Enquête conjointe sur La Corporation Cadillac Fairview limitée par le commissaire à la protection de la vie privée du Canada, la commissaire à l’information et à la protection de la vie privée de l’Alberta et le commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique

Conclusions en vertu de la LPRPDE n^o 2020-004

Le 28 octobre 2020

---

Aperçu

Le Commissariat à la protection de la vie privée du Canada (CPVP), le Commissariat à l’information et à la protection de la vie privée de l’Alberta (CPVP-ALB) et le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique (CPVP-CB), désignés collectivement « Commissariats », ont ouvert une enquête conjointe^{Note de bas de page 1},^{Note de bas de page 2} pour déterminer si La Corporation Cadillac Fairview limitée (CCFL) a recueilli et utilisé les renseignements personnels des visiteurs de ses centres commerciaux canadiens, sans leur consentement valable, au moyen :

1. de la technologie d’analyse vidéo anonyme (AVA) installée dans les bornes d’orientation numériques contenant le répertoire électronique des magasins;
2. d’une technologie de géolocalisation des appareils mobiles.

Nos conclusions concernant ces deux questions sont présentées en détail ci-dessous.

La CCFL a recueilli et utilisé des renseignements personnels, notamment des renseignements biométriques de nature délicate, au moyen de la technologie d’AVA sans avoir obtenu un consentement valable.

La technologie d’AVA (i) a pris des images numériques temporaires du visage des personnes qui se sont retrouvées dans le champ de vision de la caméra fixée dans la borne d’orientation numérique (images conservées brièvement dans la mémoire de l’ordinateur pendant le traitement), (ii) a utilisé un logiciel de reconnaissance faciale pour convertir ces images en représentations numériques biométriques du visage des personnes (renseignements personnels de nature délicate qui pourraient servir à identifier les gens en fonction de leurs caractéristiques faciales uniques) et (iii) a utilisé ces renseignements pour évaluer la tranche d’âge et le sexe.

La CCFL a indiqué que les représentations numériques n’étaient pas conservées au-delà de leur traitement. Cependant, notre enquête a révélé que le fournisseur de services d’AVA de la CCFL avait recueilli et stocké environ 5 millions de représentations numériques de visages d’individus pour le compte de la CCFL sur un serveur hors service, et ce, sans but apparent ni justification.

La CCFL a expliqué qu’elle recueillait des renseignements au moyen de l’AVA aux fins d’observation des modèles de circulation des visiteurs du centre commercial et de prédiction de données démographiques. Nous n’avons trouvé aucune preuve que la CCFL avait utilisé à des fins d’identification les renseignements biométriques, y compris les représentations numériques conservées.

La CCFL a également conservé environ 16 heures d’enregistrements vidéo, dont certains comprenaient l’audio, qu’elle avait captée lors d’une phase d’étalonnage (ou d’essai) de la technologie dans deux centres commerciaux.

La CCFL a affirmé que, dans la mesure où elle avait besoin d’un consentement, ce dernier avait été obtenu au moyen de sa Politique en matière de renseignements personnels. Nous avons estimé que c’était inadéquat. Tout d’abord, une personne qui utilise une borne d’orientation numérique dans un centre commercial ne s’attendrait pas raisonnablement à ce que son image soit captée et utilisée pour créer une représentation biométrique de son visage - ce qui est un renseignement personnel de nature délicate - ou à ce que ce renseignement biométrique soit utilisé pour deviner son âge approximatif et son sexe. Par conséquent, la CCFL aurait dû obtenir un consentement positif explicite. Ensuite, nous avons examiné la Politique en matière de renseignements personnels de la CCFL et avons déterminé que le libellé concernant l’AVA était trop général et enfoui au sein d’un document de 5 000 mots qui ne serait pas facilement accessible aux gens qui consultent un répertoire électronique d’une borne numérique dans un centre commercial. Nous avons constaté que le libellé de la Politique en matière de renseignements personnels en question n’était pas suffisant pour favoriser un consentement valable aux pratiques d’AVA de la CCFL.

Enfin, nous avons constaté que, même si les visiteurs étaient invités, par le biais d’autocollants affichés aux entrées des centres commerciaux, à visiter le service à la clientèle pour obtenir une copie de la Politique en matière de renseignements personnels de la CCFL, un employé du service à la clientèle de l’un des centres commerciaux a été déconcerté lorsque nous lui avons demandé cette Politique.

En raison de ces conclusions, nous avons formulé plusieurs recommandations. Nous avons recommandé que la CCFL (i) obtienne un consentement positif, explicite et valable et permette aux gens d’utiliser les bornes d’orientation numériques de ses centres commerciaux sans avoir à se soumettre à la collecte et à l’utilisation de leurs renseignements biométriques de nature délicate ou (ii) qu’elle cesse d’utiliser sa technologie d’AVA. Bien que la CCFL ait exprimé son désaccord avec nos conclusions, elle a indiqué qu’elle avait cessé d’utiliser la technologie en question en juillet 2018 et qu’elle ne prévoyait actuellement pas de recommencer à l’utiliser. La CCFL a également supprimé les représentations numériques des visages et les enregistrements audio/vidéo en sa possession qu’elle n’était pas requise de conserver à des fins légales. Elle a confirmé que les renseignements qui ont été conservés ne seront pas utilisés à des fins autres que celles imposées par la nécessité de conformité à la loi. La CCFL a aussi offert une formation sur la protection des renseignements personnels aux employés des services à la clientèle. En conséquence, nous avons conclu que cette préoccupation est fondée et résolue.

Les commissariats ont demandé à la CCFL de s’engager à suivre leurs recommandations concernant l’obtention du consentement valide si elle devait recommencer à utiliser la technologie d’AVA à l’avenir. La CCFL a indiqué que si elle recommençait à utiliser la technologie d’AVA, elle obtiendrait les consentements adéquats « conformément aux lois sur la protection des renseignements personnels applicables et aux Lignes directrices pour l’obtention d’un consentement valable ». Cependant, elle a refusé de s’engager à obtenir un consentement positif explicite conforme à nos recommandations. Nous trouvons ce refus inquiétant étant donné que la CCFL était en désaccord avec notre analyse et notre interprétation de la loi dans cette affaire. Par exemple, la CCFL continue d’affirmer, contrairement à nos conclusions, qu’elle ne recueillait pas de renseignements personnels au moyen de la technologie d’AVA.

La CCFL n’a pas recueilli de données de localisation de personnes identifiables au moyen de la technologie de suivi des appareils mobiles dans ses centres commerciaux, de sorte qu’elle n’avait pas besoin d’obtenir de consentement.

Nous avons conclu que les renseignements recueillis des appareils mobiles des visiteurs qui n’étaient pas connectés au Wi-Fi des centres commerciaux de la CCFL ne constituaient pas des renseignements personnels. Plus précisément, l’adresse MAC hachée et aléatoire (identifiant d’appareil), associée à des données de géolocalisation de « zone » non granulaires qui sont recueillies à l’aide de la triangulation Wi-Fi, ne constituaient pas des renseignements personnels dans ce contexte, car il n’y avait pas de possibilité sérieuse que ces renseignements soient associés, seuls ou avec d’autres renseignements disponibles, au détenteur de l’appareil mobile.

En ce qui concerne les personnes qui se sont connectées au service Wi-Fi gratuit de la CCFL, par un procédé qui les obligeait à fournir des renseignements personnels, nous avons compris au départ, à la lumière des preuves recueillies au cours de notre enquête, notamment celles provenant de la CCFL et de son fournisseur de services Wi-Fi, que la CCFL recueillait des données de géolocalisation d’appareils triangulées et liait celles-ci aux comptes Wi-Fi des utilisateurs d’appareils identifiables. Nous avons donc présenté des recommandations préliminaires à la CCFL concernant le consentement auquel on se serait attendu dans de telles circonstances. Cela dit, en réponse à un rapport préliminaire publié par les commissariats, la CCFL a clarifié, et son fournisseur de services Wi-Fi tiers a validé, que les données de géolocalisation susmentionnées ne pouvaient pas de quelque manière que ce soit être associées ou liées aux comptes Wi-Fi connectés, de sorte qu’il ne s’agissait pas de renseignements personnels dans ce contexte. En conséquence, nous avons conclu que cette préoccupation n’est pas fondée.

Nous avons toutefois constaté que la CCFL cherchait à obtenir le consentement pour des « offres spéciales fondées sur l’emplacement » malgré le fait qu’elle ne se livrait pas à cette pratique. Suivant notre recommandation, la CCFL a supprimé le libellé en question de sa Politique en matière de renseignements personnels et a clarifié la disposition précisant les données de localisation limitées qui sont recueillies et associées aux comptes Wi-Fi (c’est à dire uniquement l’établissement de la CCFL en question).

Enfin, nous constatons que le tiers fournisseur de services Wi-Fi de la CCFL offre la possibilité d’associer des renseignements de « zone » triangulés à des comptes; et que la CCFL a inclus, dans sa Politique en matière de renseignements personnels, la possibilité d’utiliser les données de géolocalisation recueillies pour proposer des offres fondées sur l’emplacement. Nous avons donc recommandé à la CCFL de s’engager à mettre en œuvre nos recommandations préliminaires si elle décidait, plus tard, d’activer cette fonctionnalité et d’associer les données de géolocalisation recueillies à des comptes Wi-Fi. Plus précisément, nous nous attendons à ce que la CCFL (i) favorise une option de consentement explicite pour de telles pratiques de géolocalisation en affichant un avis clair et bien visible sur la page de connexion Wi-Fi et (ii) fournisse une option d’abandon ou de retrait du consentement clairement expliquée et facilement accessible. La CCFL a de nouveau refusé, affirmant que ces recommandations étaient spéculatives.

Contexte

1. Le présent rapport d’enquête préliminaire examine la conformité de La Corporation Cadillac Fairview limitée (CCFL) à la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») du Canada, à la Personal Information Protection Act de l’Alberta (« PIPA de l’Alberta ») et à la Personal Information Protection Act de la Colombie-Britannique (« PIPA de la Colombie-Britannique ») – collectivement appelées les « lois ».
2. La CCFL est l’un des plus importants propriétaires, exploitants et promoteurs de bureaux, d’immeubles commerciaux et de propriétés à usage mixte, y compris les centres commerciaux, en Amérique du Nord.
3. Cette enquête conjointe a été lancée à la suite de nombreux reportages dans les médias qui ont soulevé des questions et des préoccupations quant à savoir si la CCFL recueillait, utilisait ou communiquait sans consentement adéquat des renseignements personnels au moyen de la technologie d’analyse faciale intégrée dans les bornes d’orientation numériques contenant le répertoire électronique des magasins de centres commerciaux. La technologie, que la CCFL a appelée la technologie d’analyse vidéo anonyme^{Note de bas de page 3} (« AVA »), a été installée dans des bornes d’orientation numériques. Il s’agit en fait de systèmes de cartes numériques à écran tactile qui permettent aux visiteurs de trouver des magasins et de s’orienter dans les centres commerciaux de la CCFL. Dans le cadre du présent rapport, la technologie d’AVA couvre tous les éléments de la suite logicielle et du matériel concernés dans la mise en œuvre de l’AVA de la CCFL.
4. Les premiers reportages dans les médias^{Note de bas de page 4} concernant l’utilisation de la technologie d’AVA par la CCFL dans ses répertoires ont vu le jour en juillet 2018, après qu’une personne ait publié sur Reddit^{Note de bas de page 5} une photo^{Note de bas de page 6} prise au Chinook Centre de la CCFL à Calgary, en Alberta, montrant un écran avec un langage de codage qui comprenait « FaceEncoder » et « FaceAnalyzer » – amenant les médias à signaler que la CCFL utilisait des technologies de reconnaissance faciale.
5. Convaincus qu’il existait des motifs raisonnables d’enquêter sur ces questions, les commissaires à la protection de la vie privée du Canada, de la Colombie-Britannique et de l’Alberta ont chacun pris l’initiative d’une enquête en vertu du paragraphe 11(2) de la LPRPDE, de l’alinéa 36(1)a) de la PIPA de la Colombie-Britannique et de l’alinéa 36(1)a) de la PIPA de l’Alberta, respectivement. En août 2018, le CPVP-ALB a également reçu une plainte visant la CCFL. En décembre 2018, le Commissariat à la protection de la vie privée du Canada (« CPVP »), le Commissariat à l’information et à la protection de la vie privée de l’Alberta (CPVP-ALB) et le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique (CPVP-CB) ont décidé de mener l’enquête conjointement. À ce moment, la plainte reçue par le CPVP-ALB a été mise en suspens, en attendant l’issue de cette enquête conjointe.
6. À la lumière des reportages subséquents dans les médias^{Note de bas de page 7} et des renseignements obtenus au cours des étapes préliminaires de l’enquête sur le déploiement de la technologie d’AVA par la CCFL, la portée de l’enquête conjointe a été élargie pour permettre de déterminer si la CCFL a obtenu un consentement adéquat pour la collecte, l’utilisation et la communication des renseignements personnels des visiteurs des centres commerciaux, y compris la géolocalisation et l’adresse matérielle (MAC)^{Note de bas de page 8}, au moyen de technologies de géolocalisation des appareils mobiles. D’autres renseignements découverts au cours de l’enquête nous ont amenés à également prendre en considération la conservation des renseignements personnels obtenus grâce à la technologie d’AVA.
7. Enfin, compte tenu du fait que la Commission d’accès à l’information du Québec (la « CAI ») examinait également la question de la technologie d’AVA installée dans les centres commerciaux de la CCFL situés dans la province de Québec, le CPVP, le CPVP-CB et le CPVP-ALB ont conclu une entente de collaboration avec la CAI en mars 2019 afin de coordonner les efforts d’enquête.

