Aucun consentement n’est requis pour l’utilisation de renseignements personnels accessibles au public combinés à des statistiques démographiques propres à un lieu géographique
Résumé de conclusions d’enquête en vertu de la LPRPDE no 2009-004
[Paragraphes 2(1) et 5(3), alinéa 7(1)d), sous-alinéas 7(2)c.1) et 7(3)h.1) et principes 4.3 et 4.8]
Leçons apprises
- De manière générale, la Loi n’empêche pas les organisations d’utiliser les renseignements inscrits dans les répertoires téléphoniques, et auxquels le public a accès, à des fins de marketing.
- Une organisation n’a pas besoin d’obtenir de consentement pour l’utilisation de renseignements issus d’un processus de couplage de données, qui combine des statistiques géodémographiques à des renseignements personnels auxquels le public a accès dans les pages blanches des répertoires téléphoniques, si ce processus ne crée pas de nouveaux renseignements permettant d’identifier les personnes.
- Si le processus en cause ne concernait pas les dispositions de la Loi relatives au consentement, il n’en demeure pas moins que la conclusion énoncée précédemment ne peut s’appliquer à tous les processus de couplage de données.
- Les organisations doivent faire preuve de transparence au sujet de leurs pratiques de traitement des renseignements personnels. Les renseignements personnels auxquels le public a accès ne font pas exception à cette règle.
L’organisation mise en cause fournit des listes de données sur les consommateurs aux entreprises à des fins de marketing direct. Premièrement, les plaignants ont allégué que l’organisation avait créé des renseignements démographiques personnalisés au moyen du couplage de données (des renseignements issus des pages blanches des répertoires téléphoniques associés aux données de Statistique Canada) et que l’utilisation et la communication de ces « renseignements personnels » nouvellement créés nécessitaient l’obtention d’un consentement. Ils estimaient, en outre, que puisque l’organisation avait utilisé et communiqué des renseignements démographiques détaillés au sujet d’une personne, il aurait été raisonnable de s’attendre à ce qu’elle obtienne le consentement de cette personne avant de compiler et de vendre les renseignements la concernant.
La commissaire adjointe a toutefois conclu que le processus de compilation des listes de consommateurs utilisé par l’organisation ne modifiait pas le statut des renseignements des pages blanches en les faisant passer de renseignements personnels accessibles au public à des renseignements personnels visés par les dispositions relatives au consentement. Les renseignements personnels auxquels le public a accès et qui figurent dans les listes de consommateurs avaient simplement été classés en fonction de critères géodémographiques. La commissaire adjointe était donc d’avis que les listes contenaient des renseignements portant davantage sur des quartiers que sur des personnes identifiables. Par conséquent, la commissaire adjointe a jugé que la plainte relative au principe de consentement était non fondée.
Deuxièmement, les plaignants ont prétendu que l’organisation mise en cause n’avait pas respecté le principe de « transparence » énoncé dans la Loi. Ils se sont dits préoccupés par le fait que l’organisation n’avait pas fourni d’explications sur la manière dont elle recueillait, utilisait et communiquait les renseignements personnels compilés dans les listes de consommateurs, ni sur ses pratiques et ses politiques de traitement des renseignements, et qu’elle s’était montrée réticente à répondre aux questions portant sur ses pratiques.
La commissaire adjointe a admis que l’entreprise n’avait pas fourni suffisamment d’information sur ses politiques et pratiques relatives au traitement des renseignements personnels qu’elle avait vendus. Elle a indiqué que si les renseignements personnels étaient certes accessibles au public, ils demeuraient des renseignements personnels. Afin que l’organisation se conforme au principe de transparence, la commissaire adjointe a proposé certaines modifications à apporter à ses politiques et pratiques. L’organisation a suivi les recommandations de la commissaire adjointe et cette dernière a conclu que la plainte à l’égard du non‑respect du principe de transparence était fondée et résolue.
Voici un résumé du déroulement de l’enquête et des délibérations de la commissaire adjointe.
Résumé de l’enquête
CONSENTEMENT
Selon les plaignants, l’organisation a failli à son obligation d’obtenir un consentement pour la collecte, l’utilisation et la communication des renseignements personnels obtenus par le couplage de données. Ils se sont dits préoccupés par le fait que l’organisation avait combiné des renseignements personnels accessibles au public à des statistiques démographiques propres à un lieu géographique provenant de Statistique Canada (SC). Les plaignants ont soutenu que ce processus personnalisait des renseignements démographiques autrement impersonnels créant ainsi des renseignements personnels (soit des renseignements sur des personnes identifiables), quel que soit leur degré d’exactitude. Par conséquent, ils estimaient que l’acte d’avoir créé des renseignements démographiques personnalisés au moyen du couplage de données était assujetti à l’obligation d’obtenir un consentement pour leur utilisation et leur communication en vertu de la Loi. Ils estimaient également que l’objectif de l’organisation, soit de créer et de vendre de tels renseignements, était inacceptable.
Quant à l’organisation, elle prétend fournir des listes aux clients en fonction de leurs critères de sélection. L’organisation utilise des sources de données groupées qu’elle intègre à sa base de données sur les consommateurs. Selon elle, elle se contente de vendre des listes de noms, d’adresses et de numéros de téléphone de personnes inscrites dans les pages blanches des répertoires téléphoniques en fonction des caractéristiques du quartier dans lequel elles vivent. L’organisation commence par recueillir les renseignements des pages blanches, puis elle les trie en fonction des données démographiques obtenues dans le cadre d’un recensement de SC. Bien que l’organisation ne fasse plus appel aux services de SC, elle obtient les données de ce dernier par l’entremise d’autres fournisseurs. Au cours des discussions avec le Commissariat, l’organisation a insisté sur les limites de ses listes de consommateurs.
