Une décision récente du Commissariat à la protection de la vie privée du Canada (le « CPVP ») illustre la nature complexe et souvent ambiguë du consentement au sens de la loi fédérale canadienne encadrant la protection de la vie privée, la Loi sur la protection des renseignements personnels et des documents électroniques (la « LPRPDE »). Elle met aussi en lumière des répercussions notables pour les détaillants canadiens qui traitent des données au moyen d’outils de conversion hors ligne dans le cadre de leurs activités de marketing numérique et d’analyse de données.
Contexte
Dans ses Conclusions en vertu de la LPRPDE no 2023-001, le CPVPanalyse ces questions dans le contexte d’une affaire où un détaillant canadien, Home Depot du Canada inc. (« Home Depot »), a transmis les renseignements personnels d’un client à la société mère de Facebook, Meta Platforms, Inc. (auparavant Facebook, Inc.) (« Meta ») au moyen d’un outil commercial appelé « Conversions hors ligne ». Cet outil aide les entreprises à mesurer les effets de campagnes publicitaires en ligne sur les ventes en magasin, en transmettant à une plateforme tierce une version hachée de l’adresse électronique de leurs clients et les détails de leurs achats en magasin. La plateforme fait ensuite concorder les adresses courriels hachées avec les comptes de ses utilisateurs et compare les détails des transactions de ces derniers avec les publicités qui leur ont été montrées. Les entreprises peuvent ainsi prendre des décisions éclairées quant à leur budget de publicité et améliorer leur stratégie de marketing numérique.
Pour conclure qu’un consentement explicite (opt-in) aurait dû être obtenu, le CPVP s’appuie sur sa détermination que la transmission des données à la plateforme de réseautage social ne répondait pas aux attentes raisonnables des clients qui avaient donné leur adresse courriel pour recevoir des reçus électroniques. Le CPVP en est venu à cette conclusion même si la pratique consistant à transmettre des données ne concernait pas des renseignements personnels sensibles ni ne créait un risque résiduel important de préjudice grave pour les clients.
En outre, le CPVP a soutenu que les clients auraient dû être activement informés d’aspects clés de cette pratique dès la collecte des informations, notamment du fait que la plateforme de réseautage social était autorisée par contrat à les utiliser à des fins commerciales. Cela montre les risques de compter uniquement sur les dispositions d’une politique de protection de la vie privée pour obtenir un consentement valable quand il est question de l’utilisation des renseignements à des fins secondaires comme le marketing et l’analyse de données.
Cette décision fait ressortir quelques-unes des zones grises des lois canadiennes sur la protection de la vie privée et les difficultés que posent aux entreprises l’interprétation et l’application de la notion de consentement et de la norme des « attentes raisonnables ». En fait, dans leur couverture de la décision, des médias ont fait remarquer que nombre d’autres grands détaillants canadiens avaient peut-être utilisé l’outil Conversions hors ligne de Meta sans obtenir le consentement explicite de leurs clients, ce qui montrait que d’autres acteurs pouvaient faire une interprétation analogue des zones grises de la loi.
Ce dossier montre que le secteur privé et les organismes de réglementation canadiens doivent adopter une approche plus collaborative, à la fois pour que les pratiques de marketing et d’analyse des données et les besoins des entreprises soient mieux compris, et pour que soient établies des orientations claires et pragmatiques sur la manière de mettre en œuvre ces pratiques dans le respect des lois.
Si la décision n’empêche pas les organisations de compter sur un consentement tacite pour toutes les formes de marketing et d’analytique, elle met en lumière l’importance de fournir des avis préalables sur le recours auxdites pratiques, de fixer des limites claires quant à l’usage que les partenaires peuvent faire des informations, et de permettre aux clients de retirer facilement leur consentement à l’utilisation de leurs informations à des fins secondaires. Cela dit, en l’absence de lignes directrices claires sur ces questions, les organisations qui comptent sur le retrait du consentement pour traiter des informations aux fins de marketing et d’analyse des données seront toujours à risque de contrevenir à la loi, surtout s’il est question de pratiques nouvelles susceptibles de ne pas répondre aux attentes raisonnables des clients.
