Une société de recherche sur l’opinion publique doit mieux informer les répondants à un sondage au sujet de l’utilisation de leurs renseignements personnels et doit s’abstenir de recueillir les dates de naissance au complet
Rapport des conclusions en vertu de la LPRPDE no 2011-011
La plaignante a joint un groupe d’étude de marché en ligne, qui mène régulièrement des sondages auprès de ses membres sur une variété de sujets. L’organisation établit et conserve un profil individuel de chaque membre, qui contient les renseignements fournis par celui-ci. La plaignante allège que, lorsqu’elle remplissait un sondage, on lui aurait demandé de confirmer sa date de naissance au complet même si l’organisation lui avait déjà demandé de la fournir pour son profil de membre lorsqu’elle s’est inscrite. Elle était préoccupée par le risque de fraude ou d’usurpation d’identité, advenant que des renseignements à son sujet, recueillis au moyen des sondages, soient reliés à sa date de naissance. De plus, elle a soutenu qu’elle ne connaissait pas parfaitement le but de ce type de sondage en particulier ou si les réponses à ce sondage seraient ajoutées à son profil de membre.
Nous avons recommandé que l’organisation clarifie le libellé du consentement décrivant les fins de la collecte des renseignements personnels des participants pour les sondages relatifs au profil des membres. Nous avons également recommandé qu’elle supprime la date de naissance exacte contenue dans tous les dossiers des membres et qu’elle recueille seulement le mois et l’année de la date de naissance de tous les nouveaux membres.
L’organisation a refusé de supprimer ou d’arrêter de recueillir et d’utiliser le jour de la date de naissance au complet des membres. Elle a soutenu que l’année et le mois de naissance seulement ne sont pas suffisamment exacts sur le plan démographique. Toutefois, elle a accepté de clarifier la formulation du consentement dans les sondages qui servent à recueillir des renseignements personnels supplémentaires au sujet des membres qui seront conservés dans leur profil.
Nous n’avons pas accepté les arguments de la mise en cause qui n’a pas mis en œuvre notre recommandation de tronquer la date de naissance. En conséquence, le Commissariat a conclu que la plainte était fondée. La question demeurait partiellement non résolue.
Leçons apprises
- Les organisations ne doivent pas recueillir les renseignements personnels inutilement. Le type et le niveau de détail des renseignements qui sont recueillis doivent se limiter strictement à ce qui est nécessaire afin de réaliser les fins auxquelles l’organisation utilise les renseignements.
- Avant la collecte des renseignements ou au moment de celle-ci, les organisations doivent informer les personnes de toutes les fins auxquelles serviront les renseignements personnels. En outre, les personnes doivent être informées de ces utilisations et de ces fins et y consentir.
Plainte en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »)
Résumé de la plainte :
1. La plaignante allège que la firme de sondage aurait recueilli inutilement sa date de naissance dans le but d’authentifier son identité comme répondante au sondage, même si elle avait déjà fourni sa date de naissance lors du processus d’inscription. Elle craint que cette pratique puisse mener à de la fraude ou à une usurpation d’identité si sa date de naissance est combinée à d’autres renseignements personnels de nature délicate la concernant qu’a recueillis l’organisation.
Résumé de l’enquête
2. La plaignante est membre d’un groupe de sondage en ligne (aussi appelé un « forum »). Elle indique que, pour s’inscrire comme membre et recevoir des sondages mensuels, elle a dû fournir des données démographiques de base, dont sa date de naissance au complet.
3. Le 9 janvier 2010, la plaignante a reçu un questionnaire portant sur une grande variété de sujets. Le questionnaire comportait des questions au sujet des opérations bancaires et des finances personnelles. Pour certaines questions, les répondants avaient le choix de fournir des renseignements précis ou de répondre « je ne le sais pas/préfère ne pas le dire », ou « je préfère ne pas répondre » [traduction]. Voici certaines des questions :
- Laquelle parmi les institutions financières suivantes serait votre principale institution financière à des fins personnelles?
- Quelles autres institutions financières utilisez-vous également pour vos opérations bancaires personnelles?