Méthodologie

8. L’équipe d’enquête a demandé des observations et des dossiers concernant la collecte, l’utilisation ou la communication possible de renseignements personnels par la CCFL en en lien avec la technologie d’AVA et les technologies de géolocalisation. Ces observations ont été demandées directement à la CCFL ainsi qu’aux tiers suivants : (i) Mappedin, le fournisseur de services tiers des bornes d’orientation numériques répertoriant les magasins (et de la technologie d’AVA qui y est intégrée) et (ii) Aislelabs, le fournisseur de services tiers pour les technologies de géolocalisation.
9. Après avoir examiné les premières observations de la CCFL, l’équipe d’enquête a effectué une visite du siège social de la CCFL à Toronto (Ontario), au cours de laquelle elle a interrogé des membres clés du personnel et vu la borne d’orientation numérique de la CCFL en action, ainsi que la technologie d’AVA qui y est intégrée. L’équipe d’enquête a également extrait des dossiers de la borne d’orientation aux fins d’analyse scientifique par les analystes de la technologie, membres de l’équipe.
10. Par la suite, l’équipe d’enquête a également effectué une visite du siège social de Mappedin, au cours de laquelle elle a interrogé des membres clés du personnel et extrait des dossiers de façon sécuritaire aux fins d’analyse scientifique par les analystes de la technologie, membres de l’équipe. De plus, nous avons obtenu une copie de la base de données contenant toutes les données communiquées par la technologie d’AVA installée dans les bornes d’orientation numériques pendant que la technologie était opérationnelle. Nous notons que cette base de données était stockée sur un serveur hors service et n’était pas utilisée à des fins de production.
11. L’enquête comprenait également la visite d’un établissement de la CCFL (CF Centre Eaton) dans le but précis d’évaluer la capacité des employés du service à la clientèle de la CCFL à répondre aux demandes de base des clients concernant la protection des renseignements personnels (par exemple, en leur remettant une copie de la Politique en matière de renseignements personnels de la CCFL).
12. Au cours de l’enquête, nous avons également tenu compte des documents suivants sur lesquels s’est appuyée la CCFL :
    1. la CCFL a fourni un rapport d’analyse d’un tiers (le « rapport du tiers ») produit par un professeur agrégé de la faculté de génie de l’Université Bar-Ilan en Israël (le « professeur ») dont les recherches portent sur la vision par ordinateur de haut niveau, l’apprentissage machine, la biométrie et le traitement des signaux;
    2. un livre blanc intitulé Anonymous Video Analytics (AVA) technology and privacy^{Note de bas de page 9}, publié par le Commissariat à l’information et à la protection de la vie privée de l’Ontario;
    3. un livre blanc intitulé Building Privacy Into Mobile Location Analytics (MLA) Through Privacy by Design^{Note de bas de page 10}, publié conjointement par le Commissariat à l’information et à la protection de la vie privée de l’Ontario et Aislelabs.
13. À la fin de notre enquête, nous avons remis à la CCFL un rapport d’enquête préliminaire qui exposait et expliquait la justification de nos conclusions préliminaires et dégageait plusieurs recommandations. Nous avons ensuite rencontré la CCFL pour répondre à ses questions ou commentaires et discuter de nos recommandations. Par la suite, dans sa réponse à notre rapport préliminaire, la CCFL s’est engagée à mettre en œuvre un certain nombre de nos recommandations qui la conformeraient aux lois canadiennes sur la protection des renseignements personnels. La CCFL a également fourni des observations supplémentaires et a éclairci des faits, ce qui a poussé les commissariats à chercher à obtenir des engagements supplémentaires pour s’assurer que la CCFL ne contreviendrait pas aux lois canadiennes sur la protection des renseignements personnels en instaurant ou rétablissant des pratiques similaires à celles examinées dans le cadre de notre enquête. La CCFL a refusé de prendre ces engagements. Tout ce qui précède est présenté plus en détail dans ce rapport final.
14. L’enquête et les conclusions portent sur les obligations juridiques de la CCFL en vertu des lois susmentionnées. Bien que le présent rapport examine les pratiques de certains tiers qui ont fourni des services à la CCFL, il ne tire aucune conclusion au sujet des obligations juridiques de ces tiers ou de toute autre organisation ou personne.

Questions

15. Voici les questions soulevées par la présente enquête :
    1. L’utilisation par la CCFL de la technologie d’AVA, dans les bornes d’orientation numériques, a-t-elle entraîné la collecte, l’utilisation ou la communication de renseignements personnels? Dans l’affirmative,
       1. la CCFL a-t-elle obtenu le consentement adéquat pour cette collecte, cette utilisation ou cette communication?
       2. la CCFL a-t-elle conservé ces renseignements plus longtemps que nécessaire?
    2. L’utilisation par la CCFL des technologies de géolocalisation des appareils mobiles a-t-elle entraîné la collecte, l’utilisation ou la communication de renseignements personnels? Dans l’affirmative, la CCFL a-t-elle obtenu le consentement adéquat pour cette collecte, cette utilisation ou cette communication?

Contestation de la compétence par la CCFL

Technologie d’AVA

16. Au début de notre enquête, et tout au long de celle-ci, la CCFL a contesté notre compétence en ce qui concerne l’utilisation de la technologie d’AVA, au motif que celle-ci n’a pas entraîné la collecte, l’utilisation ou la communication de renseignements personnels.
17. Dans ses observations, la CCFL a affirmé que les renseignements traités et recueillis au moyen de la technologie d’AVA n’étaient pas des renseignements personnels parce qu’ils étaient anonymes et qu’ils ne pouvaient en aucun cas être utilisés, seuls ou en combinaison avec d’autres renseignements, pour identifier une personne. La CCFL a soutenu que tout le traitement s’est fait localement et en temps réel, et qu’aucune image, photographie ou vidéo n’a été créée, sauf pendant les essais et l’étalonnage, comme il est mentionné au paragraphe 52 du présent rapport.
18. La CCFL a expliqué qu’aucune tentative n’a été faite pour obtenir une identification positive des personnes figurant dans le champ de vision visible de la caméra, et que les images numériques n’ont pas été comparées à une base de données de personnes connues.
19. La CCFL a, en outre, déclaré qu’elle ne procédait pas à la collecte de renseignements personnels au sens des lois parce que rien n’était « saisi » par la technologie d’AVA, et que « l’absence d’une “personne identifiable“ rend la “saisie“ insuffisante pour être considérée comme une collecte de renseignements personnels ».
20. En fin de compte, après avoir examiné les observations de la CCFL, et pour les raisons décrites à la section « Question 1 » ci-dessous, nous avons déterminé que la CCFL recueillait des renseignements personnels au moyen de sa technologie d’AVA, de sorte que nous avions la compétence pour enquêter sur cette affaire.

Technologie de géolocalisation

21. La CCFL s’est également opposée à la compétence des commissariats en ce qui concerne l’utilisation des technologies de géolocalisation dans ses établissements, au motif que les adresses MAC ne constituent pas des renseignements personnels et que la géolocalisation concerne un appareil et non une personne identifiable.
22. Pour appuyer son argument, la CCFL a établi une comparaison avec les plaques d’immatriculation des véhicules et s’est appuyée sur la décision de la Cour d’appel de l’Alberta dans l’arrêt Leon’s Furniture v Alberta (Information and Privacy Commissioner)^{Note de bas de page 11}. La CCFL a affirmé que les adresses MAC sont analogues aux plaques d’immatriculation :

    « C’est le mécanisme qui permet au véhicule de participer au réseau routier, il est visible et destiné à être visible à la fois pour les autres véhicules et les propriétaires/opérateurs des routes, et il est unique à ce véhicule. Plus important encore, comme une plaque d’immatriculation, une adresse MAC est propre à un appareil, et non à une personne. [traduction] »

23. De plus, pour conforter sa position, la CCFL a fait référence à un cas antérieur du CPVP^{Note de bas de page 12} où ce dernier conclut que les adresses IP^{Note de bas de page 13} peuvent constituer des renseignements personnels si elles peuvent être associées à une personne identifiable ou liées à cette personne.
24. Les commissariats ont tenu compte des arguments et des observations de la CCFL pour déterminer si elle avait effectivement recueilli des renseignements personnels sous la forme de données de géolocalisation triangulées Wi-Fi. Comme il est précisé dans la section « Question 2 » ci-dessous, notre conclusion préliminaire était que la CCFL recueillait des renseignements personnels au moyen de technologies de suivi des appareils mobiles. Cependant, après l’émission de notre rapport préliminaire, à la lumière des précisions de la CCFL et d’Aislelabs, nous avons déterminé que ce n’était pas le cas.

Question 1 : L’utilisation par la CCFL de la technologie d’AVA, dans des bornes d’orientation numériques, a-t-elle entraîné la collecte, l’utilisation ou la communication de renseignements personnels? Dans l’affirmative, la CCFL a-t-elle obtenu le consentement adéquat pour cette collecte, cette utilisation ou cette communication, et la CCFL a-t-elle conservé ces renseignements plus longtemps que nécessaire?

Observations de la CCFL et notre enquête

Aperçu de la mise en œuvre de l’AVA par la CCFL

25. La CCFL a conclu un contrat avec une entreprise tierce, Mappedin, pour fournir à la CCFL des logiciels et des services de soutien pour des bornes d’orientation numériques interactifs contenant le répertoire électronique des magasins, que la CCFL a installés dans bon nombre de ses immeubles commerciaux au Canada. Mappedin se décrit comme un fournisseur de système d’information géographique intérieur. L’organisation travaille avec neuf des dix plus grands centres commerciaux du Canada, dont certains appartiennent à la CCFL, et prétend qu’elle cherche à rendre l’intérieur des magasins, des hôpitaux, des campus et des aéroports du monde entier plus repérables. Les autres services connexes en vertu du contrat avec la CCFL comprennent la conception de cartes, l’élaboration de l’expérience utilisateur et le soutien et l’hébergement continus.
26. Les bornes d’orientation contenaient toutes des dispositifs optiques (c.-à-d. des caméras) derrière une vitre de protection à la périphérie de l’écran, de sorte qu’ils n’étaient pas facilement visibles. Les caméras n’étaient pas opérationnelles au moment de leur installation initiale parce qu’elles n’étaient pas prises en charge par le logiciel sous-jacent. La CCFL fait savoir que la technologie d’AVA, qui consiste en un progiciel particulier, a d’abord été installée par Mappedin le 13 juin 2017 à titre d’essai, puis désactivée et retirée le 1^er décembre 2017 (« période d’essai »). La technologie d’AVA a ensuite été déployée dans 12 centres commerciaux au Canada (environ 60 % des répertoires) entre le 31 mai et le 31 juillet 2018^{Note de bas de page 14}. La CCFL a indiqué qu’elle considérait ce déploiement comme un « projet pilote ». La technologie d’AVA était opérationnelle dans les bornes d’orientation des centres commerciaux suivants :

    Établissement	Province
    CF Market Mall	Alberta
    CF Chinook Centre	Alberta
    CF Richmond Centre	Colombie-Britannique
    CF Pacific Centre	Colombie-Britannique
    CF Polo Park	Manitoba
    CF Toronto Eaton Centre	Ontario
    CF Sherway Gardens	Ontario
    CF Lime Ridge	Ontario
    CF Fairview Mall	Ontario
    CF Markville Mall	Ontario
    CF Galeries d’Anjou	Québec
    CF Carrefour Laval	Québec

27. Selon la CCFL (comme il est indiqué au paragraphe 54), au cours de la période d’essai et d’étalonnage initiale, et entre mai et juillet 2018, lorsque la technologie d’AVA était opérationnelle, la technologie a généré des données, qui ont ensuite été envoyées pour analyse par Mappedin, qui a fourni à la CCFL des données anonymes sommaires sur les tendances de circulation et l’utilisation des bornes.

Autres détails concernant Mappedin

28. Selon la dernière entente-cadre (l’« entente ») entre Cadillac Fairview et Mappedin, datée du 20 juillet 2017, tous les renseignements fournis par la CCFL demeuraient la propriété exclusive de la CCFL. Elle prévoyait en outre que toutes les données produites en vertu de l’entente étaient la propriété partagée entre la CCFL et Mappedin, et qu’elles étaient sous licence de la CCFL pour utilisation et distribution à tout tiers par la CCFL (sauf dans les cas où ce tiers était considéré par Mappedin comme un concurrent). Nous notons que bien que l’entente mentionne l’intégration de webcaméras, elle ne fait aucune référence à la technologie d’AVA. Néanmoins, selon les modalités de l’entente, nous comprenons que la CCFL est demeurée responsable des renseignements recueillis par Mappedin en son nom.
29. Dans ses observations présentées aux commissariats, Mappedin a fait savoir qu’elle n’utilise pas les renseignements obtenus dans le contexte de l’entente à des fins autres que les services contractuels. Mappedin a ajouté qu’elle ne communique pas ces renseignements et qu’elle n’en a pas communiqué à des tiers.

