Une société de répertoires d’entreprises n’a pas obtenu le consentement du plaignant pour publier les renseignements personnels le concernant
Résumé de conclusions d’enquête en vertu de la LPRPDE no 2019-006
Le 28 mars 2019
Leçons apprises :
- Les organisations devraient être prudentes lorsqu’elles évaluent si les renseignements qu’elles recueillent sont des renseignements personnels ou des coordonnées d’affaires au sens de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
- Les organisations devraient faire preuve de prudence lorsqu’elles évaluent si elles exercent des activités commerciales au sens de la LPRPDE.
- Les organisations qui recueillent et utilisent des renseignements personnels obtenus en ligne devraient s’assurer qu’elles ont obtenu le consentement adéquat des personnes concernées, en tenant compte de toute exception applicable au consentement, de la sensibilité des renseignements en cause et des attentes raisonnables des personnes.
- Les organisations devraient examiner et, s’il y a lieu, réviser leurs politiques de confidentialité pour s’assurer qu’elles reflètent les pratiques réelles de l’organisation en matière de protection de la vie privée d’une manière transparente et exacte.
Plainte
Le plaignant allègue que Grey House Publishing Canada (Grey House) a recueilli, utilisé et communiqué ses renseignements personnels à son insu et sans son consentement.
Il affirme que Grey House avait indistinctement recueilli ses coordonnées sur la page Web d’une section locale d’une association éducative canadienne sans but lucratif et les avait incluses dans le répertoire imprimé d’Associations Canada et dans une base de données connexe.
Il prétend que Grey House a ensuite pris ses renseignements et les a insérés dans une liste de distribution par courriel qu’elle a vendue à Emploi et Développement social Canada. Emploi et Développement social Canada a ensuite utilisé la liste pour envoyer des courriels non sollicités au plaignant et à d’autres personnes afin de faire la promotion des Prix du Premier ministre pour le bénévolat (les Prix).
Résumé de l’enquête
Grey House produit et commercialise une gamme de répertoires annuels imprimés dans les domaines des affaires, de la santé, des statistiques et de la démographie. La société maintient également une série de bases de données électroniques équivalentes désignées collectivement sous le nom de Canada’s Resource Information Centre (CIRC). Grey House vend les répertoires et l’accès par abonnement au CIRC et commercialise des « cartes de données » qui permettent aux clients de créer des listes à partir de ces renseignements.
Grey House a conclu un contrat avec Emploi et Développement social Canada pour fournir une liste de distribution de plus de 40 000 adresses électroniques, dont certaines devaient être liées à des associations et à des organismes sans but lucratif. Cette liste comprenait les renseignements personnels du plaignant.
Par la suite, Emploi et Développement social Canada a envoyé un courriel au plaignant l’informant que le Ministère acceptait les candidatures pour les Prix et qu’il avait reçu des renseignements à leur sujet parce qu’il s’était « inscrit à une liste » appartenant à Grey House.
Le plaignant a déclaré qu’il n’avait jamais consenti à ce que ses renseignements personnels soient recueillis et utilisés par la société et qu’il ne s’était jamais inscrit à l’une de leur liste. Il a également ajouté qu’il n’était ni dirigeant, ni administrateur, ni employé, ni responsable de la section locale ou de l’association nationale.
La page Web de sa section locale était reliée au site Web de l’Association. La page Web mentionnait simplement ses coordonnées et invitait les membres de la section locale et le public à communiquer avec lui : « Si vous avez des questions au sujet de notre club, veuillez communiquer avec [nom du plaignant] par courriel [adresse électronique du plaignant] ou par téléphone au [numéro de téléphone du plaignant]. »
Le plaignant a déclaré que l’affichage ne représentait pas les coordonnées d’affaires d’une personne-ressource. De plus, il ne s’agissait pas d’un consentement à la collecte et à l’utilisation de ses renseignements personnels par des tiers, et il ne considérait pas non plus qu’ils étaient « accessibles au public » au sens de la LPRPDE.