Les plaintes en question portaient sur la base de données de l’entreprise qui contient des renseignements sur des millions de consommateurs canadiens. Selon l’organisation, cette base de données est constituée de listes de noms, d’adresses et de numéros de téléphone tels qu’ils apparaissent dans les répertoires téléphoniques. Parmi ses clients, on trouve des petites entreprises, des multinationales et des organismes gouvernementaux, auxquels elle offre ces listes à des fins de marketing direct.
Comme elle l’a expliqué au Commissariat, l’organisation propose à ses clients des « critères de sélection » de base. Autrement dit, un client peut choisir les critères selon lesquels la liste de consommateurs sera créée, comme l’âge, le revenu, le statut de propriétaire, la valeur estimative de la maison, l’adresse postale, le numéro de téléphone et le nombre de personnes par ménage. Parmi les critères de sélection géographiques, citons le code postal, la ville, la province, les stations de métro, l’indicatif régional, les routes principales et le périmètre autour de la résidence. D’autres critères de sélection très utilisés sont le revenu estimatif, le sexe et l’origine ethnique.
L’organisation a comparé son processus à une balade dans un quartier, où certaines caractéristiques générales de la communauté seraient perceptibles par l’observateur. Selon elle, ses services consistent à offrir des mécanismes électroniques pour effectuer ce que des personnes pourraient faire manuellement, si elles en avaient le temps.
Elle a en outre expliqué qu’elle n’était pas commissionnaire en publipostage et qu’elle ne conservait pas de dossiers sur des personnes, mais uniquement sur ses entreprises clientes. En d’autres termes, elle ne conserve pas de listes de consommateurs répondant à certaines caractéristiques comme les propriétaires de yacht ou de maisons de vacances.
L’organisation a indiqué qu’elle fournissait à ses clients des listes de noms, d’adresses et de numéros de téléphone de consommateurs dans un format transmissible par la poste et que, dans certains cas, le sexe était précisé. Même chose pour l’origine ethnique qui était parfois indiquée au moyen de modèles de tableaux nominatifs, à savoir un processus basé sur une analyse généalogique, selon laquelle certains noms de famille sont souvent associés à une origine ethnique facilement identifiable.
Pour mieux expliquer son processus de demande, l’organisation a fourni au Commissariat l’échantillon d’une commande concernant 50 ménages canadiens. Les critères de sélection incluaient :
- le type d’habitation : unité d’habitation unifamiliale (une entrée par adresse);
- les critères géographiques : code postal, trois premiers caractères du code postal;
- les critères de sélection du recensement :
- âge moyen (hommes et femmes);
- 30-44;
- 35-49;
- 40-54;
- 45-59;
- le revenu moyen par ménage : 80 000 $ et plus.
La liste de consommateurs ainsi créée contenait une colonne de numéros d’identification de l’organisation et des colonnes correspondantes contenant les prénoms ou initiales, le nom de famille, l’adresse, la ville, la province, le code postal, le pays, l’indicatif régional et les numéros de téléphone des personnes. L’organisation déclare vérifier les numéros de téléphone au moins une fois par an et garantit un taux d’exactitude de 99 %.
Comment l’organisation élabore‑t‑elle ses listes?
Voici un résumé du processus de compilation de données de l’organisation :
- Les noms, adresses, numéros de téléphone, et, implicitement, les villes et les provinces des consommateurs canadiens sont compilés à partir des pages blanches des répertoires téléphoniques canadiens.
- L’organisation a souligné qu’elle n’avait pas accès aux numéros de téléphone confidentiels ni aux noms des personnes non inscrites dans le répertoire (par exemple, les conjoints).
- Les noms sont saisis tels qu’ils apparaissent dans le répertoire. L’organisation a indiqué qu’elle ne tentait pas de déterminer, par exemple, si D. Anderson correspondait à David Anderson ou à Denise Anderson.
- Au moyen de modèles exclusifs, l’entreprise associe un sexe et une origine ethnique ou religieuse (en fonction du prénom ou du nom de famille). Les noms sont classés par genre (féminin, masculin ou unisexe). L’organisation a expliqué qu’elle ne pouvait pas assigner de sexe à la majorité des personnes inscrites, car seules leurs initiales étaient publiées.
- Les répertoires sont numérisés en format lisible par machine et chaque fichier est chiffré manuellement afin de maintenir une qualité de 99 % par rapport au document source.
- Des codes postaux sont attribués en fonction des renseignements certifiés conformes par Postes Canada.
- L’organisation mise en cause a prétendu qu’elle n’enrichissait les renseignements tirés des répertoires qu’en ajoutant le code postal, le sexe et l’origine ethnique. Elle n’ajoute à sa base de données aucune autre information permettant d’identifier la personne, comme des données relatives à des transactions ou à des listes de magazine, ni aucune information issue de sources confidentielles.
- D’autres modèles exclusifs à l’organisation permettent d’établir la probabilité que l’habitation est de type unifamilial ou multifamilial.
- La base de données sur les consommateurs est mise à jour tous les mois.
- Avant que les renseignements soient mis à la disposition des clients, la base de données est vérifiée et les données sont triées en fonction des fichiers de l’Association canadienne du marketing et des fichiers internes du service de retrait d’adresse et de numéro de téléphone. Les fichiers peuvent également être traités au moyen du Service de changement d’adresse à l’échelle nationale de Postes Canada.
