Une application mobile de Tim Hortons, qui traquait plusieurs fois par jour la position GPS des consommateurs de façon « trompeuse » à des fins de marketing, est responsable d’une « atteinte massive à la vie privée », conclut une enquête conjointe des commissaires fédéral et provinciaux de protection des renseignements personnels.
Cette « affaire troublante », qui initialement été révélée par une enquête du National Post, remonte à 2019, lorsque le géant de la restauration rapide a mis à jour son application pour téléphone intelligent. Sans que ses 1,6 million d’utilisateurs en soient pleinement informés, une nouvelle fonctionnalité permettait de suivre à la trace leurs déplacements par GPS.
La fonctionnalité devait permettre d’envoyer des publicités ciblées aux consommateurs, mais a vite permis de récolter « des quantités très considérables de renseignements personnels sensibles ». Le logiciel pouvait entre autres de déterminer le lieu de résidence et de travail des utilisateurs, mais aussi de savoir lorsqu’ils fréquentaient des commerces concurrents, comme Starbucks, Second Cup et McDonald.
L’enquête révèle que Tim Hortons a fait une fausse déclaration en affirmant aux utilisateurs que leurs données de localisation seraient utilisées « seulement lorsque votre application est ouverte. » Or, « la vaste majorité étaient recueillies alors que l’application n’était pas ouverte », affirment après enquête le Commissaire à la protection de la vie privée du Canada, la Commission d’accès à l’information du Québec et ses homologues de la Colombie-Britannique et de l’Alberta.
Même si Tim Hortons n’a jamais effectivement utilisé ces données à des fins de ciblage publicitaire, l’application a permis de récolter des « quantités très considérables de renseignements personnels sensibles », qui n’ont aucune proportionnalité aux « avantages potentiels que Tim Hortons aurait pu espérer tirer d’une promotion plus ciblée pour son café », notent les commissaires.
Le Groupe TDL Corporation, propriétaire de la bannière Tim Hortons, s’est engagé à détruire toutes les données récoltées lorsque l’affaire a été mise au jour, en juin 2020. « Nous avons proactivement retiré la technologie de géolocalisation peu de temps après », affirme l’entreprise dans un communiqué transmis par courriel.
Une tape sur les doigts
Concrètement, l’entreprise s’en tire avec une tape sur les doigts, puisque la Loi sur la protection des renseignements personnels du Canada ne prévoit, à l’heure actuelle, aucune disposition pour donner des amendes. « Je n’ai pas l’autorité d’imposer des pénalités », a résumé le Commissaire Daniel Therrien, dont le mandat se termine au cours des prochains jours. « Cela illustre le besoin urgent de réformer les lois sur la protection de la vie privée », a-t-il ajouté.
Au Québec, la récente modification de 21 lois traitant de la protection des renseignements personnels prévoit des amendes pouvant s’élever jusqu’à 25 millions ou 4 % du chiffre d’affaires d’une entreprise délinquante. « Nous aurons les pouvoirs d’imposer des amendes seulement à partir de septembre 2023 », a cependant précisé la présidente de la Commission d’accès à l’information, Diane Poitras.