Un marché en ligne doit obtenir le consentement des membres avant de communiquer avec eux pour les inviter à se joindre au réseau de défense des droits

Conclusions en vertu de la LPRPDE n^o 2018-007

Le 9 janvier 2018

Description

En janvier 2017, un marché en ligne populaire a envoyé un courriel de masse à ses membres canadiens, les invitant à signer une pétition adressée au ministre fédéral des Finances. La plaignante s’est opposée à ce que l’intimé utilise ses renseignements personnels pour lui envoyer ce type de courriel et a soulevé ses préoccupations auprès du marché en ligne. Insatisfaite de la réponse de l’organisation, la plaignante a communiqué avec le Commissariat afin qu’il enquête sur les pratiques de l’organisation en matière de protection de la vie privée en lien avec la conservation, le consentement et le non-respect des principes. Nous avons conclu que l’allégation de conservation de renseignements personnels n’était pas fondée alors que les allégations relatives au consentement et au non-respect des principes étaient fondées et conditionnellement résolues.

L’organisation a depuis mis en œuvre nos recommandations et la plainte est maintenant résolue.

Rapport de conclusions

Plainte déposée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE » ou la « Loi »)

Conservation des renseignements personnels

1. La plaignante a allégué qu’un marché en ligne (l’intimé) conservait des renseignements personnels qui n’étaient plus nécessaires à l’atteinte des fins déterminées pour ses membres au Canada qui ont accepté, au moyen d’un formulaire en ligne (le formulaire de pétition en ligne), de signer une lettre de pétition (la lettre de pétition) qui devait être envoyée au gouvernement canadien. Le lien vers le formulaire de pétition en ligne se trouvait dans un courriel envoyé par le détaillant en ligne à la plaignante et aux autres membres au Canada.

Possibilité de porter plainte à l’égard du non-respect des principes

2. La plaignante a en outre allégué que l’intimé ne lui a pas permis de faire part de ses préoccupations connexes à la ou aux personnes désignées comme responsables de la conformité du marché en ligne à la Loi.

Consentement

3. La plaignante a également allégué que, dans le contexte du courriel envoyé, l’intimé a utilisé son adresse électronique, ainsi que les adresses électroniques d’autres membres au Canada, à des fins autres que celles pour lesquelles l’intimé a recueilli ces adresses, et sans le consentement des personnes (ou comme l’exige la loi).

