Enquête sur une application de Tim Hortons

L’enquête vise à déterminer si Tim Hortons a récolté des données de géolocalisation des téléphones « à des fins qui pourraient inclure l’amassement et l’utilisation de profils d’usagers détaillés », incluant leur adresse résidentielle, et si « la collecte et l’utilisation des données sont appropriées dans les circonstances ».

Il s’agit de la première enquête du genre visant une application mobile pour la Commission d’accès à l’information du Québec. L’organisme n’a voulu faire aucun commentaire.

L’affaire a été révélée par le Financial Post à la mi-juin, qui a rapporté que l’application mobile Tim Hortons, offerte sur Android et iPhone, récolte depuis mars 2019 des centaines de fois par jour la latitude et la longitude des utilisateurs qui ont activé l’outil de géolocalisation en arrière-plan. Cette fonction permet d’être alerté lorsque des promotions sont offertes dans un restaurant à proximité.

Mais l'entreprise tierce qui a fourni la technologie à Tim Hortons, Radar Labs inc., aurait aussi ajouté des lignes de code pour rapporter quand les clients visitent des restaurants Starbucks, Second Cup, McDonald’s, Pizza Pizza, A&W, PFK et Subway. Le logiciel déterminait aussi l’endroit précis où l’utilisateur habite.

Dans un courriel transmis à La Presse, Tim Hortons affirme « coopérer entièrement » à l’enquête. « Nous avons récemment mis à jour l’appli Tim Hortons pour limiter la collecte des données de localisation aux périodes pendant lesquelles les invités utilisent l’appli, même si un invité a sélectionné “toujours autorisées” dans les paramètres de son appareil », indique la déclaration.

Il n’a pas été possible de parler à un représentant de vive voix.

MétéoMédia aussi

L’application de Tim Hortons est loin d’être la seule à récolter des données de géolocalisation à des fins de marketing. C’est notamment le cas de l’application de MétéoMédia, produite par Pelmorex, qui utilise ces données (si l’utilisateur a donné son consentement) pour fournir des bulletins météo adaptés à l’endroit où se trouve l’utilisateur, mais aussi pour cibler, par exemple, des personnes qui se sont rendues sur des terrains de golf ou des monts de ski avec des publicités plus personnalisées.

La politique de confidentialité de l’application de Tim Hortons précise qu’elle peut récolter des renseignements sur les données de géolocalisation et les « comportements » des utilisateurs « pour faciliter la livraison de publicités ». Jean-François Renaud, fondateur de la firme de marketing numérique Adviso, croit que Tim Hortons s’en servait pour envoyer des promotions spécifiquement aux clients qui fréquentent régulièrement les commerces concurrents, afin de les fidéliser.

« C’est sûr que s’ils disent dans leur politique qu’ils récoltent la géolocalisation pour envoyer des promotions et qu’ils l’utilisent pour autre chose, il y a un problème. »

— Jean-François Renaud, fondateur de la firme de marketing numérique Adviso

« Ce qui me choque, c’est que Google et Facebook sont les maîtres de ce concept, souligne-t-il. C’est eux, les plus gros pushers de ces données-là au monde. Tim Hortons ne fait que prendre le contrôle de ses propres données avec cette application, plutôt que laisser Google et Facebook le faire à sa place. [Les commissaires à la protection de la vie privée] sont en train de taper sur le petit », déplore-t-il.

Fournisseur tiers

L’avocate Danielle Olofsson, chef de la protection de la vie privée au cabinet BCF, croit que le fait que Tim Hortons ait utilisé un fournisseur tiers pour l’analyse de ses données rend la chose plus délicate. « Les fournisseurs tiers ont des obligations accrues au sujet de la protection des données de leurs clients, dit-elle. Ça nécessite un processus de conformité qui peut être très onéreux. »

« En Europe, on voit de plus en plus de causes où les entreprises se font épingler parce qu’elles ont manqué de transparence à cet égard. »

—  Danielle Olofsson, chef de la protection de la vie privée au cabinet BCF

« Le problème, renchérit le spécialiste en cybermétrie Stéphane Hamel, c’est que les politiques de confidentialité pour ces applications ne sont pas particulièrement claires. » Elles ne permettent pas de faire la différence entre un utilisateur qui les accepte « parce qu’il cherche juste à savoir où se trouve le Tim le plus proche d’un autre qui accepte consciemment que tous ses comportements soient enregistrés ».

Ultimement, le risque de fuite de données personnelles lié à ces applications est immense, croit-il. « Toutes ces compagnies disent qu’elles ne récoltent pas d’informations personnelles parce qu’elles ne gardent pas le nom des utilisateurs. Mais si on avait accès aux bases de données, on pourrait facilement trouver une combinaison de comportements qui sont uniques à un individu, comme un code d’ADN, qui en révélerait beaucoup sur cette personne », affirme-t-il.