Enquête sur les pratiques de traitement des renseignements personnels de « Compu-Finder » (3510395 Canada Inc.)
Rapport de conclusions d'enquête en vertu de la LPRPDE no 2016-003
Le 21 avril 2016
Rapport de conclusions
Plainte déposée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (« la Loi »)
Introduction
- Le 28 novembre 2014, le Commissariat a déposé une plainte contre l'entreprise 3510395 Canada Inc. (Compu-Finder) en vertu du paragraphe 11(2) de la Loi.
- Nous avons déposé une plainte, car nous avions des motifs raisonnables de croire que Compu-Finder recueille et utilise les adresses de courriel d'individus pour envoyer des courriels faisant la promotion de ses activités sans le consentement des personnes visées.
- Le 2 février 2015, le Commissariat a avisé Compu-Finder du dépôt de la plainte.
- Au cours de son enquête, le Commissariat :
- s'est penché sur les divers sites Web de Compu-Finder;
- s'est penché sur le contenu des médias en ligne et autre contenu public au sujet de l'entreprise;
- a étudié des soumissions et des rapports envoyés au Centre de notification des pourriels (CNP)Note de bas de page 1 du Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) au sujet de l'organisation ainsi que des domaines Internet qui lui sont associés;
- a mené des entrevues auprès de huit des personnes qui ont présenté des soumissions ou des rapports;
- a analysé les représentations et les documents reçus de Compu-Finder entre le 18 mars et le 19 octobre 2015.
- Le 5 mars 2015, le Conseil de la radiodiffusion et des télécommunications canadiennes (« CRTC ») a fait parvenir un procès-verbal de violation à Compu Finder en vertu de la Loi canadienne anti-pourriel (« LCAP »)Note de bas de page 2. Par la suite, l'entreprise a demandé que le CRTC revoie le procès-verbal de violation. Au moment de rédiger le présent rapport de conclusions (le « Rapport »), les procédures du CRTC dans cette affaire étaient en cours.
- Pendant notre enquête, le CRTC a communiqué au Commissariat de l'information que lui avait fournie Compu-Finder dans le cadre des procédures. Cette communication a été faite en vertu de l'alinéa 58(1)a) de la LCAP et du protocole d'entente sur l'échange d'information entre le Commissariat à la protection de la vie privée et le CRTCNote de bas de page 3.
- Au cours de l'enquête, nous avons identifié des sujets de préoccupation majeurs concernant l'intégrité et l'exhaustivité des renseignements fournis par Compu-Finder.
- Les renseignements fournis par Compu-Finder nous ont semblé incomplets dans certains cas. De plus, certaines affirmations formulées dans les représentations venaient contredire les déclarations et les documents soumis à d'autres moments, et lorsque nous lui avons demandé d'étayer ses affirmations, Compu-Finder n'a pas toujours été en mesure de donner suite à notre demande. Les documents envoyés au Commissariat les 18 et 25 mars 2015 étaient pourtant accompagnés d'une déclaration sous serment du président de l'entreprise selon laquelle les renseignements fournis étaient exacts et complets.
- Les résultats de l'enquête nous ont amenés à conclure que Compu-Finder n'était pas au courant des obligations en matière de protection des renseignements personnels que lui confère la Loi, ou ne les respectait pas. Nous avons constaté que, dans de nombreux cas, Compu-Finder n'a jamais obtenu le consentement nécessaire pour recueillir et utiliser les adresses de courriel afin de promouvoir les cours qu'elle offre. Nous avons également constaté l'absence d'un cadre de responsabilisation concernant la protection des renseignements personnels ainsi qu'un manque de transparence considérable quant aux politiques et aux pratiques de l'entreprise.
- Par conséquent, le 8 août 2015, nous avons publié un rapport d'enquête préliminaire (le « rapport préliminaire »), qui présentait neuf recommandations visant à amener Compu-Finder à se conformer de nouveau à la LoiNote de bas de page 4.
- Nous avons aussi recommandé à l'organisation de retenir les services d'un tiers indépendant pour procéder à une vérification de ses programmes de protection des renseignements personnels après avoir mis en place des mesures de conformité et de nous fournir une copie du rapport du vérificateur ainsi que toute réponse aux recommandations formulées dans ce rapport.
- Dans sa réponse, Compu-Finder a expliqué que les représentations faites précédemment au Commissariat ne visaient pas à tromper. Elles étaient imprécises à certains égards, mais l'entreprise les avait faites de bonne foi et de son mieux sans l'aide d'un conseiller juridique externe.
- Compu-Finder a ajouté qu'elle avait déployé des efforts concertés pour se préparer en vue de l'adoption de la LCAP, le 1er juillet 2014. Elle estimait que son modèle et ses activités de marketing interentreprises étaient conformes à la disposition de la LCAPNote de bas de page 5 sur le consentement tacite et à l'exception relative au commerce interentreprises prévue par le Règlement sur la protection du commerce électronique pris en vertu de la LCAPNote de bas de page 6. L'entreprise invoquait les arguments de fond qu'elle avait fait valoir auprès du CRTC en mai 2015 comme élément probant à l'appui de sa position.
- De plus, Compu-Finder soutenait avoir obtenu un consentement implicite aux termes de la Loi, ajoutant que, les adresses de courriel qu'elle avait recueillies sur des sites Web et auprès d'autres sources étaient des renseignements auxquels « le public a accès » et que le consentement n'était donc pas requis.
- Selon Compu-Finder, l'adoption d'une nouvelle définition de « coordonnées d'affaires » et de l'article 4.01, qui soustrait cette information à l'application de la Loi, à la suite de l'entrée en vigueur de la Loi sur la protection des renseignements personnels numériques, étaierait également sa positionNote de bas de page 7. L'entreprise affirmait que l'article 4.01 décrit avec exactitude la principale utilisation qu'elle fait des renseignements personnels lorsqu'elle envoie des messages électroniques à son public cible, c'est-à-dire dans un contexte purement interentreprises. Elle estimait également que l'article 4.01 corrobore la nature légitime de son approche à l'égard des coordonnées d'affaires non sensibles qu'elle utilise pour envoyer des courriels électroniques commerciaux.
- Compu-Finder a reconnu avoir utilisé par le passé des logiciels de collecte d'adresses pour recueillir environ 170 000 adresses de courriel sur des sites Web entre novembre 2012 et février 2014. Ainsi, il a fait valoir que le Commissariat cherchait à appliquer rétroactivement les dispositions de la LoiNote de bas de page 8 concernant la « collecte d'adresses » à sa collecte automatisée d'adresses électroniques ayant eu lieu avant l'ajout de ces dispositions à la Loi, le 1er juillet 2014. Nous avons toutefois constaté que Compu-Finder a continué d'utiliser environ 28 000 de ces adresses de courriel pour envoyer des courriels électroniques commerciaux après le 1er juillet 2014.
- Malgré ce qui précède, Compu-Finder a accepté de mettre en œuvre nos recommandations sans reconnaître sa responsabilité. Trois recommandations ont été mises en œuvre avant la publication du présent rapport. Compu-Finder a convenu de mettre en œuvre les autres recommandations dans des délais variables à compter de la date de la publication du Rapport de conclusions.
- Compte tenu de ce qui précède, nous avons déterminé que la plainte est en partie fondée et résolue et en partie fondée et conditionnellement résolue.
- Le Commissariat a conclu avec Compu-Finder un accord de conformité visant à faire en sorte que l'entreprise respecte ses obligations en matière de protection des renseignements personnels, comme le prévoit le paragraphe 17.1(1) de la LoiNote de bas de page 9.
- Le présent rapport de conclusions examine les politiques et pratiques de Compu Finder en matière de gestion des renseignements personnels. Il fait état des contraventions à la Loi, énonce les recommandations formulées par le Commissariat dans le rapport préliminaire et résume la réponse Compu-Finder aux résultats de l'enquête du Commissariat.
Résumé de l'enquête
Compu-Finder
- Compu-Finder est une société constituée en vertu d'une loi fédérale qui possède un bureau à Morin-Heights, au QuébecNote de bas de page 10. L'entreprise est également enregistrée au QuébecNote de bas de page 11.
- L'organisation exerce ses activités sous plusieurs noms, dont « Académie Compu-Finder », « Compu-Finder Inc. » et « ACF Management ». Dans le présent rapport, nous employons le nom Compu-Finder.
- Compu-Finder se définit comme une organisation offrant des formations professionnelles en personne à Montréal et à Québec :
Bienvenue à l'académie
Compu-Finder fait la promotion de ses cours de formation et les offre principalement en français.
Précurseur et leader en formation professionnelle depuis plus de quinze ans, ACF Management s'adresse à vous, gestionnaires et cadres, qui désirez doter votre entreprise des outils de pilotage du 21e siècleNote de bas de page 12. - Lorsque nous avons commencé notre enquête, Compu-Finder possédait quatre sites Web en activité : compufc.com, acfmanagement.com, prosperer.ca et academiedegestion.com. Compu-Finder a par la suite abandonné les deux premiers sites Web et concentré ses activités en ligne dans les deux derniers (« le site Web prosperer.ca » et « le site Web de l'Académie »).
Courriels envoyés par Compu-Finder
- Compu-Finder envoie des courriels faisant la promotion de ses cours de formation professionnelle principalement à des employés d'organisations qui œuvrent dans les secteurs privé, public et à but non lucratif. Au cours de l'enquête, l'entreprise a affirmé que ces courriels étaient envoyés uniquement à ces employés et d'autres personnes installés au Québec et dans la Région de la capitale nationale, en Ontario de l'Est.
- Nous avons étudié les soumissions en ligne (les soumissions) envoyées au CNP par l'entremise du site Web de lutte contre les pourriels d'Industrie Canada () ainsi que de nombreux exemples de courriels transférés par des particuliers au CNP au moyen de l'adresse de courriel pourriel@combattrelepourriel.gc.ca (les rapports).
- Notre examen a révélé que du 1er juillet 2014 au 9 avril 2015, le CNP a reçu 1 015 soumissions et rapports au sujet des courriels envoyés par Compu-Finder. L'entreprise a cessé d'envoyer des messages électroniques commerciaux le 9 avril 2015, de manière temporaire, pendant les procédures du CRTC et du Commissariat.
- Les soumissions et les rapports reçus montrent que les courriels de Compu-Finder sont généralement envoyés à des adresses de courriel professionnelles, par exemple, jeandupont@entreprisexyz.ca. Dans environ 5 % ou 6 % des cas, c'est l'adresse électronique personnelle qui est utilisée, par exemple, jeandupont@gmail.com. Un nombre équivalent de courriels ont été envoyés à des adresses de courriel commerciales génériques, par exemple, info@entreprisexyz.ca.