- En réponse aux demandes de ses clients, l’organisation trie ou filtre les renseignements selon les données de recensement de SC. SC recueille les renseignements directement auprès des ménages. Toutefois, les renseignements ne sont communiqués ou publiés que de manière groupée en fonction des aires de diffusion du recensementNote de bas de page 1.
- L’organisation utilise également le Fichier de conversion des codes postaux de SC. Ce fichier attribue des codes postaux aux aires de diffusion, ce qui permet la sélection de listes géographiques.
L’organisation mise en cause a expliqué que son processus de création de listes consistait à intégrer deux sources de données groupées à sa base de données sur les consommateurs. La première source de données est la base de données de recensement de SC, que l’organisation se procure auprès d’une autre entreprise. Cette base de données contient un certain nombre de renseignements démographiques sur les consommateurs en fonction des aires de diffusion. Parmi les données fournies par SC, citons l’âge moyen, le revenu moyen par ménage, le nombre estimatif de ménages avec enfants, la probabilité du statut de propriétaire, la valeur moyenne des maisons et la principale période de construction pour une aire de diffusion donnée. Les renseignements groupés de recensement, comme l’âge moyen ou la valeur moyenne des maisons, sont utilisés pour déterminer certains facteurs comme la probabilité qu’il y ait des enfants ou l’état matrimonial.
La deuxième source de données est le Fichier de conversion des codes postaux de SC. Ce fichier attribue des codes postaux aux aires de diffusion du recensement, ce qui permet la sélection de listes géographiques. L’organisation a mentionné qu’elle cartographiait les limites du recensement dans les régions définies selon le code postal et qu’elle combinait ces renseignements aux aires de diffusion.
L’organisation utilise sous licence une autre base de données, à savoir le système Mosaic de Generation 5, propriété d’une entreprise de Toronto, un système de regroupement de renseignements propres à un quartier. À l’aide de renseignements groupés de diverses sources, dont SC, Generation 5 exploite sous licence son système de segmentation démographique pour des applications de marketing ciblé par quartier. Cette base de données compte des catégories généralement groupées, des catégories descriptives, des catégories sur les étapes de la vie ou les styles de vie qui sont classées par regroupements géographiques, à l’échelle du Canada, ainsi que dans quatre catégories précisément axées sur le marché. Comme pour la méthode de regroupement utilisée avec les données de SC, l’organisation propose à ses clients des critères de sélection par style de vie, en fonction d’aires géographiques définies par les codes postaux.
L’organisation a ajouté qu’elle offrait des services d’amélioration de listes aux entreprises. Il s’agit de comparer les données des clients à celles de l’organisation afin d’en vérifier l’exactitude. Elle pourrait notamment ajouter des numéros de téléphone à une liste d’abonnés d’un client qui publie des magazines. L’organisation précise toutefois que, dans ce cas, elle ne conserverait ni n’utiliserait les noms des abonnés du client pour améliorer ses propres listes. Par exemple, elle n’inscrirait pas que D. Anderson au 123, rue Principale est David Anderson, et elle ne conserverait pas de renseignements sur les abonnements ou les achats de cette personne. En effet, pour l’organisation, agir de la sorte constituerait une violation de la Loi.
Le Commissariat a appris que les modalités des conventions entre les clients et l’organisation précisaient que les acheteurs étaient tenus de respecter les pratiques commerciales en vigueur en matière de protection de la vie privée des consommateurs et qu’ils ne devaient pas laisser entendre à une personne qu’ils détenaient des renseignements précis à son égard [Traduction]. Les clients doivent signer un avertissement, ou une convention en ligne, au moyen desquels ils s’engagent à ne pas utiliser les renseignements à des fins illégales. L’avertissement prévoit en outre que les renseignements ne devront être ni communiqués ni vendus.
C’est la société mère située aux États‑Unis qui s’occupe du marketing de l’organisation. Avant de recevoir les plaintes en question, l’organisation avait utilisé du matériel de marketing publicitaire américain pour sa campagne de marketing canadienne, sans différencier clairement les options de sélection canadiennes des options de sélection américaines. Cette situation a semé de la confusion quant à la nature de la base de données canadienne, notamment parce que le matériel de marketing en ligne de l’organisation donnait l’impression qu’elle offrait des options de sélection de listes de consommateurs canadiennes, par exemple, sur les propriétaires de yachts et les propriétaires d’avions. L’information en ligne semblait s’appliquer aux listes de consommateurs canadiennes et américaines, or ce n’était pas le cas; les listes canadiennes ne contenaient pas de tels renseignements.
L’organisation a indiqué au Commissariat que la base de données américaine était « beaucoup plus riche » que la base de données canadienne, dans le sens où elle contenait plus de renseignements, principalement parce que les lois américaines sur la protection de la vie privée diffèrent des lois canadiennes. Le Commissariat a confirmé que les clients américains qui achetaient des listes de consommateurs canadiennes auprès de l’organisation obtenaient les mêmes renseignements que les clients canadiens.
Le matériel publicitaire en ligne de l’organisation a depuis été modifié pour différencier les listes de consommateurs canadiennes des listes américaines. Parmi les options de sélection démographiques, citons le revenu moyen, l’âge moyen, l’état matrimonial probable, la probabilité du statut de propriétaire, toutes ces options ayant été déduites des données fournies par SC. En outre, le matériel publicitaire indique clairement qu’aucun renseignement confidentiel sur des personnes ou des ménages n’a été obtenu auprès de SC.