La technologie d’AVA

30. Dans ses observations présentées à l’équipe d’enquête, la CCFL a décrit la technologie d’AVA comme un « logiciel de détection faciale ». Elle a déclaré que la technologie d’AVA évaluait les objets entrant dans le champ de vision de la caméra en temps réel pour déterminer s’il y avait un visage humain. Si le logiciel sous-jacent détecte la présence d’un visage humain, il produit alors des évaluations du sexe et de la tranche d’âge probable pour ce visage. Dans ses observations, la CCFL a souligné qu’à aucun moment la technologie d’AVA ne saisissait des images ou d’autres renseignements personnels puisque les données sur le sexe et la tranche d’âge étaient anonymes, et qu’aucun renseignement outre les extrants anonymes n’est conservé.
31. Comme il est indiqué au paragraphe 12, au cours de l’enquête, la CCFL a retenu les services d’un professeur pour mener une étude sur la technologie d’AVA à l’intention de l’équipe d’enquête. Le rapport du tiers nous a été remis après la première visite sur place. La CCFL a soutenu que la technologie d’AVA n’avait aucune capacité de reconnaissance faciale, mais le rapport contredit cette affirmation dans la mesure où il fait référence à l’utilisation d’un logiciel appelé FaceNet, qui est un logiciel de « reconnaissance faciale ».
32. À la suite de la réception du rapport du tiers, nous avons communiqué avec le professeur afin d’obtenir de plus amples renseignements sur la méthodologie utilisée pour effectuer l’analyse présentée dans le rapport.
33. Le professeur a indiqué que son opinion était fondée sur les documents suivants fournis par les représentants légaux externes de la CCFL :
    1. un aperçu de la technologie d’AVA (comprenant des parties du code de programmation);
    2. une copie de l’avis de visite des lieux envoyé à la CCFL par le CPVP;
    3. l’avis d’enquête conjointe envoyé à la CCFL par le CPVP, le CPVP-CB et le CPVP-ALB;
    4. une copie d’une lettre fournie au CPVP par la CCFL en réponse aux questions posées par l’équipe d’enquête au cours de l’enquête.
34. Dans son rapport, le professeur a tiré les conclusions suivantes :

    « Je suis d’avis que le logiciel AVA ne rapporte pas les renseignements personnels des clients. Les estimations du sexe et de l’âge approximatif enregistrées par le système sont anonymes et ne peuvent être retracées à un client en particulier. [traduction] »

35. Malgré les conclusions du rapport du tiers, notre enquête a permis d’établir que le fonctionnement de la technologie d’AVA en question était différent de ce que la CCFL avait présenté initialement, et que la technologie a effectivement donné lieu à la collecte de renseignements personnels, comme il est expliqué ci-dessous.
36. Nous avons établi que la technologie d’AVA effectue un certain nombre d’étapes séquentielles dans la génération et la collecte de renseignements démographiques, d’intrant constitué d’images à l’extrant constitué de données démographiques (estimation de l’âge et du sexe). Ces étapes, telles qu’elles sont indiquées dans le rapport du tiers présenté par la CCFL, sont les suivantes : (i) détection du visage, (ii) codage du visage et (iii) suivi du visage.
37. Les premières observations de la CCFL indiquaient que la technologie d’AVA s’appuyait sur un logiciel libre appelé Rude Carnie^{Note de bas de page 15} pour produire des estimations de l’âge et du sexe. Les développeurs de ce logiciel décrivent l’objectif du logiciel comme étant la capacité de « détecter le visage et de classer les images sur la base de l’âge et le sexe ».
38. Après avoir examiné les dossiers extraits lors de notre visite au siège social de la CCFL, nous avons appris que la technologie d’AVA utilisait un autre logiciel^{Note de bas de page 16} appelé FaceNet, décrit comme un « reconnaisseur de visage ». Comme il est indiqué au paragraphe 29, cela a été confirmé dans notre examen subséquent du rapport du tiers. Sur la page Web du logiciel, un document de recherche^{Note de bas de page 17} fournit un examen approfondi du logiciel, le décrivant comme étant un « système unifié pour la vérification du visage (est-ce la même personne), la reconnaissance (qui est cette personne) et le regroupement (trouver des personnes communes parmi ces visages). [traduction] ».

Détection et suivi du visage

39. Notre enquête a confirmé que la première étape entreprise par la technologie d’AVA était la détection faciale. La technologie a été entraînée à la détection de la forme visuelle d’un ou de plusieurs visages humains dans le champ de vision de la caméra installée dans borne d’orientation.
40. Une fois que la technologie détectait ce qu’elle évaluait être un visage humain, elle générait un cadre d’objet autour du visage et saisissait l’image pour la conversion et le traitement. Cette « saisie » a permis de conserver une image numérique – ou une photographie – du visage pendant quelques millisecondes. Nous notons que, à l’exception de la période d’essai et d’étalonnage (voir le paragraphe 54), aucune image persistante n’a été conservée après ce traitement.
41. Notre enquête a en outre révélé que, pendant le processus de détection, la technologie a aussi la capacité de différencier les visages les uns des autres s’il y a plus d’un visage dans le champ de vision de la caméra. Pour ce faire, la technologie a attribué un identificateur unique, un nombre aléatoire, à chaque visage détecté.
42. Mappedin indiquait que le logiciel était en mesure d’attribuer un identificateur unique (« identificateur unique ») à chaque visage présent dans le champ de vision, mais elle a prétendu que ces identificateurs uniques étaient « attribués aléatoirement » et « ne permettent pas d’identifier les personnes ». Mappedin et la CCFL ont toutes deux indiqué que cette fonction n’était en place que pour que la technologie d’AVA puisse suivre et différencier les visages individuels dans le champ de vision de la caméra. Ainsi, si un utilisateur quitte le champ de vision et revient par la suite, la technologie d’AVA lui attribuera un nouvel identificateur unique aléatoire. Un exemple d’un tel identificateur unique se trouve dans la capture d’écran figurant au paragraphe 53 (désigné par « id »).
43. Contrairement aux observations de la CCFL selon lesquelles seuls les renseignements démographiques sur l’âge et le sexe ont été conservés, nous avons découvert au cours de notre enquête que Mappedin, pour le compte de la CCFL, a recueilli et conservé ces identificateurs uniques dans sa base de données, ainsi que des renseignements supplémentaires connexes (y compris, plus important encore, les représentations numériques des visages individuels saisis – voir le paragraphe 51 du présent rapport). Lorsqu’on lui a demandé le but de cette collecte, Mappedin n’a pas été en mesure de fournir une réponse, indiquant que la personne responsable de la programmation du code ne travaillait plus pour l’entreprise.

Encodage et intégration des visages

44. Afin que la technologie puisse différencier et suivre les visages individuels en interaction avec une borne d’orientation numérique, la technologie d’AVA convertissait et codait les images saisies, ce qui impliquait le calcul d’une série de mesures de chaque visage. Ce processus générait, au moyen d’un procédé d’intégration, une représentation numérique de chaque visage détecté. Une fois ce processus terminé, les images saisies des visages étaient supprimées.

Estimation de l’âge et du sexe

45. Notre enquête a confirmé qu’au fur et à mesure du traitement des images saisies, la technologie d’AVA estime la probabilité que le visage en question se situe dans chacun des huit groupes d’âge prédéfinis suivants :

    0-2	4-6	8-12	15-20	25-32	38-43	48-53	60-100
    1	2	3	4	5	6	7	8

46. L’évaluation saisit ces probabilités sous forme de valeurs numériques. Comme le montre le résultat de l’échantillon ci-dessous, la technologie a déterminé qu’il y a une probabilité beaucoup plus élevée que le sujet appartiendrait au groupe d’âge numéro 6 (38-43) ou 7 (48-53) que n’importe quel autre groupe :
    
    

    

    Version textuelle de la figure 1

    Cette capture d’écran montre un échantillon de données de la technologie d’AVA qui permet de démontrer la fonction d’estimation de l’âge. La valeur est déterminée grâce à l’analyse du visage du visiteur par AVA et indique la probabilité que ce dernier appartienne à un groupe d’âge prédéfini. Les chiffres surlignés montrent que la technologie d’AVA estime qu’il y a une probabilité élevée que le sujet appartienne au groupe d’âge des 38-43 ans (54 %) ou des 48-53 ans (33 %).

47. Un processus d’évaluation semblable a lieu pour l’estimation du sexe, bien que les valeurs soient divisées entre des options binaires : homme ou femme. Dans le résultat de l’échantillon ci-dessous, la technologie d’AVA a déterminé qu’il y avait une probabilité de 90 % que le visage soit la première option binaire (homme) :
    
    

    

    Version textuelle de la figure 2

    Cette capture d’écran montre un échantillon de la technologie d’AVA qui permet de démontrer la fonction d’estimation du genre (sexe). La valeur est déterminée grâce à l’analyse du visage du visiteur par AVA et indique la probabilité que ce dernier soit un homme ou une femme. Les chiffres surlignés montrent que la technologie d’AVA estime qu’il y a une probabilité de 90 % que le visiteur soit un homme.

48. La CCFL et Mappedin ont toutes deux indiqué que l’ensemble du processus d’estimation de l’âge et du sexe résumé ci-dessus se fait en millisecondes et que chaque image d’un visage est stockée dans la mémoire informatique pendant la durée de ce processus. Notre enquête a confirmé cette affirmation. Par contre, comme il est indiqué au paragraphe 50, d’autres renseignements ont été recueillis et utilisés en même temps que ces images ont été traitées.

Renseignements supplémentaires envoyés à Mappedin

49. Comme il a été mentionné précédemment, la CCFL a indiqué que les seuls renseignements recueillis et conservés dans le cadre du déploiement de la technologie d’AVA étaient des renseignements démographiques anonymes. En outre, Mappedin a « simplement » analysé les renseignements démographiques pour fournir à la CCFL « des renseignements anonymes sommaires sur les tendances de la circulation et l’utilisation des bornes ». Toutefois, comme nous l’avons mentionné plus haut, notre enquête a permis de découvrir que Mappedin, pour le compte de la CCFL, a recueilli, utilisé et conservé beaucoup plus de renseignements que ce que la CCFL avait initialement indiqué à l’équipe d’enquête.
50. Notre analyse scientifique des données extraites du répertoire d’orientation au cours de la visite sur place à la CCFL a révélé qu’en plus des renseignements démographiques (âge et sexe), la technologie d’AVA recueillait ou produisait les renseignements suivants pour chaque opération de détection de visage, qui ont été envoyés aux serveurs de Mappedin où ils ont été conservés pour le compte de la CCFL :
    1. un identificateur unique pour le répertoire d’orientation dans lequel la collecte a eu lieu;
    2. un identificateur unique pour la caméra utilisée pour la collecte;
    3. un identifiant unique pour le suivi et la différenciation des visages dans le champ de vision;
    4. une représentation numérique des visages individuels;
    5. l’établissement au sein duquel la caméra était située;
    6. l’horodatage.
51. Après la visite du site, nous avons obtenu de Mappedin la base de données de tous les renseignements qu’elle a recueillis, utilisés et conservés pour le compte de la CCFL relativement à la technologie d’AVA. Grâce à l’analyse scientifique de la base de données, nous avons en outre confirmé que la CCFL, par l’entremise de Mappedin, avait recueilli, utilisé et conservé bien plus que l’estimation de l’âge et du sexe.
52. Au total, pendant la période pendant laquelle la technologie d’AVA était fonctionnelle, la CCFL, par l’intermédiaire de la technologie d’AVA, a recueilli, utilisé et conservé 5 061 324 représentations numériques de visages, d’un nombre inconnu de personnes.
53. Voici une capture d’écran^{Note de bas de page 18} des renseignements recueillis et conservés dans la base de données de Mappedin pour un seul visage traité par la technologie d’AVA :
    
    

    

    Version textuelle de la figure 3

    Cette capture d’écran montre un échantillon de données des serveurs de Mappedin qui indique quel type d’information est recueilli et conservé par la technologie d’AVA une fois que les images du visage d’un individu ont été traitées. Cette capture inclut l’estimation de l’âge et du sexe, l’identificateur unique pour différencier le visage et la représentation numérique du visage du visiteur. Le titre de chacun des ensembles de valeurs a été surligné. Certaines informations sur cette image ont été caviardées à des fins d’anonymisation, notamment : la borne d’orientation et l’identificateur de caméra indiquant un emplacement précis, le code d’autorisation et certaines valeurs de représentations numériques de visages (qui sont dans le même format que les valeurs au-dessus et en dessous de la section caviardée).

Renseignements recueillis pendant la période d’essai et d’étalonnage

54. La CCFL nous a informés qu’un exercice d’essai et d’étalonnage avait été entrepris avant le déploiement de la technologie d’AVA. Plus précisément, la CCFL a mené l’exercice d’étalonnage au CF Toronto Eaton Centre et au CF Sherway Gardens, tous deux situés en Ontario, les 29 avril, 12 mai et 13 mai 2018 (« période d’étalonnage »). La période d’étalonnage a produit seize vidéos d’une heure, que Mappedin a conservées pour le compte de la CCFL.
55. Il convient de noter que lors de notre analyse des vidéos, nous avons découvert que dans trois des seize vidéos, la fonction audio avait été activée, ce qui a donné une autre dimension à la collecte, à l’utilisation et à la conservation de renseignements personnels au moyen d’enregistrements audio.

Communications relatives à la protection des renseignements personnels de la CCFL concernant l’AVA

56. Malgré les éléments de preuve exposés au cours de cette enquête, la CCFL a adopté la position selon laquelle puisqu’elle ne recueillait pas, selon elle, des renseignements personnels au moyen de la technologie d’AVA, sauf pendant la phase d’essai et d’étalonnage, elle n’était pas tenue d’aviser ses clients de cette pratique.
57. Nous avons demandé à la CCFL si elle avait pris des mesures pour informer les gens qu’elle effectuait des essais de la technologie d’AVA, ce à quoi elle a affirmé ce qui suit : « Dans la mesure où des renseignements personnels ont été recueillis au cours de la phase d’essai, cela est clairement énoncé dans la Politique en matière de renseignements personnels de la CCFL… [traduction] »^{Note de bas de page 19}.
58. La CCFL a ensuite fait référence à un passage de sa Politique en matière de renseignements personnels (mise à jour le 20 juillet 2016) qui se lit comme suit :

    2. DÉTERMINATION DES OBJECTIFS

    « Nous recueillons des renseignements personnels pertinents pour fournir des services à nos invités, fournisseurs de services et clients (y compris les détaillants et occupants de nos établissements), pour sécuriser nos établissements, nos sites Web et nos applications mobiles, pour respecter nos obligations légales, pour faire la promotion, la publicité et le marketing de nos services et, dans certains cas, des produits et services de nos clients et pour la recherche et le développement de nouveaux produits et techniques afin d’améliorer nos services, notre entreprise, nos établissements, nos sites Web et nos applications mobiles. »

    […]

    QUELS TYPES DE RENSEIGNEMENTS PERSONNELS RECUEILLEZ VOUS ET UTILISEZ-VOUS?

    « Certains de nos établissements sont également munis de technologies comme des transmetteurs iBeacon (capteurs) et des caméras que nous utilisons pour surveiller les tendances de circulation et nous aider à déterminer les caractéristiques démographiques de nos visiteurs durant leur visite chez nous. »

59. De plus, la CCFL a déclaré que les autocollants apposés sur les portes d’entrée de tous les centres commerciaux indiquaient aux clients de consulter la Politique en matière de renseignements personnels de la CCFL s’ils voulaient plus de renseignements sur les pratiques de la CCFL. Nous notons, comme le présente l’affiche ci-dessous, installée au CF Toronto Eaton Centre de mai à juin 2018, que les seuls objectifs déclarés de l’enregistrement vidéo sont la sûreté et la sécurité.
    