- Les courriels sur lesquels nous nous sommes penchés provenaient de personnes identifiées par un titre générique (par exemple, « chef d'équipe », « directeur général » ou « administrateur ») plutôt que par leur nom. D'autres provenaient d'utilisateurs génériques et annonçaient en objet des mots comme « Nouveau cadre », « Soumissions gagnantes », « Charge de travail » et « Ressources humaines ».
- Les courriels examinés avaient été envoyés à des particuliers et à des organisations à partir de divers domaines Internet, notamment « coursacf », « acfmanagement », « formationacf », « objectifscommerciaux », « gestionnaireschan », « laformationsenligne » et « moncourtravailz ».
- Compu-Finder a remis au Commissariat une liste de 293 noms de domaines Internet enregistrés par l'entreprise auprès de trois fournisseurs différents. Nous constatons que l'utilisation d'adresses génériques d'expéditeurs et de multiples noms de domaine Internet a pour effet de cacher l'identité de l'expéditeur initial et de donner l'impression que les courriels proviennent de différentes entités. Compu Finder a nié que c'était là son intention.
- Compu-Finder a précisé qu'elle utilise ces domaines par ses sites Web, pour l'envoi de courriels, les liens de désabonnement et l'hébergement de ses images publicitaires. L'entreprise a ajouté qu'elle enregistre de nouveaux noms de domaine lorsqu'elle lance des services, des cours ou des campagnes publicitaires tout en faisant valoir qu'utiliser des noms de domaine différents contribue à mesurer le succès de chaque service ou campagne de promotion. Compu-Finder a soutenu que certains noms de domaine énumérés pouvaient être encore enregistrés, mais qu'ils n'étaient plus utilisés. L'entreprise a ajouté qu'elle renouvelait l'enregistrement des noms de domaine uniquement au besoin et laissait les autres expirer.
- Une partie des courriels de Compu-Finder qui ont été transférés au CNP contenaient des invitations à s'inscrire aux cours suivants :
- « Calendrier de formation pour directeurs finance »
- « Comment construire un budget intelligent »
- « Comment exercer son autorité au travail »
- « Devenir un excellent directeur »
- « Devenir un »Super User« des réseaux sociaux »
- « Nouvelles habilités pour adjointe de direction »
- « Préparez des soumissions gagnantes »
- Même si les courriels proviennent de différents domaines ou expéditeurs, ils ont une apparence et un contenu similaires (format, police, espacement, couleurs et texte). Tous contiennent l'adresse électronique de Compu-Finder et, pour bon nombre d'entre eux, son numéro de téléphone. Il y est également question des quatre mêmes hôtels où doivent se tenir les formations offertes, à Montréal et à Québec. Y figurent aussi des mécanismes d'exclusion et des liens vers le site Web de l'AcadémieNote de bas de page 13.
- Contrairement aux arguments présentés par Compu-Finder, notre examen des soumissions et des rapports transmis au CNP montre aussi que les courriels de Compu-Finder ne se limitent pas au Québec et à la Région de la capitale nationale, en Ontario de l'Est. Même si la majorité de ces courriels semblent avoir été envoyés à des destinataires de ces régions, notre examen a permis de constater qu'un pourcentage de tels courriels ont aussi été envoyés ailleurs en Ontario et dans d'autres provinces, notamment la Colombie Britannique, le Manitoba et Terre-Neuve-et-Labrador.
- La longue liste de clients trouvée sur le site Web de l'AcadémieNote de bas de page 14 semble confirmer ce fait. Nous y avons relevé des organisations situées partout au Canada, notamment en Colombie Britannique, en Alberta, au Manitoba, en Ontario et au Nouveau Brunswick.
Collecte d'adresses de courriel par Compu-Finder
Liste d'adresses de courriel
- Compu-Finder a expliqué que sa clientèle se compose entièrement d'entreprises canadiennes (et de leurs employés) et qu'elle a adopté un modèle de marketing interentreprises ne portant donc pas sur les services aux consommateurs. L'entreprise a ajouté qu'elle ciblait principalement les entreprises du Québec dont la masse salariale dépasse 1 000 000 $, car celles-ci sont tenues, en vertu de la loi provinciale, d'investir au moins 1 % de ce montant dans la formation des employésNote de bas de page 15. La collecte d'adresses de courriel et le marketing ultérieur ciblaient donc surtout ces entreprises.
- En janvier 2014, la base de données de l'entreprise contenait environ 475 000 adresses de courriel, qu'elle affirme avoir recueillies par divers moyens.
- En prévision de l'entrée en vigueur de la LCAP le 1er juillet 2014, Compu-Finder a supprimé un grand nombre d'adresses dans sa base de données, principalement des adresses provenant de sources qu'elle considérait comme non fiables. Entre janvier et juillet 2014, le nombre d'adresses de courriel a été ramené à quelque 100 000.
- Compu-Finder a fourni au CRTC deux feuilles de calcul contenant les listes d'adresses de courriel qu'elle détenait dans sa base de données de marketing en date du 2 juillet 2014 et du 25 août 2014. Ces feuilles renfermaient respectivement environ 100 000 et 107 000 adresses. L'entreprise a également fourni des renseignements sur les méthodes utilisées pour recueillir ces adresses et sur les formes de consentement obtenues. Le CRTC a communiqué ces renseignements au Commissariat.
- Au départ, nous pensions que les listes de la base de données fournies au CRTC par Compu-Finder étaient complètes. Cependant, nous avons constaté que l'adresse de courriel de nombreuses personnes ayant présenté des soumissions et rapports au CNP concernant les courriels promotionnels de Compu-Finder entre juillet et septembre 2014 ne figurait pas dans la base de données de l'entreprise. Pourtant, ces personnes pouvaient prouver qu'elles avaient reçu des courriels de Compu-Finder au cours de cette période et en fournir une copieNote de bas de page 16. Des exemples de personnes qui ont reçu des courriels de Compu-Finder et dont l'adresse n'apparaissait pas dans la base de données de l'entreprise sont donnés plus loin.
- Compu-Finder utilise trois méthodes principales pour recueillir les adresses de courriel qu'elle stocke dans sa base de données : 1) le télémarketing (c. à d. en appelant les organisations); 2) la collecte directe auprès des personnes; 3) la collecte sur des sites Web et auprès d'autres sources. L'entreprise a affirmé qu'elle n'achetait pas de listes d'adresses de courriel à des tiers. Les paragraphes suivants du présent rapport examinent chacune de ces méthodes à tour de rôle.
Collecte d'adresses de courriel par télémarketing
- Compu-Finder a affirmé avoir mené plusieurs campagnes de télémarketing ciblées auprès des entreprises entre 2008 et 2011 ainsi qu'entre avril 2014 et mars 2015 pour recueillir les adresses de courriel de leurs gestionnaires et employés. Ce faisant, l'entreprise aurait informé les intéressés de l'utilisation qu'elle comptait faire de leurs adresses, c'est-à-dire pour leur envoyer des renseignements sur les cours qu'elle propose.
- L'entreprise a déclaré que, pour se préparer en vue de l'entrée en vigueur de la LCAP, elle a créé une équipe de télémarketing interne en avril 2014 afin de communiquer avec des organisations des secteurs privé, public et sans but lucratif pour obtenir des adresses de courriel dans le but de promouvoir les formations qu'elle offrait. En date de mars 2015, cette équipe comptait sept employés.
- En prévision de ses activités de télémarketing, Compu-Finder a conclu des contrats avec InfoCanada et le Centre de recherche industrielle du Québec afin d'extraire les noms, les numéros de téléphone et les noms des directeurs des entreprises figurant dans leurs bases de données. Le contrat signé avec InfoCanada a permis à Compu-Finder d'obtenir les coordonnées de quelque 148 000 personnes-ressources en une seule année. L'entreprise a expliqué avoir ciblé les entreprises selon leur volume d'affaires.
- Compu-Finder a déclaré qu'après le début de la campagne, environ 80 % des appels effectués par l'équipe de télémarketing ont permis d'obtenir au moins une adresse électronique.
- Nous avons passé en revue les listes d'adresses de courriel qui, selon ce que nous a dit Compu-Finder, ont été dressées par son équipe de télémarketing entre avril 2014, date à laquelle l'équipe a été créée, et août 2014, date à laquelle les listes ont été remises au CRTC. Au total, nous avons relevé environ 38 000 adresses de courriel recueillies durant cette période. Si l'on tient compte du taux de réussite de 80 % indiqué par Compu-Finder, ces sept employés auraient donc dû faire plus de 48 000 appels en quatre mois.
- À notre demande, Compu-Finder a fourni une copie du texte employé par son équipe de télémarketing entre avril 2014 et mars 2015 :
Bonjour Madame ou Monsieur, vous allez bien?
Je m'appelle de ACF Management.
J'ai de l'information à faire parvenir à votre directeur général. Puis-je avoir son adresse de courriel SVP?
Le nom du DG est…
M. ou Mme X a-t-il/elle un/une adjointe? Son adresse de courriel c'est?… Son nom?
Merci et bonne journée! - Le texte ne précise pas que l'entreprise demande les adresses de courriel des employés en vue de leur faire parvenir des courriels promotionnels sur les cours offerts par Compu-Finder.
- L'entreprise fournit des renseignements supplémentaires uniquement si l'interlocuteur pose des questions sur Compu-Finder et sur la nature des renseignements que l'entreprise désire envoyer :
Questions/réponses
Vous êtes qui?
De quelle entreprise? (détails)
On est une entreprise de formation en gestion, on donne de la formation partout au Québec.
Des informations sur quoi?
Des informations sur des méthodes de gestion et d'administration [Caractères gras ajoutés]. - Le contenu supplémentaire n'explique pas que l'entreprise recueille et utilise les adresses de courriel pour envoyer du matériel de marketing faisant la promotion des cours qu'elle offre.
- D'après les explications fournies par Compu-Finder, il est évident que bon nombre des adresses de courriel obtenues lors des appels téléphoniques sont données par des employés de la réception ou de l'administration ou par du personnel de soutien plutôt que d'être recueillies directement auprès des utilisateurs de ces adresses, ceux-là mêmes qui recevront les courriels promotionnels de Compu-Finder.
Collecte d'adresses de courriel directement auprès de particuliers
- Compu-Finder propose aux personnes qui souhaitent lui fournir directement leur adresse électronique différentes façons de le faire. Il est possible : i) de s'inscrire à un cours; ii) de devenir membre du programme Club ConnoisseurNote de bas de page 17 sur le site Web prosperer.ca ou sur celui de l'Académie; iii) de s'abonner au bulletin en ligne sur le site Web prosperer.ca ou sur celui de l'Académie; iv) d'envoyer une demande de renseignements sur l'un des deux sites Web. Toutes ces démarches peuvent mener à l'ajout de l'adresse électronique du destinataire à la liste d'envoi de courriels promotionnels de Compu-Finder.
- Les personnes qui visitent le site Web prosperer.ca ou celui de l'Académie peuvent aussi s'abonner au bulletin de Compu-Finder en entrant leur adresse électronique dans la case nommée « ABONNEZ-VOUS À NOTRE INFOLETTRE ».