Données du recensement de Statistique Canada (SC)
L’engagement de Statistique Canada à respecter la confidentialité des renseignements obtenus auprès des Canadiennes et des Canadiens fait partie intégrante de la Loi sur la statistique. Cette loi prévoit que tous les renseignements personnels doivent demeurer confidentiels et que personne, mis à part les employés de SC, ne doit avoir accès aux renseignements personnels recueillis dans le cadre d’un recensement. SC affirme qu’elle ne communique à la population canadienne et aux entreprises que des renseignements non confidentiels groupés, et ce, dans un format qui protège l’identité de la personne. Les données sont filtrées, et diverses mesures sont prises pour prévenir la communication des renseignements personnels obtenus dans le cadre d’un recensement. Ces mesures sont appelées procédures de perturbation des données.
SC a expliqué que si tous les membres d’un groupe identifiable partageaient les mêmes caractéristiques, ou des caractéristiques semblables, des présomptions pourraient être établies à propos des personnes de ce groupe. Il s’agit d’une forme de communication par présomption ou par probabilité utilisée par SC au moyen de techniques statistiques comme l’échantillonnage, l’arrondissement, la suppression, le regroupement ou des combinaisons connexes.
Pour mieux expliquer comment elle limite ce type de communication, SC a donné comme exemple un scénario dans lequel il doit traiter des données quantitatives, comme le revenu. Si l’échantillonnage n’offre pas un degré suffisant d’incertitude quant à la personne à qui les renseignements s’appliquent, d’autres mesures seront utilisées. Le but est d’empêcher des prédictions précises de certaines valeurs concernant un membre de la population. Par exemple, SC produit un rapport sur le revenu moyen par ménage. Si une aire de diffusion est plutôt homogène en matière de revenu par ménage (autrement dit, si plusieurs ménages ou tous les ménages ont un revenu très proche de la moyenne), SC ne divulguera pas le revenu moyen par ménage pour cette aire de diffusion. Dans certains cas, même, SC arrondit les données au cinquième près. Par exemple, si une aire de diffusion compte huit personnes qui se disent originaires de l’Asie du Sud, SC indiquera qu’il y en a dix, et si une seule personne déclare être originaire du Japon, SC indiquera qu’il y en a zéro.
SC offre une vaste gamme de produits et de services, dont certains sont offerts gratuitement et d’autres, moyennant certains frais. Parmi ces produits et services, on retrouve des tableaux pré-remplis, des tableaux sur mesure, des rapports d’analyses, des fichiers de microdonnées aux fins d’utilisation publique et des services d’analyse. SC a souligné que tous ses produits et services comptaient l’avertissement suivant : « aucun renseignement confidentiel, personnel ou commercial, n’a été communiqué sans l’obtention préalable d’un consentement » [traduction]. Son matériel de marketing informe également la population et les clients potentiels qu’il est impossible d’identifier des personnes au moyen de ses produits.
Par ailleurs, SC a indiqué qu’elle octroyait des licences d’utilisation de renseignements statistiques à des distributeurs secondaires dans le cadre d’une convention de distribution de produits à valeur ajoutée ou d’une convention de distribution par des tiers de produits à valeur ajoutée. Puisque seuls les renseignements non confidentiels peuvent être communiqués au public, ces conventions requièrent du distributeur secondaire qu’il informe les utilisateurs des données qu’« aucun renseignement confidentiel, personnel ou commercial, n’a été obtenu de Statistique Canada » [traduction]. Le titulaire de la licence s’engage également à ne pas fusionner ou relier les fichiers électroniques avec d’autres bases de données, à des fins commerciales, d’une façon qui donne l’impression qu’il aurait accès à des renseignements sur une personne, une famille, un ménage, une organisation ou une entreprise identifiables détenus par SC.
SC surveille la conformité aux conditions des conventions. En vertu de ces conventions, le titulaire de la licence ne peut prétendre que les méthodes exclusives qu’il a pu utiliser auraient reçu le soutien ou l’approbation de SC, ou que son analyse des données aurait été approuvée par SC. SC a précisé qu’elle veillait étroitement au respect de ces exigences et que toute inobservation entraînerait des sanctions juridiques.
Un distributeur de produits à valeur ajoutée achète les produits de SC en vue de développer de nouveaux produits destinés à la vente. Un tel développement pourrait supposer que les données de SC seront combinées à des données d’autres sources. Le concept de « valeur ajoutée » fait référence au développement et à la livraison de produits à valeur ajoutée, par exemple, quand une entreprise, qui augmente le niveau de fonctionnalité d’un fichier original de SC, intègre les données de SC au produit à valeur ajoutée et utilise ces données chaque fois que le produit est livré au client final, et/ou quand elle ne transfère ni ne communique pas plus de 50 % des données du fichier original de SC sous une forme non modifiée. La convention de distribution de produits à valeur ajoutée autorise la conception de nouveaux produits et de produits dérivés ainsi que leur distribution à des utilisateurs.
L’article 11.1 de la convention de distribution de produits à valeur ajoutée énonce ce qui suit :
Le titulaire de la licence s’engage, comme condition à l’obtention de la présente licence, à remettre par écrit à Statistique Canada, avant la signature de la présente convention, une déclaration des faits concernant le nom du propriétaire de l’entreprise, la nature de ses activités et l’utilisation prévue des fichiers informatiques énumérés à l’annexe « A ». [traduction]
La convention de distribution par des tiers de produits à valeur ajoutée comporte une disposition similaire.
L’Association canadienne du marketing (ACM)
La mission de l’ACM consiste à créer un milieu qui stimule la croissance responsable du marketing axé sur l’information au Canada. Ses objectifs sont de définir et de promouvoir des normes de pratique éthiques pour le marketing et d’assumer un rôle actif dans l’application de ces normes.