Résumé de l’enquête

Contexte

4. Le 11 janvier 2017, le marché en ligne a envoyé un courriel (le courriel de minimis) à des adresses électroniques associées aux comptes de membres qui a) avaient des adresses canadiennes et qui b) avaient utilisé les services de l’intimé au cours des 12 mois précédents, mais n’étaient pas des vendeurs réguliers. Le courriel de minimis comportait une ligne d’objet qui préconisait de réduire les droits et les taxes sur les achats en ligne. Le courriel de minimis contenait un message d’un directeur du marché en ligne au Canada et un lien vers le formulaire de pétition en ligne.
5. Le courriel de minimis indiquait d’abord que la législation douanière canadienne rendait difficile pour les utilisateurs d’acheter et de vendre par-delà les frontières et que le seuil de minimis (c.-à-d. la valeur à l’importation en deçà de laquelle les droits ne doivent pas être acquittés) de 20 $ au Canada n’est pas cohérent à l’échelle internationale comparativement à celui des autres pays. Il ajoutait que le seuil canadien rend le magasinage plus coûteux, crée des lourdeurs administratives pour les entrepreneurs et coûte de l’argent aux contribuables.
6. Le courriel de minimis mentionnait que le fardeau des consommateurs, des entrepreneurs et des contribuables devrait être allégé par les lois canadiennes. Il se terminait par un appel à signer une lettre au ministre des Finances du Canada. En cliquant sur les mots « signer notre lettre » (souligné par l’intimé), le lecteur était dirigé vers une URL où se trouvait le formulaire de pétition en ligne. Le formulaire se trouvait sur le site Web du réseau d’action communautaire du marché en ligne. Les personnes pouvaient « signer » la lettre de pétition en remplissant les champs d’information requis (c.-à-d. nom, adresse électronique, adresse, ville, province, code postal) et en cliquant sur « Soumettre ». L’intimé a expliqué au Commissariat que ces renseignements ont été recueillis, puis transférés et fusionnés en un seul document : une pétition à envoyer au ministre des Finances et aux autres ministres fédéraux.
7. Comme la plaignante vit au Canada et qu’elle est une utilisatrice inscrite au marché en ligne, elle a reçu le courriel de minimis. Elle n’était pas inscrite à son réseau d’action communautaire. L’inscription à ce réseau est distincte de l’inscription au marché en ligne (celui-ci étant la plateforme de transactions commerciales pour les acheteurs et les vendeurs).
8. La plaignante s’est opposée à la réception du courriel de minimis provenant du marché en ligne. Elle a soutenu qu’elle n’avait pas consenti à ce que l’intimé utilise ses renseignements personnels (c.-à-d. son adresse électronique) dans le but de lui envoyer un tel courriel.
9. La plaignante a tenté de faire part de ses préoccupations à l’intimé, d’abord en remplissant et en envoyant un formulaire Web, puis en communiquant à plusieurs reprises avec le bureau du président du marché en ligne à qui sa plainte était adressée.
10. N’étant pas satisfaite de la première réponse qu’elle a reçue du bureau du président et estimant que cette réponse ne traitait pas de sa principale préoccupation, elle a demandé que sa plainte soit portée à un échelon supérieur. Elle a ensuite reçu un autre courriel du bureau du président, qui l’a dirigée vers le site Web du réseau d’action communautaire du marché en ligne et à sa politique de confidentialité en général. La plaignante a de nouveau demandé que sa plainte soit transmise au chef canadien de la protection des renseignements personnels de l’intimé et qu’on lui fournisse les articles de la politique de confidentialité en vertu desquels l’intimé a déduit qu’elle avait consenti à ce qu’on lui envoie le courriel de minimis. Elle s’est également dite préoccupée de la difficulté à faire part de ses préoccupations en matière de protection de la vie privée et d’y trouver une solution adéquate.
11. La plaignante n’a pas été dirigée vers le chef de la protection des renseignements personnels. Le bureau du président a toutefois cité un article de la politique de confidentialité qui prévoit que l’intimé peut communiquer avec le client pour lui envoyer des alertes concernant son compte, résoudre des problèmes, effectuer un dépannage, percevoir des frais ou des sommes dues, utiliser des sondages ou des questionnaires pour connaître son opinion ou pour fournir au client tout autre service à la clientèle nécessaire.
12. Elle n’a finalement pas été satisfaite des réponses qu’elle a reçues et a donc déposé la plainte actuelle contre l’intimé auprès du Commissariat.

Conservation des renseignements personnels

13. Au cours de notre enquête, et en ce qui concerne l’allégation de conservation de renseignements personnels, l’intimé a déclaré avoir envoyé le courriel de minimis, un « courriel administratif » (décrit plus en détail au paragraphe 21 ci-dessous), à ses membres ayant une adresse canadienne, en utilisant des adresses électroniques stockées dans sa propre base de données.
14. De plus, l’intimé a précisé au Commissariat que, puisque les courriels avaient été envoyés par le marché en ligne, et non par son réseau d’action communautaire, les renseignements personnels des membres au Canada qui avaient reçu le courriel de minimis n’avaient pas été communiqués ou conservés par le réseau d’action, à moins que ces personnes n’aient : i) choisi de remplir et de soumettre le formulaire de pétition en ligne (en indiquant leur désir de signer la lettre de pétition), ou ii) indiqué officiellement, au moyen d’un lien figurant dans le formulaire de pétition en ligne, qu’elles étaient intéressées à recevoir des courriels sur les relations gouvernementales de la part du groupe d’action communautaire.
15. Dans le cas des membres qui ont rempli le formulaire de pétition en ligne (où ils ont fourni leur nom, leur adresse électronique et leur adresse postale), l’intimé a informé le Commissariat qu’à la fin de son programme de pétition de minimis, il a conservé les renseignements personnels que les participants ont fournis seulement comme copie de la pétition complète qu’il a finalement envoyée au ministre des Finances et à trois autres ministres fédéraux. D’autre part, pour les destinataires du courriel de minimis qui ont officiellement indiqué à l’intimé qu’ils étaient particulièrement intéressés à recevoir de l’information sur les relations gouvernementales, leurs renseignements personnels ont été ajoutés à une base de données du réseau d’action communautaire du marché en ligne, dans le but de leur envoyer à l’avenir des courriels contenant de l’information sur les relations gouvernementales.

