parental vérifiable;
  • Aidez l’enfant à comprendre ce qui advient de ses données personnelles, par exemple, si le produit est sur le point d’utiliser ses données de localisation, activez un symbole pour attirer son attention sur ce qui se passe;
  • Vous devez être en mesure de donner aux parents qui en font la demande l’accès aux informations personnelles que vous détenez sur leur enfant. Indiquez cette procédure dans votre politique de confidentialité;
  • En cas de changement dans vos pratiques de gestion des données personnelles, avisez les parents;
  • Établissez des procédures pour protéger la confidentialité, la sécurité et l’intégrité des données personnelles que vous stockez. En cas d’atteinte aux données, avisez les parents en expliquant votre démarche pour remédier à la situation;
  • Supprimez les données dont vous n’avez plus besoin;

MOBILE

  • Informez les utilisateurs des données auxquelles accèdera l’application et expliquez pourquoi;
  • Ayez un avis simple et clair qui explique comment les données personnelles seront utilisées;
  • Obtenez le consentement de l’usager au premier lancement de l’application : présentez l’avis dans une boîte de dialogue qui invite l’utilisateur à accepter les conditions avant d’utiliser l’application
Fiche 001-image couplée-001
1 et 2
  1. NON : Les infos sont cachées dans les conditions générales d’utilisation (EULA : End-User Licence Agreement). L’usager doit faire défiler le contrat pour le trouver.
  1. OUI : Cette approche présente les informations de manière transparente, claire et évidente. L’utilisateur n’a pas besoin de les chercher.
  • Assurez-vous que les informations sur la collecte de données personnelles sont toujours disponibles dans la politique de confidentialité et/ou accessibles rapidement par un lien sur la fenêtre d’accueil ou dans la section réservée aux parents;
  • C’est votre obligation et responsabilité de comprendre les droits des usagers et de vous conformer aux lois locales spécifiques où votre produit est rendu disponible par un magasin d’applications.
Fiche 001-image couplée-002
3 et 4
  1. NON : Cette approche explique comment l’application utilise les informations, mais n’indique pas clairement la manière dont elle les utilise et les raisons pour lesquelles elle les collecte.
  2. OUI : En plus de divulguer clairement pourquoi l’application doit accéder aux données personnelles, elle précise comment elle s’en sert et à quelles fins.

**Images tirées du Centre d’aide Android Developer

Voir la bibliographie.