Le plaignant a déclaré qu’il n’avait jamais manifesté d’intérêt pour les Prix et qu’en fait, il avait demandé à Emploi et Développement social Canada de supprimer ses renseignements de la liste de distribution électronique lorsqu’il avait reçu un envoi semblable en 2014.
Lorsque nous avons porté la plainte auprès de Grey House, la société nous a expliqué qu’elle se fondait à la fois sur un consentement exprès et implicite pour recueillir les renseignements nécessaires pour alimenter ses répertoires imprimés et le CIRC.
La société a déclaré avoir acheté le répertoire des Associations du Canada d’une autre société de publication en 2006. Ses dossiers indiquaient que les détails d’une association provinciale du même nom existaient depuis de nombreuses années et mentionnaient le nom et les coordonnées d’une autre personne jusqu’en 2012.
La société a confirmé qu’elle n’avait pas « récolté » les coordonnées des sites Web par le passé au moyen d’un logiciel électronique (aussi appelé « récolte d’adresses ») et a fourni une déclaration sous serment selon laquelle elle ne recueillait pas de renseignements par cette méthode. Elle a également fait référence à une déclaration en vertu de la Loi canadienne anti-pourriel (LCAP) sur son site Web à l’appui de son argumentationNote de bas de page 1.
Grey House a expliqué qu’elle s’est servie d’une équipe de rédaction dévouée pour rechercher, compiler et mettre à jour continuellement les coordonnées d’affaires et d’autres renseignements sur les organismes pour ses répertoires imprimés et le CIRC. Pour ce faire, elle a eu recours à diverses méthodes, notamment la recherche manuelle en ligne, aux questionnaires en ligne et imprimés, aux appels téléphoniques et aux communications par télécopieur au cours des « cycles de mise à jour » annuels réguliers. Des organisations et des particuliers l’ont également contactée directement pour demander des modifications ou des suppressions d’entrées.
La société a reconnu que son équipe de rédaction avait recueilli manuellement les renseignements du plaignant sur le site Web de l’association nationale en 2012 et qu’elle les avait utilisés sans obtenir de consentement exprès. Elle a expliqué que les noms et les coordonnées d’un cadre supérieur, d’un dirigeant ou d’un administrateur d’une association sont habituellement recueillis lors de la compilation des entrées dans le répertoire des Associations du Canada. Si un club ou une association est de petite taille, Grey House recueillera et inclura le nom de la personne-ressource de rang le plus élevé sur le site Web pertinent.
Grey House a indiqué que le répertoire et la base de données imprimés ont fait l’objet de trois « cycles de mise à jour » entre 2012 et 2015. Toutefois, la société n’a pas été en mesure de fournir des éléments probants démontrant qu’elle avait envoyé des questionnaires relatifs au cycle de mise à jour au plaignant.
Grey House considérait le plaignant comme étant la principale personne-ressource « d’affaires » de l’association provinciale puisqu’il s’était présenté en tant que représentant depuis 2012Note de bas de page 2. Toute personne souhaitant adhérer à l’association ou s’enquérir de ses activités a été invitée à contacter le plaignant. La société a affirmé que ces « coordonnées d’affaires » ne relèvent pas de la LPRPDE.
Grey House a ajouté qu’il ne s’agissait pas d’activité commerciale en vertu de la LPRPDE, déclarant qu’elle recueillait et utilisait les renseignements du plaignant à des fins de recherche. Les renseignements ont également été inclus gratuitement dans son répertoire des Associations du Canada et dans la base de données du CIRC. Ils ont ensuite été transmis à Emploi et Développement social Canada au moyen d’une liste de distribution par courriel qui a été utilisée pour envoyer des courriels aux organismes faisant la promotion de mises en candidature pour des prix publics de bénévolat : un but non commercial.
