Un éditeur recueillait et utilisait des adresses de courriel à des fins de marketing sans consentement

Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2009-013

[Article 2; Principes 4.3 et 4.3.1; alinéas 7(1)d) et 7(2)c.1) de la Loi; alinéa 1e) du Règlement]

Le plaignant s’est dit perturbé par le nombre de courriels non sollicités qu’il a reçus de la part d’un éditeur qui commercialisait un répertoire canadien de sources de financement. Même après lui avoir demandé de retirer ses diverses adresses de courriel de la liste, la société a continué de lui envoyer des messages. La société a pour sa part soutenu que l’adresse de courriel d’affaires du plaignant n’était pas un renseignement personnel et que, de toute façon, ses adresses de courriel étaient accessibles au public.

La commissaire adjointe à la protection de la vie privée a établi que les adresses de courriel d’affaires étaient des renseignements personnels au sens de la LPRPDE et tel que déterminé dans le cadre de la résolution d’une plainte antérieure. En outre, une seule des adresses de courriel concernées pouvait être considérée comme accessible au public au sens du Règlement. La commissaire adjointe a conclu que la société avait recueilli les adresses de courriel sur Internet et qu’elle les avait utilisées à l’insu de l’intéressé et sans son consentement. Elle a recommandé que l’entreprise mette fin à cette pratique et qu’elle cesse d’utiliser les adresses de courriel qu’elle aurait recueillies sans consentement par le passé auprès d’autres entreprises. La société a refusé de mettre en œuvre les recommandations de la commissaire adjointe.

Voici un résumé de l’enquête et des conclusions de la commissaire adjointe.

Résumé de l’enquête

Le plaignant avait plusieurs adresses de courriel de divers sites Web auxquels il était affilié. Il a continué à recevoir des courriels de sollicitation d’une société d’édition à ces adresses malgré ses demandes de les faire retirer des listes de marketing de la société.

L’enquête du CPVP a révélé que, si les messages de sollicitation semblaient provenir de différentes entreprises, ils concernaient tous le même produit, à savoir un répertoire de sources de financement, commercialisé par la société mise en cause. Le contenu des messages était presque toujours le même. L’enquête nous a permis d’établir que tous les messages provenaient du propriétaire de la société d’édition.

Le CPVP a examiné les demandes de désabonnement que le plaignant avait envoyées aux trois adresses Web du mis en cause. Si le mis en cause a prétendu n’avoir jamais reçu ces demandes, il a toutefois retiré les adresses du plaignant des listes de marketing, à la demande du CPVP.

Le mis en cause a fait valoir un certain nombre d’arguments pour justifier ses pratiques de collecte d’adresses de courriel. Il a prétendu que les adresses de courriel du plaignant étaient des adresses d’affaires et que, puisque l’article 2 de la LPRPDE excluait les coordonnées des entreprises, les adresses du plaignant ne pouvaient être considérées comme des « renseignements personnels ». La société a également soutenu que même si les adresses de courriel du plaignant pouvaient être considérées comme des renseignements personnels, les alinéas 7(1)d) et 7(2)c.1) de la LPRPDE s’appliqueraient. Ces alinéas autorisent la collecte ou l’utilisation de renseignements personnels à l’insu de l’intéressé et sans son consentement s’il s’agit d’un renseignement réglementaire auquel le public a accès. Selon l’alinéa 1e) du Règlement précisant les renseignements auxquels le public a accès, peuvent être considérés comme renseignements personnels auxquels le public a accès les renseignements personnels qui figurent dans une publication, y compris les magazines, livres et journaux, sous forme imprimée ou électronique, qui est accessible au public, si l’intéressé a fourni les renseignements. L’organisation considérait que les adresses de courriel en question avaient été fournies par le plaignant dans une source accessible au public et un site Web. De son point de vue, elle pouvait donc recueillir et utiliser les adresses à l’insu du plaignant et sans son consentement.

Le CPVP a cherché les adresses de courriel du plaignant sur Internet. Sur un site Web figuraient les nom, titre et numéro de téléphone du plaignant. On y précisait également que l’on pouvait communiquer avec lui à l’adresse d’affaires affichée sur le site. Le fait de cliquer sur son nom faisait ouvrir l’application de courriel et faisait apparaître l’une de ses adresses de courriel. Sur un autre site Web, lié à une publication éditée par le plaignant, apparaissaient ses nom, titre, adresse ainsi que ses numéros de téléphone et de télécopieur. Sous ces renseignements, on pouvait voir la balise « drop me a line » (écrivez‑moi). En cliquant dessus, une autre de ses adresses de courriel apparaissait.