Outils de conversion hors ligne et considérations relatives à la protection de la vie privée
1. La distinction entre « utilisation » et « communication » de renseignements personnels quand des informations sont transmises à un partenaire pour l’analyse des données
Au sens de la LPRPDE, la transmission de renseignements personnels à des fournisseurs de services tiers constitue une « utilisation » plutôt qu’une « communication » de ces renseignements. Cela signifie qu’une organisation qui a obtenu un consentement valide pour recueillir et utiliser des renseignements personnels à des fins précises peut transmettre ces renseignements à un fournisseur de services tiers sans obtenir de consentement supplémentaire, pourvu que le fournisseur ne les traite qu’aux fins en question1. Tant le fournisseur que l’organisation qui retient ses services pour traiter les renseignements personnels en son nom sont alors tenus par la LPRPDE de protéger les renseignements recueillis et de veiller à ce qu’ils soient traités exclusivement aux fins pour lesquelles le consentement a été donné2.
Dans l’affaire qui nous intéresse, le CPVP a examiné l’entente entre le détaillant et la plateforme de réseautage social et a conclu que cette dernière ne s’en tenait pas à son rôle de fournisseur de services, mais traitait aussi les informations à ses propres fins commerciales, y compris des fins de ciblage publicitaire. Le CPVP a formulé l’avis que la transmission de renseignements personnels des clients au tiers constituait une « communication » plutôt qu’une « utilisation » de ces renseignements, ce qui nécessitait l’obtention d’un consentement supplémentaire.
2. La forme du consentement et son rapport avec les attentes raisonnables de la personne
Les Lignes directrices pour l’obtention d’un consentement valable du CPVP reconnaissent que le consentement peut être explicite ou implicite, selon les circonstances et le type de renseignements recueillis. De manière générale, un consentement explicite est requis lorsque l’activité de traitement i) concerne des renseignements personnels sensibles, ii) ne répond pas aux attentes raisonnables de l’intéressé, ou iii) crée un risque résiduel important de préjudice grave. C’est donc dire que même pour des renseignements personnels considérés comme « peu sensibles », un consentement explicite peut être requis si l’activité de traitement pour laquelle on cherche à obtenir le consentement ne répond pas aux attentes raisonnables des intéressés3. Se pose alors la question de la manière de déterminer ce qui constitue des « attentes raisonnables » dans un contexte donné, en particulier si les renseignements ne sont pas sensibles et qu’ils sont traités à des fins qui servent les intérêts commerciaux légitimes d’une entreprise, comme la mesure de l’efficacité de ses campagnes de marketing numérique.
Les « attentes raisonnables » constituent une norme objective qui exige de se pencher sur « tous les facteurs contextuels pertinents entourant la pratique en cause, y compris le type de services offerts par l’organisation concernée et la nature de la relation entre cette dernière et ses clients. Ces facteurs contextuels ne doivent pas être examinés individuellement, mais plutôt évalués dans leur ensemble4. » Dans l’affaire Banque Royale du Canada c. Trang, la Cour suprême du Canada a privilégié une interprétation large de cette norme qui nécessite de prendre en compte « l’entièreté du contexte », y compris la relation entre la personne dont les renseignements sont communiqués et le tiers à qui l’organisation les communique, l’identité de ce tiers et les fins pour lesquelles on sollicite la communication5. La Cour poursuit : « en faisant abstraction du contexte, on accorderait trop d’importance aux intérêts privés par rapport aux préoccupations opérationnelles légitimes que la LPRPDE était également censée prendre en compte6. »
L’analyse que fait le CPVP de la question des « attentes raisonnables » est aussi superficielle qu’elle est ambiguë, laissant beaucoup de place aux suppositions quant à ce qu’implique la décision pour d’autres pratiques courantes de marketing et d’analyse des données, comme la publicité ciblée. Tout en reconnaissant que les renseignements n’étaient pas forcément sensibles dans les circonstances de l’affaire, car l’information communiquée sur les transactions n’indiquait que le rayon dans lequel l’achat avait été fait, et non le produit acheté, le CPVP conclut néanmoins qu’un consentement explicite était requis pour transmettre des informations servant à mesurer des conversions hors ligne, puisque les clients qui demandent un reçu électronique en magasin « ne s’attendent raisonnablement pas » à ce que leurs renseignements personnels soient transmis à un tiers pour qu’il mesure l’efficacité de campagnes de publicité numérique ou pour des fins commerciales du tiers ou « n’ont aucune raison de le soupçonner ».
