Une enquête récemment menée à bien par le Commissariat à la protection de la vie privée a révélé deux importants aspects inédits du marketing par courriel et a permis d’en tirer de précieuses leçons pour les entreprises actives dans le domaine.
Cette enquête constitue la première mesure prise par le Commissariat en vertu des dispositions de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) régissant la « collecte d’adresses ». Ces dispositions découlent de la Loi canadienne anti-pourriel (LCAP). L’enquête a aussi donné lieu à la mise en œuvre de notre premier accord de conformité, nouvel outil rendu possible grâce aux modifications apportées à la LPRPDE par la Loi sur la protection des renseignements personnels numériques.
Problème potentiel cerné
Après l’ouverture du Centre de notification des pourriels du Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC), nous avons constaté que le public avait fait parvenir des centaines de messages concernant les activités de marketing par courriel de Compu-Finder, fournisseur de formation en entreprise établi au Québec.
Dans le cadre de l’enquête que nous avons alors lancée sur l’entreprise, nous avons examiné ses pratiques de gestion des renseignements personnels et vérifié si elle utilisait un logiciel de collecte d’adresses. Au cours de nos discussions avec le CRTC, nous avons appris que ce dernier prenait des mesures contre Compu-Finder conformément au mandat qui lui incombe en vertu de la LCAP concernant l’envoi de courriels commerciaux non sollicités (« pourriels »). Par conséquent, nous avons convenu d’échanger des renseignements comme l’autorisent la LCAP et un protocole d’entente connexe.
Enquête
Au cours de notre enquête, l’entreprise a déclaré qu’elle avait en sa possession en janvier 2014 environ 475 000 adresses de courriel, dont environ 170 000 avaient été recueillies au moyen d’un logiciel spécialisé.
D’après l’entreprise, en prévision de l’entrée en vigueur de la LCAP, elle avait ramené le nombre d’adresses en sa possession à un peu plus de 100 000, dont 28 000 avaient été recueillies à l’aide d’un logiciel de collecte d’adresses.
Collecte sur les sites Web
Compu-Finder a également déclaré recueillir des adresses de courriel sur le site Web d’entreprises susceptibles d’avoir un intérêt pour la formation qu’elle offrait et tenues de donner ce type de formation en vertu des lois du Québec. L’entreprise donne la formation presque exclusivement en français dans ses établissements de Montréal et de Québec, mais elle envoyait constamment des courriels à des destinataires se trouvant aussi loin qu’en Colombie-Britannique, voire à l’étranger.
Compu-Finder s’estimait justifiée, pour diverses raisons, d’invoquer le consentement implicite pour recueillir et utiliser un grand nombre d’adresses de courriel en sa possession : les relations d’affaires établies, la nature non sensible des renseignements recueillis, la publication en libre accès des adresses de courriel et la pertinence de ses courriels commerciaux par rapport aux activités professionnelles des différents destinataires.
Nous avons toutefois constaté que certains sites Web où l’entreprise recueillait des adresses affichaient des avis de non-sollicitation non équivoques. De plus, en interrogeant certaines personnes qui avaient fait parvenir des messages au Centre de notification des pourriels, nous avons constaté qu’aucune d’entre elles n’entretenait de relations d’affaires avec l’entreprise et que les courriels reçus n’avaient aucun lien avec leur travail. Par exemple :
- un professeur d’informatique au sein d’université a reçu des courriels faisant la promotion d’un cours destiné aux directeurs des finances;
- un scientifique au service d’un organisme gouvernemental a reçu des courriels qui faisaient la promotion de cours portant sur l’évaluation de la rentabilité des entreprises;
- un commis comptable à son compte a reçu un courriel faisant la promotion d’une formation sur la direction de groupes.
Collecte par téléphone
Compu-Finder recueillait aussi des adresses par téléphone. Nous avons obtenu le texte de sollicitation utilisé par les employés de l’entreprise. Or, celui-ci n’expliquait pas que les adresses étaient recueillies dans le but d’envoyer des courriels individuels faisant la promotion des services offerts par l’entreprise. De plus, il était manifeste que Compu-Finder recueillait les adresses de courriel auprès des employés à la réception ainsi que du personnel d’administration et de soutien plutôt qu’auprès des propriétaires des adresses.