L’organisation mise en cause, membre de l’ACM, souscrit aux normes de conduite en affaires établies par l’Association. Elle doit également respecter les sept principes de confidentialité adoptés par l’ACM et énoncés dans son document intitulé Code de déontologie et normes de pratique.
L’ACM a insisté sur le fait que l’organisation mise en cause n’avait pas fusionné les renseignements tirés de deux sources d’information auxquelles le public a accès, mais qu’elle avait plutôt utilisé des renseignements géodémographiques de SC comme filtre à appliquer à des listes publiques de noms, de numéros de téléphone et d’adresses de répertoires téléphoniques de différentes zones géographiques. L’ACM est d’avis que le résultat ainsi obtenu constitue,pour une région donnée, une moyenne de variables telles que le revenu, l’âge et l’origine ethnique, et que cette moyenne augmentera la probabilité que l’on communique seulement avec les consommateurs les plus susceptibles d’être intéressés par le produit ou le service offert.
Pour ce qui est des renseignements personnels soustraits à l’obligation d’obtenir le consentement ou fournis avec le consentement de l’intéressé, l’ACM a fait remarquer que le fait de filtrer de tels renseignements avec des sources de données non personnelles constituait une pratique courante et répandue dans le secteur du marketing. L’Association fait valoir qu’il s’agit d’un moyen efficace de limiter l’information envoyée aux consommateurs.
L’ACM a appuyé le processus de l’organisation mise en cause et a indiqué ce qui suit :
Le processus est utilisé pour trier des coordonnées auxquelles le public a accès en fonction de caractéristiques démographiques générales qui pourraient s’appliquer aux personnes qui vivent dans ces régions. Les renseignements ne sont pas personnels et ne sont pas nécessairement exacts. En effet, lorsque des indicateurs démographiques de haut niveau sont utilisés pour constituer des listes pour lesquelles le consentement a été obtenu, aucun renseignement personnel n’est ajouté aux dossiers personnels. [traduction]
TRANSPARENCE
Les plaignants ont avancé que l’organisation fournissait peu de renseignements, sur son site Web ou dans d’autres publications, concernant ses politiques et pratiques en matière de gestion des renseignements personnels. Hormis sa politique sur la protection de la vie privée en ce qui concerne la collecte et l’utilisation des données sur les clients et les visiteurs de son site, aux dires des plaignants, l’organisation ne précise pas comment elle recueille, utilise et communique les renseignements personnels qui se retrouvent dans ses listes de consommateurs. Les plaignants ont également fait valoir que l’organisation était tenue d’expliquer ce qu’elle faisait à l’interne avec les données sur les consommateurs.
À leur demande, l’organisation a fourni aux plaignants un document d’une page portant sur la législation canadienne sur la protection de la vie privée, qui ne se trouve pas sur son site Web. Le document affirme que la Loi soustrait à ses dispositions en matière de consentement les noms, adresses et numéros de téléphone des personnes publiés dans un répertoire téléphonique. Il fournit en outre les coordonnées du responsable de la protection de la vie privée au sein de l’entreprise. Lorsqu’ils ont communiqué avec l’entreprise, les plaignants ont pu obtenir d’autres renseignements sur sa manière de recueillir, d’utiliser et de vendre les renseignements sur les consommateurs.
Le CPVP a examiné la politique de protection de la vie privée de l’organisation mise en cause qui est affichée sur son site Web. La politique exposait de quelle façon l’entreprise protégeait les renseignements des utilisateurs, y compris les renseignements de nature délicate comme les numéros de carte de crédit recueillis par l’intermédiaire de son site. L’entreprise permet aux visiteurs de son site de refuser les communications promotionnelles futures et de mettre à jour ou de corriger les renseignements personnels initialement fournis. Le site Web fournit également une adresse électronique à laquelle les utilisateurs peuvent écrire pour obtenir plus d’information concernant la politique de protection de la vie privée de l’entreprise.
Conclusions
Rendues le 9 janvier 2009
Application : l’article 2(1) définit le renseignement personnel comme tout renseignement concernant un individu identifiable, à l’exclusion du nom et du titre d’un employé d’une organisation et des adresse et numéro de téléphone de son lieu de travail. Le paragraphe 5(3) énonce qu’une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances. L’alinéa 7(1)d) indique que, pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, l’organisation ne peut recueillir de renseignement personnel à l’insu de l’intéressé et sans son consentement que lorsqu’il s’agit d’un renseignement réglementaire auquel le public a accès. Le sous‑alinéa 7(2)c.2) prévoit que, pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, l’organisation ne peut utiliser de renseignement personnel à l’insu de l’intéressé et sans son consentement que lorsqu’il s’agit d’un renseignement réglementaire auquel le public a accès. Le sous‑alinéa 7(3)h.1) prescrit que, pour l’application de l’article 4.3 de l’annexe 1 et malgré la note afférente, l’organisation ne peut communiquer de renseignement personnel à l’insu de l’intéressé et sans son consentement que lorsqu’il s’agit d’un renseignement réglementaire auquel le public a accès. Le Règlement précisant les renseignements auxquels le public a accès définit,conformément à la Loi, les différentes catégories de ces renseignements, y compris, aux termes du règlement 1a), les renseignements personnels — nom, adresse et numéro de téléphone des abonnés – figurant dans un annuaire téléphonique accessible au public, si l’abonné peut refuser que ces renseignements y figurent. Le principe 4.3 énonce que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Le principe 4.8 précise qu’une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne.