Possibilité de porter plainte à l’égard du non-respect des principes

16. En ce qui concerne l’allégation selon laquelle l’intimé aurait mal traité la plainte de la plaignante en matière de protection de la vie privée, il ressort clairement de la correspondance entre les parties que :
    1. la plaignante a déployé de nombreux efforts pour se faire comprendre et faire comprendre son problème avec le courriel de minimis;
    2. avant que l’employé du marché en ligne avec qui la plaignante avait affaire ne comprenne la question qu’elle soulevait, qui portait sur l’utilisation présumée de son adresse électronique sans son consentement pour ce qu’elle appelait des « activités politiques », elle a reçu plusieurs réponses différentes qui ne traitaient pas la question qu’elle soulevait, ou ne s’y rapportaient pas;
    3. en fin de compte, elle a reçu des réponses incohérentes, notamment sur la façon dont elle pouvait retirer son consentement à la réception de courriels comme celui dont il est question, soulignant que ces réponses contredisent l’explication de l’intimé au Commissariat selon laquelle elle ne pouvait, en fait, refuser de recevoir des courriels.
17. Dans ses observations au Commissariat, l’intimé a expliqué que la préoccupation de la plaignante avait d’abord été soumise […] au centre de protection des renseignements personnels de l’intimé, qui comprend un formulaire de soumission pour les questions et plaintes relatives à la protection de la vie privée. Sa plainte a été reçue par le bureau mondial de la protection des renseignements personnels, puis transmise au bureau du président du marché en ligne qui, selon l’intimé, est chargé de traiter les plaintes sérieuses des clients.
18. L’intimé a reconnu au Commissariat que son bureau du président n’avait pas immédiatement compris la nature exacte de la question soulevée par la plaignante à l’époque, bien que nous notons que cela avait été expliqué assez clairement, à plusieurs reprises, dans sa correspondance avec eux.
19. En fin de compte, l’intimé a admis au Commissariat que la plainte n’avait pas été traitée de façon optimale et qu’il examinerait la question afin de déterminer comment il pourrait traiter plus efficacement les plaintes relatives à la protection de la vie privée des utilisateurs.

Consentement

20. Dans ses observations au Commissariat, l’intimé a réitéré sa position selon laquelle sa politique de confidentialité comprenait les fins auxquelles les renseignements personnels de la plaignante avaient été utilisés pour lui envoyer le courriel de minimis. Plus précisément, l’intimé a cité sa politique de confidentialité qui stipule que le marché en ligne peut communiquer avec le client par courriel, par téléphone, par messagerie texte et par courrier postal pour lui transmettre des avis concernant son compte ou des renseignements sur ses services et peut envoyer des sondages ou des questionnaires pour recueillir son opinion. L’intimé a en outre expliqué que [traduction] « ...le courriel et la lettre associée au formulaire ont été envoyés pour informer leurs membres de faits qui ont une incidence sur leur utilisation de leur compte et des services, ainsi que pour connaître leur opinion ».
21. L’intimé a également expliqué au Commissariat que le courriel de minimis a été envoyé par voie de courriel administratif, par lequel il informe généralement les utilisateurs au sujet de questions liées à ses services, et à l’égard desquelles les utilisateurs ne peuvent exercer de refus. L’intimé a ajouté qu’il n’envoie qu’un ou deux courriels par année, comme le courriel de minimis, pour informer les destinataires d’une politique publique gouvernementale qui les concerne et dont ils n’auraient peut-être pas connaissance autrement.

