Tim Hortons a recueilli des données de localisation sans consentement • Le registre

De mai 2019 à août 2020, l’application mobile publiée par la chaîne multinationale de restaurants Tim Hortons a suivi les clients en recueillant constamment leurs données de localisation sans consentement valide, selon une enquête du gouvernement canadien.

Dans un rapport publié mercredi, le Commissariat à la protection de la vie privée (CPVP) du Canada et les commissaires à la protection de la vie privée de trois provinces – l’Alberta, la Colombie-Britannique et le Québec – ont présenté les résultats d’une enquête qui a débuté peu après la publication d’un article du National Post de juin 2020. .

Cet article a révélé que l’application Tim Hortons suivait les données de localisation toutes les quelques minutes, même lorsqu’elles étaient reléguées en arrière-plan, et le rapport compilé par les responsables canadiens de la protection de la vie privée l’a confirmé.

“Nous avons constaté qu’en mai 2019, Tim Hortons a publié des versions mises à jour de son application afin qu’elle puisse, avec l’aide d’un fournisseur de services tiers américain (“Radar”), suivre et collecter l’emplacement des appareils des utilisateurs”, a déclaré l’OPC rapport lit.

“Pour les appareils des utilisateurs qui ont fourni leur “autorisation”, Radar, au nom de Tim Hortons, recueillerait et traiterait l’emplacement de l’appareil des utilisateurs, toutes les quelques minutes, pour : (i) déduire l’emplacement du domicile d’un utilisateur et lieu de travail et quand il voyageait ; et (ii) identifier quand l’utilisateur visitait un concurrent de Tim Hortons. »

Tim Hortons compte près de 5 000 emplacements dans 15 pays. Il a commencé à Hamilton, en Ontario, en tant que restaurant de hamburgers et s’est développé en tant que chaîne de magasins de beignets jusqu’aux années 1990. Il y a eu une fusion en 1995 avec Wendy’s, un retour à l’indépendance, puis une fusion avec Burger King en 2014. Plus tard cette année-là, les deux les chaînes sont devenues des filiales de la société mère Restaurant Brands International.

suivant le Courrier national article, quatre poursuites ont été intentées contre Tim Hortons alléguant des violations de la loi sur la protection de la vie privée.

“Toutes les réclamations allèguent que les défendeurs ont violé les droits à la vie privée du demandeur, la Loi sur la protection des renseignements personnels et les documents électroniques, les lois sur la protection des consommateurs et la concurrence, ou les engagements basés sur les applications envers les utilisateurs, dans chaque cas en relation avec la collecte de données de géolocalisation via Tim Hortons et , dans certains cas, les applications mobiles Burger King et Popeyes », explique la société dans son dernier rapport financier 10-Q.

Nous ne pouvons prédire l’issue finale d’aucun de ces cas ni estimer l’éventail des pertes possibles, le cas échéant.

“Chaque demandeur demande une injonction et des dommages-intérêts pour lui-même et les autres membres du groupe. Ces affaires en sont à des stades préliminaires et nous avons l’intention de nous défendre vigoureusement contre ces poursuites, mais nous ne pouvons prédire l’issue finale d’aucune de ces affaires. ou estimation la fourchette des pertes possibles, le cas échéant. »

L’enquête du Commissariat a conclu que des données de localisation détaillées avaient été recueillies dans le but de fournir des publicités ciblées faisant la promotion des produits de l’entreprise, mais n’avaient jamais été utilisées à cette fin précise. Au lieu de cela, la chaîne de restaurants basée à Toronto a utilisé les informations, agrégées et anonymisées, pour analyser les tendances d’utilisation après avoir abandonné son plan publicitaire ciblé.

Mais cela étant, les responsables canadiens de la protection de la vie privée ont déclaré que la collecte de données n’était pas nécessaire. La chaîne de restaurants a collecté une grande quantité d’informations confidentielles qui n’ont pas été utilisées aux fins déclarées et a imposé un coût de confidentialité en plus des avantages marketing potentiels.

Le rapport a également révélé que l’application n’avait pas obtenu de consentement valide pour utiliser les données de localisation et avait fait des déclarations trompeuses aux utilisateurs selon lesquelles elle ne collecterait des données que lorsque l’application était ouverte. En fait, l’application a collecté des données de localisation, via son SDK Radar, soit au premier plan, soit en arrière-plan – mais pas lorsqu’elle était fermée/fermée.

