Enquête sur la conformité de Home Depot du Canada Inc. à la LPRPDE

Conclusions en vertu de la LPRPDE n^o 2023-001

Le 26 janvier 2023

Aperçu

Le plaignant a fait valoir que Home Depot du Canada inc. (« Home Depot ») avait communiqué ses renseignements personnels sur Facebook (maintenant Meta Platforms Inc. [« Meta »]) sans l’en avoir informé et sans obtenir son consentement. Plus précisément, le plaignant a affirmé que, pendant qu’il supprimait son compte Facebook, il a réalisé que Meta avait un registre de la plupart de ses achats en magasin effectués chez Home Depot.

Home Depot a confirmé au Commissariat que l’entreprise transmettait en fait les données des clients en magasin à Meta au moyen d’un outil commercial connu sous l’appellation « Conversions hors ligne », qui permet aux entreprises de mesurer l’efficacité des publicités sur Meta. Plus précisément, Home Depot fait parvenir la version hachée^{Note de bas de page 1} de l’adresse électronique du client et les détails sur l’achat hors ligne à Meta lorsque le client lui donne son adresse électronique, au moment où il paie son achat, pour obtenir un reçu électronique. Meta fait ensuite concorder le courriel avec le compte Facebook du client. Si le client possède un compte Facebook, Meta compare les renseignements sur l’achat hors ligne avec les publicités sur Facebook à l’intention du client afin de mesurer l’efficacité de ces publicités, et la société renvoie les résultats de cette analyse à Home Depot sous forme de rapport global. Meta peut également utiliser les renseignements du client à ses propres fins commerciales, y compris les publicités ciblées, qui ne se rattachent pas à Home Depot.

Contrairement à l’affirmation de Home Depot, ni sa déclaration sur la confidentialité ni celle de Meta ne suffisaient pour obtenir un consentement tacite en vue de la communication à Meta des renseignements personnels des clients en magasin qui demandent un reçu électronique. La déclaration sur la confidentialité de Home Depot n’aurait pas été accessible sur-le-champ pour les clients au moment de l’achat, et, quoi qu’il en soit, Home Depot n’a pas présenté une explication claire de la pratique en question. De plus, les clients n’auraient aucune raison de vérifier la déclaration sur la confidentialité de Meta au moment de donner leur adresse électronique à Home Depot.

En conséquence, nous estimons que, bien que les renseignements en question dans ce contexte précis (renseignements généraux sur l’achat à Home Depot, comme « bois » ou « quincaillerie ») ne soient généralement pas de nature sensible, les clients ne s’attendraient pas forcément à ce que Home Depot les communique à Meta, ce qui fait en sorte que l’entreprise aurait dû obtenir un consentement explicite actif pour la pratique.

En réponse aux recommandations formulées par le Commissariat, Home Depot s’est engagée à mettre en œuvre les recommandations et a cessé d’utiliser l’outil « Conversions hors ligne » de Meta en octobre 2022. Nous apprécions la collaboration de Home Depot tout au long de notre enquête ainsi que l’engagement de celle-ci à améliorer la protection de la vie privée en acceptant nos recommandations.

Par conséquent, le Commissariat conclut que la présente plainte est fondée et résolue.