Application

22. Pour prendre nos décisions, nous avons appliqué les principes 4.1.4 b), 4.1.4 c), 4.3, 4.3.2, 4.3.4, 4.3.5, 4.3.6, 4.5 et 4.10 de l’annexe 1 de la Loi.
23. Les principes 4.1.4 b) et 4.1.4 c) stipulent que les organisations doivent assurer la mise en œuvre des politiques et des pratiques destinées à donner suite aux principes, y compris b) la mise en place des politiques et des procédures pour recevoir les plaintes et les demandes de renseignements et y donner suite, et c) la formation du personnel et la transmission au personnel de l’information relative aux politiques et pratiques de l’organisation.
24. Le principe 4.3 énonce que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire.
25. Le principe 4.3.2 prévoit que toutes les fins doivent être énoncées de façon à ce que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués.
26. Le principe 4.3.4 prévoit, entre autres, que la forme du consentement que l’organisation cherche à obtenir peut varier selon les circonstances et la nature des renseignements. Pour déterminer la forme que prendra le consentement, les organisations doivent tenir compte de la sensibilité des renseignements. Si certains renseignements sont presque toujours considérés comme sensibles, par exemple, les dossiers médicaux et le revenu, tous les renseignements peuvent devenir sensibles suivant le contexte.
27. Le principe 4.3.5 énonce que lors de l’obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes.
28. Le principe 4.3.6 énonce que la façon dont une organisation obtient le consentement peut varier selon les circonstances et la nature des renseignements recueillis. En général, l’organisation devrait chercher à obtenir un consentement explicite si les renseignements sont susceptibles d’être considérés comme sensibles. Lorsque les renseignements sont moins sensibles, un consentement implicite serait normalement jugé suffisant. Le consentement peut également être donné par un représentant autorisé (détenteur d’une procuration, tuteur).
29. Le principe 4.5 stipule notamment qu’on ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des fins déterminées.
30. Le principe 4.10 énonce que toute personne doit être en mesure de se plaindre du non-respect des principes de la LPRPDE en communiquant avec le ou les personnes responsables de les faire respecter au sein de l’organisation concernée.

Analyse et constatations

Conservation des renseignements personnels

31. Nous sommes convaincus que l’intimé n’a pas transféré les renseignements personnels de ses utilisateurs au Canada à son réseau d’action communautaire et que le réseau d’action n’a pas conservé ces renseignements à des fins d’envoi du courriel de minimis. Nous acceptons que les adresses électroniques utilisées pour envoyer le courriel de minimis aux utilisateurs du marché en ligne au Canada proviennent de sa propre base de données. Nous acceptons également qu’après l’envoi du courriel de minimis, les adresses de courriel sont restées dans la base de données de l’intimé et n’ont pas été transférées ou copiées à son réseau d’action communautaire à moins que les destinataires du courriel de minimis n’aient : i) rempli le formulaire de pétition en ligne; et/ou ii) indiqué expressément au marché en ligne, au moyen d’un lien sur le formulaire de pétition en ligne, qu’ils souhaitaient recevoir de futurs courriels sur les relations gouvernementales.
32. L’intimé a conservé les renseignements des personnes qui ont signé la lettre de pétition uniquement sous la forme d’une copie de la lettre qui a finalement été envoyée aux ministres fédéraux. À notre avis, cette conservation est conforme à la finalité pour laquelle les renseignements ont été recueillis. De plus, l’intimé a assuré qu’il disposera de la copie de la pétition d’une manière sécuritaire lorsqu’il ne sera plus nécessaire de la conserver, et ce, conformément à ses politiques de conservation et de suppression des données.
33. Par conséquent, à notre avis, le marché en ligne (y compris son réseau d’action communautaire) ne conservait pas les renseignements personnels qui n’étaient plus nécessaires aux fins pour lesquelles ils ont été recueillis. Cette allégation n’est donc pas fondée.