- Pour terminer, on trouve sur les deux sites Web une page qui permet aux visiteurs de soumettre des demandes de renseignements en fournissant leur nom, leur adresse électronique, l'objet de leur demande de renseignements et un court message avant de cliquer sur le bouton Envoyer.
- Le site Web prosperer.ca et celui de l'Académie ne présentent aucune politique générale sur la protection des renseignements personnels expliquant aux personnes qui souhaitent naviguer sur les sites Web l'objet de la collecte de renseignements personnels et leur utilisation prévue à des fins de marketing.
Collecte d'adresses de courriel à partir de sites Web et d'autres sources
- Compu-Finder a déclaré qu'elle avait aussi construit sa base de données de courriels en cherchant des listes d'entreprises sur Internet et en relevant manuellement les adresses de courriel les plus pertinentes. L'entreprise a indiqué avoir ajouté à ces adresses d'autres adresses tirées d'annuaires ou de listes obtenues sur Internet et sur les sites Web d'entreprises susceptibles d'être intéressées par les cours offerts. L'entreprise a précisé qu'elle s'est abonnée aux listes de diverses chambres de commerce afin d'obtenir les coordonnées de personnes intéressées en plus de communiquer avec certaines associations professionnelles.
- Nous avons demandé à Compu-Finder si elle utilisait des programmes informatiques pour recueillir des adresses de courriel sur Internet. Compu-Finder a ajouté qu'elle n'utilisait pas de tels programmes et qu'elle avait cessé de recueillir des adresses de courriel sur Internet en 2014.
- Malgré cette affirmation, nous avons constaté que certains aspects des listes d'adresses de courriel de Compu-Finder semblaient indiquer que l'entreprise avait selon toutes probabilités utilisée des logiciels de collecte d'adresses :
- Nous avons trouvé un grand nombre d'adresses de courriel de personnes qui travaillant pour les mêmes employeurs (et utilisant les mêmes noms de domaine Internet). Il est peu probable que toutes ces adresses aient été recueillies à la main, d'autant plus que dans de nombreux cas elles ne figurent pas au même endroit sur le site Web des organisations visées.
- Compte tenu de ses ressources limitées, le volume d'adresses de courriel que Compu-Finder soutient avoir recueillies manuellement sur Internet et auprès d'autres sources semble irréaliste. Plusieurs milliers d'adresses n'étaient pas associées à des employés d'une organisation, mais elles débutaient par un préfixe générique comme « administration », « info » et « service »;
- Certaines adresses de courriel étaient celles de particuliers ou d'organisations se trouvant à l'étranger ou bien à des endroits au Canada éloignés de Compu-Finder et de ses lieux de formation. Dans un cas, une base de données contenait une adresse qui semblait servir exclusivement aux étudiants et aux enseignants d'une université pour déclarer les pourriels non sollicités.
Bref, il nous a semblé improbable qu'un tel volume d'adresses de courriel de ce type ait pu se retrouver dans la base de données si elles avaient été recueillies et copiées manuellement. Leur présence semble indiquer qu'elles ont été recueillies, du moins en partie, par des moyens automatisés. - Nos conclusions ont été confirmées quand l'entreprise a précisé avoir fait référence à sa pratique de l'époque, soit en mars 2015, quand elle avait nié utiliser des logiciels pour recueillir des adresses de courriel sur Internet. Compu-Finder a indiqué que ses représentations au Commissariat concernant la collecte d'adresses n'avaient pas pour but de tromper. L'entreprise a précisé que même si ces représentations étaient imprécises à certains égards, elle les avait faites de bonne foi et de son mieux sans l'aide d'un conseiller juridique externe.
- Dans sa réponse à notre rapport préliminaire, qu'elle avait préparée avec l'aide d'un conseiller juridique externe, Compu-Finder a reconnu avoir utilisé un outil logiciel maison et des logiciels commerciaux de collecte d'adresses pour recueillir 170 000 adresses de courriel sur Internet entre novembre 2012 et février 2014.
- Compu-Finder a développé un outil logiciel maison simple, qui cherchait des exemples du symbole « @ » sur le site Web d'entreprises ciblées et susceptibles de s'intéresser à ses cours. L'outil copiait ensuite dans une feuille de calcul Excel les adresses de courriel associées à ce symbole pour ensuite les filtrer aux fins d'assurance de la qualité.
- En ce qui concerne les logiciels commerciaux de collecte d'adresses, l'entreprise a indiqué avoir utilisé Email Extractor Plus, Atomic Email Hunter et, pendant une très courte période, Business Email Extractor. Tous ces logiciels permettent de faire des recherches sur des sites Web en utilisant des mots clés et des filtres de localisation.
- Compu-Finder a expliqué que l'utilisation de mots clés comme « annuaire d'entreprises Québec » pour lancer des recherches lui permettait d'obtenir des données « brutes » sous la forme d'adresses URL et d'adresses de courriel, qu'elle exportait ensuite dans une feuille de calcul Excel pour les filtrer aux fins d'assurance de la qualité.
- D'après Compu-Finder, sur les 170 000 adresses recueillies entre novembre 2012 et février 2014 à l'aide de logiciels de collecte d'adresses, il en restait environ 28,000 réparties en trois listes distinctes dans sa base de données le 25 août 2014, après qu'elle eut épuré sa base de données en prévision de l'entrée en vigueur de la LCAP.
- Compu-Finder a précisé que ces trois listes n'étaient plus utilisées en février 2015. Cependant, les adresses figuraient toujours dans sa base de données, puisque l'entreprise pensait que bon nombre d'entre elles pourraient ultérieurement être utilisées de façon licite en vertu de la LCAP.
- Compu-Finder a soutenu avoir cessé d'utiliser les logiciels de collecte d'adresses avant l'entrée en vigueur des dispositions du paragraphe 7.1(2) de la Loi le 1er juillet 2014. Elle a fait valoir que ce paragraphe ne pouvait s'appliquer rétroactivement à la collecte d'adresses effectuée avant le 1er juillet 2014.
Consentement
Consentement explicite
- Compu-Finder a expliqué que sa collecte d'adresses de courriel et la forme du consentement obtenu pour l'utilisation des adresses dans le but d'envoyer des courriels commerciaux dépendaient de la méthode de collecte et de la période au cours de laquelle la compilation de la liste a eu lieu.
- L'entreprise a affirmé avoir obtenu un consentement explicite pour recueillir les adresses directement auprès des personnes ou par télémarketing.
- Nous avons examiné les listes de la base de données remises au CRTC et avons décelé des incohérences entre leur contenu et les représentations écrites de Compu-Finder en ce qui a trait au type de consentement obtenu.
- Compu-Finder a déclaré avoir recueilli des adresses de courriel uniquement en obtenant un consentement implicite d'avril 2012 à avril 2014. Par contre, il était indiqué dans la base de données que les quelque 29 000 adresses de courriel figurant sur les 14 listes établies au cours de cette période avaient été recueillies avec le consentement implicite et explicite des intéressés.
- Nous avons été informés plus tard par le biais d'un conseiller juridique que certaines des adresses avaient été identifiées par erreur comme ayant été recueillies à la suite d'un consentement explicite par Compu-Finder alors qu'elle estimait avoir obtenu un consentement implicite pour la collecte et l'utilisation de ces adresses en vertu des dispositions de la LCAP, voire qu'elle était autrement exemptée de la nécessité d'obtenir un tel consentement conformément à l'exception relative au commerce interentreprises prévue par le Règlement sur la protection du commerce électronique.Note de bas de page 18
- Notre examen a déterminé l'absence, dans la base de données de Compu-Finder, de détails cruciaux concernant la façon dont le consentement avait été obtenu dans chacun des cas. Par exemple, la base de données n'indique pas la source des adresses recueillies ni les données relatives au consentement, notamment la date à laquelle le consentement explicite a été obtenu (le cas échéant) et la méthode utilisée.
- Afin de valider les affirmations de Compu-Finder, qui prétend avoir obtenu un consentement explicite, nous avons envoyé à l'organisation une liste de cinq adresses de courriel tirées de sa base de donnéesNote de bas de page 19, adresses qui, selon ses indications, avaient été recueillies à la suite d'un consentement explicite (adresses de courriel de A à E). Nous avons demandé à l'entreprise d'indiquer quand et comment elle avait obtenu le consentement explicite des personnes touchées et de fournir des preuves écrites.
- Compu-Finder a soutenu que ce consentement a été obtenu : (i) par le truchement de factures envoyées aux clients pour les adresses de courriel « A » à « C », et (ii) par le truchement d'appels de télémarketing réalisés en 2010 et en 2014, respectivement, pour les adresses de courriel « D » et « E ».
- Compu-Finder a été incapable de fournir des preuves écrites de l'obtention d'un consentement explicite pour ces cinq adresses. Les copies des factures envoyées aux clients que l'entreprise a fournies pour les adresses « A » à « C » visent bien les bons organismes tiers, mais elles concernent la participation aux cours de Compu-Finder par d'autres employés.
- Aucune date ou preuve de l'obtention d'un consentement explicite n'est fournie pour les personnes qui auraient été contactées en 2010 et 2014. La seule preuve présentée de l'existence d'un consentement à la collecte et à l'utilisation des adresses de courriel « D » et « E » établit le retrait du consentement par les personnes concernées, et non pas le consentement original qui aurait été accordé.
- Après avoir reçu les observations de Compu-Finder sur le consentement, nous avons interviewé cinq personnes qui ont présenté des soumissions et des rapports au CNP au sujet des courriels promotionnels de Compu-Finder et qui, selon l'entreprise, ont donné leur consentement explicite pour la collecte et l'utilisation de leur adresse de courriel. Quatre d'entre elles utilisent les adresses de courriel d'entreprise « A », « B », « D » et « E » (nous n'avons pas réussi à joindre la personne qui utilise l'adresse « C »)Note de bas de page 20.
- Les cinq personnes interviewées confirment n'avoir jamais eu de liens avec Compu-Finder.
- L'utilisateur de l'adresse de courriel « A » a présenté sept rapports au CNP au sujet de Compu-Finder entre le 1er et le 7 octobre 2014Note de bas de page 21. Il indique avoir reçu des courriels commerciaux non sollicités de la part de Compu-Finder avant qu'il commence à signaler la violation au CNP. Il ne se souvient pas avoir eu des relations d'affaires avec Compu-Finder.
- L'utilisateur de l'adresse de courriel « B » a présenté 45 soumissions et rapports au CNP entre août 2014 et février 2015, ce qui représente environ 75 % des courriels non sollicités qu'il a reçus de Compu-Finder. Il confirme que son adresse de courriel est affichée publiquement sur le site Web de son employeur. Il affirme ne jamais avoir eu de relation d'affaires avec Compu-Finder et n'avoir jamais assisté à une séance de formation.