- Quels types de comptes personnels avez-vous actuellement, s’il y a lieu, à chacune des banques ou institutions financières suivantes?
- Quel est le montant total des actifs de votre ménage selon vous? [traduction]
4. À la fin du sondage, on a demandé aux membres de confirmer leur date de naissance au complet. Après avoir rempli le sondage, la plaignante a fait part de ses préoccupations à la mise en cause les 11, 22 et 25 janvier 2010. Elle s’inquiétait que ces renseignements personnels, s’ils étaient combinés, pourraient l’identifier et identifier ses habitudes bancaires et servir à usurper son identité. La plaignante a maintenu que la collecte de sa date de naissance afin de confirmer son identité était inutile, car celle-ci était déjà à son dossier. Elle s’est également interrogée sur la raison pour laquelle cette donnée était demandée dans le contexte d’un sondage qui contenait de l’information financière de nature très délicate. Elle craignait que la collecte de sa date de naissance en même temps que de l’information financière de nature délicate augmente le risque qu’un employé de la société ait accès aux renseignements personnels de nature délicate à son sujet et puisse les exploiter pour en tirer un avantage personnel.
5. La plaignante n’était pas satisfaite des explications offertes par la mise en cause et a donc déposé une plainte auprès du Commissariat.
6. Dans les observations qu’elle a formulées au Commissariat, la mise en cause a fourni des renseignements généraux au sujet de ses pratiques. Elle a souligné qu’il s’agit d’un groupe d’étude de marché en ligne composé de Canadiennes et de Canadiens, qui mène des sondages auprès de ses membres sur une grande variété d’enjeux et de sujets. Les membres s’inscrivent pour recevoir des sondages aléatoires sur divers sujets. L’adhésion est gratuite et volontaire, et les membres peuvent choisir de ne pas répondre à des sondages en particulier ou à certaines questions.
7. Selon la mise en cause, elle fournit généralement à ses clients des réponses regroupées et anonymisées et non des réponses individuelles ou des renseignements permettant d’identifier une personne.
8. En ce qui concerne les renseignements nécessaires pour devenir membre, le site Web de la mise en cause indique qu’il faut remplir le profil de membre pour joindre le groupe et que celui‑ci comprend les coordonnées de base, de même que les renseignements nécessaires pour se faire une idée du membre et assurer une vaste représentation au sein du groupe. On indique également qu’on pourrait demander aux personnes qui souhaitent participer à d’autres programmes de fournir des renseignements supplémentaires. [expurgé]
9. La mise en cause a expliqué que les personnes doivent remplir un questionnaire visant à établir leur profil pour joindre son forum. La date de naissance au complet est l’un des renseignements qu’il faut obligatoirement fournir dans le cadre du questionnaire. La mise en cause a souligné qu’il faut recueillir la date de naissance au complet, car l’âge des répondants au sondage est l’un des facteurs les plus importants dans une étude de marché. Si l’organisation ne peut pas vérifier l’âge de ses répondants, on pourrait douter de la fiabilité de la recherche.
10. La mise en cause a ajouté qu’il n’est pas suffisant de recueillir simplement l’âge d’un membre, car cette donnée est seulement exacte à partir de la date de sa collecte jusqu’à ce que le membre ait un autre anniversaire. Il faudrait donc recueillir les données fréquemment pour assurer l’exactitude des renseignements. En ce qui concerne la possibilité de recueillir seulement l’année et le mois de naissance, la mise en cause a soutenu que ces renseignements ne sont ni suffisamment détaillés ni exacts sur le plan démographique. Néanmoins, même si cela est moins souhaitable pour ses activités, l’organisation a concédé que, moyennant des coûts, il serait possible sur le plan technologique d’adapter son système pour recueillir le mois et l’année de naissance seulement.
11. En plus des renseignements du profil recueillis lors de l’inscription, la mise en cause a mentionné que, chaque mois, les membres reçoivent un sondage pour étayer les renseignements du profil des membres. Ce sondage peut comprendre des questions visant à obtenir des données plus détaillées pour le profil qui seraient plus pertinentes pour une recherche en particulier. En ce qui concerne le questionnaire de janvier 2010 qu’a rempli la plaignante, la mise en cause a mentionné ce qui suit :
Ce sondage […] était non pas une recherche, mais plutôt un sondage relatif au profil, conçu pour recueillir des données supplémentaires pour le profil, afin d’obtenir les données manquantes et de vérifier ou corriger les autres données du profil[traduction].