Possibilité de porter plainte à l’égard du non-respect des principes

34. En examinant la correspondance de l’intimé avec la plaignante, nous avons relevé plusieurs problèmes lorsqu’elle a tenté de faire part de ses préoccupations en matière de protection de la vie privée. L’employé qui a répondu à sa plainte n’a apparemment pas été en mesure de comprendre les préoccupations précises qu’elle tentait de soulever en matière de protection de la vie privée, même après qu’elle les ait clairement expliquées à plusieurs reprises par écrit. De plus, l’employé a finalement fourni des renseignements inexacts en réponse aux préoccupations réelles de la plaignante, c’est-à-dire en expliquant comment elle pouvait refuser de recevoir des courriels tels que le courriel de minimis, même si, comme nous l’avons appris pendant notre enquête, il n’était pas possible de le faire.
35. Nous avons également noté que l’employé n’a pas acheminé la plainte à l’échelon supérieur ou dirigé la plaignante vers la ou les personnes responsables de la conformité de l’intimé aux lois canadiennes sur la protection des renseignements personnels, même après qu’elle lui ait demandé de le faire. Il s’agit là d’une violation du principe 4.10. À notre avis, le renvoi de la plaignante à une personne qui connaît mieux les exigences canadiennes en matière de protection de la vie privée aurait très probablement donné lieu à une réponse plus acceptable à ses préoccupations.
36. L’intimé a reconnu que la demande de la plaignante n’avait pas été traitée de façon optimale et, au cours de notre enquête, il a indiqué qu’il examinerait des façons de traiter plus efficacement les plaintes relatives à la protection de la vie privée de ses clients.