- L'utilisateur de l'adresse de courriel « D » a présenté deux rapports au CNP, le 4 septembre et le 9 octobre 2014. Il indique avoir également reçu des courriels non sollicités avant l'entrée en vigueur de la LCAP. Il affirme n'avoir jamais fourni son consentement explicite à Compu-Finder pour la collecte et l'utilisation de son adresse de courriel. Il confirme que ses collègues ont aussi reçu des courriels et que leurs adresses de courriel sont affichées sur le site Web de leur entreprise.
- L'utilisateur de l'adresse de courriel « E » a présenté deux rapports au CNP, les 26 et 28 août 2014. Il indique être en possession de dossiers prouvant qu'il a reçu des courriels commerciaux non sollicités de la part de Compu-Finder, et ce, dès février 2014. Il dit qu'il ne pourrait pas profiter de leurs cours, puisqu'il ne comprend pas le français. Il ajoute qu'en juillet 2014, il a inséré un message de non-sollicitation sur sa page Web afin de clarifier que son adresse électronique était fournie uniquement afin que les consommateurs puissent communiquer avec lui, et qu'elle ne devait pas être utilisée à d'autres fins.
- La personne conteste aussi l'affirmation de Compu-Finder voulant que l'entreprise ait obtenu son consentement explicite pour collecter et utiliser son adresse électronique au travail dans le cadre d'un appel de télémarketing en 2010. Il explique que cela n'est pas possible, puisqu'il occupait alors un autre emploi et qu'il utilisait une adresse différente. Il a commencé à utiliser son adresse actuelle en septembre 2012.
- Une cinquième personne a présenté sept rapports au CNP entre le 26 août et le 9 septembre 2014. Il s'agit d'un agent régional pour un bureau ontarien d'une compagnie d'assurance qui indique n'avoir jamais fourni son adresse électronique à Compu-Finder. Lorsque nous avons examiné la base de données de Compu-Finder pour essayer de trouver le nom de cette personne, nous avons constaté que son adresse était présente dans la base du 2 juillet 2014, mais absente de la version suivante. Cependant, les sept violations signalées au CNP portent sur des courriels qui ont été envoyés après le prétendu retrait de son adresse de courriel de la base de données du mois d'août.
- Nous avons aussi rencontré trois personnes dont les adresses de courriel ne se trouvaient pas dans la base de données de Compu-Finder, et ce, même si elles ont indiqué avoir reçu des courriels de Compu-Finder pendant la période où la base de données était utiliséeNote de bas de page 22.
- Une personne a présenté trois rapports au CNP entre le 10 et le 17 octobre 2014. La personne déclare avoir reçu des courriels de Compu-Finder pendant deux ou trois mois. Elle indique demeurer en Colombie-Britannique, et ne jamais avoir traité avec Compu-Finder. Elle ajoute qu'il est donc improbable qu'elle assiste aux cours offerts par Compu-Finder au Québec.
- Deux autres personnes ont présenté conjointement quinze rapports au CNP entre le 21 août et le 25 septembre 2014. Elles travaillent à la même université en Ontario, mais dans des facultés distinctes. Elles affirment n'avoir jamais fourni leurs adresses de courriel à Compu-Finder. L'une d'entre elles indique avoir une connaissance limitée du français et qu'il était donc peu probable qu'elle s'inscrive à ces cours. Les deux personnes supposent que Compu-Finder a recueilli adresse de courriel sur le site Web de l'université.
- Compu-Finder explique qu'en mai et juin 2014 l'entreprise a envoyé environ 100 000 courriels aux adresses contenues dans sa base de données. L'entreprise espérait de cette façon obtenir le consentement explicite des destinataires pour l'envoi continu de courriels faisant la promotion de ses cours. Compu-Finder confirme avoir reçu le consentement d'environ 360 personnes grâce à cette campagne, ce qui représente un taux de réponse de moins de 0,004 %.
Consentement implicite et exceptions à l'obligation de consentement
- Compu-Finder indique s'être fiée au consentement implicite ou aux exceptions à l'obligation de consentement prévues dans certaines circonstances pour recueillir des adresses de courriel sur des sites Web et auprès d'autres sources et leur usage. Pour la « majorité des cas », l'entreprise comptait sur l'exemption « d'entreprise à entreprise » contenue à l'article 3 du Règlement sur la protection du commerce électronique en vertu de la LCAP pour envoyer les courriels faisant la promotion de ses coursNote de bas de page 23. Elle a déterminé qu'elle pouvait grâce à cette exemption envoyer des courriels aux employés si elle avait une relation contractuelle avec l'employeur ou si elle avait un historique de correspondance avec le destinataire.
- Compu-Finder a également affirmé que des organisations avaient publié volontairement les coordonnées de leurs employés, y compris leurs adresses de courriel, et que ces adresses n'étaient pas accompagnées d'énoncé sur la non-sollicitation. L'entreprise a déterminé qu'elle pouvait recueillir ces adresses et envoyer des courriels promotionnels aux utilisateurs de ces adresses de courriel en vertu des dispositions sur le consentement implicite contenues à l'alinéa 10(9)b) de la LCAP et de l'exception concernant les renseignements auxquels le public a accès qui est prévue aux alinéas 7(1)d) et 7(2)c.1) de la LPRPDENote de bas de page 24.
- D'après Compu-Finder, en vertu de l'article 4.3.6 de l'annexe 1 de la LPRPDE, elle pouvait s'en remettre au consentement implicite pour recueillir des adresses de courriel parce que ces adresses ne sont pas des renseignements personnels sensibles et qu'on les trouve sur des sites Web auxquels le public a accès. L'entreprise a soutenu que ses messages envoyés par courriel se rapportaient dans la majorité des cas aux activités professionnelles du destinataire.
- Compu-Finder a précisé que son interprétation s'appuyait sur les nouvelles dispositions de l'article 4.01 de la LPRPDE, selon lequel la Loi ne s'applique pas à une organisation à l'égard des coordonnées d'affaires d'un individu qu'elle recueille, utilise ou communique uniquement pour entrer en contact - ou pour faciliter la prise de contact - avec lui dans le cadre de son emploi, de son entreprise ou de sa profession.
- Notre analyse de plusieurs sites Web d'organisations dont les adresses de courriel sont incluses en grand nombre dans la base de données de Compu-Finder nous a permis de repérer au moins quatre sites Web incluant des énoncés de non-sollicitation dans l'annuaire des employés.
- Par exemple, une université affiche la mention suivante sur son site Web au moins depuis janvier 2013 :
[Traduction] Cet annuaire téléphonique en ligne est la propriété exclusive de l'Université McGill. Les membres de la communauté de McGill et le grand public peuvent l'utiliser pour obtenir les coordonnées des employés de l'Université McGill. Toute utilisation non autorisée de ces renseignements, y compris à des fins d'envoi massif de courriels (pourriel) ou à des fins commerciales, est strictement interdite.Note de bas de page 25
- Dans un autre cas, un cégep du Québec affiche la mention suivante depuis mars 2014 :
Ce bottin est la propriété du Cégep de Sherbrooke. Toute utilisation du bottin dans le but de vendre des biens ou des services ou de faire quelconque sollicitation est strictement interdite.Note de bas de page 26
- Compu-Finder a soutenu que les courriels envoyés se rapportaient dans la majorité des cas aux activités professionnelles des destinataires, mais nous avons constaté que ses bases de données de marketing ne contenaient en date du 2 juillet 2014 et du 25 août 2014 aucun renseignement sur le rôle, le titre ou les responsabilités des personnes en question. Dans la feuille de calcul Excel utilisée en avril 2014 pour consigner les adresses de courriel des cadres recueillies par les agents de télémarketing de Compu-Finder, les personnes sont répertoriées uniquement sous des titres génériques, comme « Dir RH », « Président », « Adjoint/VP » et « Finances ». On ne précise ni le rôle précis ni les responsabilités de ces personnes.
- De plus, nous avons remarqué que Compu-Finder a envoyé les mêmes courriels promotionnels à toutes les adresses, peu importe le champ d'activité de l'organisation, ou le rôle du détenteur de l'adresse, ses fonctions ou ses responsabilités. Les mêmes courriels promotionnels ont été envoyés à des adresses de courriel personnelles et à des adresses génériques d'entreprises où les activités, les rôles ou les responsabilités du destinataire ne pouvaient pas être vérifiés.
- Par exemple, l'utilisateur de l'adresse de courriel « A » a reçu des courriels faisant la promotion de cours sur la construction et les villes, et d'autres à l'intention des directeurs des finances, et ce, même s'il est un professeur en sciences informatiques dans une université. L'utilisateur de l'adresse « B » a reçu des courriels faisant la promotion de cours sur la manière de mesurer la rentabilité de son entreprise, même s'il occupait un poste de scientifique dans un organisme gouvernemental. L'utilisateur de l'adresse « D » a reçu des courriels faisant la promotion d'une séance de formation sur la manière d'être un chef de groupe, malgré son statut de comptable travaillant à son compte. La huitième personne que nous avons rencontrée (voir paragraphe 87 ci-dessus) a reçu des courriels faisant la promotion de cours sur les moyens de devenir un meilleur adjoint administratif, malgré son rôle de professeur de sciences sociales dans une université.
Nouveau système de gestion des contacts de Compu-Finder
- Compu-Finder admet que ses bases de données ne sont pas bien structurées et qu'une intervention manuelle est nécessaire pour trouver des renseignements sur des dossiers précis.
- L'entreprise explique qu'elle apporte actuellement des améliorations à son système de gestion des contacts pour inclure : (i) toutes les exemptions applicables en vue d'obtenir le consentement en vertu de la LCAP ou de la LPRPDE (en incluant les documents et les remarques pertinents), et; (ii) une indication de l'obtention d'un consentement explicite ou implicite (en incluant le type de consentement, la date d'obtention, la demande remplie cernant l'adresse à utiliser).
- Compu-Finder est persuadée que le nouveau système de gestion des contacts comprendra finalement tous les renseignements et tous les documents nécessaires afin d'obtenir un consentement (avec preuve à l'appui), de même que l'application des exemptions en matière de consentement.
Responsabilité
- Pendant l'enquête, Compu-Finder a admis ne pas avoir nommé une personne responsable d'assurer la conformité de l'organisation à ses obligations en matière de protection de la vie privée découlant de la Loi.
- De plus, Compu-Finder a affirmé ne disposer d'aucune politique écrite sur la protection de la vie privée ni d'aucun texte équivalent dans ses conditions de service ou d'autre matériel, et ce, parce que l'entreprise ne savait pas qu'elle devait adopter une telle politique.
- Nous avons aussi demandé un exemplaire du manuel interne en matière de protection de la vie privée ou les procédures de l'entreprise pour la protection de la vie privée, notamment les documents liés à la collecte et à l'utilisation des adresses de courriel. Encore une fois, Compu-Finder a expliqué ne pas avoir de manuel ou de procédures pour traiter les questions de protection de la vie privée.