Ce raisonnement pourrait toutefois confondre deux notions distinctes : la forme du consentement et le respect des exigences d’information et de transparence. On peut donc se demander si les exigences d’information et de transparence peuvent influence les attentes raisonnables des intéressés, de sorte que le consentement tacite devienne indiqué dans les circonstances, et, dans l’affirmative, dans quelle mesure. Les conclusions et les recommandations du CPVP semblent écarter cette possibilité, mais comme l’analyse de la forme du consentement paraît tenir compte de la transparence, on peut penser que la conclusion tirée sur la forme du consentement aurait pu être différente s’il y avait simplement eu davantage de transparence.
Il importe de noter que, dans sa décision, le CPVP n’a pas explicitement considéré ce que suppose concrètement le fait de demander un consentement explicite au moment de l’achat en magasin ni la présence de facteurs faisant contrepoids dans la détermination des attentes raisonnables des clients. Pareils facteurs peuvent comprendre les intérêts commerciaux légitimes en jeu, la relation préexistante entre la plateforme de réseautage social et le client, et la capacité des utilisateurs de choisir, dans les paramètres de leur compte, la manière dont la plateforme peut traiter des données d’événements hors ligne. Par exemple, ne pourrait-on pas dire que les utilisateurs d’une plateforme ont des attentes raisonnables différentes de celles des non-utilisateurs, compte tenu de leur relation préexistante avec le tiers et des avis et options de protection de la vie privée qui leur sont communiqués sur la plateforme? On peut aussi ajouter les difficultés pratiques et techniques qui peuvent être associées à l’obtention d’un consentement explicite dans un environnement hors ligne; la question ici est de savoir si est atteint l’équilibre entre protection de la vie privée et besoins commerciaux que la LPRPDE cherche à préserver.
Si les réponses à ces questions peuvent en définitive dépendre de la nature et de la portée des activités de traitement, le CPVP a néanmoins raté une occasion d’approfondir ces sujets et de clarifier un aspect flou de la notion de consentement au sens de la LPRPDE, à savoir la norme des « attentes raisonnables » et le rôle grandissant qu’elle joue dans la détermination de la forme du consentement.
3. Les exigences d’information et de transparence et leur rôle dans l’obtention d’un consentement valable
La LPRPDE oblige les organisations à faire des efforts raisonnables pour informer les intéressés, avant ou au moment de la collecte de renseignements, de la nature, des fins et des conséquences du traitement pour lequel elles sollicitent leur consentement, en tenant compte des attentes raisonnables des intéressés7. Quant aux Lignes directrices pour l’obtention d’un consentement valable du CPVP, elles précisent que les organisations doivent mettre davantage l’accent sur certains éléments de leurs pratiques de traitement des renseignements, comme les types de renseignements recueillis, les tiers auxquels les renseignements personnels seront communiqués, les fins auxquelles les renseignements personnels seront traités et les risques de préjudice et autres conséquences résultant des activités de traitement.
Au-delà de la question de la « forme du consentement », le CPVP s’est demandé si le détaillant pouvait compter sur sa déclaration sur la confidentialité et sur celle de Meta pour informer ses clients de ces pratiques. Concluant que ces documents n’étaient pas suffisants pour obtenir un consentement valable, le CPVP fait valoir que le détaillant aurait dû prévoir un mécanisme d’« avis juste à temps » pour informer les clients de la nature, des fins et des conséquences de la transmission de données à la plateforme de réseautage social.