Consentement

37. Premièrement, nous devons déterminer si l’intimé a expliqué adéquatement les fins auxquelles il pourrait utiliser les renseignements personnels de la plaignante, de façon à ce qu’elle puisse raisonnablement comprendre que l’intimé pourrait utiliser son adresse électronique pour lui envoyer des courriels tels que le courriel de minimis (principe 4.3.2).
38. L’intimé a cité la section suivante de sa politique de confidentialité en ce qui a trait aux fins pertinentes pour lesquelles il pourrait utiliser les renseignements personnels des utilisateurs : Une communication peut être établie avec l’utilisateur pour l’aviser de tout changement, dépannage ou résolution de problèmes ou pour percevoir des frais ou montants dus à son compte. En outre, l’intimé indique que les utilisateurs peuvent être contactés pour connaître leur opinion au moyen de sondages ou de questionnaires, ou pour leur fournir le service à la clientèle nécessaire. L’intimé a précisé en outre que le courriel de minimis avait pour objet d’informer ses membres des faits qui ont une incidence sur leur utilisation de leur compte et des services du marché en ligne, ainsi que pour sonder leur opinion.
39. Nous n’acceptons pas que l’objectif du courriel de minimis corresponde à l’objectif de la politique de confidentialité de l’intimé, qui consiste à connaître les opinions de ses membres au moyen d’enquêtes ou de questionnaires, comme l’a suggéré l’intimé. Nous remarquons que ni le contenu ni le format du courriel ne correspond à ceux d’un sondage ou d’un questionnaire normal. Par exemple, nous avons constaté qu’aucune question n’avait été posée au destinataire du courriel, comme on pourrait normalement s’y attendre dans un sondage ou un questionnaire.
40. Le courriel ne se limitait pas à informer les membres du marché en ligne des faits qui ont une incidence sur leur utilisation de leur compte et des services du marché en ligne. Nous sommes d’avis que le courriel de minimis visait principalement à inciter les destinataires à participer à la campagne visant à faire pression sur le gouvernement du Canada pour qu’il réduise son seuil douanier de minimis, une initiative placée sous les auspices particuliers du réseau d’action communautaire du marché, auquel la plaignante n’a jamais adhéré et auprès de qui elle n’a jamais exprimé officiellement son désir de recevoir des courriels concernant les relations gouvernementales. Comme nous l’avons déjà mentionné dans le présent rapport, le réseau d’action communautaire du marché en ligne se décrit comme étant l’équipe des relations gouvernementales du marché ‒ lequel se distingue sur le plan opérationnel de la plateforme transactionnelle sur Internet de l’intimé destinée aux acheteurs et aux vendeurs.
41. De plus, à notre avis, l’objet du courriel de minimis va également au-delà de [traduction] « toute autre raison nécessaire pour fournir un service à la clientèle ». Selon l’intimé, le marché en ligne est [l’endroit] où beaucoup de gens vont magasiner, vendre et donner des produits. De toute évidence, il s’agit essentiellement d’une plaque tournante commerciale qui s’efforce de faciliter les transactions entre acheteurs et vendeurs par l’entremise de sa plateforme Internet. Le courriel de minimis n’était pas « nécessaire » à la prestation de ce service à leurs clients.
42. Par conséquent, l’intimé n’a donc pas fourni d’explication valable pour étayer son affirmation selon laquelle sa politique de confidentialité prévoyait les fins pour lesquelles le courriel de minimis a été envoyé.
43. Deuxièmement, nous devons examiner la forme de consentement appropriée que l’intimé aurait dû obtenir pour envoyer un courriel concernant une politique publique à des fins de pétition ou de lobbying.
44. Pour déterminer la forme du consentement, la LPRPDE prévoit que nous devrions tenir compte des attentes raisonnables de la personne et de la sensibilité des renseignements (principes 4.3.4 et 4.3.6). En tenant compte du point précédent, et comme nous l’avons souligné plus haut, l’envoi du courriel de minimis va au-delà de ce qui est nécessaire pour que l’intimé fournisse ses services de base – le courriel de minimis a été envoyé dans le but secondaire d’encourager les personnes à signer une pétition sur une question de politique publique potentiellement pertinente ou avantageuse tant pour l’intimé que pour le client. À notre avis, ce type de courriel n’a pas répondu aux attentes raisonnables des utilisateurs (principe 4.3.5), et les utilisateurs auraient dû avoir le choix de recevoir ou non de tels courriels.
45. En ce qui concerne la question de la sensibilité, nous notons que l’intimé a simplement utilisé les adresses électroniques des clients pour envoyer le courriel de minimis. À notre avis, le fait que le courriel de minimis demandait la participation des clients à sa pétition en matière de politique publique n’a pas rendu ces adresses de courriel sensibles. Rien n’indique non plus que l’intimé ait utilisé d’autres renseignements pour connaître le point de vue des destinataires sur la question de minimis avant d’utiliser leur adresse électronique pour leur envoyer le courriel en question – nous acceptons que le courriel ait été envoyé en tant que courriel administratif, comme il est indiqué au paragraphe 4 du présent rapport.
46. En outre, aucun autre renseignement n’a été recueilli auprès des utilisateurs à la suite de ce courriel, à moins que l’utilisateur n’ait choisi de le fournir. Seuls les utilisateurs qui ont expressément choisi de participer à la pétition, en remplissant et en soumettant le formulaire de pétition en ligne, auraient révélé au marché en ligne leurs convictions politiques ou relatives à la politique publique, et ce, uniquement en rapport avec un problème de portée restreinte. De plus, comme nous l’avons souligné ci-dessus, nous acceptons que l’intimé n’ait utilisé les renseignements fournis dans le formulaire de pétition en ligne qu’aux seules fins d’envoyer et de conserver un dossier de la lettre de pétition.
47. Ainsi, même si les renseignements personnels peuvent devenir plus sensibles selon le contexte (principe 4.3.4), nous pensons que les renseignements personnels dont il est question ici (adresses électroniques) ne sont pas sensibles dans le contexte de la finalité pour laquelle ils ont été utilisés par l’intimé.
48. Par conséquent, étant donné que, à notre avis, les utilisateurs ne se seraient pas raisonnablement attendus à recevoir des courriels tels que le courriel de minimis de l’intimé sans avoir eu le choix à cet égard, et que les renseignements utilisés par le marché en ligne – à savoir les adresses électroniques des clients – n’étaient pas sensibles dans le contexte, l’intimé aurait dû donner aux utilisateurs la possibilité, par un mécanisme bien visible, clairement expliqué et facilement accessible de refuser de recevoir de tels courriels.