    

    

    Version textuelle de la figure 4

    Bienvenue au Centre Eaton CF de Toronto

    Pour des raisons de sécurité, ces lieux font l’objet d’une surveillance vidéo.

    Notre politique de confidentialité est disponible à l’adresse www.cadillacfairview.com ou au Service à la clientèle.

    CHANDAIL ET CHAUSSURES OBLIGATOIRES | LES ANIMAUX D’ASSISTANCE SONT PERMIS

    HEURES D’OUVERTURE

    Du lundi au vendredi………………………..10 h – 21 h 30
    Samedi…………………………………..9 h 30 – 21 h 30
    Dimanche……………………………………..10 h – 19 h

Analyse

Y a-t-il eu collecte, utilisation ou communication de renseignements personnels?

60. À notre avis, la CCFL a clairement recueilli et utilisé, au moyen de la technologie d’AVA, des renseignements personnels, tels que définis dans les lois, y compris des images saisies de visages, la représentation numérique attribuée à chaque visage et l’évaluation de la tranche d’âge et du sexe. La CCFL est en désaccord avec cette conclusion. De plus, nous notons que, même si la CCFL a recueilli et utilisé des représentations numériques de visages permettant la reconnaissance faciale, nous n’avons trouvé aucune preuve indiquant qu’elle a cherché à utiliser ou a utilisé ces représentations dans le but précis d’identifier des individus.
61. Le paragraphe 2(1) de la LPRPDE, l’article 1 de la PIPA de la Colombie-Britannique et l’alinéa 1(1)k) de la PIPA de l’Alberta définissent tous les renseignements personnels comme des renseignements sur une personne identifiable. Les tribunaux ont conclu dans plusieurs affaires que les renseignements personnels doivent être interprétés dans un sens large afin de donner effet aux fins prévues par les dispositions législatives^{Note de bas de page 20}. Les tribunaux ont également conclu que les renseignements seront considérés comme personnels lorsqu’il est raisonnable de s’attendre à ce qu’une personne puisse être identifiée à partir des renseignements en cause lorsqu’ils sont combinés à des renseignements provenant de sources autrement disponibles^{Note de bas de page 21}.
62. Nous n’acceptons pas l’affirmation de la CCFL selon laquelle la technologie d’AVA fonctionnait entièrement en temps réel. Les images de visages individuels saisies dans le champ de vision des caméras ont été conservées en mémoire, quoique pendant une très courte période, le temps de leur traitement, et avec comme résultat, de l’information et des analyses à utiliser par la suite.
63. Les images de visages individuels saisies par la technologie d’AVA grâce aux caméras installées sur les bornes d’orientation sont, en soi, des renseignements clairement personnels. Dans le passé, on a toujours conclu que les images ou les photographies de personnes peuvent constituer des renseignements personnels en vertu de la LPRPDE^{Note de bas de page 22}, de la PIPA de la Colombie-Britannique^{Note de bas de page 23} et de la PIPA de l’Alberta^{Note de bas de page 24}, et qu’elles le sont effectivement. Par conséquent, même si nous convenons que les images saisies ont été conservées en mémoire pendant une très courte période, cette pratique représentait une collecte de renseignements personnels.
64. De plus, notre enquête a révélé que les images saisies par la technologie ont servi à générer des renseignements personnels supplémentaires comme des représentations numériques, la tranche d’âge et le sexe de visages individuels, qui ont ensuite été recueillis et conservés pendant une période beaucoup plus longue.
65. En particulier, nous sommes d’avis que le processus d’intégration, qui aboutit à la création d’une représentation numérique unique d’un visage particulier, constitue une collecte de renseignements biométriques^{Note de bas de page 25} parce que ces renseignements proviennent uniquement d’une personne identifiable particulière et pourrait servir (et sert) dans le cas présent de la technologie d’AVA à faire la distinction entre différentes personnes. En nous fondant sur les observations de la CCFL et de Mappedin concernant l’utilisation du logiciel FaceNet pour détecter et différencier les visages pendant le processus de collecte, nous avons déterminé que ces représentations numériques sont créées par FaceNet pour identifier un certain nombre de traits faciaux, qui permettraient normalement au logiciel de reconnaître des personnes spécifiques^{Note de bas de page 26}. Nous notons que, conformément aux observations de la CCFL et de Mappedin, nous n’avons trouvé aucune preuve que l’une ou l’autre utilisait la technologie dans le but d’identifier des personnes. Néanmoins, la collecte, l’utilisation et la conservation d’environ 5 millions de ces représentations numériques, que nous considérons comme des renseignements personnels de nature délicate, ont eu lieu au moyen de la technologie d’AVA.
66. Comme le prévoient les tribunaux, les renseignements concernent des personnes identifiables lorsque les renseignements en question, ainsi que d’autres renseignements disponibles, auront tendance à les identifier ou pourraient le faire^{Note de bas de page 27}. Le terme « concernent » est également défini comme constituant des renseignements qui ne sont pas seulement l’objet de quelque chose, mais qui portent également sur l’objet ou s’y rapportent, comme des images ou des renseignements biométriques^{Note de bas de page 28}. À cet égard, des enquêtes antérieures en Alberta ont révélé que les renseignements biométriques étaient des renseignements personnels^{Note de bas de page 29}. De même, les lignes directrices du CPVP sur la biométrie^{Note de bas de page 30} et les enquêtes antérieures affirment clairement que les renseignements biométriques sont personnels^{Note de bas de page 31}.
67. La England and Wales High Court of Justice a récemment statué que les données biométriques, sous forme de représentations numériques des visages, permettent l’identification unique des personnes avec une certaine précision, ce qui les distingue des autres formes de données.^{Note de bas de page 32} Comme la cour l’a déclaré :

    Comme les empreintes digitales et l’ADN, la technologie de RFA (reconnaissance faciale automatisée) permet d’extraire des renseignements et des identificateurs uniques au sujet d’une personne qui permet son identification avec précision dans un large éventail de circonstances. Prises seules ou avec d’autres métadonnées enregistrées, les données biométriques dérivées de la RFA constituent une source importante de renseignements personnels. Comme les empreintes digitales et l’ADN… il s’agit de renseignements de nature « intrinsèquement privée ». Le fait que les données biométriques soient dérivées des traits faciaux d’une personne qui sont « manifestes en public » n’enlève rien à cela. Les tourbillons et crêtes uniques sur le bout des doigts d’une personne sont visibles à l’œil nu. Mais cela ne rend pas les empreintes digitales moins uniques et précises pour identifier une personne. Les identificateurs biométriques faciaux sont aussi précis et uniques. [traduction] [souligné dans le document original]^{Note de bas de page 33}

68. En outre, étant donné que les représentations numériques des visages individuels ont été créées à partir d’images déjà saisies par la technologie d’AVA, nous sommes également d’avis que la création de tels renseignements biométriques à partir d’images constituait une collecte et une utilisation distinctes et supplémentaires de renseignements personnels même si les images originales n’ont pas été conservées.
69. En ce qui concerne le livre blanc dont il est question au paragraphe 12 du présent rapport, pour les raisons suivantes, nous ne pouvons accepter l’argument de la CCFL selon lequel le document appuie l’affirmation que la technologie d’AVA de la CCFL n’a pas contrevenu à la LPRPDE, en ce sens qu’aucun renseignement personnel n’a été « consigné » (sauf pendant la période d’essai et d’étalonnage) :
    1. Premièrement, nous notons que le livre blanc a été préparé dans le contexte de la Loi sur l’accès à l’information et la protection de la vie privée (« LAIPVP ») de l’Ontario. Le paragraphe 2(1) de cette loi définit les « renseignements personnels » comme des « renseignements consignés ayant trait à un particulier qui peut être identifié », tandis que l’alinéa 2(1)a) définit un « document » comme étant un « document qui reproduit des renseignements sans égard à leur mode de transcription, que ce soit sous forme imprimée, sur film, au moyen de dispositifs électroniques ou autrement », notamment « des photographies ». Toutefois, la LPRPDE, la PIPA de la Colombie-Britannique et la PIPA de l’Alberta définissent différemment les « renseignements personnels » et n’exigent pas que les renseignements soient « consignés » pour constituer des renseignements personnels. Par conséquent, la conformité à ces lois ne peut reposer sur un rapport préparé dans un contexte législatif différent.
    2. De plus, à notre avis, comme nous l’avons mentionné plus haut, les renseignements personnels sont « consignés » par la technologie d’AVA dans ce cas, car des images numériques doivent être temporairement saisies pour que la technologie puisse les traiter, outre le fait que d’autres données, y compris biométriques, sont dérivées de ces images et conservées. Par conséquent, qu’il s’agisse d’une photo ou d’un ensemble de points de données, les caractéristiques d’un visage sont consignées.
70. Nous n’acceptons pas non plus l’affirmation de la CCFL selon laquelle la décision Morgan c. Alta Flights Inc.^{Note de bas de page 34} s’applique aux faits présentés ici. Il s’agissait d’un magnétophone installé par un employeur pour faire des enregistrements audio de ses employés, mais le magnétophone n’a pas effectué d’enregistrements audio. Pour cette raison, la Cour a conclu que, comme la conversation n’avait pas été enregistrée, il n’y avait pas eu de collecte de renseignements au sens de la LPRPDE dans cette affaire. Cependant, ni la Cour fédérale ni la Cour d’appel fédérale n’ont déclaré que les renseignements personnels doivent, dans tous les cas, être consignés pour constituer une collecte en vertu de la LPRPDE ou d’autres lois sur la protection des renseignements personnels dans le secteur privé. De plus, comme notre enquête l’a établi, la technologie d’AVA a en fait « consigné » et, à notre avis, recueilli des renseignements personnels sous forme d’images et de données biométriques.
71. Nous acceptons que les données démographiques générées par la technologie d’AVA, comme les évaluations de l’âge et du sexe, ne constituent pas en soi des renseignements personnels aux fins des lois. Cela dit, les renseignements qui n’identifient pas un individu peuvent être des « renseignements personnels » selon le contexte^{Note de bas de page 35}, et dans ce cas, les données démographiques ont été conservées avec d’autres renseignements, y compris des renseignements biométriques uniques, l’emplacement et un horodateur. Nous sommes d’avis que la combinaison de ces renseignements augmente la probabilité, au-delà d’une « possibilité sérieuse », que la personne puisse être identifiée. C’est le cas même si nous n’avons trouvé aucune preuve que la CCFL a tenté d’identifier des personnes à partir de ces renseignements personnels recueillis. Nous sommes donc d’avis que les données démographiques constituent aussi des renseignements personnels dans ce contexte.
72. Par conséquent, nous ne pouvons pas accepter les conclusions du rapport du tiers selon lesquelles « les estimations enregistrées du sexe et de l’âge approximatif générées par le système sont anonymes ». La méthodologie de ce rapport était limitée et ne tenait pas compte des renseignements détaillés qui avaient été recueillis et produits par la CCFL, et que nous avons pu obtenir au cours de notre enquête.
73. Enfin, nous sommes d’avis que la collecte d’enregistrements vidéo et audio pendant la période d’étalonnage et d’essai constitue également une collecte de renseignements personnels en vertu des lois.

Existait-il un consentement et un avis valables?