Ce que signifie la décision pour les entreprises et pour les activités de marketing et d’analyse de données multicanaux
Pour les entreprises, la lecture que fait le CPVP de la norme des « attentes raisonnables » apportera sans doute plus de questions que de réponses, et beaucoup se demanderont évidemment si d’autres pratiques courantes de marketing et d’analyse de données, comme la publicité comportementale en ligne, le reciblage, la création de publics cibles personnalisés et d’autres formes de publicité ciblée, pourraient nécessiter un consentement explicite et une transparence accrue au moment de la collecte. Après tout, les lois canadiennes sur la protection de la vie privée contiennent de nombreuses zones grises qui rendent des notions clés comme la forme du consentement difficiles à appliquer en l’absence de directives réglementaires claires, ce qui accroît le risque que des pratiques répandues, qu’elles soient bien établies ou non, soient jugées illicites au terme d’une enquête d’un organisme de réglementation de la protection de la vie privée.
Dans certains cas, le consentement implicite pourrait quand même être acceptable pour le traitement de renseignements à des fins secondaires, pourvu que les faits entourant une pratique précise soient suffisamment distincts de ceux mentionnés dans la décision récente du CPVP. Par exemple, le CPVP a établi précédemment que le consentement implicite pouvait être considéré comme raisonnable pour de la publicité comportementale en ligne, sous réserve de certaines conditions qu’il détaille dans ses Lignes directrices et sa Position de principe8. Au-delà de l’épineuse question que cela soulève (peut-on véritablement penser que les utilisateurs s’attendent raisonnablement à ce qu’on utilise leurs données de navigation pour leur montrer de la publicité ciblée?), cette décision, qui concerne exclusivement la transmission de données pour mesurer les effets de campagnes publicitaires en ligne sur les ventes en magasin, ne visait sans doute pas à changer la forme du consentement requis dans le contexte de la publicité comportementale en ligne. Les organisations devraient néanmoins porter une attention particulière aux mesures qu’elles mettent en place pour garantir une transparence suffisante au point de collecte. Elles devraient aussi limiter la manière dont leurs partenaires peuvent utiliser l’information et proposer aux intéressés des moyens simples et commodes de retirer leur consentement à l’utilisation à des fins secondaires.
Points à retenir pour les entreprises
Malgré les questions qui restent en suspens quant à ce qu’implique plus largement la décision récente du CPVP sur le marketing et l’analyse de données multicanaux, les entreprises devraient envisager de passer en revue, avec leurs équipes du marketing, leur utilisation des outils de conversion hors ligne et leurs autres pratiques comportant la collecte et le traitement de renseignements personnels à des fins secondaires, afin d’évaluer leur conformité aux lois canadiennes sur la protection de la vie privée.
Selon le contexte, elles pourraient aussi prendre certaines mesures pour mieux respecter ces lois :
- recenser les outils ou pratiques de marketing et d’analytique qu’elles utilisent et les manières dont les informations sont recueillies, utilisées ou communiquées avec ces outils ou pratiques, ce qui comprend toute transmission de données à des tiers;
- passer en revue les flux de consentement pour confirmer que la forme de consentement obtenu est la bonne compte tenu du degré de sensibilité des renseignements et des attentes raisonnables des intéressés;
- donner aux intéressés un « avis juste à temps » contenant des informations clés sur les pratiques pour lesquelles leur consentement est sollicité au moment de la collecte;
- adapter leurs communications sur la protection de la vie privée pour les clarifier et expliquer plus en détail certaines activités de marketing et d’analyse de données;
- passer en revue leurs accords avec des plateformes tierces et des partenaires d’analytique pour vérifier les limites fixées quant à leur utilisation et à leur communication des renseignements personnels et, au besoin, modifier leurs avis sur la protection de la vie privée et sur le consentement pour qu’ils reflètent avec exactitude toute pratique de communication de renseignements personnels à des tiers pour des fins commerciales des tiers eux-mêmes.