Plainte et contexte

Le Commissariat à la protection de la vie privée du Canada (le « CPVP ») a reçu une plainte de la part d’une personne qui a fait valoir que Home Depot avait enfreint la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») en communiquant ses renseignements personnels à Meta sans l’en avoir informé et sans obtenir son consentement. Plus précisément, le plaignant a affirmé que c’est pendant qu’il supprimait son compte Facebook qu’il a réalisé que Meta avait un registre de la plupart de ses achats en magasin effectués chez Home Depot. Ces renseignements figuraient dans la section « Activité en dehors de Facebook » de son compte Facebook^{Note de bas de page 2}. Le plaignant a tenté de régler cette affaire avec Home Depot, mais a été insatisfait de la réponse obtenue; en fait, l’entreprise l’a informé incorrectement qu’elle n’avait pas transmis ses renseignements à Meta^{Note de bas de page 3}.
En enquêtant sur cette affaire, le Commissariat a demandé à Home Depot directement et à Meta, en tant que tiers dans l’enquête, de présenter des observations.
En nous fondant sur les arguments des deux parties, nous avons appris que depuis 2018, Home Depot se sert d’un outil commercial fourni par Meta appelé « Conversions hors ligne ». Selon Meta, cet outil permet aux entreprises d’évaluer la mesure dans laquelle les publicités sur Facebook entraînent des résultats réels, comme les achats en magasin. Plus précisément, les entreprises peuvent transmettre à Meta des données sur les transactions en magasin au moyen de l’outil « Conversions hors ligne » afin i) de comprendre la part de leurs activités hors ligne qui peut être attribuable aux publicités; ii) de mesurer le retour réalisé hors ligne sur les dépenses publicitaires; et iii) de rejoindre des gens hors ligne et de diffuser des publicités en fonction de leurs actions hors ligne. Également, nous avons constaté dans le matériel en ligne auquel Meta fait allusion que la société pouvait utiliser les renseignements obtenus au moyen de l’outil « Conversions hors ligne » pour créer des auditoires semblables dans le but de diffuser, par ses technologies, des publicités auprès de personnes ayant un profil semblable aux clients hors ligne ^{Note de bas de page 4}.
Home Depot a expliqué que Meta agit en qualité de fournisseur de services auprès d’elle en traitant les renseignements que l’entreprise lui fait parvenir et en les transmettant de nouveau sous forme agrégée. Home Depot peut ainsi mesurer l’efficacité d’une campagne publicitaire sur les plateformes de Meta, de même que ses répercussions sur les ventes en magasin.
Home Depot a ajouté que les données qu’elle transmet à Meta au moyen de l’outil « Conversions hors ligne » concernent uniquement les clients en magasin qui demandent un reçu électronique pour leur achat, et non pas ceux qui demandent un reçu papier^{Note de bas de page 5}.
En pratique, les clients de Home Depot voient à l’écran une option qui leur permet de recevoir un reçu électronique. S’ils cliquent sur « Oui », le système leur demande de fournir une adresse électronique. Ce processus ne fait aucunement allusion à la transmission de données de Home Depot à Meta.
Home Depot fait ensuite parvenir la version hachée de l’adresse électronique du client et les détails sur l’achat hors ligne à Meta par le biais de l’outil « Conversions hors ligne ». Meta fait concorder le courriel avec le compte Facebook du client et compare les renseignements sur les achats hors ligne aux publicités sur Facebook à l’intention du client afin de mesurer l’efficacité de ces dernières. Si la version hachée du courriel n’est pas déjà associée à un compte Facebook, Meta ne peut pas établir un lien entre le courriel et une personne.
Meta présente finalement des rapports globaux à Home Depot, y compris les ventes en magasin qui peuvent être attribuables à une campagne publicitaire précise.

Analyse

Enjeu : Home Depot a-t-elle obtenu un consentement valide?

Le principe 4.3 de l’annexe 1 de la LPRPDE prévoit que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire.
Comme il est expliqué de façon plus détaillée ci-dessous, lorsque Home Depot transmet à Meta les données sur les transactions en magasin par le biais de l’outil « Conversions hors ligne », il s’agit d’une communication de renseignements personnels.
Pour les motifs qui suivent, nous estimons que Home Depot a omis de s’assurer d’obtenir un consentement valide pour la communication de renseignements. Pour en arriver à cette décision, le Commissariat a tenu compte de ce qui suit : (i) la forme appropriée de consentement pour cette pratique et (ii) la validité du consentement dans le contexte en cause.

Communication de renseignements personnels à Meta

Nous avons constaté que Home Depot communiquait les renseignements personnels de ses clients à Meta. Nous avons aussi établi que Meta avait été autorisée par contrat à se servir de ces renseignements au nom de Home Depot et à ses propres fins commerciales, y compris à des fins non liées à la prestation de services à Home Depot.
Home Depot a déclaré que Meta agissait en qualité de fournisseur de services auprès d’elle en « effectuant à l’externe ce que Home Depot aurait pu faire à l’interne ». Home Depot considère cette pratique comme une activité de traitement qui ne nécessite pas l’obtention d’un consentement supplémentaire. Pour les motifs énoncés ci-dessous, nous ne sommes pas de cet avis.
Home Depot et Meta ont fait observer que l’outil « Conversions hors ligne » était assujetti aux Conditions applicables aux outils Facebook Business (les « Conditions »), qui sont en vigueur depuis mai 2018. Il s’agit d’une entente conclue entre Meta et le client commercial, en l’occurrence Home Depot. La section 2 des Conditions énonce les fins auxquelles Meta peut utiliser les renseignements personnels qu’une entreprise décide de lui transmettre, notamment 1) pour les services de mesure et d’analyse; 2) pour les publicités ciblées; 3) pour la diffusion de messages commerciaux et transactionnels; et 4) pour l’amélioration de la diffusion des publicités et la personnalisation des fonctionnalités et du contenu ainsi que l’amélioration et la sécurisation des produits de Meta^{Note de bas de page 6}.
Plus particulièrement, l’alinéa 2.v.1 des Conditions précise ce qui suit :