Transparence
- En plus des questions de responsabilité précitées, nous avons examiné le site Web prosperer.ca et le site Web L'Académie. Le site prosperer.ca ne présente aucune politique sur la protection de la vie privée. Au bas de la page d'accueil de L'Académie figure un lien intitulé « Confidentialité ». Cependant, un clic sur ce lien mène à une page comprenant uniquement un titre et aucun contenu. Nous n'avons trouvé sur ces sites Web aucun matériel nous permettant d'accéder à des renseignements liés à la protection de la vie privée pour les consommateurs ou les entreprises.
Analyse et conclusions
Renseignements personnels
- Il faut d'abord déterminer si Compu-Finder collecte et utilise des renseignements personnels. Avant le 18 juin 2015, l'article 2 de la Loi définissait le « renseignement personnel » comme tout renseignement concernant un individu identifiable, à l'exclusion du nom et du titre d'un employé d'une organisation et des adresse et numéro de téléphone de son lieu de travail.
- Notre enquête a révélé que Compu-Finder recueille les adresses de courriel personnelles et professionnelles de personnes. L'entreprise a utilisé ces adresses pour envoyer des messages électroniques commerciaux faisant la promotion de ses cours de formation jusqu'à ce qu'elle instaure un moratoire temporaire en avril 2015.
- Dans le Résumé de conclusions d'enquête en vertu de la LPRPDE no 2005-297 : Courriels non sollicités pour fins de marketing, l'ancienne commissaire adjointe à la protection de la vie privée a conclu que, puisque l'article 2 de la Loi à cette époque ne précisait pas les adresses de courriel d'affaires, il s'agit de renseignements personnels au sens de la LoiNote de bas de page 27.
- Le 18 juin 2015, la Loi sur la protection des renseignements personnels numériques a modifié la définition de « renseignement personnel » énoncée dans la Loi en éliminant l'exemption pour les coordonnées d'affaires liées aux employés. Ainsi, conformément à l'ancienne et à la nouvelle définition de « renseignement personnel », les adresses de courriel recueillies par Compu-Finder sont considérées comme des « renseignements personnels » au sens la Loi.
- La Loi sur la protection des renseignements personnels numériques modifie aussi la portée de la LPRPDE au moyen d'un nouvel article (4.01) qui prévoit que, dans certaines circonstances, cette partie de la Loi ne s'applique pas à la collecte, à l'utilisation ou à la communication des coordonnées d'affaires. La définition de « coordonnées d'affaires » englobe l'« adresse électronique au travail », par exemple une adresse électronique professionnelle. Cependant, l'exception prévue à l'article 4.01 ne s'applique que dans le cas où une organisation recueille, utilise ou communique les coordonnées d'affaires d'un individu « uniquement pour entrer en contact - ou pour faciliter la prise de contact - avec lui dans le cadre de son emploi, de son entreprise ou de sa profession ».
- Toutefois, notre enquête nous a amenés à conclure que bon nombre des messages électroniques commerciaux envoyés par Compu-Finder ne se rapportent pas à l'emploi, à l'entreprise ou à la profession des destinataires. Plus précisément, comme l'indiquent les paragraphes 97 et 98, nous avons relevé de nombreux messages électroniques envoyés par Compu-Finder qui ne s'y rapportaient pas. Nous avons aussi constaté que ni le poste ni le titre des personnes ne sont stockés dans la base de données de l'entreprise. Or, cette information permettrait de déterminer la « pertinence » d'un message par rapport à l'emploi, à l'entreprise ou à la profession des destinataires.
- En raison de ce qui précède, nous sommes d'avis que Compu-Finder collecte et utilise des renseignements personnels et que la LPRPDE continue de s'appliquer aux activités de Compu-Finder à cet égard.
Collecte et consentement
Pertinence de la LCAP
- Pour justifier ses pratiques, Compu-Finder a invoqué dans ses représentations les dispositions de LCAP portant sur l'envoi de messages électroniques commerciaux ainsi que le règlement pris en vertu de cette loi. À notre avis, bien que ces dispositions soient similaires à certains égards à celles énoncées dans la Loi, elles ne sont pas directement pertinentes pour notre enquête, qui porte sur la conformité de Compu-Finder à la LPRPDE. Par conséquent, nous n'avons pas tenu compte de ces dispositions dans notre analyse, sauf en ce qui a trait aux modifications apportées à la Loi découlant de la LCAP et concernant la collecte d'adresses.
Consentement explicite
- Le consentement explicite que Compu-Finder allègue avoir obtenu pour recueillir et utiliser des adresses de courriel afin d'envoyer des messages électroniques commerciaux soulève plusieurs préoccupations.
- Selon le principe 4.3 de l'annexe 1 de la Loi, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire.
- Selon le principe 4.3.2, les organisations doivent faire un effort raisonnable pour s'assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués. De même, le principe 4.2 précise que les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées par l'organisation avant la collecte ou au moment de celle-ci.
- L'entreprise a soutenu avoir informé les personnes des fins auxquelles elle recueillait leur adresse, c'est-à-dire pour leur envoyer de l'information sur ses cours de formation. Cette mesure est exigée par les principes 4.2 et 4.3.2 de l'annexe 1 de la Loi. Cependant, le texte utilisé par les agents de télémarketing de Compu-Finder, du moins entre avril 2014 et mars 2015, n'informait pas adéquatement les interlocuteurs des fins auxquelles ils cherchaient à recueillir leur adresse de courriel, même quand les interlocuteurs insistaient pour en savoir plus. Les agents n'indiquaient pas non plus à leurs interlocuteurs où ils pourraient se renseigner sur les fins visées, par exemple en consultant la politique sur la protection de la vie privée sur le site Web (qui, en fait, n'existait pas). Par conséquent, nous sommes d'avis que Compu-Finder a contrevenu aux principes 4.2, 4.3 et 4.3.2.
- Le principe 4.4 exige que les renseignements personnels soient recueillis « de façon honnête et licite ». Selon le principe 4.4.2, l'exigence imposée aux organisations de recueillir des renseignements personnels de façon honnête et licite vise à les empêcher de tromper les gens et de les induire en erreur quant aux fins auxquelles les renseignements sont recueillis.
- Dans le cas présent, le texte utilisé par l'équipe de télémarketing laissait entendre que Compu Finder avait déjà établi une relation d'entreprise à entreprise avec le gestionnaire ou le directeur joint, et que les adresses de courriel étaient recueillies uniquement à des fins administratives et non dans le but d'envoyer des courriels promotionnels.
- En essayant de recueillir ces renseignements auprès de tierces parties, p. ex. des employés administratifs, plutôt qu'auprès des intéressés eux-mêmes, et en ne révélant pas le fait que dans de nombreux cas l'appel visait à obtenir des renseignements personnels à des fins de marketing, nous estimons que l'entreprise a recueilli des renseignements personnels et qu'elle a ainsi contrevenu au principe 4.4 de l'annexe 1.
- En outre, lorsque nous avons tenté de valider le consentement obtenu, aucune preuve documentaire ne venait appuyer les déclarations de Compu-Finder selon lesquelles l'entreprise avait obtenu le consentement explicite de certaines personnes. Qui plus est, ces affirmations ont été contredites et réfutées directement par les personnes interrogées.
- Compu-Finder affirme que la petite équipe de télémarketing qu'elle a mise sur pied lui a permis en seulement quatre mois de recueillir 38 000 adresses de courriel après avoir obtenu pour cela le consentement explicite des intéressés. Avec un taux de succès de 80 %, cela représenterait plus de 48 000 appels téléphoniques. Nous sommes d'avis que le nombre d'appels et le taux de réussite ne sont ni crédibles ni même envisageables. En l'absence de toutes procédures ou pratiques établies en matière de protection de la vie privée, nous doutons du fait que les employés de Compu-Finder qui demandaient le consentement comprenaient et appliquaient convenablement le concept tel que présenté dans la Loi.
- De plus, l'absence d'une politique écrite en matière de protection de la vie privée sur les sites Web de Compu-Finder remet en question la validité du consentement que l'entreprise affirme avoir obtenu du fait que des personnes entrent en contact avec elle en faisant part d'un intérêt à l'égard de son programme Club Connoisseur, souhaitent recevoir son bulletin d'information ou posent des questions générales sur l'entreprise et les cours offerts. Pour que le consentement soit valable, les personnes doivent être informées des fins auxquelles une organisation recueille des renseignements personnels. En l'absence d'une politique sur la protection de la vie privée ou d'autres renseignements facilement accessibles sur les pratiques de Compu-Finder, il est difficile de voir comment l'entreprise respecte cette exigence.
- Compte tenu de tout ce qui précède, nous sommes d'avis que Compu-Finder n'a pas obtenu un consentement explicite valable dans le but de collecter et d'utiliser les adresses de courriel par télémarketing ou directement auprès des personnes et que l'entreprise contrevient de ce fait aux principes 4.2, 4.3, 4.3.2 et 4.4 de l'annexe 1 de la Loi.
Consentement implicite
- Selon le principe 4.3.6, la façon dont une organisation obtient le consentement peut varier selon les circonstances et la nature des renseignements recueillis. En général, l'organisation devrait chercher à obtenir un consentement explicite si les renseignements sont susceptibles d'être considérés comme sensibles. Lorsque les renseignements sont moins sensibles, un consentement implicite serait normalement jugé suffisant.
- En plus du consentement explicite, Compu-Finder affirme avoir recueilli et utilisé les adresses de courriel de certaines organisations en se fiant au consentement implicite, celui-ci découlant de relations d'affaires préexistantes ou de la publication des adresses de courriel.
- Des relations d'affaires peuvent exister entre un fournisseur de formations et une personne qui, par exemple, a participé à un cours, a tenté de s'inscrire à un cours, a déjà posé des questions sur un cours ou a acheté du matériel pour une formation. De même, une relation peut être créée entre un fournisseur de formations et une organisation si, par exemple, une organisation a financé la participation de ses employés à ces formations.
- Lorsque nous avons demandé la preuve du consentement obtenu de la part de trois personnes, Compu-Finder a désigné trois factures envoyées aux clients. Les factures fournies visaient des formations offertes à d'autres employés. En fournissant ces factures, Compu-Finder semble laisser entendre que même si peu d'employés ont participé à ses cours, sa relation d'affaires préexistante avec l'organisation lui permet d'envoyer des courriels commerciaux à tous les autres employés de l'organisation, et ce, sans restriction.
- Selon nous, en vertu de la LPRPDE, Compu-Finder ne peut pas compter uniquement sur le fait qu'une personne dans l'organisation a assisté à l'un de ses cours pour décider de recueillir et d'utiliser les adresses de courriel d'autres personnes travaillant dans cette organisation pour des fins de marketing. La collecte et l'utilisation des adresses de courriel de personnes qui n'ont pas de liens avec Compu-Finder ne rentrent pas dans la sphère des attentes raisonnables et ne peuvent donc pas être la base d'un consentement valable au sens du principe 4.3.