La société a fait savoir qu’elle ne recueillait plus les adresses de courriel, mais qu’elle achetait dorénavant des listes de marketing à des courtiers en données. Ces listes contiennent des adresses postales, des numéros de téléphone et de télécopieur ainsi que des adresses de sites Web et de courriel. La société a également soutenu qu’elle avait cessé d’envoyer des messages de sollicitation aux adresses du plaignant, lequel a répliqué que c’était faux.

Conclusions

Rendues le 2 juin 2009

Application : L’article 2 définit les renseignements personnels comme étant tout renseignement concernant un individu identifiable, à l’exclusion du nom et du titre d’un employé d’une organisation et des adresse et numéro de téléphone de son lieu de travail ». Le principe 4.3 précise que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Selon le principe 4.3.1, il faut obtenir le consentement de la personne concernée avant de recueillir des renseignements personnels à son sujet et d’utiliser ou de communiquer les renseignements recueillis. Généralement, une organisation obtient le consentement des personnes concernées relativement à l’utilisation ou à la communication des renseignements personnels au moment de la collecte. Dans certains cas, une organisation peut obtenir le consentement concernant l’utilisation ou la communication des renseignements après avoir recueilli ces renseignements, mais avant de s’en servir, par exemple, quand elle veut les utiliser à des fins non précisées antérieurement. Certaines exceptions au consentement sont prévues aux alinéas 7(1)d) et 7(2)c.1) : l’alinéa 7(1)d) établit qu’une organisation peut recueillir les renseignements personnels à l’insu de l’intéressé et sans son consentement s’il s’agit d’un renseignement réglementaire auquel le public a accès. L’alinéa 7(2)c.1) prévoit quant à lui que l’organisation peut utiliser les renseignements personnels à l’insu de l’intéressé et sans son consentement s’il s’agit d’un renseignement réglementaire auquel le public a accès.

Aux fins des alinéas 7(1)d) et 7(2)c.1), la catégorie de renseignements qui s’applique à cette plainte est celle définie à l’alinéa 1e) du Règlement : il s’agit des renseignements personnels qui figurent dans une publication, y compris les magazines, livres et journaux, sous forme imprimée ou électronique, qui est accessible au public, si l’intéressé a fourni les renseignements.

Pour rendre sa décision, la commissaire adjointe s’est appuyée sur les considérations suivantes.