Pour rendre sa décision, la commissaire adjointe à la protection de la vie privée s’est appuyée sur les considérations suivantes :
CONSENTEMENT
- La plainte portait essentiellement sur la question de savoir si le fait d’ajouter des renseignements géodémographiques combinés à des noms, adresses et numéros de téléphone auxquels le public a accès, soit des renseignements dont l’utilisation et la communication ne nécessitent pas le consentement de l’intéressé, résulte en la création de renseignements personnels pour lesquels le consentement est requis. Autrement dit, les renseignements contenus dans les pages blanches sont‑ils toujours soustraits au consentement par suite de l’attribution et du tri effectués par l’organisation? Le fait qu’une personne réside dans un quartier présentant certaines caractéristiques constitue‑t‑il aussi un renseignement personnel sur cette personne? Les renseignements en cause étaient les listes des consommateurs obtenues par le processus de filtrage de l’entreprise au moyen des critères de sélection des clients.
- Selon les plaignants, en « associant » des renseignements personnels auxquels le public a accès à des statistiques démographiques propres à un lieu géographique, l’organisation a été en mesure de produire des renseignements pouvant se rapporter à des personnes identifiables. Ils ont néanmoins reconnu que le processus pouvait entraîner la création de renseignements personnels inexacts.
- Les renseignements des pages blanches sont des renseignements personnels auxquels le public a accès. La commissaire adjointe à la protection de la vie privée a souligné le fait que leur collecte, utilisation ou communication ne nécessitent aucun consentement dans les cas visés à l’alinéa 7(1)d) et aux sous‑alinéas 7(2)c.1) et 7(3)h.1). L’entreprise n’associe pas de renseignements personnels, issus par exemple de listes d’abonnements à des magazines ou de registres publics, aux données des pages blanches. En revanche, l’entreprise utilise les renseignements groupés de SC, qui ne sont pas des renseignements personnels aux termes de la Loi, pour trier les renseignements personnels auxquels le public a accès.
- La commissaire adjointe a observé que l’organisation faisait appel à un processus de filtre ou de tri pour compiler les renseignements sur les consommateurs. Bien que l’organisation ne s’adresse plus directement à SC pour recueillir des données de recensement, elle les obtient auprès d’autres fournisseurs. La commissaire adjointe a trouvé utile la communication d’attributs pour examiner l’incidence des processus de l’organisation sur la protection de la vie privée. Ce type de communication survient quand un nouveau renseignement est découvert au sujet d’une personne.
- D’après les constatations de la commissaire adjointe, le processus de l’organisation consiste à combiner les données du recensement à d’autres ensembles de données et modèles exclusifs pour créer une base de données sur les Canadiennes et Canadiens. Les pages blanches, en fournissant les noms, adresses et numéros de téléphone des personnes qui figurent sur les listes de distribution vendues, sont un élément essentiel de la base de données.
- La base de données contient deux types de renseignements : (a) les renseignements sur les personnes associés aux données des pages blanches et (b) les renseignements sur les aires de diffusion ou les codes postaux, obtenus dans le cadre d’un recensement ou à partir d’autres ensembles de données. Lorsqu’un des clients de l’entreprise définit un ensemble de critères en (b), un sous‑ensemble d’aires de diffusion apparaît en fonction des critères de sélection choisis et, parmi les personnes qui résident dans ces aires (d’après leur adresse dans les pages blanches), un sous‑ensemble apparaît en fonction des critères de sélection déterminés en (a). Par exemple, si un client sélectionne le critère « hommes dont le revenu va de 50 000 $ à 70 000 $ », le paramètre du revenu est appliqué aux aires de diffusion et les aires dont le revenu moyen se situe dans cette fourchette s’affichent. Puis, le paramètre du sexe est appliqué aux personnes dans les codes postaux sélectionnés.
- Afin de déterminer si les renseignements sur les personnes pouvaient être obtenus facilement à partir de leur nom et adresse, le CPVP a effectué des recherches sur Internet et dans les registres publics. En outre, une série de simulations pour connaître l’exactitude des critères de sélection dans le pire des scénarios a été menée pour vérifier si les renseignements dans les critères de sélection caractérisaient correctement les personnes qui figurent dans les listes de distribution.
- Les résultats ont montré qu’avec un minimum de compétences en recherche sur Internet il était relativement facile de recueillir des renseignements de base sur les personnes dont les nom et adresse sont accessibles au public. Par exemple, le sexe et l’origine religieuse ont pu être facilement obtenus au moyen, d’une part, de bases de données regroupant le nom et le sexe et, d’autre part, d’une vérification des noms sur des sites Web répertoriant les noms propres à chaque religion. Ce qui a pu être établi avec précision restait toutefois limité.
- La commissaire adjointe savait que, parmi les noms qui figurent dans les pages blanches, 25 % seulement sont accompagnés d’un prénom permettant de déterminer le sexe. L’organisation a affirmé ne pas utiliser d’autres sources de renseignements pour apparier les noms aux initiales. Les prénoms contenus dans ces listes peuvent parfois être unisexes, par exemple Leslie, Kris, Pat.
- En ce qui concerne la religion, le degré d’exactitude peut varier considérablement. Sheamus O’Leary est très probablement catholique. Cela dit, certaines femmes portent le nom de famille de leur mari, ce qui biaise les données sur l’origine religieuse. Par exemple, si le nom de Patricia O’Toole est certes à consonance catholique, il n’en reste pas moins que son nom de jeune fille peut être Wong. De nombreuses personnes au nom arabe sont musulmanes, mais pas toutes. Il pourrait s’agir de Chrétiens du Liban, de Coptes d’Égypte ou d’Alawites de la Syrie, par exemple.