- Compu-Finder a signalé que bon nombre des adresses de courriel recueillies étaient disponibles en ligne et que les adresses de courriel des entreprises n'étaient pas des renseignements sensibles. Cependant, les adresses peuvent être affichées en ligne pour diverses raisons, et l'on ne peut tenir pour acquis que les personnes ou les organisations qui affichent les adresses peuvent raisonnablement s'attendre à recevoir des offres commerciales.
- Par exemple, certaines personnes peuvent demander des commentaires de gens intéressés par le sujet dont elles traitent dans leur blogue, un groupe communautaire peut vouloir faciliter les contacts entre ses membres en vue d'organiser des événements, ou des organismes de bienfaisance peuvent afficher leurs adresses pour obtenir des dons. Les organisations commerciales peuvent inclure les adresses de courriel des employés sur une page de coordonnées ou dans un annuaire des employés pour faciliter les ventes, fournir un soutien technique, régler des plaintes des consommateurs ou obtenir les commentaires des clients.
- La Loi indique qu'une organisation peut collecter et utiliser les renseignements personnels d'une personne sans consentement si ces renseignements sont « publics » et réglementaires. L'alinéa 7(1)d) prévoit qu'une organisation peut collecter et utiliser des renseignements personnels à l'insu de l'intéressé et sans son consentement uniquement s'il s'agit d'un renseignement réglementaire auquel le public a accès. L'alinéa 7(2)c.1) prévoit qu'une organisation peut, à l'insu de l'intéressé et sans son consentement, utiliser ses renseignements personnels s'il s'agit d'un renseignement réglementaire auquel le public a accès.
- L'article 1 du Règlement prévoit que certains renseignements et catégories de renseignements sont « accessibles au public » aux fins des alinéas 7(1)d), 7(2)c.1) et 7(3)h.1) de la Loi. Cela comprend, entre autres :
1(b) les renseignements personnels, y compris les nom, titre, adresse et numéro de téléphone, qui figurent dans un répertoire, listage ou avis à caractère professionnel ou d'affaires qui est accessible au public, si la collecte, l'utilisation et la communication de ces renseignements sont directement liées à la raison pour laquelle ils figurent dans le répertoire, listage ou avis. [caractères gras ajoutés]
- Dans le Résumé de conclusions d'enquête en vertu de la LPRPDE no 2005-297 : Courriels non sollicités pour fins de marketing, l'ancienne commissaire adjointe à la protection de la vie privée a conclu que la collecte et l'utilisation des renseignements personnels pour la vente de billets d'événements sportifs n'étaient pas liées à la raison pour laquelle l'employeur (un cabinet d'avocat) avait mis les coordonnées de ses employés à la disposition de ses clients et de ses clients potentiels. Par conséquent, le Règlement n'autorise pas la collecte et l'utilisation sans consentement de ces renseignements par l'organisation en cause.
- Pendant notre enquête, nous avons découvert des cas où Compu-Finder a envoyé des courriels commerciaux pour ses cours à des personnes dont les adresses de courriel avaient été affichées à des fins complètement différentes.
- Parmi les personnes que nous avons rencontrées en entrevue, celles qui faisaient partie du corps professoral d'universités ont reçu des courriels de Compu-Finder sans qu'il n'existe de relation d'affaires, et sans consentement. Leurs adresses de courriel sont publiées sur le site Web de leur université pour que les étudiants puissent communiquer avec les professeurs et pour d'autres fins liées aux travaux universitaires. Dans un autre cas, l'adresse de courriel d'un agent d'assurance a été affichée publiquement par son employeur, de même que les adresses des autres agents, afin que les clients potentiels et les détenteurs de polices puissent communiquer avec eux.
- De plus, nous avons relevé des exemples d'organisations qui avaient indiqué explicitement, et bien en évidence, que les adresses de courriel affichées sur leur site Web ne doivent pas être utilisées à des fins commerciales. Pourtant, Compu-Finder a continué d'envoyer des courriels promotionnels aux personnes qui travaillaient pour ces organisations et ne semble pas avoir vérifié, comme il se doit, les dossiers de sa base de données après la publication de ces affirmations.
- Compu-Finder a soutenu que ses courriels se rapportaient dans la majorité des cas aux activités professionnelles des destinataires. Cependant, comme nous l'avons mentionné, d'après les courriels que nous avons examinés, ce n'était pas le cas et Compu-Finder n'avait aucun moyen de savoir si un message particulier se rapportait aux activités d'une personne.
- Ces exemples montrent que, dans de nombreux cas, Compu-Finder ne peut s'appuyer ni sur les dispositions de la LPRPDE concernant le consentement implicite, ni sur celles du Règlement, pour procéder à la collecte et à l'utilisation des adresses de courriel sans consentement en vertu de l'exception que prévoit la LPRPDE (« renseignement auquel le public a accès »), ce qui contrevient au principe 4.3.
- Même si l'on pouvait considérer ces adresses de courriel comme des renseignements auxquels « le public a accès », nous signalons que Compu-Finder ne pourrait pas compter sur cette exception pour les adresses de courriel obtenues à l'aide d'un logiciel de collecte d'adresses, conformément au paragraphe 7.1(2) de la Loi.
- Les alinéas 7.1(2)a) et b) indiquent que les alinéas 7(1)a), c) et d) ainsi que (2)a) à c.1) et l'exception prévue à l'article 4.3 de l'annexe 1 ne s'appliquent pas : a) à la collecte de l'adresse électronique d'un individu effectuée à l'aide d'un programme d'ordinateur conçu ou mis en marché principalement pour produire ou rechercher des adresses électroniques et les recueillir; ni b) à l'utilisation d'une telle adresse recueillie à l'aide d'un programme d'ordinateur visé à l'alinéa a).
- À notre avis, bien que la collecte des adresses de courriel ait été effectuée à l'aide de logiciels de collecte d'adresses (et ait cessé) avant l'entrée en vigueur du paragraphe 7.1(2) de la Loi, les 28 000 adresses recueillies grâce à ces logiciels sont demeurées stockées dans la base de données à des fins de marketing après le 1er juillet 2014 et elles ont été, selon Compu-Finder, utilisées jusqu'en février 2015. De ce fait, conformément à l'alinéa 7.1(2)b), Compu-Finder ne pourra désormais plus invoquer l'exception relative aux renseignements « au[x]quel[s] le public a accès » prévue à l'alinéa 7(2)c.1) pour envoyer des messages de marketing à ces adresses de courriel.
Responsabilité
- Le principe 4.1 de l'annexe 1 de la Loi prévoit qu'une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner une ou des personnes qui devront s'assurer du respect par l'organisation des principes.
- Compu-Finder admet n'avoir désigné parmi ses employés aucune personne dont le mandat serait de veiller au respect de ses obligations en matière de protection de la vie privée. De ce fait, l'entreprise contrevient à ce principe.
- Le principe 4.1.4 prévoit que les organisations doivent assurer la mise en œuvre des politiques et des pratiques destinées à donner suite aux principes, y compris : a) la mise en œuvre des procédures pour protéger les renseignements personnels; b) la mise en place des procédures pour recevoir les plaintes et les demandes de renseignements; c) la formation du personnel et la transmission au personnel de l'information relative aux politiques et pratiques de l'organisation; et d) la rédaction des documents explicatifs concernant leurs politiques et procédures.
- L'entreprise a révélé qu'elle n'avait aucune politique écrite sur la protection de la vie privée ni aucun autre document équivalent où il serait question de confidentialité. Cette lacune a été confirmée lorsque nous avons été incapables de trouver cette politique sur le site Web prosperer.ca ainsi que lorsque nous avons trouvé une page vide en cliquant sur l'onglet « Confidentialité » dans la page d'accueil de l'académie.
- Compu-Finder a déclaré qu'elle désignera un agent responsable de la protection de la vie privée et établira des politiques et des procédures écrites en matière de protection de la vie privée pour respecter la Loi, si elle est tenue de le faire.
Transparence
- Le principe 4.8.1 de l'annexe 1 de la Loi prévoit que les organisations doivent faire preuve de transparence au sujet de leurs politiques et pratiques concernant la gestion des renseignements personnels. Une personne doit pouvoir obtenir sans efforts déraisonnables de l'information au sujet des politiques et des pratiques d'une organisation. Ces renseignements doivent être fournis sous une forme généralement compréhensible.
- Le principe 4.8.2 prévoit que les renseignements fournis par une organisation doivent comprendre : a) le nom ou la fonction de même que l'adresse de la personne responsable de la politique et des pratiques de l'organisation et à qui il faut acheminer les plaintes et les demandes de renseignements; b) la description du moyen d'accès aux renseignements personnels que possède l'organisation; c) la description du genre de renseignements personnels que possède l'organisation, y compris une explication générale de l'usage auquel ils sont destinés; d) une copie de toute brochure ou autre document d'information expliquant la politique, les normes ou les codes de l'organisation; et e) la définition de la nature des renseignements personnels communiqués aux organisations connexes (par exemple, les filiales).
- En l'absence d'une politique ou d'une procédure publique sur la protection de la vie privée, de politiques et procédures internes qui pourraient être transmises aux particuliers en l'absence de tels documents accessibles au public ou de coordonnées permettant de demander de l'information sur les questions liées à la protection de la vie privée, les particuliers ne peuvent pas obtenir facilement et rapidement des renseignements sur les pratiques de gestion des renseignements personnels de l'organisation.
- De plus, il est hautement improbable, vu l'absence de politiques et de procédures internes en matière de protection de la vie privée, que les employés de Compu Finder soient bien au fait des concepts clés en matière de protection de la vie privée, comme le consentement, afin d'être en mesure de bien informer ces personnes au sujet des pratiques de l'organisation en la matière d'une manière qui respecte la Loi. Comme aucun employé n'est désigné pour s'assurer que l'organisation respecte ses obligations en matière de protection de la vie privée, le personnel n'a personne à qui s'adresser pour obtenir de l'aide et une orientation quand il communique avec les particuliers concernant les questions relatives à la protection de la vie privée. De ce fait, Compu-Finder contrevient aussi aux principes 4.8.1 4.8.2.