« Vous pouvez fournir des Données d’évènement pour améliorer le ciblage de vos publicités et optimiser vos campagnes publicitaires. Nous pouvons mettre ces Données d’évènement en corrélation avec les personnes utilisant des produits des entités Facebook pour soutenir les objectifs de votre campagne publicitaire, améliorer l’efficacité des modèles de diffusion des publicités et déterminer la pertinence des publicités pour les personnes. Nous pouvons utiliser les Données d’évènement en vue de personnaliser les fonctionnalités et le contenu (y compris les publicités et les recommandations) que nous présentons aux personnes sur nos produits des entités Facebook et en dehors. En ce qui concerne le ciblage publicitaire et l’optimisation de la diffusion, nous : (i) utiliserons vos Données d’évènement pour l’optimisation de la diffusion uniquement après leur agrégation avec d’autres données recueillies auprès d’autres annonceurs ou autrement sur les produits Facebook; et (ii) interdirons aux autres annonceurs ou à des tiers de cibler la publicité en se basant uniquement sur vos Données d’évènement. » [caractères gras ajoutés]
Bien que Home Depot ait affirmé que ces utilisations potentielles étaient directement à son avantage (p. ex. elles améliorent l’efficacité de ses publicités sur Facebook), nous estimons qu’elles vont bien au-delà des fins commerciales de Home Depot et des fins comprises par le client. Comme l’a confirmé Meta, ces utilisations englobent la communication qui lui est faite des données des clients de Home Depot à ses propres fins commerciales, y compris l’optimisation de l’efficacité des modèles de présentation de publicités ou la personnalisation des fonctionnalités et du contenu figurant sur les plateformes de Meta. Par conséquent, Home Depot doit obtenir un consentement en vue de la communication de ces renseignements.
Pour les motifs énoncés ci-dessous, nous avons conclu que Home Depot a omis de s’assurer d’obtenir un consentement valable et valide à l’égard de sa pratique consistant à transmettre les renseignements des clients à Meta à ses propres fins commerciales et à celles de Meta. D’abord, nous n’avons pas accepté l’affirmation de Home Depot selon laquelle l’entreprise avait obtenu un consentement tacite pour exercer cette pratique : elle n’a pu se fonder sur sa politique de confidentialité ou celle de Meta pour obtenir un consentement, et, quoi qu’il en soit, les explications figurant dans ces politiques étaient insuffisantes pour corroborer l’obtention d’un consentement valable. De plus, nous sommes d’avis que l’entreprise aurait dû obtenir un consentement explicite actif.