- Le revenu, l’état matrimonial et le fait qu’une personne ait des enfants ou non sont des variables auxquelles le public n’a pas facilement accès. Le revenu a fait l’objet d’une attention toute particulière car, des trois, elle est la variable la plus sensible. Les résultats de la simulation ont montré que, dans la pire des hypothèses, l’exactitude de l’attribut du revenu fourni par l’organisation peut être assez élevée. Deux facteurs importants sont entrés en ligne de compte : l’écart dans la répartition des données dans l’aire géographique (par exemple si toutes les personnes gagnent un revenu se situant dans une fourchette de 10 000 $, alors le revenu moyen sera une bonne caractérisation du revenu de toutes ces personnes) et l’inclusion du centre de la répartition dans les critères de sélection. La commissaire adjointe a admis que l’analyse était limitée parce que le CPVP n’avait pas eu accès aux données brutes du recensement et qu’il avait donc dû utiliser d’autres simulations et renseignements publics. Elle a toutefois considéré que les scénarios simulés semblaient plausibles.
- Comme il est relativement facile de recueillir des renseignements de base (sexe, origine ethnique, origine religieuse, type d’habitation) sur les personnes inscrites dans les pages blanches, la commissaire adjointe a conclu qu’il était difficile d’établir le bien‑fondé de l’argument de la communication d’attributs. Certains des renseignements recueillis pouvaient également être obtenus facilement auprès d’autres sources publiques, moyennant des droits, par exemple. Le revenu, l’état matrimonial et le fait qu’une personne ait des enfants ou non constituent les principaux renseignements difficiles à obtenir auprès de sources publiques.
- Dans le pire des scénarios, les critères de sélection peuvent s’avérer relativement exacts, et ce, malgré les perturbations provoquées par SC. L’exactitude n’est pas statique : elle dépend largement de l’amplitude des variations et des critères de sélection. Si la variation est faible, alors les données groupées caractériseront la population de manière plus exacte. En établissant les critères en fonction de la moyenne de la répartition originale de la population, le degré d’exactitude augmentera également. En revanche, plus les variables seront nombreuses dans les critères de sélection et moins le degré d’exactitude sera élevé.
- Dans le cadre du tri des données par l’organisation mise en cause, il est impossible de déterminer la récurrence du pire des scénarios ou la fréquence d’un tel scénario. Selon la commissaire adjointe, il serait cependant raisonnable de conclure que sa probabilité n’est pas nulle.
- Malgré tout, la commissaire adjointe a conclu que les renseignements réunis par l’organisation et vendus à ses clients sous forme de listes de consommateurs avaient très peu de chance d’être exacts si l’on considère individuellement chaque personne figurant sur la liste. Les renseignements « de groupe » pourraient toutefois être exacts dans la majorité des cas, ce qui suffit à des fins de marketing. Voici quelques‑uns des facteurs qui, selon elle, nuiraient à l’exactitude des listes :
- Pour diverses raisons, les noms et les adresses dans les répertoires téléphoniques ne sont pas entièrement exacts. Par exemple, des personnes déménagent et obtiennent des numéros de téléphone différents après la publication du répertoire. D’autres décèdent. En outre, les adultes d’un ménage donné ne figurent pas tous dans le répertoire.
- Les données de SC reflètent un moment précis et instantané, à savoir la journée du recensement tous les cinq ans. Plus la journée du recensement est éloignée, plus les données sont inexactes.
- Parmi tout l’échantillon du recensement, 80 % des ménages reçoivent le questionnaire court qui comprend sept questions sur des sujets de base, comme la relation du répondant avec les autres membres du ménage, son âge, son sexe, son état matrimonial et sa langue maternelle. Seuls 20 % des ménages reçoivent le questionnaire long qui contient, en plus de ces sept questions, 52 questions additionnelles sur des sujets comme l’éducation, l’origine ethnique, la mobilité, le revenu et l’emploi.
- Un grand écart sépare les données des pages blanches de celles de SC. SC recueille les données de chaque ménage et, en théorie, de chaque personne dans une aire de diffusion ou un quartier donnés. Une liste des répondants dans la même aire de diffusion ou le même quartier serait beaucoup plus courte puisqu’elle exclurait les personnes dont les numéros de téléphone ne sont pas inscrits ainsi que celles dont les noms ne figurent pas dans les pages blanches, à savoir les conjoints, les enfants ou les parents âgés vivant avec leurs enfants adultes. Inversement, une liste des répondants contiendrait les noms des personnes dont les numéros de téléphone sont inscrits et qui ont déménagé dans une autre aire de diffusion ou un autre quartier depuis le dernier recensement. Les deux ensembles de données peuvent par conséquent être très différents.
- Pour ce qui est du revenu, un nombre élevé de résidents ayant des revenus avoisinant les 60 000 $ pourrait caractériser une aire de diffusion au revenu moyen de 60 000 $. Elle pourrait aussi être le signe d’une grande fourchette de revenus, allant de 10 000 $ à 250 000 $, avec une moyenne de 60 000 $. Aucune donnée de SC ne permet d’établir le scénario le plus probable. N’oublions pas non plus que l’organisation ne dispose d’aucun moyen pour déterminer l’exactitude de l’attribut pour toute personne donnée du quartier.
