«Facebook doit assumer une plus grande part de responsabilité en ce qui concerne les renseignements personnels sous son contrôle. Il est clair que les enjeux liés à la protection de la vie privée sont une priorité pour Facebook, et pourtant nous avons décelé des lacunes à cet égard dans le fonctionnement du site», a déclaré la commissaire à la protection de la vie privée du Canada, Jennifer Stoddart, dans un communiqué.
Le Commissariat a mené son enquête à la suite d’une plainte déposée par la Clinique d'intérêt public et de politique d'Internet du Canada.
L'enquête a notamment soulevé d'importantes préoccupations concernant la transmission de renseignements personnels aux tiers qui développent des applications Facebook, comme des jeux ou des questionnaires. À ce jour, le Commissariat évalue que le site de réseautage social compte 950 000 développeurs d’applications dans 180 pays.
«L'enquête constate que Facebook ne possède pas les mesures de sécurité nécessaires pour empêcher efficacement ces tiers développeurs d'accéder aux renseignements de profil», révèle l’organisme. Le Commissariat recommande que les développeurs aient uniquement accès aux renseignements des utilisateurs qui sont nécessaires au fonctionnement de l'application en question, ce qui préviendrait également la communication des renseignements personnels des amis des utilisateurs qui n'ont pas eux-mêmes ajouté l'application en question.
L’enquête révèle également que Facebook a comme politique de conserver indéfiniment les renseignements personnels de ceux qui ont désactivé leur compte, une pratique qui contrevient à la LPRPDE.
Les recommandations adressées à Facebook comprennent l'adoption d'une politique de conservation selon laquelle les renseignements personnels des comptes désactivés sont éliminés des serveurs après une période raisonnable. Le Commissariat n’a pas précisé ce qu’il entendait par «période raisonnable».
L’organisme canadien soutient que Facebook a accepté de suivre une grande partie des recommandations découlant de l'enquête ou a proposé des mesures de rechange raisonnables. Toutefois, certaines demandes sont demeurées lettres mortes.
Après 30 jours, le Commissariat à la protection de la vie privée examinera les mesures prises par Facebook pour se conformer aux recommandations. La commissaire pourrait ensuite saisir la Cour fédérale afin de faire respecter ses recommandations.
Le Commissariat estime que 12 millions de Canadiens possèdent un profil Facebook.