74. La CCFL ne s’est pas assuré un consentement et un avis valables pour la collecte et l’utilisation de renseignements personnels au moyen du logiciel AVA, comme il est indiqué ci-dessus. Pour en arriver à cette décision, les commissariats ont tenu compte de ce qui suit : (i) la forme appropriée de consentement pour la pratique de la CCFL; (ii) la signification du consentement dans le contexte en cause; et (iii) le caractère adéquat de l’avis fourni par la CCFL aux fins de la LPRPDE, de la PIPA de l’Alberta et de la PIPA de la Colombie-Britannique.
75. Le principe 4.3 de l’annexe 1 de la LPRPDE dispose que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins que ces exigences ne soient expressément exemptées en vertu de l’article 7 de la LPRPDE. Le principe 4.3.4 prévoit en outre que la forme du consentement que l’organisation cherche à obtenir peut varier selon les circonstances et la nature des renseignements. Pour déterminer la forme que prendra le consentement, les organisations doivent tenir compte de la sensibilité des renseignements. Si certains renseignements sont presque toujours considérés comme sensibles, par exemple les dossiers médicaux et le revenu, tous les renseignements peuvent devenir sensibles suivant le contexte. Le principe 4.3.5 prévoit, en partie, que dans l’obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes. Enfin, le principe 4.3.6 dispose que la façon dont une organisation obtient le consentement peut varier selon les circonstances et la nature des renseignements recueillis. En général, l’organisation devrait chercher à obtenir un consentement explicite si les renseignements sont susceptibles d’être considérés comme sensibles.
76. De même, le paragraphe 7(1) de la PIPA de l’Alberta exige le consentement de la personne pour la collecte, l’utilisation ou la communication de renseignements personnels, sauf lorsque la Loi le précise. L’article 8 de la PIPA de l’Alberta établit les diverses formes de consentement, qui comprennent les trois possibilités suivantes :
    1. consentement oral ou écrit exprès;
    2. consentement présumé lorsqu’il est raisonnable qu’une personne fournisse volontairement les renseignements à une fin particulière;
    3. consentement par refus lorsque l’organisation doit fournir à la personne un avis facile à comprendre des fins particulières de la collecte, de l’utilisation ou de la communication, que la personne a une possibilité raisonnable de refuser ou auquel elle peut s’opposer, et le consentement par refus est approprié compte tenu du degré de sensibilité des renseignements personnels en cause.
77. La PIPA de la Colombie-Britannique comporte des exigences semblables à celles qui précèdent. Conformément à l’article 6 de la PIPA de la Colombie-Britannique, le consentement à la collecte, à l’utilisation ou à la communication de renseignements personnels est requis, à moins qu’une exemption ne soit expressément autorisée par la Loi. Le paragraphe 7(1) de la PIPA de la Colombie-Britannique prévoit qu’une personne n’a pas donné son consentement à moins d’en avoir été avisée. En ce qui concerne le consentement exprès ou implicite, le paragraphe 8(1) de la PIPA de la Colombie-Britannique établit les critères en vertu desquels le consentement présumé pour la collecte, l’utilisation ou la communication de renseignements personnels s’applique.
78. Les Lignes directrices pour l’obtention d’un consentement valable^{Note de bas de page 36} (les « Lignes directrices ») publiées conjointement par le CPVP, le CPVP-ALB et le CPVP-CB disposent qu’« en règle générale, les organisations doivent obtenir un consentement explicite » dans les cas suivants : (i) les renseignements recueillis, utilisés ou communiqués sont sensibles; (ii) la collecte, l’utilisation ou la communication de l’information ne répond pas aux attentes raisonnables de l’intéressé; (iii) la collecte, l’utilisation ou la communication de l’information crée un risque résiduel important de préjudice grave. Cela est renforcé par une décision rendue par la Cour suprême du Canada^{Note de bas de page 37}.
79. À notre avis, les renseignements biométriques sont de nature délicate dans presque toutes les circonstances. Ils sont intrinsèquement, et dans la plupart des cas de façon permanente, liés à la personne. Ils sont distinctifs, stables au fil du temps, difficiles à changer et en grande partie uniques à la personne. Dans la catégorie des renseignements biométriques, il y a des degrés de sensibilité. Les renseignements faciaux biométriques sont de nature plus délicate puisque la possession d’un modèle de reconnaissance faciale peut permettre l’identification d’une personne par comparaison à une vaste gamme d’images facilement accessibles sur Internet ou par surveillance clandestine.
80. De plus, les visiteurs des centres commerciaux ne s’attendraient pas, à notre avis, à ce que la CCFL recueille et utilise leurs renseignements biométriques. En fait, un visiteur n’aurait aucune raison de s’attendre à ce que son image soit recueillie par une caméra discrète pendant qu’il fait une recherche dans la borne d’orientation numérique d’un centre commercial. Une telle personne ne s’attendrait pas non plus à ce que cette image soit utilisée pour créer une représentation biométrique à l’appui des analyses commerciales de la CCFL.
81. Par conséquent, afin de se conformer aux lois et de mener ses activités conformément aux Lignes directrices, renforcées par la Cour suprême du Canada, la CCFL aurait dû obtenir le consentement explicite. Ce consentement aurait dû être obtenu au moment de l’interaction du visiteur avec la borne d’orientation numérique, avant que la CCFL ne saisisse et ne traite son image au moyen de la technologie d’AVA.
82. Deuxièmement, nous ne pouvons accepter la référence de la CCFL à sa Politique en matière de renseignements personnels comme appuyant un consentement valable à la collecte et à l’utilisation de renseignements personnels au moyen de la technologie d’AVA, que ce soit pour les enregistrements vidéo et audio recueillis et utilisés pour l’étalonnage et la mise à l’essai ou pour la collecte et l’utilisation subséquentes principalement en cause.
83. Le principe 4.3.2 de l’annexe 1 de la LPRPDE prévoit que les organisations doivent faire un effort raisonnable pour s’assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués. En outre, l’article 6.1 de la LPRPDE précise que le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti.
84. En vertu du paragraphe 13(1) de la PIPA de l’Alberta, avant ou au moment de la collecte des renseignements personnels visant une personne, l’organisation est tenue d’aviser la personne en question, par écrit ou de vive voix, des fins pour lesquelles les renseignements sont recueillis. Cet avis doit également préciser le nom, le poste ou le titre d’une personne en mesure de répondre, au nom de l’organisation, aux questions sur la collecte de renseignements que pose la personne.
85. Le paragraphe 10(1) de la PIPA de la Colombie-Britannique exige que, avant de recueillir des renseignements personnels visant une personne, l’organisation communique, par écrit ou de vive voix, les fins auxquelles les renseignements seront recueillis. L’organisation est aussi tenue de fournir sur demande le nom ou le titre du poste ainsi que les coordonnées d’un dirigeant ou d’un employé de l’organisation qui pourra répondre aux questions de la personne au sujet de la collecte.
86. De plus, les lignes directrices disposent qu’il est nécessaire d’informer les personnes de toutes les fins auxquelles les renseignements sont recueillis, utilisés ou communiqués. Il faut énoncer ces fins dans un langage clair, en évitant les formulations vagues comme « améliorer le service ». De plus, une information enfouie dans une politique de confidentialité ou des modalités d’utilisation n’est en réalité d’aucune utilité aux personnes qui ont peu de temps et d’énergie à consacrer à leur analyse. [soulignement ajouté]
87. En l’espèce, les personnes n’auraient pas été en mesure de comprendre la nature de ces pratiques, car elles n’en ont pas été avisées, et n’étaient autrement informées, que la CCFL avait recours à la technologie d’AVA. En vertu de la Politique en matière de renseignements personnels de la CCFL, certains de ses établissements sont dotés de caméras servant à surveiller la circulation et [possiblement] aider [la CCFL] à déterminer les caractéristiques démographiques des visiteurs des centres commerciaux et il est possible que des renseignements personnels soient recueillis à des fins de recherche, de mise au point de nouveaux produits et de techniques d’amélioration de services; toutefois, on ne pourrait raisonnablement s’attendre à ce que de tels énoncés permettent aux visiteurs de centres commerciaux de comprendre que, lors de leur utilisation de la borne d’orientation numérique du centre commercial : i) des enregistrements vidéo et audio en gros plan ont été effectués pendant la période d’étalonnage et d’essai; et/ou ii) qu’un logiciel de reconnaissance faciale détectait leur visage, le saisissait sous forme d’images numériques et le transformait en représentations numériques aux fins de prévision de données démographiques à leur sujet, comme leur tranche d’âge et leur sexe. Nous constatons également que cette information d’environ 2 300 mots est intégrée à une Politique en matière de renseignements personnels de 5 000 mots, ce que bon nombre d’utilisateurs ne liront pas avant la saisie de leur image.
88. De même, la CCFL ne pouvait pas se fier aux autocollants posés aux entrées des centres commerciaux comme garantissant un consentement adéquat en vertu de la LPRPDE; ils ne constituent pas non plus un avis suffisant en vertu de la PIPA de l’Alberta ou de la PIPA de la Colombie-Britannique. Comme le précise le paragraphe 57 du présent rapport, l’autocollant mentionne seulement que les enregistrements vidéo sont destinés à « la sûreté et la sécurité » [traduction] des visiteurs et ne fait aucune mention d’autres fins, comme celles associées à l’utilisation de la technologie d’AVA par la CCFL. De plus, le lien fourni mène vers la page d’accueil du site Web de la CCFL, et non vers la véritable Politique en matière de renseignements personnels. Rien ne permet de penser que les enregistrements vidéo ou les caméras sont utilisés à des fins autres que « la sûreté et la sécurité » [traduction], et les caméras d’orientation sont discrètes par rapport aux caméras de sécurité plus évidentes, de sorte qu’il n’y a pas de raison évidente ni d’incitation pour les visiteurs de chercher à s’informer sur d’autres utilisations, à l’intérieur d’une politique sur la protection des renseignements personnels. Ces autres utilisations, qui sont de nature moins intuitive et plus douteuse, brillent par leur absence dans l’affichage.
89. En outre, conformément aux lignes directrices, afin que le consentement soit considéré comme valable ou significatif, les organisations doivent informer les personnes de leurs pratiques en matière de protection de la vie privée de manière détaillée et en des termes faciles à comprendre. Par conséquent, les organisations doivent fournir l’information sur leurs pratiques de gestion des renseignements personnels sous une forme facilement accessible [soulignement ajouté]. Nous constatons que les répertoires d’orientation de la CCFL sont des lieux physiques, tandis que sa Politique en matière de renseignements personnels est publiée sur son site Web ou affichée au service à la clientèle, ailleurs dans le centre commercial. Par conséquent, la Politique en matière de renseignements personnels n’est pas facilement accessible pour les personnes qui ont recours à une carte d’orientation.
90. De plus, étant donné que les visiteurs des centres commerciaux ne sont pas au courant de la technologie d’AVA, et qu’ils ne savent même pas que les enregistrements vidéo peuvent être utilisés à des fins autres que la sûreté et la sécurité, ils n’ont aucune raison de se tourner vers la Politique en matière de renseignements personnels pour obtenir de plus amples renseignements. De plus, il ne serait pas naturel de chercher une politique en ligne pour comprendre les pratiques en matière de protection de la vie privée dans un lieu physique de magasinage.
91. Nous constatons également que, en ce qui concerne l’accessibilité de la Politique en matière de renseignements personnels de la CCFL, nous avons tenté, au cours de l’enquête, d’obtenir un exemplaire de cette politique de la CCFL auprès du service à la clientèle du Centre Eaton de Toronto. Nous avons remarqué que l’employé semblait confus au sujet de la demande et qu’il n’avait pas d’exemplaire de la Politique en matière de renseignements personnels. C’est seulement lorsque nous y sommes retournés que l’employé a offert d’imprimer la Politique en matière de renseignements personnels. En fait, ce qu’il nous a remis était l’énoncé sur la protection des renseignements personnels de la CCFL, plutôt que la politique dans son intégralité.
92. Pour conclure la question de la validité, nous sommes d’avis que, pour être valable, le consentement aurait dû être appuyé par une explication claire et bien en vue des fins de la saisie et de l’utilisation des renseignements personnels, ainsi que de la nature des renseignements recueillis et de leur utilisation. La CCFL n’a pas offert une telle explication aux utilisateurs du répertoire et n’a pas non plus obtenu de consentement valable concernant ses pratiques liées à la technologie d’AVA.

Les renseignements personnels ont-ils été conservés de façon appropriée?

93. Tel qu’il est indiqué au paragraphe 50 du présent rapport, les commissariats ont constaté pendant l’enquête que Mappedin a conservé, pour le compte de la CCFL, 5 061 324 représentations numériques de visages ainsi que les renseignements connexes. Comme il n’a pas été possible d’établir ou d’expliquer la raison d’une telle conservation, les commissariats ont décidé d’élargir la portée de l’enquête pour déterminer si la CCFL avait respecté ses obligations en vertu des dispositions des lois relatives à la conservation des renseignements personnels.
94. Comme il a déjà été établi, les commissariats considèrent ces représentations numériques et les renseignements connexes comme des renseignements personnels au sens des lois. Nous remarquons que le principe 4.5.3 de la LPRPDE, l’article 35 de la PIPA de l’Alberta et l’article 35 de la PIPA de la Colombie-Britannique énoncent tous des exigences concernant la destruction ou la dépersonnalisation des renseignements personnels dont on n’a plus besoin aux fins précisées, ou dans le cas de la PIPA de la Colombie-Britannique, un an après l’utilisation de ces renseignements, pour prendre une décision. Nous notons que, lorsqu’on lui a posé la question, Mappedin n’a pas pu préciser l’objet de la collecte ou de la conservation de ces renseignements au nom de la CCFL. Par conséquent, en plus du fait que la CCFL n’a pas obtenu de consentement valide pour la collecte d’images originales, CCFL et Mappedin n’avaient aucun motif pour conserver ces représentations numériques, au-delà de la très courte période nécessaire au logiciel d’AVA pour traiter les images. Nous prenons note de la déclaration de Mappedin selon laquelle le serveur contenant l’information avait été « mis hors service » [traduction]; toutefois, à notre avis, cela ne répond pas aux exigences des lois, puisqu’il était possible de réactiver facilement le serveur et d’accéder ainsi à tous les renseignements personnels. En fait, nous avons constaté, dans le cadre d’enquêtes sur les atteintes à la vie privée^{Note de bas de page 38}, que les anciens systèmes et les données « mis hors service » [traduction], s’ils ne sont pas supprimés, peuvent rapidement se retrouver entre de mauvaises mains en cas de cyberattaque.
95. Par conséquent, nous concluons que la CCFL a contrevenu au principe 4.5.3 de l’annexe 1 de la LPRPDE, à l’article 35 de la PIPA de l’Alberta et à l’article 35 de la PIPA de la Colombie-Britannique.

Recommandations

96. Dans notre rapport préliminaire, nous avons recommandé que, si la CCFL décide de continuer d’utiliser la technologie d’AVA dans ses centres commerciaux, elle devrait obtenir le consentement positif explicite, conformément aux lois et aux Lignes directrices pour l’obtention d’un consentement valable. Par exemple, la CCFL pourrait apporter des changements dans la façon dont les visiteurs interagissent avec les bornes d’orientation numériques en faisant apparaître un encadré contextuel à l’écran dès qu’un ou plusieurs visages sont détectés. Ce message devrait expliquer, en des termes simples et faciles à comprendre, les implications en matière de vie privée associées à la technologie d’AVA, dont la collecte et l’utilisation de renseignements biométriques. Il devrait être possible pour les utilisateurs de donner leur consentement ou de refuser de donner leur consentement, et le consentement ne devrait pas être une condition pour l’utilisation du répertoire d’orientation.
97. Par ailleurs, nous avons recommandé que la CCFL cesse d’utiliser la technologie d’AVA.
98. En plus de ce qui précède, les commissariats ont recommandé que la CCFL s’assure que toutes les images de reconnaissance faciale (c.-à-d. les représentations numériques) et les renseignements connexes soient supprimés, car ils ont été recueillis sans consentement et conservés à des fins non perceptibles.
99. Enfin, les commissariats ont recommandé que la CCFL veille à ce que le personnel de première ligne soit formé et tenu au courant de son obligation de fournir sur demande, aux services à la clientèle, la Politique en matière de renseignements personnels dans son intégralité.