Grey House a confirmé qu’elle avait fourni à Emploi et Développement social Canada une liste de diffusion par courriel semblable en 2014 aux termes d’un contrat antérieur. Cela comprenait également les renseignements personnels du plaignant. Toutefois, Grey House a déclaré qu’elle n’était pas au courant de la plainte du plaignant auprès d’Emploi et Développement social Canada au sujet de son inscription sur la liste de 2014 ou de son souhait de faire supprimer ses renseignements du dossier à ce moment-là.
Grey House a confirmé que, même si les renseignements du plaignant figuraient sur la liste de distribution par courriel de 2015, elle n’était pas au courant de l’affirmation d’Emploi et Développement social Canada selon laquelle les personnes qui avaient reçu les envois sur les prix étaient des « abonnés » à une liste appartenant à l’entreprise, et elle n’a pas appuyé cette affirmation.
La société a immédiatement retiré les renseignements du plaignant de sa base de données et a déclaré que ces renseignements n’apparaîtraient pas dans des publications ou des listes futures. Le plaignant a confirmé au Commissariat qu’il n’avait pas reçu d’envois subséquents en lien avec les prix.
Résultats
Renseignements personnels
Grey House a affirmé que le nom, le numéro de téléphone et l’adresse électronique du plaignant n’étaient pas des renseignements personnels, mais qu’ils représentaient des coordonnées d’affaires.
En examinant ce qui précède, nous avons vérifié les définitions antérieure et actuelle des renseignements personnels en vertu de l’article 2(1) de la LPRPDE. Nous avons également tenu compte de la définition de coordonnées d’entreprise et de l’article 4.01, qui stipule que la LPRPDE ne s’applique pas à une organisation à l’égard des coordonnées d’affaires d’un individu qu’elle recueille, utilise ou communique uniquement pour entrer en contact — ou pour faciliter la prise de contact — avec lui dans le cadre de son emploi, de son entreprise ou de sa profession.
Bien que nous ayons reconnu que le plaignant figurait sur la liste en ligne des administrateurs de l’association nationale en 2012-2013, il n’était plus administrateur lorsque Grey House a fourni ses coordonnées à Emploi et Développement social Canada et que le plaignant a reçu les envois concernant les prix pour 2014 et 2015. Il s’agissait plutôt d’une personne dont les renseignements personnels figuraient sur la page Web de la section aux seules fins de répondre aux demandes de renseignements généraux des membres locaux et du public.
Nous avons donc conclu que les renseignements du plaignant recueillis par Grey House constituaient des renseignements personnels au sens de la LPRPDE.
Activité commerciale
Nous avons examiné la définition d’activité commerciale énoncée à l’article 2(1) de la LPRPDE et à l’alinéa 4(1)a), qui stipule que la LPRPDE s’applique aux organisations relativement aux renseignements personnels qu’une organisation recueille, utilise et communique dans le cadre de ses activités commerciales.
L’entreprise compile des renseignements sur les clubs et les associations, ainsi que sur les personnes qui leur sont associés, dans le but principal de compiler et de tenir à jour ses répertoires imprimés et les bases de données connexes dans le CIRC. Grey House commercialise et vend les répertoires ainsi que l’accès au CIRC. De plus, Grey House a conclu un contrat avec Emploi et Développement social Canada pour fournir les listes de distribution par courriel pour 2014 et 2015 moyennant des frais.
Nous avons donc déterminé que Grey House exerçait des activités commerciales en vertu de la LPRPDE.
Consentement
Le Commissariat a également examiné la question à savoir si Grey House a obtenu le consentement en bonne et due forme du plaignant pour recueillir et utiliser ses renseignements personnels.
Le plaignant a prétendu que l’entreprise recueillait indistinctement ses renseignements personnels à partir de la page Web de sa section locale. Toutefois, Grey House a nié avoir utilisé un logiciel électronique pour « récolter » massivement les coordonnées des sites Web et nous n’avons trouvé aucune preuve d’une telle méthode de collecte.