Recommandations
- Dans son rapport préliminaire, le Commissariat a recommandé que Compu-Finder :
- désigne une personne au sein de l'organisation qui veillera à ce que celle ci respecte les dispositions de la Loi;
- établisse et mette en œuvre une politique sur la protection des renseignements personnels et des procédures écrites concernant la collecte, l'utilisation, la communication, la protection, la conservation et la destruction des renseignements personnels, la façon dont les personnes peuvent avoir accès à leurs renseignements personnels détenus par l'organisation, ainsi que la façon de recevoir les demandes de renseignements et les plaintes sur la protection de la vie privée et d'y donner suite;
- publie sa politique sur la protection des renseignements personnels sous une forme facilement accessible et généralement compréhensible pour les membres du public;
- forme les employés et leur transmette l'information sur la politique et les procédures de l'organisation en matière de protection des renseignements personnels;
- modifie son texte de télémarketing afin d'expliquer clairement l'activité de Compu Finder; l'objet de son appel; pourquoi l'entreprise désire recueillir l'adresse électronique; à quelles fins serviront ces adresses et comment les personnes qui ont reçu un appel peuvent obtenir de plus amples renseignements sur leur droit à la vie privée;
- conserve les dossiers et les éléments de preuve appropriés concernant le consentement implicite et explicite obtenu des personnes et des organisations ainsi que la date du retrait de ce consentement;
- recueille et utilise dorénavant les adresses de courriel des personnes à des fins de marketing seulement après avoir obtenu un consentement valable ou conformément à une exception valide prévue par la Loi;
- détruise les adresses de courriel qu'elle détient et qui ont été obtenues sans le consentement des personnes ou en l'absence d'une exception valide prévue par la Loi; et
- s'abstienne à l'avenir de faire la collecte d'adresses de courriel des personnes en recourant à un programme d'ordinateur qui est conçu ou mis en marché principalement pour servir à produire ou à rechercher ces adresses et à les recueillir.
- En plus des neuf mesures susmentionnées, nous avons recommandé à l'organisation de retenir les services d'un tiers indépendant pour procéder à une vérification de ses programmes de protection des renseignements personnels après avoir mis en place des mesures de conformité. Nous lui avons aussi demandé de nous fournir une copie non modifiée du rapport final du vérificateur indépendant ainsi que toute réponse aux recommandations formulées dans ce rapport dans les neuf (9) mois suivant la date de notre rapport de conclusions.
Réponse de Compu-Finder à nos recommandations
- Malgré ses affirmations antérieures, Compu-Finder a convenu de mettre en œuvre des mesures pour donner suite à toutes les recommandations de notre rapport préliminaire, et ce sous toutes réserves et sans reconnaître sa responsabilité.
- Compu-Finder a modifié le texte de télémarketing en fonction des préoccupations exprimées par le Commissariat dans la recommandation e). Les agents expliquent désormais plus clairement la nature de l'activité de l'entreprise et l'objet de l'appel et ils recueillent les coordonnées uniquement lorsque la personne ou l'organisation demande expressément que Compu-Finder lui envoie par courriel de l'information sur ses services de formation.
- Compu-Finder a également mis en œuvre des mesures pour donner suite aux recommandations a) et b) avant la publication du présent rapport de conclusions.
- Compu-Finder a convenu de mettre en œuvre des mesures pour donner suite aux recommandations c) et d) dans les trois (3) mois suivant la date de notre rapport de conclusions et aux recommandations f) à i) dans les quatre (4) mois suivant sa publication.
- L'entreprise a également convenu de retenir les services d'un tiers indépendant pour procéder à une vérification de ses programmes de protection des renseignements personnels et de produire une version non éditée du rapport final de vérificateur ainsi que sa réponse aux recommandations y figurant, respectivement dans un délai de huit (8) et de neuf (9) mois à compter de la publication de notre rapport de conclusions.
Conclusion
- Compte tenu de ce qui précède, nous avons déterminé que les aspects de la plainte visés par les recommandations a), b) et e) sont fondés et résolus. Ceux visés par les recommandations c), d) et f) à i) sont fondés et conditionnellement résolus.
- Le Commissariat continuera de veiller à ce que Compu-Finder mette en œuvre les mesures nécessaires pour se conformer pleinement à la Loi et surveillera de près la suite donnée à ses recommandations. Il a d'ailleurs conclu un accord de conformité avec l'entreprise, conformément au paragraphe 17.1(1) de la Loi.
Annexe A
Exemple de courriel promotionnel présenté par Compu Finder au CRTC le 13 mars 2015 :
Version textuelle
Ceci est un exemple de message électronique envoyé à des particuliers par Compu-Finder pour promouvoir ses services de formation.
Image 1
Formation pour adjointe administrative
Efficacité professionnelle pour réduire son stress au travail
- Gestion des priorités
- Droit au but
- Savoir dire non
Image 2
Les <<MUST>> de l’efficacité professionnelle de l’adjointe administrative
L’adjointe administrative dans son rôle de soutien à la direction est appelée à communiquer et à entretenir des relations collaboratives avec un grand nombre d’intervenants. Ce qui nécessite la maîtrise de bonnes habilités de communication et d’organisation, entre autres, et de compétences clés qui reposent dans la capacité à :
- Maîtriser ses dossiers, gérer plusieurs agendas, jouer un rôle politique et adapter sa personnalité (savoir être) face aux diverses situations et interlocuteurs.
- Gérer son temps et ses priorités pour être en mesure de livrer un travail de qualité dans le respect de délais et des échéanciers prévus.
- Maintenir des relations efficaces et professionnelles avec toutes les personnes qui gravitent autour de son rôle : patrons, collègues de travail, clients ou fournisseurs, etc.
- Être productif(ive) dans l’exécution de son travail, dans les relations avec les autres, (autant à son poste que dans les réunions ou les assemblées) dans l’organisation du travail et l’emploi des outils et des technologies appropriées pour faire son travail.
Vous êtes souvent dérangée dans votre travail?
Vous avez parfois de la difficulté à respecter vos engagements professionnels?
Vous vous sentez mal outillée?
Vos relations pourraient être plus cordiales et le climat de travail pourrait être plus détendu?
Comment réduire la pression et gérer mieux son stress?
Cette formation est pour vous.
Inscrivez-vous dès maintenant. Le nombre de places est limité.
1-877-726-2238
Dates et lieux
Région de Montréal : 3, 4 et 5 février 2015
Le Crystal | 1100 rue de la Montagne, Montréal
Région de Québec : 13, 14, et 15 février 2015
Centre des congrès Lévis | 5750, rue J-B-Michaud, Lévis
Vous avez reçu ce courriel en raison de vos fonctions dans votre entreprise.
ACF Management souhaite vous faire parvenir périodiquement des informations pertinentes pour vous aider à réussir vos projets professionnels et personnels.
Modifier vos intérêts/Se désabonner
Adresse postale : 707 ch du Village, Morin-Heights, QC J0R 1H0
Annexe B
Exemples de soumission de renseignements ou de signalement contre Compu Finder, présentés au Centre de notification des pourriels (CNP)
- Du 1er juillet au 10 septembre 2014
Adresse de courriel (Nota : Les adresses de courriel ont été supprimées de l’exemplaire Web de ce rapport afin de protéger les renseignements personnels des particuliers.) |
Date de la soumission ou du signalement au CNP | Province du destinataire | Entrée dans la base de données de Compu-Finder : le 2 juillet ou le 25 août 2014? |
---|---|---|---|
8 juillet 2014 | Québec | Non | |
15 juillet 2014 | Québec | Non | |
30 juillet 2014 | Québec | Non | |
31 juillet 2014 | Québec | Non | |
5 août 2014 | Colombie Britannique | Non | |
7 août 2014 | Québec | Non | |
7 août 2014 | Alberta | Non | |
22 août 2014 | Ontario | Non | |
25 août 2014 | Québec | Non | |
26 août 2014 | Ontario | Non | |
26 août 2014 | Ontario | Non | |
29 août 2014 | Québec | Non | |
29 août 2014 | Québec | Non | |
29 août 2014 | Québec | Non | |
29 août 2014 | Québec | Non | |
31 août 2014 | Québec | Non | |
1er sept. 2014 | Québec | Non | |
2 sept. 2014 | Québec | Non | |
3 sept. 2014 | Québec | Non | |
3 sept. 2014 | Québec | Non | |
4 sept. 2014 | Ontario | Non | |
8 sept. 2014 | Québec | Non | |
8 sept. 2014 | Québec | Non | |
8 sept. 2014 | Québec | Non | |
8 sept. 2014 | Ontario | Non | |
8 sept. 2014 | Québec | Non | |
8 sept. 2014 | Québec | Non | |
8 sept. 2014 | Québec | Non | |
9 sept. 2014 | Québec | Non | |
9 sept. 2014 | Québec | Non | |
10 sept. 2014 | Ontario | Non | |
10 sept. 2014 | Ontario | Non | |
10 sept. 2014 | Québec | Non |
Annexe C
Liste des adresses de courriel envoyées à Compu Finder le 8 avril 2015 pour lesquelles nous avons demandé une preuve de consentement explicite :
Adresse de courriel (Nota : Les adresses de courriel ont été supprimées de l’exemplaire Web de ce rapport afin de protéger les renseignements personnels des particuliers.) |
Bloc | Types de consentement | |
---|---|---|---|
A | 014_7-N | Explicite | |
B | N-811-O | Implicite + explicite | |
C | N-811-O | Implicite + explicite | |
D | 014_9-N | Explicite | |
E | Bloc-6_27-28-O | Explicite |
Annexe D
Accord de conformité entre : Le commissaire à la protection de la vie privée du Canada et 3510395 Canada Inc.
ATTENDU QUE le commissaire à la protection de la vie privée du Canada (" le commissaire ") est responsable de l'administration et de l'application de la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (la " Loi "), qui régit la collecte, l'utilisation ou la communication de renseignements personnels par des organisations dans le cadre d'activités commerciales;
ATTENDU QUE, le 1er juillet 2014, la Loi canadienne anti-pourriel (la " LCAP ") a modifié la Loi pour y inclure des dispositions visant expressément la collecte d'adresses de courriel au moyen de programmes d'ordinateurs;
ATTENDU QUE 3510395 Canada Inc. (" Compu-Finder ") est une société constituée en vertu d'une loi fédérale établie à Morin-Heights, au Québec, qui offre des cours de formation professionnelle en Ontario et au Québec;
ATTENDU QUE Compu-Finder envoie des courriels faisant la promotion de ses cours de formation professionnelle principalement à des employés d'organisations qui exercent leurs activités dans les secteurs privé, public et sans but lucratif au Québec et dans d'autres provinces;
ATTENDU QUE, le 28 novembre 2014, le commissaire a pris l'initiative d'une plainte contre CompuFinder en vertu du paragraphe 11(2) de la Loi parce qu'il avait des motifs raisonnables de croire qu'une enquête devait être menée sur la collecte et l'utilisation d'adresses de courriel personnelles par Compu-Finder aux fins de l'envoi de messages faisant la promotion de ses activités commerciales.