12. L’invitation qui accompagnait le sondage de janvier 2010 indiquait qu’il s’agissait d’une étude mensuelle conçue pour établir le profil du répondant, dont ses caractéristiques, ses opinions et ses habitudes. [expurgé]
13. La mise en cause a mentionné que les membres n’avaient pas été expressément informés que les réponses au sondage de janvier 2010 seraient liées au profil de membre, ce qui pouvait comprendre leur nom et leur date de naissance au complet. Toutefois, elle maintient que « compte tenu que les participants sont informés qu’un profil est établi pour déterminer quels sondages ils seront invités à remplir, il est implicite (voire explicite) que les réponses d’une personne seront reliées à son profil [...] » [traduction]. L’organisation soutient qu’autrement, c’est tout le modèle d’entreprise qui ne fonctionne pas. Il faut que le profil soit exact et détaillé afin de cibler le bon groupe démographique de participants pour les autres sondages.
14. Selon la plaignante, elle ne connaissait pas parfaitement le but du sondage de janvier 2010 et n’a pas réalisé que ses réponses seraient reliées à son profil. Elle indique qu’elle croyait que la collecte des renseignements personnels à son sujet dans ce sondage en particulier visait à établir son profil pour l’une des entreprises clientes de la mise en cause, et non pour la mise en cause.
15. Selon la politique de confidentialité de la mise en cause, l’organisation « doit préciser au répondant les fins de la collecte verbalement, électroniquement ou par écrit avant la collecte de renseignements personnels dans un sondage ou au moment de celle-ci » [traduction]. Il est souligné également dans cette politique que, lors de sondages, la mise en cause « limite la quantité et le type de renseignements personnels qu’elle recueille. Nous recueillons seulement la quantité et le type de renseignements nécessaires aux fins précisées » [traduction].
16. En outre, la politique de confidentialité de la mise en cause indique que les réponses du participant, qui sont volontaires, seront confidentielles et ne seront jamais reliées à des renseignements permettant de l’identifier sans son consentement explicite. [expurgé]
17. En ce qui concerne la raison pour laquelle elle demande la date de naissance d’un membre dans un sondage relatif au profil, comme celui rempli par la plaignante, la mise en cause a donné trois justifications. Premièrement, elle a affirmé qu’elle ne possède peut‑être pas la date de naissance de tous les membres. Deuxièmement, les données fournies à l’inscription pourraient être inexactes. Troisièmement, il est possible de déceler les réponses frauduleuses en demandant aux membres de confirmer leur date de naissance.
18. La mise en cause a clarifié pourquoi elle n’a pas la date de naissance de tous ses membres, même s’il faut fournir cette information dans le formulaire d’inscription standard. L’organisation a indiqué qu’au début de son existence, elle n’exigeait pas la date de naissance à l’inscription. De plus, il existe une version abrégée du formulaire d’inscription, qui est utilisé lors du recrutement de membres par la voie d’un partenaire ou d’un processus d’inscription conjointe :
L’inscription conjointe s’applique lorsque des personnes qui adhèrent à un autre service d’un tiers (à l’aide du formulaire d’inscription d’un tiers) sont invitées en même temps à participer […] [au forum de la mise en cause]. Dans de tels cas, les données d’inscription ne correspondent pas toujours à ce que nous exigeons habituellement et ne comprennent pas nécessairement la date de naissance [traduction].
19. Si la mise en cause a déjà la date de naissance d’un membre, celle-ci pourrait être inexacte. Lorsqu’on fournit de l’information rapidement, on peut faire une erreur typographique ou cliquer sur le mauvais choix dans le menu déroulant sans le remarquer. En outre, la confirmation de l’information fournie, comme la date de naissance, est une pratique courante dans l’industrie pour les sondages en ligne.