L’application a fait ses débuts en 2017 et en juillet 2020, elle avait été téléchargée près de 10 millions de fois, bien qu’elle n’ait été activement utilisée que par environ 1 600 000 personnes ce mois-là. Après avoir ajouté le SDK Radar à l’application en mai 2019, l’application a recueilli des coordonnées de localisation GPS précises et des données connexes telles que des horodatages toutes les 2,5 ou 6 minutes – selon la version de l’application – jusqu’à ce que l’utilisateur soit déterminé à être stationnaire.

Le SDK a suivi les événements d’arrivée et de départ de l’emplacement (par exemple, la maison, le bureau, les restaurants concurrents) qui ont été référencés dans le code avec des constantes telles que :

  • USER_ENTERED_HOME ; USER_EXITED_HOME ;
  • USER_ENTERED_OFFICE ; USER_EXITED_OFFICE ;
  • USER_STARTED_TRAVELING ; USER_STOPPED_TRAVELING ; et
  • USER_ENTERED_GEOFENCE ; USER_EXITED_GEOFENCE.

“Tim Hortons a clairement dépassé les limites en accumulant une énorme quantité d’informations hautement confidentielles sur ses clients”, a déclaré Daniel Therrien, commissaire à la protection de la vie privée du Canada, dans un communiqué. « Suivre les mouvements des gens à quelques minutes de chaque jour était clairement une forme de surveillance inappropriée. Cette affaire met une fois de plus en évidence les dommages pouvant résulter de technologies mal conçues, ainsi que la nécessité de lois strictes sur la protection des renseignements personnels pour protéger les droits de la personne. .”

Dans une déclaration envoyée par courriel à Le registreun porte-parole de Tim Hortons a déclaré que l’entreprise avait pleinement coopéré aux enquêtes des commissions de la protection de la vie privée et s’efforçait de mettre en œuvre leurs recommandations.

L’entreprise alimentaire a souligné la conclusion du rapport selon laquelle les données de géolocalisation qu’elle a collectées n’ont jamais été utilisées pour des publicités ciblées et le fait qu’aucune nouvelle modification de son application n’était nécessaire. Tim Hortons a déjà apporté les modifications nécessaires en désactivant le SDK Radar en août 2020 et en supprimant le code de la bibliothèque un mois plus tard.

Illustration du suivi de localisation dans une ville

Rapport de suivi de localisation : l’utilisation du SDK X-Mode est beaucoup plus répandue qu’on ne le pensait

EN RELATION

“En juin 2020, nous avons pris des mesures immédiates pour améliorer la façon dont nous communiquons avec les clients sur les données qu’ils partagent avec nous et avons commencé à revoir nos pratiques de confidentialité avec des experts externes”, a déclaré un porte-parole de l’entreprise. “Peu de temps après, nous avons supprimé de manière proactive la technologie de géolocalisation décrite dans le rapport sur l’application Tims.

“Les données de cette technologie de géolocalisation n’ont jamais été utilisées pour un marketing personnalisé auprès des clients individuels. L’utilisation très limitée de ces données était sur une base agrégée et non identifiée pour étudier les tendances de notre entreprise – et les résultats ne contenaient aucune information personnelle sur les clients. “.

“Nous avons renforcé notre équipe interne dédiée à l’amélioration des meilleures pratiques en matière de confidentialité, et nous continuons à nous concentrer sur la garantie que les clients peuvent prendre des décisions éclairées concernant leurs données lorsqu’ils utilisent notre application.”

Un porte-parole de Radar a déclaré Le registre dans un e-mail que les données de localisation en question sont retenues en raison d’un litige en cours et seront supprimées lorsque l’entreprise aura l’autorisation de le faire.

Lorsqu’on lui a demandé s’il existait d’autres applications implémentant le Radar SDK sans obtenir un consentement valide, la société a déclaré: “Les clients de Radar sont responsables de l’obtention d’un consentement approprié. Nous n’avons pas connaissance d’autres situations où nos clients n’ont pas obtenu le consentement approprié. pour la collecte et l’utilisation des données de localisation.” ®

Leave a Comment