Réponse de la CCFL à nos recommandations

Consentement

100. La CCFL a exprimé son désaccord explicite avec nos conclusions. Néanmoins, elle a confirmé qu’elle a désactivé son logiciel d’AVA le 31 juillet 2018, qu’elle a par la suite retiré cette technologie de ses bornes d’orientation et qu’elle n'a pas pour l'instant l'intention de la réinstaller.
101. La CCFL a également accepté de faire suivre à son personnel de première ligne une formation en vue de s’assurer qu’il soit au courant de son obligation de fournir sur demande, aux services à la clientèle, la Politique en matière de renseignements personnels dans son intégralité. La CCFL a indiqué que cette formation avait été complétée le 30 juillet 2020, et qu’une formation de rappel serait donnée chaque année.
102. Nous avons remarqué que les engagements de la CCFL n'excluaient pas la possibilité de redéployer le programme d’AVA à l’avenir. Nous avons donc demandé à la CCFL de confirmer que, si elle devait le faire, elle obtiendrait un consentement conforme à la recommandation du CPVP énoncée au paragraphe 95 ci-dessus.
103. En réponse, la CCFL a affirmé que, si elle décidait de reprendre l’utilisation de la technologie d’AVA dans ses centres commerciaux, elle obtiendrait un « consentement adéquat, conforme aux lois applicables sur la protection de la vie privée et aux Lignes directrices pour l’obtention d’un consentement valable. [traduction] »
104. La CCFL a toutefois refusé de s’engager à obtenir un consentement conforme à nos recommandations (c.-à-d. obtenir un consentement positif explicite), affirmant que cette recommandation était spéculative.

Conservation

105. La CCFL a confirmé avoir supprimé les représentations numériques et les informations connexes ainsi que les vidéos d’étalonnage en sa possession ou sous son contrôle qui ne sont plus requises à des fins légales. Elle a aussi indiqué qu’elle ne conservera plus de telles données et ne les représentera plus pour quelque fin que ce soit. Nous considérons donc que cette préoccupation est résolue.

Conclusion

106. Pour terminer, nous concluons que la CCFL s’est engagée dans la collecte et l’utilisation de renseignements personnels par le déploiement de la technologie d’AVA dans ses centres commerciaux, et ce, à l’insu des personnes intéressées, sans les avoir informées et sans leur consentement.
107. Par conséquent, nous concluons que la CCFL a contrevenu aux principes 4.3 de l’annexe 1, ainsi qu’à l’article 6.1 de la LPRPDE; au paragraphe 7(1) et au paragraphe 13(1) de la PIPA de l’Alberta; et à l’article 6 et au paragraphe 10(1) de la PIPA de la Colombie-Britannique.
108. De plus, nous avons déterminé que la CCFL n’a pas été en mesure d’assurer la destruction en temps opportun des renseignements personnels sous forme de représentations numériques de visages – et des renseignements connexes – recueillis au moyen du déploiement de la technologie d’AVA dans ses centres commerciaux.
109. Sur le fondement des engagements pris par la CCFL et les faits susmentionnés, nous acceptons que la CCFL est actuellement en conformité avec les Lois. En conséquence, nous considérons que la préoccupation est fondée et résolue.
110. Cela étant dit, nous souhaitons rappeler à la CCFL que, même si elle est en désaccord avec les conclusions du CPVP, si elle décide ultérieurement de déployer la technologie d’AVA dans ses centres commerciaux, nous nous attendons à ce qu’elle le fasse d’une manière qui respecte les lois canadiennes sur la protection des renseignements personnels, tel qu’il est mentionné dans nos recommandations.

Question 2 : L’utilisation par la CCFL des technologies de géolocalisation des appareils mobiles a-t-elle entraîné la collecte, l’utilisation ou la communication de renseignements personnels? Dans l’affirmative, la CCFL a-t-elle obtenu un consentement adéquat pour cette collecte, cette utilisation ou cette communication?

Observations de la CCFL et notre enquête

111. Dans le cadre de notre enquête, nous avons demandé à la CCFL comment la géolocalisation et les adresses MAC étaient utilisées, seules ou en combinaison avec d’autres renseignements, afin d’établir si la CCFL avait recueilli ou utilisé des renseignements personnels dans ce contexte. De plus, nous avons posé des questions pour déterminer si la CCFL avait obtenu le consentement adéquat pour la collecte et l’utilisation de renseignements personnels, le cas échéant.
112. Afin de corroborer l’information qui nous a été fournie et de mieux comprendre les pratiques en cause, nous avons également sollicité des observations d’Aislelabs, un tiers fournisseur de services ayant conclu un contrat avec la CCFL.

Aperçu de la mise en œuvre de la géolocalisation par la CCFL

113. La CCFL a établi et entretient des réseaux Wi-Fi dans tous ses immeubles commerciaux afin d’offrir un accès Internet gratuit aux visiteurs des centres commerciaux^{Note de bas de page 39}. Lorsqu’un visiteur utilisant un appareil Wi-Fi entre dans l’un des établissements de la CCFL, son appareil est détecté par un point d’accès sans fil. Pendant la communication avec le point d’accès, l’information dans l’appareil du visiteur est recueillie, y compris sa géolocalisation, qui peut être définie comme de l’information permettant l’estimation d’un emplacement physique. Autrement dit, la CCFL utilise la triangulation Wi-Fi, en utilisant les signaux envoyés par les appareils des visiteurs, pour calculer leur emplacement approximatif. Si le visiteur décide de se connecter au réseau Wi-Fi, il doit ouvrir une session et fournir des renseignements supplémentaires. La CCFL a passé un contrat avec une entreprise tierce, Aislelabs, en vue de l’analyse des renseignements recueillis en son nom, par l’entremise de ses points d’accès Wi-Fi.
114. La CCFL a décrit deux processus grâce auxquels elle recueille de l’information à partir de dispositifs Wi-Fi : i) « Connexion anonyme du visiteur » et ii) « Connexion authentifiée du visiteur ».
     1. Connexion anonyme du visiteur : Lorsqu’une personne possédant un dispositif Wi-Fi entre dans un établissement de la CCFL, son adresse MAC est détectée et sert à la création d’un identificateur unique aléatoire, tel qu’il est décrit aux paragraphes 115 et 116. Si la personne ne se connecte pas, cet identificateur unique et les renseignements connexes sur la géolocalisation constituent l’étendue des renseignements recueillis.
     2. « Connexion authentifiée du visiteur » : Si une personne décide d’ouvrir une session sur le réseau Wi-Fi de la CCFL au moyen d’un appareil mobile, l’adresse MAC de l’appareil est détectée et recueillie de la façon décrite ci dessus, et la personne est tenue d’accepter les modalités de la CCFL et de fournir des renseignements personnels supplémentaires, comme son nom complet et son adresse électronique, pour obtenir l’accès.
     Remarque : À la suite de l’émission de notre rapport préliminaire, la CCFL a clarifié (et Aislelabs a validé) que lorsqu’un utilisateur se connecte grâce à cette option, la CCFL associe au compte Wi-Fi uniquement l’établissement dans lequel l’utilisateur se trouve (p. ex. CF Eaton Centre) et non l’emplacement précis de l’utilisateur à l’intérieur de l’établissement. Aislelabs a expliqué que, même si son service de connexion au Wi-Fi offre l’option d’associer l’information sur la géolocalisation au compte, cette fonction n’avait pas été activée lors du déploiement de la « Connexion authentifiée du visiteur ».
115. Selon ses observations, la CCFL utilise des technologies de géolocalisation dans ses 19 établissements de vente au détail au Canada^{Note de bas de page 40}, à savoir :

     Propriété	Province
     CF Market Mall	Alberta (Alb.)
     CF Chinook Centre	Alberta (Alb.)
     CF Richmond Centre	Colombie-Britannique
     CF Pacific Centre	Colombie-Britannique
     CF Polo Park	Manitoba
     CF Champlain	Nouveau-Brunswick
     CF Toronto Eaton Centre	Ontario
     CF Sherway Gardens	Ontario
     CF Lime Ridge	Ontario
     CF Fairview Mall	Ontario
     CF Markville Mall	Ontario
     CF Shops at Don Mills	Ontario
     CF Fairview Park	Ontario
     CF Masonville Place	Ontario
     CF Rideau Centre	Ontario
     CF Galeries d’Anjou	Québec
     CF Carrefour Laval	Québec
     CF Promenades St-Bruno	Québec
     CF Fairview Pointe Claire	Québec

116. Lorsque nous avons demandé à la CCFL d’expliquer pourquoi elle avait déployé des technologies de géolocalisation, elle a déclaré qu’il s’agissait de « compter le nombre de piétons et obtenir une segmentation approximative des utilisateurs pour aider CF à gérer l’achalandage et à établir la valeur de ses établissements pour les annonceurs et les commerçants [traduction] ». De plus, la CCFL utilise ce qu’elle a décrit comme étant de l’information sommaire anonyme pour effectuer des recherches et développer de nouveaux produits et de nouvelles techniques pour améliorer les services offerts aux consommateurs et aux détaillants.
117. La CCFL a affirmé qu’elle n’avait pas recours au « suivi » de la géolocalisation dans ses centres commerciaux et a plutôt indiqué que les technologies qu’elle utilise ne font que localiser des appareils mobiles dans une zone ou un secteur général de ses établissements. La CCFL est d’avis qu’elle n’identifie ni ne suit les personnes, mais les appareils mobiles.
118. Selon les renseignements fournis par Aislelabs, ses capacités de géolocalisation intérieure sont fondées sur un système de positionnement Wi-Fi qui peut trianguler l’emplacement des appareils dans un secteur appelé « zone ». Elle a observé que chaque établissement de la CCFL comportait plusieurs zones. Par exemple, le Centre Eaton comptait 29 zones. Chaque zone était décrite comme ayant plusieurs points de vente au détail.

Autres renseignements concernant Aislelabs

119. Aislelabs se décrit^{Note de bas de page 41} comme une entreprise de technologie qui offre des services de marketing et de publicité basés sur le positionnement Wi-Fi, ainsi qu’une plateforme d’analyse de données. Pour la CCFL, elle crée également des profils de visiteurs, comprenant leur comportement, leurs intérêts et leurs données démographiques, en fonction des renseignements recueillis grâce à la connexion authentifiée du visiteur.
120. Nous notons que, même si la CCFL a déclaré qu’elle ne conservait pas les renseignements recueillis par Aislelabs en son nom, l’entente de service entre les deux parties précise que la CCFL demeure propriétaire des renseignements recueillis par les technologies de géolocalisation :

     « Aislelabs convient que, au titre du présent contrat, elle n’obtient aucun droit de propriété ni aucun droit d’exclusivité de quelque nature que ce soit sur le contenu, vos données ou une partie de celles-ci. Tous les droits, titres et intérêts dans ce qui précède (y compris tous les droits de propriété intellectuelle connexes, les modifications et les ajouts) demeurent en tout temps entre vos mains. [traduction] »

121. Selon les modalités de cette entente contractuelle, nous comprenons que la CCFL demeure responsable des renseignements recueillis par Aislelabs au nom de la CCFL.
122. Dans ses observations, Aislelabs a confirmé qu’elle n’utilise pas les renseignements obtenus dans le contexte de l’entente avec la CCFL à des fins autres que la prestation du service contractuel. Il est également précisé que Aislelabs ne communique pas ces renseignements à des tiers.

Connexion anonyme du visiteur

123. Selon les renseignements fournis par la CCFL, lorsqu’un appareil mobile Wi-Fi entre dans l’un de ses établissements, l’adresse MAC de l’appareil est détectée et recueillie, ce qui permet au logiciel d’Aislelabs de faire la distinction entre les visiteurs qui viennent pour la première fois et les visiteurs réguliers, de calculer l’emplacement approximatif d’un dispositif à l’intérieur de l’établissement de la CCFL au moyen de cartes thermographiques et de saisir les trajectoires et les temps d’arrêt.
124. Aislelabs, qui recueille et analyse l’information pour le compte de la CCFL, fournit à cette dernière des rapports sommaires basés sur les renseignements recueillis, qui comprennent par exemple des statistiques sur le nombre d’acheteurs, de visiteurs fréquents, le temps passé dans une zone dans un centre commercial, les trajectoires les plus utilisées et les cartes thermographiques représentant la densité des consommateurs dans les zones désignées. La CCFL peut accéder à ces rapports au moyen d’un tableau de bord sur Internet.
125. Tant la CCFL qu’Aislelabs ont déclaré que ce processus est « anonyme » parce que le logiciel d’Aislelabs a recours au hachage, une technologie qui consiste à utiliser une fonction unidirectionnelle pour attribuer un identificateur unique à l’appareil mobile au lieu de la véritable adresse MAC. Ce processus est effectué avant l’enregistrement de l’identifiant dans la base de données Aislelabs. Le hachage d’un identificateur unique offre une protection contre l’ingénierie inverse (ou d’autres moyens visant à récupérer la valeur d’origine) tant par l’organisation qui recueille et détient les renseignements que par des tiers. Bien qu’il soit théoriquement possible d’inverser une valeur de hachage sécurisée, c’est très peu pratique. Nos analystes technologiques ont confirmé que, d’après les observations d’Aislelabs, elle utilise un algorithme actuellement reconnu comme sécurisé de façon cryptographique.
126. En plus du hachage des adresses MAC, Aislelabs a indiqué qu’elle remplace chaque adresse MAC hachée par un identifiant aléatoire, de sorte qu’il est impossible d’obtenir les adresses MAC hachées à partir de la valeur stockée dans sa base de données. Par conséquent, hors des systèmes Aislelabs, l’identificateur aléatoire obtenu ne peut pas être associé à l’adresse MAC originale, ce qui offre une couche supplémentaire de dépersonnalisation. Cette étape supplémentaire atténue davantage le risque que l’adresse MAC originale soit récupérée et associée aux données de géolocalisation, tant par la CCFL, Aislelabs que tout tiers non autorisé.