Documents manquants
Lorsque nous avons demandé à Compu-Finder de faire la preuve du consentement exprès sur lequel elle s’appuyait pour recueillir des adresses de courriel particulières, l’entreprise n’a pas été en mesure de nous fournir d’information pertinente sur la façon dont elle aurait obtenu ce consentement.
Résultat
Tout bien considéré, il était évident que Compu-Finder n’était pas au courant des obligations en matière de protection de la vie privée lui incombant en vertu de la LPRPDE ou qu’elle ne les avait pas respectées. De plus, bien que l’entreprise ait affirmé avoir cessé de recueillir des adresses de courriel à l’aide d’un logiciel avant l’entrée en vigueur de la LCAP en juillet 2014, elle a manifestement continué par la suite d’utiliser les adresses recueillies de cette façon.
Qui plus est, l’entreprise n’affichait sur ses sites Web aucune politique de confidentialité et n’y mentionnait aucune personne-ressource désignée à qui adresser les questions sur la collecte et l’utilisation de renseignements personnels par l’entreprise.
Par conséquent, nous avons formulé plusieurs recommandations visant à amener Compu-Finder à se conformer à nouveau à la LPRPDE. L’entreprise a accepté de mettre en œuvre toutes ces recommandations et de conclure un accord de conformité.
Principales leçons apprises
Consentement exprès
Une entreprise qui affirme avoir obtenu un consentement exprès pour recueillir et utiliser des adresses de courriel doit s’assurer que les personnes concernées sont pleinement informées des fins de la collecte et de l’utilisation des renseignements personnels.
Au cours de l’enquête, nous avons constaté que les préposés au télémarketing de Compu-Finder ne fournissaient pas ces renseignements, ce qui a remis en question la validité du consentement obtenu, particulièrement en l’absence d’une politique de confidentialité.
Renseignements accessibles au public
Les entreprises doivent lire attentivement les règlements d’application de la LPRPDE et s’assurer de bien les comprendre avant de déterminer si un renseignement est vraiment « accessible au public ».
Au cours de l’enquête, afin d’expliquer pourquoi les adresses de courriel affichées sur les sites Web pouvaient à son avis être recueillies sans consentement, Compu-Finder a invoqué l’exception visant les « renseignements accessibles au public » prévue dans la LPRPDE. Mais cette exception ne s’appliquait pas. En effet, la collecte d’adresses de courriel et leur utilisation dans le but d’envoyer des courriels faisant la promotion de ses services n’étaient pas, du moins dans certains cas, directement liés aux fins auxquelles les organisations avaient publié sur leur site Web les adresses de courriel de personnes.
En outre, l’exception visant les renseignements accessibles au public ne s’applique pas lorsqu’une adresse a été recueillie au moyen d’un logiciel de collecte d’adresses.
Tenue de registres bien documentés
L’enquête menée par le Commissariat fait ressortir l’importance de tenir des registres bien documentés et de faire preuve de diligence raisonnable.
Même si le Commissariat avait cru les allégations de Compu-Finder selon lesquelles les personnes concernées auraient consenti à ce qu’elle recueille et utilise leur adresse de courriel, l’entreprise n’avait pas de registres adéquats à l’appui de cette affirmation.
Toute entreprise qui exerce des activités de marketing par courriel doit tenir des registres indiquant quand et comment elle a obtenu le consentement des individus pour recueillir et utiliser leur adresse de courriel. Ces registres doivent aussi contenir des renseignements concernant l’emploi, l’entreprise ou la profession de la personne et les courriels qui lui ont été envoyés pour faire la preuve de leur pertinence au besoin.
Une organisation qui invoque le consentement implicite doit revoir périodiquement ses registres et les sources connexes pour s’assurer que le consentement est toujours valable – par exemple, il est possible qu’un énoncé de non-sollicitation ait été ajouté sur le site Web.
En plus de montrer à l’équipe d’enquête qu’elle a adopté des pratiques exemplaires, les registres bien documentés permettent à l’entreprise de supprimer rapidement l’adresse de courriel d’une personne dans l’éventualité où cette dernière retirerait son consentement, comme l’exige la LPRPDE.
Renseignements supplémentaires
Pour en apprendre davantage sur les pratiques exemplaires en matière de marketing par courriel et la façon de se conformer aux dispositions relatives à la collecte d’adresses électroniques découlant des modifications apportées à la LPRPDE par la LCAP, veuillez consulter notre fiche de conseils utiles et notre guide.