• L’article de la Loi énonçant les définitions qui lui sont applicables prévoit les types de renseignements qui ne sont pas protégés par la Loi, plus particulièrement le nom et le titre d’un employé d’une organisation et les adresse et numéro de téléphone de son lieu de travail. Puisque l’article 2 ne précise pas les adresses de courriel d’affaires, la commissaire adjointe a conclu qu’il s’agissait des renseignements personnels d’un individu aux fins de la Loi.
• Les adresses visées par cette plainte sont des adresses de courriel d’affaires. Selon l’article 2 de la LPRPDE, il s’agit donc de renseignements personnels concernant le plaignant.
• La commissaire adjointe a ensuite examiné l’argument selon lequel les adresses de courriel du plaignant étaient accessibles au public, comme le prévoit l’alinéa 1e) du Règlement.
• Elle a déterminé que les diverses adresses de courriel du plaignant n’étaient pas visées par le Règlement et qu’elles ne pouvaient donc pas être considérées comme des renseignements auquel le public a accès. Elle a toutefois relevé une exception : une des adresses de courriel qui apparaissait sur un site Web en lien avec une publication éditée par le plaignant.
• Elle a néanmoins soutenu que si le site Web de la publication du plaignant invitait les lecteurs à écrire à l’éditeur et qu’à cette fin il fournissait son adresse de courriel, il y avait peu de raison de croire qu’il s’agissait d’une invitation à lui envoyer des courriels non sollicités. On peut supposer à l’inverse qu’il s’agissait d’une invitation pour les lecteurs à faire parvenir leurs commentaires à l’éditeur sur le contenu de son site Web ou de la publication.
• L’alinéa 1e) du Règlement n’exige pas que la collecte ou l’utilisation des renseignements soient directement liées à la raison pour laquelle les renseignements apparaissaient dans la publication. Il permet simplement à une organisation de recueillir ou d’utiliser dans une publication des renseignements personnels à l’insu de l’intéressé et sans son consentement. Il n’empêche que le plaignant a également reçu des messages à une autre adresse de courriel associée au site Web, autrement dit à une adresse n’étant pas liée à sa fonction d’éditeur de la publication. Le plaignant a également fait savoir que d’autres, inscrits au même nom de domaine, avaient reçu des messages de la société ces dernières années même si leurs adresses ne figuraient pas sur le site Web.
• La commissaire adjointe est parvenue à la conclusion que le mis en cause ne s’était pas contenté de recueillir les adresses de courriel des personnes citées en lien avec les publications. Par conséquent, même si le mis en cause avait effectivement pu faire valoir les exceptions au consentement prévues aux alinéas 7(1)d) et 7(2)c.1) pour l’utilisation d’une adresse de courriel en particulier, il n’aurait pas pu le faire en ce qui concerne les nombreuses autres adresses auxquelles il avait envoyé des messages.
• La société a prétendu qu’afficher son adresse courriel sur un site Web revenait à la rendre accessible au public. Cependant, comme l’a expliqué la commissaire adjointe, cela ne la rend pas accessible au public au sens du Règlement, ni ne signifie que l’intéressé a consenti implicitement à recevoir des messages de marketing.
• Puisque la plupart de ces adresses de courriel utilisées par le mis en cause n’étaient pas des renseignements personnels auxquels le public a accès au sens du Règlement, la commissaire adjointe a rejeté l’argument de la société selon lequel elle pouvait faire valoir les exceptions au consentement à la collecte et à l’utilisation des renseignements personnels.
• En ce qui concerne l’obtention du consentement, le mis en cause a voulu préciser qu’il ne recueillait pas les adresses de courriel lui‑même, mais qu’il les achetait à divers courtiers en données. On pourrait sous-entendre ainsi qu’une organisation qui achète des renseignements personnels d’une autre n’est pas tenue d’obtenir le consentement de l’intéressé, responsabilité qui incomberait à l’organisation qui a recueilli les renseignements à l’origine.
• Le principe 4.3 ne précise pas que seule l’organisation qui recueille les renseignements est tenue d’obtenir le consentement. Il précise en revanche qu’« il faut obtenir » le consentement de l’individu. Autrement dit, l’organisation qui recueille à l’origine les renseignements d’une personne doit « obtenir » le consentement de cette personne. Cela signifie également que l’organisation qui loue ou achète ultérieurement les renseignements de celle qui les a recueillis à l’origine doit elle aussi « avoir » le consentement de la personne. Si une organisation qui loue ou achète des renseignements personnels d’un courtier en données ne doit pas nécessairement obtenir le consentement de la personne, elle doit tout de même prendre des mesures raisonnables pour s’assurer que ce consentement existe, c’est‑à‑dire que le consentement de la personne a été dûment obtenu par le courtier en données.
• En d’autres termes, une organisation qui loue ou achète des renseignements doit exercer une diligence raisonnable conformément au principe 4.3. Elle peut le faire de la manière qu’elle le souhaite, mais elle doit au minimum s’assurer :
  • que les renseignements personnels proviennent de sources fiables;
  • que les ententes relatives à la vente ou à la location de renseignements personnels sont consignées par écrit;
  • que les loueurs ou vendeurs garantissent, dans des ententes contractuelles écrites, que les renseignements personnels ont été recueillis avec le consentement de l’intéressé d’une manière conforme à la LPRPDE.
• En l’espèce, aucun élément ne prouve que le mis en cause a exercé une diligence raisonnable pour obtenir le consentement de l’intéressé à la collecte et à l’utilisation des renseignements personnels le concernant. Aucune preuve n’a été fournie non plus que le consentement a été dûment obtenu par le mis en cause ou par les parties dont il prétend avoir acheté les renseignements.
• En résumé, la commissaire adjointe a conclu que le mis en cause avait recueilli et utilisé les adresses de courriel du plaignant et d’autres à des fins de marketing et qu’à ce titre il avait enfreint les principes 4.3 et 4.3.1. Elle a ajouté qu’on ne pouvait pas dire que le plaignant avait « retiré son consentement » lorsqu’il avait communiqué avec la société, puisqu’il n’avait jamais consenti à la collecte de ses adresses de courriel.
• La commissaire adjointe a donc recommandé que la société cesse de recueillir et d’utiliser les adresses de courriel sans le consentement des intéressés et qu’elle cesse d’utiliser les adresses de courriel qu’elle aurait déjà recueillies auprès d’autres entreprises.
• La société n’a ni répondu ni donné suite à aucune de nos recommandations.

Conclusion

La commissaire adjointe a conclu que la plainte était fondée.