Recommandations du Commissariat

49. Nous avons donc fait les recommandations suivantes à l’intimé, en ce qui concerne les questions relatives au non-respect des principes et au consentement, afin de rendre l’organisation conforme à la Loi :
    1. achever l’élaboration et la mise en œuvre de mesures, y compris les suivantes, pour faire en sorte que les plaintes des clients en matière de protection de la vie privée soient traitées de manière appropriée sur le marché en ligne :
       1. des politiques et des formations associées pour garantir que les personnes qui traitent les plaintes des clients peuvent reconnaître de manière adéquate les préoccupations liées à la protection de la vie privée;
       2. des procédures et la formation associée pour garantir que, lorsque les préoccupations relatives à la protection de la vie privée ne peuvent être résolues, ou lorsque le client le demande, les questions seront transmises à la personne ou à l’équipe désignée par l’intimé comme étant responsable de la conformité de l’entreprise à l’égard des lois sur la protection des renseignements personnels.
       Remarque : En ce qui concerne cette recommandation, nous avons également invité l’intimé à se référer aux lignes directrices que le Commissariat a publiées conjointement avec les commissaires à l’information et à la protection de la vie privée de l’Alberta et de la Colombie-Britannique - Un programme de gestion de la protection de la vie privée : la clé de la responsabilité^{Note de bas de page 1}, qui fournit des lignes directrices sur le respect des exigences de responsabilité en vertu de la loi canadienne sur la protection des renseignements personnels.
    2. offrir aux utilisateurs une option de refus facilement accessible pour les messages du marché en ligne concernant une politique publique ou une pétition;
    3. modifier sa politique de confidentialité pour :
       1. indiquer clairement qu’il enverra aux utilisateurs des avis concernant une politique publique ou une pétition;
       2. expliquer la nature de ces avis;
       3. expliquer comment les utilisateurs peuvent refuser de donner leur consentement;
    4. s’engager à ce que tout futur message concernant une politique publique ou une pétition se limite à ceux qui sont pertinents à la relation commerciale sous-jacente entre le marché en ligne et ses utilisateurs.

Engagements du marché en ligne

50. Le marché en ligne a réagi en acceptant de mettre en œuvre chacune de nos recommandations, et plus précisément :
    1. En coordination avec les équipes du service à la clientèle qui répondent aux demandes de renseignements et aux plaintes relatives à la protection de la vie privée des résidents canadiens, l’équipe de protection des renseignements personnels de l’intimé fournira une formation et des conseils pour faciliter la résolution rapide et la transmission à l’échelon supérieur appropriée de ces questions. L’équipe du service à la clientèle recevra des instructions et une formation qui lui permettra de cerner plus facilement les problèmes de protection de la vie privée et, au besoin, de mettre rapidement les utilisateurs en contact avec le membre de l’équipe responsable du respect de la confidentialité.
    2. Pour permettre d’activer la fonction de refus, l’intimé enverra des courriels liés aux relations gouvernementales à ses utilisateurs canadiens avec un lien de désabonnement, facilement accessible et intégré au message.
    3. Pour donner suite à la troisième recommandation, l’intimé ajoutera la formulation suivante à sa politique de confidentialité :

       [Traduction] « Nous pouvons utiliser et conserver vos renseignements personnels comme suit : pour communiquer avec vous au sujet de questions de politique publique ou d’autres événements d’actualité liés à votre capacité d’utiliser les différentes plateformes du marché ou ayant une incidence sur vos activités d’achat et de vente. Il peut s’agir d’invitations à participer à une pétition, à la rédaction d’une lettre ou à toute autre forme de campagne liée à la politique publique. »

    4. En ce qui concerne la quatrième recommandation, l’intimé continuera à fournir uniquement des messages concernant une politique publique ou une pétition qui ont un rapport avec la relation commerciale sous-jacente entre le marché en ligne et ses utilisateurs, comme la capacité des utilisateurs à utiliser les multiples plateformes du marché, ou les événements qui ont une incidence sur leurs activités d’achat ou de vente.
51. L’intimé a demandé, avec l’accord du Commissariat, qu’étant donné l’importance des mesures organisationnelles et techniques requises, il fournisse, au plus tard le 28 février 2018, des documents attestant qu’il a pleinement mis en œuvre chacune des mesures décrites ci-dessus.

Conclusion

52. Compte tenu de ce qui précède, nous sommes d’avis que la question de la conservation n’est pas fondée, alors que les questions relatives au non-respect des principes et au consentement sont fondées et conditionnellement résolues.
53. Nous souhaitons savoir si l’intimé respecte les engagements qu’il a pris envers le Commissariat, tels qu’ils sont décrits dans le présent rapport, et nous continuerons de faire un suivi auprès de l’intimé pour nous assurer que ces changements sont mis en œuvre adéquatement dans les délais convenus. Au moment opportun, nous déterminerons si l’intimé s’est pleinement conformé à nos recommandations et, au besoin, nous tenterons de résoudre les préoccupations restantes dans les limites de l’autorité que nous accorde la Loi.