20. Finalement, même si la demande de la date de naissance n’était pas motivée par la crainte de réponses frauduleuses dans le sondage en question, la mise en cause soutient qu’en demandant de telles données dans une étude de recherche, cela lui permet de vérifier si un répondant est attentif et fournit des réponses exactes. En ce qui concerne la date de naissance, on demanderait habituellement aux personnes de la fournir dans une section de l’étude et, plus loin, on leur demanderait de fournir leur âge. Si les deux réponses ne concordent pas, c’est une indication que la personne ne portait peut-être pas suffisamment attention au moment de répondre. On suppose que ce sera aussi le cas des autres réponses données dans l’étude. La mise en cause indique que la question portant sur la date de naissance est l’une des meilleures méthodes pour prévenir la fraude, car celle-ci ne change pas avec le temps et elle représente un paramètre fiable et cohérent. Ce n’est pas le cas d’autres questions portant sur la province de résidence ou l’état civil, par exemple, car les réponses peuvent changer avec le temps.
21. Le Commissariat a examiné le site Web de la mise en cause et a appris que l’un des renseignements obligatoires que le participant doit fournir est sa date de naissance au complet. [expurgé]
22. La plaignante a indiqué récemment au Commissariat qu’elle n’a participé à aucun sondage de la mise en cause depuis le sondage en question et qu’elle ne remplira aucun autre sondage. Elle a donc demandé au Commissariat de recommander à la mise en cause de supprimer son dossier.
Application de la Loi
23. Lors de l’analyse des faits, nous avons appliqué les principes 4.2, 4.3, 4.3.2 et 4.4 de l’annexe 1 de la LPRPDE.
24. Le principe 4.2 établit que les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées par l’organisation avant la collecte ou au moment de celle‑ci.
25. Le principe 4.3 prévoit que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire.
26. Selon le principe 4.3.2, il faut informer la personne au sujet de laquelle on recueille des renseignements et obtenir son consentement. Les organisations doivent faire un effort raisonnable pour s’assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués.
27. Le principe 4.4 prévoit que l’organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées.
Constatations
Le 30 juin 2011
28. Pour le Commissariat, la plainte soulève trois questions :
- Est-il nécessaire que la mise en cause recueille les trois éléments de la date de naissance à l’inscription?
- Est-il nécessaire que la mise en cause confirme les trois éléments de la date de naissance dans les sondages relatifs au profil?
- La mise en cause a-t-elle informé adéquatement la plaignante de la fin du sondage relatif au profil? En d’autres termes, le consentement était-il valable?
Collecte de la date de naissance à l’inscription
29. Même si la plaignante se préoccupe en particulier de la nécessité de confirmer sa date de naissance dans un sondage relatif au profil, il est essentiel de déterminer d’abord si la collecte de l’information est appropriée. Cet aspect est particulièrement important, car la plaignante se préoccupe surtout du fait que les renseignements recueillis à son sujet au moyen du sondage relatif au profil puissent être reliés à la date de naissance dans son profil et puissent l’exposer à une usurpation d’identité.
30. Selon la mise en cause, les trois éléments de la date de naissance sont nécessaires à des fins démographiques, car il s’agit d’un élément clé de la sélection de son échantillon aléatoire. L’organisation a souligné que l’âge des répondants est l’un des facteurs les plus importants d’une étude de marché. Elle utilise la date de naissance pour garantir la pertinence des sondages que les participants sont invités à remplir.
31. Il est facile de comprendre pourquoi l’âge est un élément important de la recherche démographique. Nous ne sommes pas convaincus, toutefois, que la collecte de la date de naissance au complet soit nécessaire pour satisfaire aux fins énoncées. Il nous semble que l’exactitude des renseignements serait peu ou pas touchée si la mise en cause recueillait le mois et l’année de naissance — un paramètre qui porte moins atteinte à la vie privée — en vue de cibler le groupe démographique approprié. Si la mise en cause menait un sondage auprès des répondants âgés de 30 ans par exemple, il est peu probable que l’inclusion de quelques participants dans l’échantillon qui pourraient avoir quelques jours de moins fausse sensiblement les résultats. Le mois et l’année devraient suffire aux fins de la mise en cause et rendraient la collecte conforme aux exigences relatives à la limitation de la collecte énoncées au principe 4.4.