Grey House a admis que son équipe de rédaction avait recueilli manuellement les renseignements du plaignant en ligne en 2012, sans avoir obtenu son consentement exprès à cette fin. Elle a plutôt invoqué le fait qu’elle s’était fondée sur le consentement implicite du plaignant, car ses renseignements étaient « accessibles au public » et qu’il n’y avait aucune déclaration sur le site Web limitant l’utilisation de l’information.
Nous avons pris en compte les alinéas 7(1)d), 7(2)c.1) et 7(3)h.1) de la LPRPDE qui prévoient certaines exceptions au consentement. Les alinéas précisent respectivement qu’une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels à l’insu ou sans le consentement de la personne concernée que si les renseignements sont accessibles au public et sont précisés par le règlement. Le Règlement précisant les renseignements auxquels le public a accèsNote de bas de page 3 de la LPRPDE précise que seuls certains renseignements et catégories de renseignements s’appliquent aux fins des paragraphes ci-dessus.
Nous avons examiné les alinéas 1b) (renseignements personnels figurant dans un répertoire, une liste ou un avis professionnel ou commercial) et 1e) (renseignements personnels figurant dans une publication, y compris un magazine, un livre ou un journal) et avons constaté qu’aucune de ces exceptions ne s’appliquait dans les circonstances. Par conséquent, le consentement était requis.
Pour déterminer la forme de consentement requise, il faut tenir compte de la sensibilité des renseignements personnels en cause et des attentes raisonnables d’une personne.
Nous avons noté que le plaignant a librement choisi de divulguer ses renseignements au public et que ces renseignements pourraient être qualifiés de moins délicats.
Toutefois, le Commissariat a conclu que le plaignant ne pouvait raisonnablement s’attendre à ce que ses renseignements personnels soient recueillis par une société de publication tierce et qu’ils soient ensuite insérés dans un répertoire imprimé national et dans une base de données qui l’inscrivent par erreur comme représentant d’une association provinciale. Le plaignant ne pouvait pas non plus s’attendre à ce que ses renseignements soient ensuite inclus dans une liste de diffusion vendue à un ministère du gouvernement fédéral aux fins de l’envoi de communications par courriel.
Selon les faits, Grey House ne pouvait pas invoquer une exception au consentement valable, ou un consentement implicite, pour justifier la collecte et l’utilisation des renseignements personnels du plaignant. En l’absence de consentement exprès, Grey House n’a pas obtenu un consentement adéquat, ce qui contrevient au principe 4.3 de la LPRPDE.
Comme Grey House a supprimé les renseignements du plaignant de son répertoire des Associations du Canada et du CIRC, et que le plaignant n’a pas reçu d’autres envois concernant des prix pour le bénévolat d’Emploi et Développement social Canada, nous avons conclu que la question du consentement était fondée et résolue.
Transparence
Au cours de notre enquête, nous avons constaté que l’énoncé de confidentialité de Grey House ne contenait que des renseignements limités.
Le principe 4.8.1 de la LPRPDE stipule, en partie, qu’une organisation doit faire preuve de transparence au sujet de ses politiques et pratiques en matière de gestion des renseignements personnels et que les personnes doivent pouvoir obtenir des renseignements sur ces politiques et pratiques sans effort indu.
Comme nous avons déterminé que Grey House recueille, utilise et communique des renseignements personnels et mène des activités commerciales en vertu de la LPRPDE, le contenu minimal de la déclaration de confidentialité de l’entreprise contrevient au principe 4.8.1 de la LPRPDE.
Grey House a accepté de réviser sa déclaration de confidentialité afin de mieux refléter ses pratiques en matière de protection de la vie privée et, par conséquent, au moment où nous avons publié notre rapport sur nos constatations, nous avons conclu que la question de transparence était fondée et résolue de façon conditionnelle.
- Date de modification :