Patrick Karengera est étudiant dans le cadre du cours DRT 6929O.

Dans un communiqué, publié jeudi 1er mars 2012, le commissariat à la protection de la vie privée au Canada faisait état de 24 recommandations prises à l’encontre du site de réseau social pour les jeunes Nexopia. En effet, selon une enquête faite par le commissariat à la protection de la vie privée au Canada, Nexopia présente des lacunes dans sa façon de gérer les renseignements personnels de ses utilisateurs en grande majorité des jeunes. Ces lacunes portent essentiellement sur 5 principes généraux de la protection des renseignements personnels à savoir : le consentement ; les finalités ; la limitation de la communication ; la limitation de la collecte et la limitation de la conservation des renseignements personnels. Nexopia s’est engagé à se conformer à seulement 20 recommandations, écartant les 4 autres concernant principalement la conservation des renseignements personnels pour des raisons liées aux coûts permettant de s’y conformer. Ainsi, ce billet propose de revenir sur cette notion de conservation de renseignements personnels.

L’enquête qui a été faite chez Nexopia rappelle celle effectuée au sein de TJX companies Inc. /winners Merchant international L.P. Il s’agissait ici aussi d’un problème de conservation des renseignements personnels indéfiniment. Dès le début du rapport, le commissariat précise que la conservation des renseignements personnels pour une durée indéterminée constitue «  un fardeau en matière de sécurité qui n’est pas nécessaire ». Ainsi comme dans le cas de Nexopia le commissariat rappelle sur la base du principe 4.5 de l’annexe 1 de la LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques) que les renseignements personnels doivent être conservés pendant une durée déterminée.

En effet, la politique de vie privée de Nexopia énumère les objectifs principaux pour lesquelles les renseignements personnels sont collectés, mais ne précise pas la durée de leur conservation. Autrement dit, ces renseignements souvent fournis au moment d’adhérer au site seront conservés pour un temps inconnu et cela même si l’on est plus membre du réseau Nexopia. Sur ce point, le commissariat indique dans le rapport d’enquête qu’en fournissant une option « supprimer un compte », Nexopia trompe ses utilisateurs, car leurs renseignements personnels restent dans les archives du site web.

Cette faculté de supprimer un compte sur un site de réseau social est primordiale pour les utilisateurs du site, car elle leur permet de supprimer tout renseignement fourni au site au moment de l’adhésion ou tout simplement se faire oublier. L’un des plus populaires réseaux sociaux Facebook illustre bien cette faculté dans sa politique de confidentialité en indiquant à ses utilisateurs le délai nécessaire pour supprimer tous les renseignements leur concernant, bien qu’il soit difficile d’avoir la certitude qu’ils ont été effectivement supprimés.

La conservation des renseignements personnels pendant une durée limitée est aussi un principe reconnu en Alberta (province ayant un grand nombre d’utilisateurs de Nexopia) à travers l’article 35 du personnal information protection act (PIPA), qui précise qu’une organisation devrait conserver des renseignements personnels aussi longtemps que ces informations sont requises pour des raisons légales ou d’affaires.

Finalement, il ya lieu de constater qu’au Canada les renseignements personnels doivent être conservés pendant une période déterminée et non pas indéfiniment. Cependant, on peut remarquer que Nexopia n’est pas le seul à ne pas respecter ce principe puisque la politique de vie privée de Tagged, qui est aussi un site de réseau social, déclare expressément que les renseignements personnels de ses utilisateurs sont conservés indéfiniment.