Connexion authentifiée du visiteur

127. La connexion authentifiée du visiteur repose également sur la collecte d’adresses MAC, qui sont par la suite hachées, mais la CCFL a déclaré recueillir des renseignements personnels supplémentaires, avec consentement, lorsqu’un appareil mobile est utilisé pour se connecter à son service Wi-Fi gratuit. L’accès au réseau Wi-Fi de la CCFL exige que le visiteur s’inscrive à un compte. Par conséquent, la CCFL recueille des renseignements supplémentaires au moyen du processus de création de comptes, comme le prénom et le nom de famille, le courriel et la langue de préférence. Ces renseignements sont jumelés à l’adresse MAC hachée de l’appareil. La CCFL a reconnu que ces renseignements sont des renseignements personnels identifiables.
128. La CCFL a observé que les adresses MAC et les renseignements de géolocalisation recueillis dans le cadre du processus de connexion anonyme « ne sont pas et ne peuvent pas être associés ultérieurement au processus de connexion authentifiée du visiteur. [traduction] » Par conséquent, au moment de la création du compte, aucun renseignement n’est associé aux visites antérieures effectuées par la personne. De plus, si un utilisateur Wi-Fi qui s’est déconnecté de son compte visite par la suite un établissement de la CCFL sans ouvrir de session, les données d’adresse MAC et de géolocalisation seront recueillies uniquement dans le cadre du processus de connexion anonyme du visiteur. Les renseignements recueillis pendant la visite seront uniquement associés au compte de visiteur s’ils sont enregistrés. La CCFL a également affirmé qu’il serait absolument impossible d’associer les renseignements conservés dans les deux solutions.
129. La CCFL a déclaré qu’elle obtient le consentement explicite pour cette pratique au moyen des modalités accessibles à partir de la page d’ouverture de session, qui intègrent la Politique en matière de renseignements personnels expliquant les pratiques en question.
130. Plus précisément, selon la CCFL, lorsqu’un visiteur souhaite utiliser le service Wi-Fi gratuit de la CCFL, il doit ouvrir une session en utilisant une des différentes méthodes offertes (soit un compte de médias sociaux, soit un courriel), après avoir accepté ses modalités (les « modalités et conditions » ou les « modalités »). Les conditions d’ouverture de session Wi-Fi sont les suivantes :

     [Traduction] En accédant au service Internet sans fil de La Cadillac Fairview limitée, vous acceptez de vous conformer aux modalités de service. Si vous n’acceptez pas les modalités, n’accédez pas au service et ne l’utilisez pas. Pour vous faciliter la tâche, voici le résumé des modalités. Veuillez lire toutes les modalités de service ci-dessous.

     Résumé

     1. Vous utiliserez le service dans le respect des lois, de façon responsable et raisonnable.
     2. Dans le cadre de votre utilisation du service, vous assumez l’entière responsabilité de votre consultation de sites Web de tiers.
     3. Cadillac Fairview ne sera en aucun cas responsable de votre utilisation ou de votre incapacité à utiliser le Service.
     4. Vous acceptez d’indemniser Cadillac Fairview et de l’exonérer de toute demande liée à votre utilisation du service ou en découlant.
     5. Aucune garantie n’est offerte quant à la confidentialité ou la sécurité d’une transmission effectuée ou reçue par le service.
     6. Comme il s’agit d’un service gratuit, il est fourni sans garantie. Cadillac Fairview ne garantit pas la disponibilité ni la fiabilité du service.
     7. Cadillac Fairview se réserve le droit de bloquer certains sites Web ou services Internet et peut révoquer votre accès au service en tout temps.
     8. Cadillac Fairview peut surveiller vos activités en lien avec le service et peut communiquer tout renseignement connexe, au besoin.
     9. Les renseignements personnels seront utilisés conformément à notre Politique en matière de renseignements personnels [soulignement ajouté]
     10. Le service et les modalités peuvent être modifiés sans préavis. Vous devriez revenir pour voir les modalités en vigueur. Votre utilisation continue du service constituera votre acceptation des modalités.

     Cliquez ici pour accepter et passer au Wi-Fi.

     Cliquez ici pour consulter toutes les modalités.

131. Tel qu’il est souligné dans l’extrait figurant ci-dessus, le résumé précise que « les renseignements personnels seront utilisés conformément à notre Politique en matière de renseignements personnels », avec lien intégré. Nous notons que ce lien n’est pas un lien vers la Politique en matière de renseignements personnels de la CCFL, mais vers une page intitulée « CF SHOP! Privacy Statement ». Il faut faire défiler l’écran jusqu’au bas de la page pour voir le lien menant à la Politique en matière de renseignements personnels de la CCFL.
132. La CCFL a déclaré qu’en acceptant les modalités d’utilisation du Wi-Fi, l’utilisateur du dispositif donne son consentement à la collecte et à l’utilisation de ses renseignements personnels par la CCFL, et que, comme [traduction] « les modalités du Wi-Fi font expressément référence à la Politique en matière de renseignements personnels, ils l’intègrent ». Si une personne décide de ne pas accepter les modalités, elle se verra refuser l’utilisation du service Wi-Fi gratuit. Bien que le résumé souligne les dispositions relatives à la limitation de la responsabilité de la CCFL et à l’utilisation appropriée du service Wi-Fi, il n’y a pas de mention précise des pratiques de protection des renseignements personnels, à part un lien vers CF SHOP! Privacy Statement.
133. Dans le document complet des modalités, la CCFL avise les utilisateurs du service Wi-Fi (le « service ») qu’elle pourrait surveiller, consigner et examiner les activités des utilisateurs en lien avec leur utilisation du service. De plus, elle précise que tous les renseignements personnels qui lui ont été fournis afin d’accéder au service seront utilisés conformément à sa Politique en matière de renseignements personnels, laquelle se trouve à l’adresse http://cfshop.ca/privacy.html et dans les présentes modalités.
134. Plus précisément, la CCFL a attiré l’attention sur certaines sections de la Politique en matière de renseignements personnels, notamment, à la section « Information sur le navigateur et l’appareil ».

     « Nous pourrions également utiliser de l’information sur l’appareil, notamment l’adresse MAC ou d’autres identifiants de l’appareil pour surveiller la circulation, offrir des promotions et des offres pertinentes, personnaliser votre expérience en ligne, fournir et gérer nos services Wi-Fi. »

     Une autre section porte sur l’utilisation des témoins de connexion, des transmetteurs Ibeacon et d’autres technologies semblables :

     « Nous utilisons également diverses technologies pour surveiller la circulation et les appareils mobiles dans nos établissements. Cette technologie nous permet de recueillir de l’information sur la façon dont nos établissements sont utilisés et nous permet également (avec votre permission) de vous présenter des offres spéciales fondées sur l’emplacement. »

135. Nous avons également remarqué ce qui suit, dans la section « Quels types de renseignements personnels recueillez-vous et utilisez-vous? » :

     Information de localisation … Nous utilisons l’information de localisation pour mieux comprendre comment nos locaux sont utilisés et pour vous faire des offres fondées sur l’emplacement.

     Sous la rubrique « Personnalisez-vous les offres promotionnelles et les autres avantages à mon intention? », voici ce que dit la politique :

     « Veuillez consulter la rubrique Quels choix s’offrent à moi? pour savoir comment refuser ces offres promotionnelles personnalisées et ces autres avantages.

     Sous la rubrique « Quels choix s’offrent à moi? », voici ce que dit la Politique en matière de renseignements personnels :

     Information sur l’emplacement. Nous recueillions de l’information sur votre emplacement uniquement lorsque vous êtes connecté à nos applications mobiles et que vous autorisez votre appareil à nous fournir de l’information GPS.

Option de refus

136. Aislelabs a expliqué aux commissariats que les personnes peuvent ne pas consentir qu’un identifiant soit associé aux analyses de données de géolocalisation effectuées par Aislelabs pour le compte de ses clients, comme CCFL, en inscrivant l’adresse MAC de leurs appareils mobiles par l’entremise d’une page Web de refus^{Note de bas de page 42}. Une fois que la personne inscrit l’adresse MAC de son appareil, les données qui auraient pu être associées à cet appareil sont supprimées.
137. Nous n’avons trouvé aucune référence ou explication au sujet de l’option de refus dans la Politique en matière de renseignements personnels de la CCFL.

Analyse

Y a-t-il eu collecte, utilisation ou communication de renseignements personnels?

138. Premièrement, nous avons examiné si les renseignements recueillis par la CCFL au moyen des technologies de géolocalisation constituaient des renseignements personnels tels qu’ils sont définis au paragraphe 2(1) de la LPRPDE, à l’article 1 de la PIPA de la Colombie-Britannique et à l’alinéa 1(1)k) de la PIPA de l’Alberta. Les lois définissent les renseignements personnels comme tout renseignement concernant un individu identifiable.

Connexion anonyme du visiteur

139. Pour les raisons exposées ci-dessous, nous acceptons que la CCFL ne recueille pas de renseignements personnels dans le cadre de son processus de « connexion anonyme du visiteur ».
140. Contrairement à la position de la CCFL selon laquelle les adresses MAC ne sont « tout simplement pas des renseignements personnels [traduction] », nous sommes d’avis qu’une adresse MAC peut constituer des renseignements personnels, que ce soit dans leur forme originale ou hachée, dans certaines circonstances. À notre avis toutefois, elles ne constituent pas des renseignements personnels dans le contexte du processus de connexion anonyme du visiteur.
141. Les tribunaux ont conclu dans plusieurs affaires que les renseignements personnels doivent être interprétés dans un sens large afin de donner effet aux fins prévues par les dispositions législatives^{Note de bas de page 43}. De plus, les renseignements personnels seront considérés comme tels s’ils « concernent » un individu identifiable, et une personne sera identifiable si les renseignements en question, communiqués seuls ou combinés à d’autres renseignements accessibles au public, « tendraient à l’identifier ou pourraient l’identifier^{Note de bas de page 44} ». En outre, le terme « concernant » est également défini comme étant des renseignements qui ne sont pas seulement l’objet de quelque chose, mais qui sont également à propos de l’objet ou s’y rapportent^{Note de bas de page 45}.
142. Nous prenons note des observations de la CCFL relativement à l’affaire Leon’s^{Note de bas de page 46}, qui a établi que les renseignements doivent être identifiables et personnels (c.-à-d. directement liés à la personne) pour constituer des renseignements personnels. Cela dit, la Cour fédérale a récemment fait une mise en garde selon laquelle des renseignements concernant des appareils et des objets pourraient toujours constituer des renseignements personnels s’ils sont associés à un individu identifiable d’une manière ou dans un contexte qui révèlent des renseignements personnels^{Note de bas de page 47}. De plus, à la suite de l’arrêt Leon’s, la Cour d’appel de l’Alberta a rendu une décision^{Note de bas de page 48} établissant que « lorsque les renseignements concernent des biens, mais qu’ils ont également une "dimension personnelle", ils peuvent parfois être qualifiés, à juste titre, de "renseignements personnels" [traduction] ».
143. Les renseignements qui ne sont pas, à première vue, des renseignements personnels, peuvent néanmoins être considérés comme tels s’il existe de « fortes possibilités » que l’individu puisse être identifié par l’utilisation de ces renseignements, seuls ou en combinaison avec des renseignements d’autres sources disponibles^{Note de bas de page 49}. L’application de ce critère dépend des circonstances de chaque cas. Pour qu’il y ait de « fortes possibilités », il faut aller au delà de la simple spéculation, mais il n’est pas nécessaire d’atteindre le niveau du « plus probable que le contraire »^{Note de bas de page 50}.
144. Le CPVP a exprimé son point de vue dans un certain nombre de cas antérieurs selon lequel les identifiants d’appareils peuvent constituer des renseignements personnels et concerner une personne identifiable. Par exemple, dans une enquête menée en 2013 sur WhatsApp^{Note de bas de page 51}, le CPVP a conclu que les identifiants uniques, les renseignements sur les identifiants de l’appareil, le numéro d’identité de l’abonné mobile, l’indicatif de pays de l’appareil mobile et le code de réseau mobile pouvaient constituer des renseignements personnels, puisque les renseignements, seuls ou en association avec d’autres données, pourraient permettre de l’identifier. Le CPVP-CB a également publié des rapports d’enquête qui concluent que les identifiants d’appareils constituent une forme de renseignements personnels. Par exemple, un rapport de 2019 sur les cliniques de santé a déterminé que les cliniques devraient aviser les personnes avant de recueillir des renseignements personnels en ligne, y compris les identifiants d’appareil, et a recommandé que les identifiants d’appareil et d’autres renseignements personnels recueillis, utilisés ou communiqués en ligne soient expliqués en détail dans les politiques sur la protection des renseignements personnels^{Note de bas de page 52}.
145. Selon le contexte, une adresse MAC peut constituer des renseignements personnels, par exemple lorsqu’elle est combinée à d’autres données disponibles. Dans le cas du processus de connexion anonyme du visiteur, les seuls renseignements associés à l’adresse MAC hachée sont des données générales et imprécises de géolocalisation qui se limitent aux centres commerciaux de la CCFL et à leurs environs immédiats. À notre avis, ces renseignements ne sont pas suffisants pour permettre l’identification d’une personne, car ils ne contiennent pas l’étendue géographique ou le niveau de détail nécessaire pour extrapoler des renseignements d’identification comme la résidence, les habitudes ou le lieu de travail précis. De plus, le hachage et la randomisation de l’adresse MAC rendraient pratiquement impossible l’utilisation de cette dernière pour relier d’autres renseignements disponibles concernant l’utilisateur de l’appareil mobile, de sorte que nous acceptons qu’il n’existe pas de fortes possibilités que l’adresse MAC ou les renseignements connexes de géolocalisation soient reliés à l’utilisateur en question.
146. Par conséquent, nous acceptons que la CCFL ne recueille, n’utilise ou ne communique pas de renseignements personnels dans le contexte particulier du processus de connexion anonyme du visiteur, tel qu’il est compris dans la présente enquête.