ATTENDU QUE, à la lumière de cette enquête, le commissaire a constaté que Compu-Finder avait contrevenu à plusieurs dispositions de la section 1 de la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) :
- Compu-Finder n'a désigné aucune personne au sein de l'organisation pour répondre de sa conformité aux exigences de la partie 1 de la Loi, ce qui contrevient au principe 4.1 de l'annexe 1 de la Loi;
- Compu-Finder ne s'est dotée d'aucune politique ou procédure écrite pour donner suite aux principes de l'annexe 1 de la Loi, ce qui contrevient au principe 4.1.4;
- Compu-Finder n'a publié aucune information en ce qui a trait à ses politiques et pratiques en matière de gestion des renseignements personnels, ce qui contrevient aux principes 4.8.1 et 4.8.2 de l'annexe 1 de la Loi;
- Compu-Finder s'est livrée à des activités de télémarketing en utilisant un dialogue qui n'informait pas adéquatement les personnes des fins auxquelles elle recueillait leur adresse de courriel, ce qui contrevient aux principes 4.2, 4.3, 4.3.2 et 4.4 de l'annexe 1 de la Loi;
- Dans de nombreux cas, Compu-Finder n'a pas pu établir avoir obtenu consentement explicite ou implicite de particuliers pour recueillir et utiliser leur adresse de courriel (ou autrement s'assurer adéquatement qu'elle était exemptée de la nécessité d'obtenir un tel consentement), ce qui contrevient au principe 4.3 de l'annexe 1 de la Loi;
- Compu-Finder a recueilli environ 170 000 adresses de courriel à l'aide de logiciels de collecte d'adresses de courriel entre novembre 2012 et février 2014, et
- Un sous-ensemble de ces adresses (environ 28 000) est stocké dans sa base de données et ont été utilisées pour envoyer des courriels électroniques commerciaux jusqu'en février 2015 malgré les restrictions prévues par le paragraphe 7.1(2) de la Loi modifiée par la Loi canadienne anti-pourriel (LCAP) relativement à l'utilisation des adresses de courriel recueillies au moyen d'un logiciel de collecte d'adresses.
ATTENDU QUE dans le rapport de conclusions (" Rapport de conclusions ") se rapportant à la plainte déposée par le commissaire en date du 28 novembre 2014, celui-ci a formulé plusieurs recommandations à Compu-Finder afin que l'entreprise se conforme à la Loi;
ATTENDU QUE Compu-Finder reconnaît les conclusions formulées par le commissaire dans le Rapport de conclusions et, sans aucune admission de faits en ce qui concerne la véracité des allégations et des arguments figurant dans le rapport de conclusions (y compris ceux résumés ci-dessus), accepte de mettre pleinement en œuvre les recommandations du commissaire afin de se conformer à la Loi;
ATTENDU QUE les parties reconnaissent que, même si le présent accord est volontaire, elles sont liées par les obligations en découlant et que l'article 17.2 de la Loi pourra s'appliquer en cas de non-respect de ces obligations;
EN CONSÉQUENCE, en vertu des articles 17.1 et 17.2 de la Loi, le commissaire et Compu-Finder ont convenu de ce qui suit :
I. INTERPRÉTATION
- Les définitions suivantes s'appliquent pour les besoins du présent accord :
- " Loi " désigne la Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch. 5;
- " Accord " désigne le présent accord de conformité conclu entre Compu-Finder et le commissaire en vertu de l'article 17.1 de la Loi.
- " LCAP " désigne la Loi visant à promouvoir l'efficacité et la capacité d'adaptation de l'économie canadienne par la réglementation de certaines pratiques qui découragent l'exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications, L.C. 2010, ch. 23;
- " commissaire " désigne le commissaire à la protection de la vie privée du Canada nommé en vertu du paragraphe 53(1) de la Loi sur la protection des renseignements personnels, L.R.C. 1985, ch. P21 ainsi que ses représentants autorisés;
- " Compu-Finder " désigne 3510395 Canada Inc.;
- " parties " désigne le commissaire et Compu-Finder;
- " Rapport de conclusions " désigne le rapport que le commissaire a remis à Compu-Finder en vertu de l'article 13 de la Loi et se rapportant à la plainte déposée par le commissaire en date du 28 novembre 2014.
II. MESURES CORRECTIVES
- Pour donner suite aux recommandations du Rapport de conclusions, Compu-Finder doit, en plus de toute autre mesure qu'elle a déjà entreprise :
- s'assurer qu'une personne est désignée au sein de l'organisation pour répondre de la conformité de Compu-Finder à la Loi;
- élaborer et mettre en œuvre une politique sur la protection des renseignements personnels et des procédures concernant : i) la collecte, l'utilisation, la communication, la protection, la conservation et la destruction des renseignements personnels par Compu-Finder; ii) la façon dont les individus peuvent avoir accès à leurs renseignements personnels détenus par Compu-Finder; et iii) la réception des demandes de renseignements et les plaintes sur la protection de la privée, et y donner suite le tout dans un délai de deux (2) mois suivant la date du Rapport de conclusions;
- publier sa politique sur la protection des renseignements personnels sous une forme facilement accessible et généralement compréhensible pour les membres du public dans les trois (3) mois suivant la date du Rapport de conclusions;
- former les employés et leur transmettre l'information sur la politique et les procédures de Compu-Finder en matière de protection des renseignements personnels dans les trois (3) mois suivant la date du Rapport de conclusions;
- pour tous les appels de télémarketing visant la collecte d'adresses de courriel à des fins de marketing, continuer d'utiliser la version modifiée du dialogue fournie au Commissariat le 25 septembre 2015 intitulée " SCRIPT 5_Spécialiste en développement des compétences_230615 " ou un autre dialogue expliquant clairement l'activité de Compu-Finder; l'objet de son appel; pourquoi l'entreprise désire recueillir l'adresse électronique; à quelles fins serviront ces adresses et comment les personnes qui ont reçu un appel peuvent obtenir de plus amples renseignements sur leur droit à la vie privée;
- conserver les dossiers et les éléments de preuve appropriés concernant le consentement explicite ou implicite des personnes (ou la preuve qu'une exception à la règle du consentement s'applique aux termes de la Loi) et, selon le cas, la date du retrait de ce consentement dans les quatre (4) mois suivant la date du Rapport de conclusions;
- recueillir et utiliser dorénavant les adresses de courriel des personnes à des fins de marketing seulement après avoir obtenu un consentement valable ou conformément à une exception valide prévue par la Loi;
- détruire les adresses de courriel qu'elle détient et qui ont été recueillies sans le consentement des intéressés ou en l'absence d'une exception valide prévue par la Loi dans les quatre (4) mois suivant la date du Rapport de conclusions;
- s'abstenir à l'avenir de faire la collecte d'adresses de courriel des personnes en recourant un programme d'ordinateur qui est conçu ou mis en marché principalement pour servir à produire ou à rechercher ces adresses et les recueillir.
- retenir les services d'un tiers indépendant pour procéder à une vérification de ses programmes de protection des renseignements personnels dans les huit (8) mois suivant la date du Rapport de conclusions. À cet égard, Compu-Finder s'engage à embaucher un tiers indépendant qualifié possédant une expérience appropriée pour examiner les pratiques et les procédures de l'entreprise en matière de protection des renseignements personnels, comme il est précisé aux paragraphes a) à h);
- fournir une copie non révisée du rapport final du vérificateur indépendant et toute réponse de Compu-Finder aux recommandations formulées dans ce rapport dans les neuf (9) mois suivant la date du Rapport de conclusions.
III. RAPPORTS SUR LA CONFORMITÉ, SUIVI ET APPLICATION
- Compu-Finder doit confirmer par écrit au commissaire qu'elle a mis en œuvre chaque mesure corrective mentionnée à la section 2 dans les deux (2) semaines suivant sa mise en œuvre dans le délai prescrit. L'entreprise doit donner suffisamment de détails et de preuves documentaires et électroniques pour montrer qu'elle se conforme au présent accord, par exemple une copie de ses politiques et procédures sur la protection des renseignements personnels, son matériel de formation et des exemples de dossiers tenus dans son nouveau système de gestion des contacts.
- S'il y a lieu, le commissaire peut, à sa discrétion, demander à Compu-Finder de l'information et des documents pour vérifier si elle se conforme au présent accord.
- Le commissaire peut en tout temps visiter le principal lieu d'affaires de CompuFinder pour vérifier que l'entreprise se conforme au présent accord, sous réserve d'un préavis de 10 jours.
- Compu-Finder reconnaît que si le commissaire estime que l'entreprise ne se conforme pas aux dispositions du présent accord, il peut, après avoir donné un avis écrit en ce sens à Compu-Finder, demander à la Cour fédérale une ordonnance enjoignant à Compu-Finder de se conformer au présent accord en sus de toute autre réparation qui peut être accordée en droit, conformément au paragraphe 17.2(2) de la Loi.
IV. GÉNÉRALITÉS
- Compu-Finder prend en charge les coûts liés à la conformité au présent accord.
- Les avis, comptes rendus et autres communications prescrits ou autorisés en vertu des modalités du présent accord sont produits par écrit et réputés avoir été envoyés s'ils sont transmis, sur support papier ou électronique, aux adresses suivantes :
- Le commissaire
Commissariat à la protection de la vie privée du Canada
30, rue Victoria, 1er étage
Gatineau (Québec) K1A 1H3 - b) Compu-Finder
Madame Sylvie Pagé, directrice 3510395 Canada inc.
À l'attention de Me Charles Morgan, associé
McCarthy Tétrault S.E.N.C.R.L., s.r.l.
1000, rue de la Gauchetière Ouest, bureau 2500
Montréal (Québec) H3B 0A2
- Le commissaire
- Aucune disposition du présent accord n'empêche le commissaire d'exercer ou ne limite sa capacité d'exercer les attributions que lui confère la Loi, y compris l'obligation d'examiner les plaintes en vertu du paragraphe 12(1), son pouvoir de prendre l'initiative d'une plainte en vertu du paragraphe 11(2) ou son pourvoir de procéder à la vérification des pratiques de l'organisation en matière de gestion de l'information personnelle en vertu du paragraphe 18(1) de la Loi.
- Aucune disposition du présent accord ne porte atteinte aux droits et recours prévus dans la partie 1 de la Loi que toute autre personne peut exercer par suite de la conduite décrite dans le présent accord et dans le Rapport de conclusions ou par suite d'une conduite future.
- Compu-Finder reconnaît que les conditions du présent accord et du Rapport de conclusions peuvent être communiquées ou rendues publiques, conformément aux pouvoirs conférés au commissaire en vertu du paragraphe 20(2) de la Loi ou aux exigences légales.
- Compu-Finder reconnaît qu'elle a eu la possibilité d'être représentée par un conseiller juridique et d'obtenir des avis juridiques concernant le présent accord.
- Le présent accord entre en vigueur dès sa signature par les deux parties.
FAIT à Morin-Heights, dans la province de Québec, ce jour de 2016.
3510395 Canada Inc.
Par Sylvie Pagé, présidente
Je suis autorisée à représenter l'entreprise.
FAIT à Gatineau, dans la province de Québec, ce jour de 2016.
Le commissaire à la protection de la vie privée du Canada
Daniel Therrien
Documents connexes
Pour en savoir plus sur cette enquête, consulter le document suivant :
- Date de modification :