Confirmation de la date de naissance dans les sondages relatifs au profil
32. En ce qui concerne les sondages relatifs au profil, la mise en cause a expliqué qu’elle a besoin de la date de naissance pour compléter l’information qui manque au profil, pour corriger l’information inexacte et pour éviter des réponses « frauduleuses ». Le Commissariat ayant déterminé qu’il n’est pas nécessaire de recueillir les trois éléments de la date de naissance lors du processus d’inscription, il n’y a donc aucune raison de le faire plus tard dans les sondages relatifs au profil. La collecte de deux éléments de la date de naissance, notamment le mois et l’année, devrait servir les fins énoncées.
Consentement
33. La mise en cause a indiqué clairement qu’elle a relié les réponses de la plaignante au sondage de janvier à son profil, comme elle le fait avec tous les sondages relatifs au profil.
34. Le Commissariat note que la politique de confidentialité de la mise en cause établit sans équivoque que l’organisation « doit préciser au répondant les fins de la collecte verbalement, électroniquement ou par écrit avant la collecte de renseignements personnels dans un sondage ou au moment de celle-ci » [traduction]. En outre, « chaque fois que vous participez comme répondant à l’un de nos sondages, vous pouvez être assurés que vos réponses demeureront confidentielles et ne seront jamais reliées à des renseignements permettant de vous identifier sans votre autorisation expresse » [traduction].
35. La mise en cause a-t-elle informé la plaignante de la fin de la collecte de ses renseignements personnels dans le cadre du sondage relatif au profil en question? La mise en cause affirme qu’elle informe les participants que leurs profils sont établis pour déterminer quels sondages ils seront invités à remplir. Par conséquent, l’organisation croit qu’il est implicite, voire explicite, que les réponses d’une personne seront reliées à son profil. L’invitation électronique à remplir le sondage de janvier indiquait ce qui suit : « Cette étude mensuelle est […] conçue pour nous faire une idée de VOUS : de vos caractéristiques, de vos opinions et vos habitudes — par l’entremise de questions variées sur divers sujets » [traduction].
36. Selon la plaignante, elle ne connaissait pas parfaitement le but du sondage de janvier 2010 et n’a pas réalisé que ses réponses seraient reliées à son profil, qui comprenait déjà son nom et sa date de naissance. D’après ce qu’elle a cru comprendre, la collecte des renseignements personnels à son sujet dans le cadre de ce sondage visait à établir son profil pour l’une des entreprises clientes de la mise en cause, et non pour la mise en cause.
37. Le principe 4.2 établit que les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées par l’organisation avant la collecte ou au moment de celle‑ci. La politique de confidentialité de la mise en cause fait écho à ce principe et indique qu’elle ne reliera pas les réponses des participants sans leur consentement explicite. Toutefois, selon le Commissariat, l’invitation électronique ne stipule pas expressément que les réponses au sondage seront ajoutées au profil de la personne que possède la mise en cause et seront directement reliées à celui-ci. Selon le principe 4.3.2, il faut informer la personne au sujet de laquelle on recueille des renseignements et obtenir son consentement; en d’autres termes, le consentement doit être valable. Nous craignons que la formulation ne soit pas suffisamment claire et qu’elle puisse induire des participants en erreur au sujet de la fin du sondage. En effet, c’est ce qui est arrivé ici : la plaignante ignorait que tous les renseignements qu’elle a fournis en réponse au sondage seraient ajoutés à son profil.
Mesures recommandées
38. Le 31 mars 2011, le Commissariat a publié un rapport d’enquête préliminaire, dans lequel nous avons indiqué que, selon nous, la mise en cause ne respectait pas la LPRPDE.
39. Dans ce rapport, nous avons recommandé que la mise en cause supprime tous les renseignements personnels de la plaignante de ses dossiers. En réponse à notre recommandation, la mise en cause a indiqué que l’adhésion est complètement volontaire et que les membres peuvent donc annuler leur inscription à tout moment. En conséquence, elle a pris les mesures nécessaires pour ne plus communiquer avec la plaignante et supprimer tous les renseignements personnels à son sujet de ses dossiers.