- La commissaire adjointe a conclu que, dans la pratique, l’entreprise offrait en vrac beaucoup de renseignements auxquels le public a accès. En fait, l’entreprise vend les noms, adresses et numéros de téléphone de personnes qui résident dans des quartiers présentant des caractéristiques données. Toute personne d’une aire de diffusion peut ou non présenter la totalité ou une partie de ces caractéristiques. Par exemple, une liste de consommateurs pourrait comprendre les noms, adresses et numéros de téléphone de personnes qui vivent dans des quartiers d’Ottawa où plus de 75 % des ménages sont propriétaires et où la valeur moyenne des maisons dépasse 400 000 $. Certaines personnes de la liste pourraient être propriétaires de maisons valant plus de 400 000 $. D’autres pourraient être des locataires qui occupent un logement dans un sous‑sol, des enfants qui possèdent leur propre numéro de téléphone ou encore des personnes qui louent des maisons de moins de 400 000 $. Enfin, certaines personnes n’apparaitraient même pas sur la liste.
- Il n’empêche que les renseignements qui se trouvent dans les listes de consommateurs sont des renseignements auxquels le public a accès; ces renseignements ont simplement été triés en fonction de données géodémographiques. D’après la commissaire adjointe, le fait qu’une personne vive dans un quartier présentant certaines caractéristiques ne constitue pas un renseignement personnel sur la personne, comme le précise le paragraphe 2(1). Elle estime que de tels renseignements portent sur le quartier et non sur la personne.
- Par conséquent, la commissaire adjointe a conclu qu’en compilant ses listes de consommateurs, l’organisation ne modifiait pas le statut des renseignements des pages blanches en les faisant passer de renseignements personnels accessibles au public à des renseignements personnels visés par les dispositions relatives au consentement. C’est pourquoi elle estime que ces renseignements personnels auxquels le public a accès et qui sont soustraits à l’obligation d’obtenir le consentement avant leur collecte demeurent soustraits à cette obligation lorsqu’ils sont vendus par l’organisation sous forme de listes de consommateurs. Ainsi, l’organisation n’a pas enfreint le principe 4.3.
- Les plaignants soutenaient qu’une personne raisonnable jugerait inacceptables les fins de l’entreprise pour lesquelles elle « crée » et vend des renseignements. Autrement dit, ils ne croyaient pas que l’entreprise était en droit de réaliser des profits au moyen d’une telle pratique. La commissaire adjointe a certes reconnu que l’organisation vendait des renseignements personnels, mais qu’elle ne les créait pas. Plus exactement, l’entreprise utilise des renseignements personnels auxquels le public a accès.
- La commissaire adjointe a ajouté qu’en rendant les renseignements des répertoires téléphoniques accessibles au public, le Parlement était conscient qu’ils pouvaient être, et seraient, utilisés à des fins de commerce et de marketing. La commissaire adjointe s’est dite convaincue que l’utilisation par l’organisation de ces renseignements auxquels le public a accès n’était pas contraire au critère de la personne raisonnable énoncé au paragraphe 5(3).
TRANSPARENCE
- Le site Web de l’organisation fournissait de l’information concernant la gestion des renseignements personnels. Cette information était également offerte sur demande par téléphone et par courriel.
- Toutefois, le site Web ne contenait pas d’information sur les politiques et les pratiques de l’entreprise en matière de traitement des renseignements personnels vendus. Même s’ils sont accessibles au public, les renseignements des pages blanches demeurent quoi qu’il en soit soumis au principe de transparence. La commissaire adjointe a donc déterminé que l’organisation n’avait pas respecté ses obligations conformément au principe 4.8.
Mesures recommandées et réponse de l’organisation
- Dans son rapport préliminaire, la commissaire adjointe a formulé les recommandations suivantes sur le manque de transparence de l’organisation relativement au traitement des renseignements personnels auxquels le public a accès :
- L’entreprise doit modifier son site Web pour y ajouter de l’information sur ses politiques et pratiques en matière de gestion des renseignements personnels qu’elle recueille dans les pages blanches ou auprès d’autres sources auxquelles le public a accès;
- L’entreprise doit mettre au point du matériel pour informer ses clients et toute autre personne intéressée de ses politiques et pratiques en matière de protection de la vie privée relativement à la gestion des renseignements personnels qu’elle recueille dans les pages blanches ou auprès d’autres sources auxquelles le public a accès.
- Devant les recommandations, l’organisation a revu sa politique en matière de protection de la vie privée afin d’y inclure l’explication suivante concernant l’utilisation des renseignements personnels auxquels le public a accès :
Renseignements contenus dans la base de données
Nous recueillons les renseignements personnels, comme le nom, le numéro de téléphone et l’adresse, de sources auxquelles le public a accès ou de toute autre manière autorisée par la loi. En outre, il se peut que nous utilisions des modèles statistiques pour effectuer des recherches dans la base de données. Les modèles peuvent contenir des renseignements comme l’âge moyen, le revenu moyen, la valeur moyenne de la maison et l’origine ethnique modélisée. Hormis le nom, l’adresse et le numéro de téléphone, nous ne détenons aucun renseignement permettant d’identifier une personne. Nos produits de base de données sont intégrés à des produits d’information, des services de marketing par bases de données, des services de traitement des données ainsi que des solutions de ventes et de marketing. [traduction] - L’organisation a affiché sa politique à jour sur son site Web. Elle a également informé le CPVP de son intention de répondre aux demandes de renseignements futures au cas par cas, dans un souci d’exactitude.
- La commissaire adjointe a estimé que l’entreprise avait bien tenu compte des recommandations.
La commissaire adjointe a conclu que la plainte à l’égard du non‑respect du principe du consentement n’était pas fondée et que la plainte relative au non‑respect du principe de transparence était fondée et résolue.
- Date de modification :