Connexion authentifiée du visiteur

147. Comme il a été mentionné précédemment, la CCFL a reconnu que, dans le cadre de son processus de connexion authentifiée du visiteur, elle recueille des renseignements personnels par l’entremise de l’ouverture de session, comme les adresses de courriel et d’autres renseignements personnels fournis en fonction du mécanisme d’ouverture de session. En particulier, la CCFL a indiqué que lorsque les visiteurs choisissent de se connecter au Wi-Fi au moyen d’un compte de médias sociaux, la CCFL recueillera d’autres renseignements associés au compte. Ces renseignements sont ensuite associés au compte de connexion authentifiée du visiteur. Nous sommes d’avis que les adresses MAC et toute information de géolocalisation recueillies pendant que l’utilisateur est connecté deviennent des renseignements personnels en raison de leur association avec un compte utilisateur, et donc une personne identifiable.
148. Grâce à de nouveaux renseignements fournis par la CCFL et Aislelabs aux commissariats en réponse à notre rapport préliminaire, nous comprenons et acceptons maintenant que la CCFL n’associe pas l’information de géolocalisation dérivée de la triangulation Wi-Fi, l’objet de notre enquête, avec les renseignements personnels des acheteurs connectés. Bien qu’il serait théoriquement possible pour la CCFL de faire une telle association – ce qui exigerait l’aide d’Aislelabs –, le hachage des adresses MAC et la séparation des deux bases de données rendent le processus invraisemblable.
149. Il y a en outre les limitations imposées par les restrictions contractuelles et le code de conduite applicable. Bien que la compagnie Aislelabs ait les capacités techniques d’associer l’information de géolocalisation sur le réseau Wi-Fi de la CCFL, cela lui est interdit aux termes du contrat avec la CCFL et du code de conduite relatif à l’analyse de la localisation des appareils mobiles auquel la compagnie a confirmé sa stricte adhésion. Il n’y a aucun élément de preuve indiquant que la compagnie Aislelabs ait jamais entrepris une telle association; et à notre avis, cette information – la localisation approximative des visiteurs dans les centres commerciaux – n’a pas une valeur qui justifierait la violation des obligations contractuelles et du code de conduite.
150. Les commissariats ne se sont pas penchés sur la question de savoir si la CCFL avait obtenu un consentement valable pour les renseignements recueillis à partir de comptes de médias sociaux de tierces parties au moyen de la procédure d’ouverture de session unique, qui ne s’inscrit pas dans le cadre de la présente enquête.

Existait-il un consentement et un avis valables pour la collecte d’informations relatives à l’adresse MAC et la géolocalisation?

151. Compte tenu de notre conclusion selon laquelle la CCFL ne recueille pas de renseignements personnels dans le cadre de son processus de connexion anonyme du visiteur, nous acceptons que la CCFL n’était pas tenue d’obtenir le consentement de l’utilisateur pour recueillir ces renseignements.
152. En ce qui concerne la connexion authentifiée du visiteur, nous comprenions, au moment de l’émission de notre rapport préliminaire, que la CCFL associait l’information de géolocalisation dérivée de la triangulation Wi-Fi aux comptes des personnes qui utilisaient le Wi-Fi de la CCFL. Par conséquent, nous avons réalisé une analyse préliminaire concernant le caractère adéquat du consentement obtenu par la CCFL pour cette pratique. Nous avons depuis appris dans la réponse de la CCFL à notre rapport préliminaire, qu’elle n’associait pas, ni n’établissait de lien avec, l’information de géolocalisation des personnes au moyen du service Wi-Fi.^{Note de bas de page 53} Même si, parallèlement à la connexion authentifiée du visiteur, la CCFL recueillait de l’information de géolocalisation triangulée sur les appareils avec connexion sans fil au moyen de la connexion anonyme du visiteur, nous avons conclu qu’il ne s’agissait pas de renseignements personnels dans ce contexte. En outre, la CCFL n’associait pas (n’était pratiquement pas capable d’associer) ni n’établissait de lien avec cette information et les renseignements personnels recueillis sur les utilisateurs du Wi-Fi.
153. Nous soulignons cependant que le service de connexion au Wi-Fi d’Aislelabs offre l’option d’associer l’information de « zone » triangulée aux comptes, et que la CCFL a affirmé dans sa Politique en matière de renseignements personnels qu’elle utilise l’information de géolocalisation pour envoyer des offres fondées sur l’emplacement (voir le paragraphe 134). Nous avons donc inclus notre analyse concernant l’association de donnée de géolocalisation à des comptes de Wi-Fi ci-dessous, afin d’indiquer les attentes des commissariats dans l’éventualité où la CCFL déciderait d’activer cette fonctionnalité à l’avenir.

Caractère valable

154. Le principe 4.3 de l’annexe 1 de la LPRPDE prévoit que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Le principe 4.3.2 de la LPRPDE prévoit en outre que les organisations doivent faire un effort raisonnable pour s’assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués. L’article 6.1 de la LPRPDE précise en outre que le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti.
155. De même, l’alinéa 7(1)a) de la PIPA de l’Alberta prévoit que, sauf autorisation contraire prévue par la Loi, « une organisation ne peut, en ce qui concerne les renseignements personnels d’une personne […] effectuer la collecte de ces renseignements sans le consentement de la personne intéressée [traduction] ». Le paragraphe 13(1) de la PIPA de l’Alberta exige en outre qu’avant ou au moment de la collecte des renseignements personnels visant une personne, l’organisation avise la personne en question, par écrit ou de vive voix, des fins pour lesquelles les renseignements sont recueillis. Cet avis doit également préciser le nom, le poste ou le titre d’une personne en mesure de répondre au nom de l’organisation aux questions de la personne au sujet de la collecte de renseignements.
156. Dans la même veine, le paragraphe 7(1) de la PIPA de la Colombie-Britannique prévoit qu’une [traduction] personne n’a pas donné son consentement à moins d’en avoir été avisée. Dans certains cas, un avis n’est pas nécessaire si la fin de la collecte, de l’utilisation ou de la communication des renseignements est « évidente » et que la personne fournit volontairement ses renseignements à cette fin. De plus, le paragraphe 10(1) de la PIPA de la Colombie-Britannique exige que, avant de recueillir des renseignements personnels visant une personne, l’organisation communique, par écrit ou de vive voix, les fins de la collecte de ces renseignements. L’organisation doit également, sur demande, fournir le nom ou le titre du poste ainsi que les coordonnées d’un dirigeant ou d’un employé de l’organisation qui est en mesure de répondre aux questions de la personne au sujet de la collection.
157. En plus de ce qui précède, les lignes directrices précisent que les personnes devraient être informées de toutes les fins auxquelles les renseignements seront recueillis, utilisés ou communiqués. Il faut énoncer ces fins dans un langage clair, en évitant les formulations vagues comme « améliorer le service », et l’information enfouie dans une politique de confidentialité ou des modalités d’utilisation n’est en réalité d’aucune utilité aux personnes qui ont peu de temps et d’énergie à consacrer à leur analyse.
158. Les lignes directrices prévoient également que « [p]our obtenir un consentement valable, les organisations doivent permettre aux individus d’examiner rapidement les éléments clés qui auront une incidence sur leur décision en matière de protection des renseignements personnels au départ lorsqu’ils envisagent d’utiliser le produit ou le service offert... » et que les organisations « devraient notamment souligner toute fin qui ne serait pas évidente pour la personne ou à laquelle elle pourrait raisonnablement ne pas s’attendre dans le contexte » [soulignement ajouté].
159. Nous notons que le résumé des modalités d’accès au service Wi-Fi de la CCFL comprend dix points précis, dont un seul porte sur la protection de la vie privée, et ce, uniquement dans la mesure où il y est précisé que « les renseignements personnels seront utilisés conformément à notre Politique en matière de renseignements personnels [traduction] ». Le résumé ne dit rien, même à un degré élevé, sur les renseignements personnels qui seront recueillis ni des fins pour lesquelles ces renseignements seront utilisés. Pour trouver ces renseignements, les personnes doivent cliquer sur l’hyperlien pour accéder à une déclaration de confidentialité, puis trouver le lien vers la Politique en matière de renseignements personnels de la CCFL qui se trouve au bas de la page. De nombreux utilisateurs ne liront pas avant de se connecter ou ne liront jamais, ce document de 5 000 mots.
160. Le consentement n’est valable que lorsque les personnes comprennent bien ce à quoi elles consentent. Par conséquent, si la CCFL décide à l’avenir de recueillir ou d’utiliser l’information de géolocalisation triangulée, voire plus précise, des utilisateurs du Wi-Fi (par exemple pour envoyer des offres fondées sur l’emplacement tel que mentionné dans sa Politique en matière de renseignements personnels), la CCFL devra s’assurer que les utilisateurs prospectifs sont mis au courant de cette pratique au moyen d’un avis bien en vue sur la page de connexion avant qu’ils ne soient invités à cliquer sur le bouton « cliquez ici pour accepter les modalités et accéder au service Wi-Fi », ainsi que d’une explication claire et détaillée de la pratique dans la Politique en matière de renseignements personnels.
161. Enfin, nous soulignons que la CCFL n’utilise pas actuellement l’information de géolocalisation pour proposer des « offres spéciales en fonction de l’emplacement », contrairement à ce qu’elle a déclaré dans sa Politique en matière de renseignements personnels. À notre avis, la CCFL ne peut fournir d’explications précises quant à la façon dont elle utilisera ou communiquera les renseignements personnels pour arriver à cette fin puisque, en réalité, elle ne se livre pas à cette pratique. Par conséquent, nous sommes d’avis que la CCFL ne devrait pas chercher à obtenir un tel consentement en ce moment.

Choix

162. Selon les lois, une personne n’est pas tenue de consentir à la collecte, à l’utilisation ou à la communication de renseignements personnels autres que ceux qui sont nécessaires pour fournir un produit ou un service^{Note de bas de page 54}.
163. Les Lignes directrices expliquent en outre que pour que la collecte, l’utilisation ou la communication de renseignements soit une condition de service valide, ces fins doivent être essentielles à la prestation du service et que, si ce n’est pas le cas, les personnes doivent avoir le choix. Les organisations devraient établir une distinction entre les fins qui sont essentielles à la prestation d’un service et celles qui ne le sont pas, et expliquer toutes les options offertes de façon claire et aisément accessible.
164. La CCFL fait la promotion du Wi-Fi gratuit comme service pour inciter les acheteurs potentiels à passer du temps dans ses centres commerciaux. À notre avis, la CCFL profite de la prestation de ce service en raison de la possibilité d’une circulation accrue dans ses centres commerciaux, et ce, même sans la collecte de données de géolocalisation. Nous reconnaissions les avantages commerciaux légitimes que la CCFL peut tirer de la collecte, de l’utilisation et de la communication de renseignements personnels au moyen de technologies de géolocalisation et des analyses connexes. Toutefois, la géolocalisation ne fait pas partie intégrante de la prestation du service Wi-Fi. Par conséquent, la CCFL devrait donner aux personnes la possibilité de refuser la géolocalisation.

Recommandations préliminaires

165. Dans notre rapport préliminaire, nous avons recommandé que la CCFL prenne les mesures suivantes pour obtenir un consentement valable pour l’utilisation de l’adresse MAC et des données de géolocalisation des personnes qui accèdent à son service Wi-Fi authentifié :
     1. fournir de façon claire et bien visible, par exemple sur la page d’ouverture de session au service Wi-Fi, de l’information sur ses pratiques concernant les données de géolocalisation, les fins pour lesquelles ces données seront utilisées, et la façon dont les utilisateurs peuvent refuser de consentir à la collecte de ces données;
     2. offrir aux personnes une option facilement accessible et bien en vue permettant de ne pas consentir à ce que la CCFL associe l’adresse MAC et les données de géolocalisation à leurs comptes;
     3. inclure dans la Politique en matière de renseignements personnels de la CCFL une explication claire selon laquelle la géolocalisation n’est pas essentielle à la prestation de son service Wi-Fi, et expliquer comment les personnes peuvent refuser de consentir à la géolocalisation;
     4. cesser de demander le consentement pour l’utilisation des données de géolocalisation et de l’adresse MAC afin d’« offrir des promotions et des offres pertinentes » jusqu’à ce que la CCFL décide de se livrer à cette pratique et soit donc en mesure d’expliquer de façon précise la façon dont elle utilisera ces données à ces fins.

Réponse de la CCFL à nos recommandations

166. Tel qu’il a été susmentionné, en réponse à notre rapport préliminaire, la CCFL a fourni de nouveaux renseignements aux commissariats, confirmant qu’elle n’a pas associé de données de géolocalisation de « zone » aux comptes Wi-Fi individuels.
167. Nous constatons néanmoins qu’il y a possibilité d’associer des données de géolocalisation de « zone » à la connexion authentifiée du visiteur au moyen du service d’Aislelabs (une fonction qui n’a pas été comprise dans le déploiement actuel du service Wi-Fi de la CCFL), et soulignons le fait que la Politique en matière de renseignements personnels de la CCFL confirmait l’utilisation de données de géolocalisation pour proposer « des offres spéciales fondées sur l’emplacement ».
168. Nous avons donc demandé à la CCFL de s’engager à suivre les recommandations énoncées au paragraphe 165 (point i à iii) dans l’éventualité où elle déciderait d’activer la fonction d’association des données de géolocalisation aux comptes Wi-Fi connectés à l’avenir.
169. La CCFL a refusé de prendre cet engagement, affirmant que nos recommandations étaient spéculatives.
170. La CCFL s’est néanmoins engagée à cesser de demander le consentement pour l’utilisation des données de géolocalisation et de l’adresse MAC afin d’« offrir des offres spéciales fondées sur l’emplacement », une pratique à laquelle elle ne se livre pas, et à clarifier que seul le nom de l’établissement de la CCFL dans lequel l’utilisateur se trouve et se connecte est associé au compte Wi-Fi, et non des données de géolocalisation granulaires. En réponse à notre rapport préliminaire, la CCFL a modifié le libellé de sa Politique en matière de renseignements personnels en conséquence.

Conclusion

171. En ce qui concerne la collecte, l’utilisation et la communication de données de géolocalisation, nous concluons que la CCFL n’a pas recueilli de renseignements personnels dans le cadre de la connexion anonyme du visiteur, et n’a pas recueilli de données de géolocalisation triangulées dans le cadre de la connexion authentifiée du visiteur. En conséquence, nous considérons que cette préoccupation n’est pas fondée.
172. Cela dit, nous souhaitons rappeler à la CCFL que, si elle décide ultérieurement d’associer les données de géolocalisation de « zone » ou plus granulaires aux comptes Wi-Fi dans ses centres commerciaux, nous nous attendons à ce qu’elle le fasse d’une manière qui respecte les lois canadiennes sur la protection des renseignements personnels, tel qu’il est mentionné dans nos recommandations préliminaires.