40. Le Commissariat a également recommandé que la mise en cause révise le libellé du consentement à la collecte des renseignements personnels des participants dans les sondages relatifs au profil afin que les fins de la collecte soient explicites et claires, et que tous les participants soient informés que leurs réponses seront reliées à des renseignements de leur profil permettant de les identifier.
41. Même si elle estime que la formulation est claire, la mise en cause a accepté de la réviser pour acquiescer à notre demande et informer plus explicitement les membres que les réponses aux sondages relatifs au profil seront reliées à leurs profils. L’objectif de la mise en cause est de voir à ce que la totalité des membres comprennent clairement les fins de ces sondages.
42. La mise en cause mentionne que des milliers de sondages ont été remplis et que c’est la première fois qu’elle reçoit une plainte.
43. Nous avons recommandé que la mise en cause supprime le jour de la date de naissance dans les dossiers des membres. En outre, nous avons recommandé qu’elle cesse de recueillir et de confirmer le jour dans la date de naissance — en d’autres termes, de recueillir et de confirmer seulement le mois et l’année de naissance.
44. Dans sa réponse, la mise en cause a rejeté ces deux recommandations. Elle soutient que la date de naissance est importante pour ses sondages et ne mettra pas en œuvre ces recommandations.
45. La mise en cause a confirmé que la date de naissance est importante pour ses sondages, car il s’agit d’un moyen utile de garantir la qualité des données et qu’elle sert à déceler les réponses potentiellement erronées. Elle maintient donc sa position, à savoir que la collecte et la confirmation de la date de naissance sont raisonnables.
46. En outre, si elle cessait de recueillir ces données, cela l’empêcherait de répondre à des besoins commerciaux de nature légitime et raisonnable, de même qu’à ceux d’autres entreprises au Canada.
47. Étant donné qu’un seul membre s’est plaint, la mise en cause estime que les preuves viennent étayer sa position, à savoir qu’une personne raisonnable estimerait la collecte de cette information appropriée dans les circonstances, en particulier à la lumière du fait que la participation à ses sondages soit tout à fait volontaire et que la communication de cette information n’est pas exigée pour les besoins d’un service essentiel.
48. La mise en cause a indiqué que la date de naissance est utilisée également pour envoyer des vœux de fête aux membres, ce qui permet d’établir un rapport avec eux. Elle a précisé qu’il s’agit d’une pratique couramment adoptée par de nombreuses organisations.
49. À cet égard, nous notons que rien dans la politique de confidentialité de la mise en cause ou dans les communications adressées aux membres citées ci-dessus ne laisse indiquer que les membres aient été informés de cette fin pour la collecte de la date de naissance.
50. Nous sommes déçus que la mise en cause ait décidé de ne pas mettre en œuvre les recommandations du Commissariat à l’égard de la collecte de la date de naissance. Dans les observations supplémentaires de la mise en cause, on indique que la collecte du jour, en plus du mois et de l’année de naissance, est nécessaire aux fins déterminées. À la lumière du principe 4.4, nous n’en sommes pas convaincus. Notamment, la mise en cause n’a pas expliqué pourquoi la collecte du mois et de l’année de naissance seulement ne suffirait pas à réaliser les fins déterminées, à savoir d’assurer la qualité des données et de déceler des réponses potentiellement erronées.
Conclusion
51. En conséquence, compte tenu de ce qui précède, nous concluons que la plainte est fondée mais qu’elle est partiellement non résolue. En particulier, la plainte n’est toujours pas résolue en ce qui concerne la recommandation de supprimer le jour de la date de naissance dans les dossiers de tous les membres, et l’exigence de cesser de recueillir et de confirmer le jour dans la date de naissance.
52. Vu que la plainte est fondée et n’est toujours pas résolue, nous examinerons d’autres options afin de régler les questions en suspens conformément aux pouvoirs qui nous sont conférés par la LPRPDE.
Autre
53. En ce qui concerne la pratique répandue dans l’industrie de recueillir la date de naissance au complet, nous avons rencontré les représentants de l’industrie de la recherche sur l’opinion publique pour discuter davantage de la question.
- Date de modification :