Forme de consentement

Le principe 4.3.4 de l’annexe 1 de la LPRPDE prévoit que la forme du consentement que l’organisation cherche à obtenir peut varier selon les circonstances et la nature des renseignements. Pour déterminer le type de consentement à utiliser, les organisations doivent déterminer s’il s’agit de renseignements sensibles.
Le principe 4.3.5 précise en outre que pour l’obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes. Par exemple, une personne qui s’abonne à un périodique devrait raisonnablement s’attendre à ce que l’entreprise, en plus de se servir de son nom et de son adresse à des fins de postage et de facturation, communique avec elle pour lui demander si elle désire que son abonnement soit renouvelé. Dans ce cas, l’organisation peut présumer que la demande de la personne constitue un consentement à ces fins précises. D’un autre côté, il n’est pas raisonnable qu’une personne s’attende à ce que les renseignements personnels qu’elle fournit à un professionnel de la santé soient donnés sans son consentement à une entreprise qui vend des produits de soins de santé.
Les Lignes directrices pour l’obtention d’un consentement valable (les « Lignes directrices ») publiées conjointement par le CPVP, le Commissariat à l’information et à la protection de la vie privée (CIPVP) de l’Alberta et le CIPVP de la Colombie-Britannique prévoient qu’« en règle générale, les organisations doivent obtenir un consentement explicite de l’intéressé » dans les cas suivants : i) les renseignements recueillis, utilisés ou communiqués sont sensibles; ii) la collecte, l’utilisation ou la communication de l’information ne répond pas aux attentes raisonnables de l’intéressé; iii) la collecte, l’utilisation ou la communication de l’information crée un risque résiduel important de préjudice grave.
Home Depot a soutenu qu’elle avait obtenu un consentement tacite de deux façons :
1. la Déclaration de Home Depot sur la sécurité et la confidentialité (la « Déclaration sur la confidentialité »);
2. la Politique de confidentialité de Meta, le matériel didactique sur la confidentialité et les paramètres de confidentialité qui se rattachent à l’outil « Conversions hors ligne » et à sa fonctionnalité « Activité en dehors de Facebook »^{Note de bas de page 7}.
Home Depot a précisé que « étant donné le risque de “lassitude du consentement” qui peut survenir si chaque activité unique de traitement est communiquée à chaque phase, [l’entreprise] ne donne pas d’avis juste à temps » [traduction] au moment où les clients demandent un reçu électronique. Comme il est mentionné ci-dessus, les clients se font simplement offrir à l’écran, dans le système de traitement de l’opération d’achat, l’option d’obtenir un reçu électronique. S’ils cliquent sur « Oui », le système leur demande de fournir une adresse électronique.
Home Depot a ajouté que les attentes raisonnables de ses clients étaient prises en compte dans la conception du programme, qui limite la collecte de renseignements à un ensemble minimal de renseignements personnels non sensibles et qui permet aux clients de retirer leur consentement à l’égard de cette pratique par l’entremise de Home Depot (en faisant parvenir un courriel à l’entreprise, comme le plaignant l’a fait dans la présente affaire), de Meta^{Note de bas de page 8} ou des deux, ce qui, à notre avis, indique une fois de plus que les renseignements ont été communiqués à Meta.
Également, Home Depot a expliqué que, au moment d’utiliser l’outil « Conversions hors ligne », elle téléchargeait les éléments de données suivants dans la plateforme de médias sociaux Meta :
1. Version hachée de l’adresse électronique du client;
2. Date et heure de l’achat;
3. ID de transaction;
4. Montant des ventes en dollars;
5. Variables personnalisées pour les renseignements sur les produits et le type de transaction, qui font allusion au rayon général de la transaction, comme « bois », « quincaillerie » ou « peinture ».
Home Depot a déclaré qu’elle avait recours au consentement tacite étant donné qu’à son avis : i) l’entreprise a pris les précautions nécessaires pour télécharger seulement les renseignements non sensibles vers l’outil « Conversions hors ligne » de Meta; et ii) les clients s’attendraient raisonnablement à ce que ces renseignements soient transmis à la plateforme des médias sociaux dont Home Depot se sert pour faire des publicités en ligne en vue de réaliser une analyse globale de l’efficacité.
Nous estimons que Home Depot n’a pas obtenu le consentement tacite des clients à l’égard de la pratique dont il est question. Plus précisément, i) la plupart des clients ne seraient absolument pas au courant de la pratique et, comme il est énoncé ci-dessous, ne s’y attendraient raisonnablement pas; et ii) on ne peut pas laisser sous-entendre que la transmission par les clients de leur adresse électronique en vue de l’obtention d’un reçu électronique constitue une autorisation pour Home Depot d’utiliser leurs renseignements à des fins secondaires, surtout en vue de leur communication à Meta pour que la société s’en serve à ses propres fins commerciales distinctes (cette question est abordée plus à fond au paragraphe 30).
Quoi qu’il en soit, nous estimons que Home Depot n’aurait pu invoquer le consentement tacite à l’égard de la pratique.
Nous admettons le fait que dans le contexte précis de l’utilisation par Home Depot de l’outil « Conversions hors ligne » de Meta, les données en question ne sont pas forcément sensibles.
Cependant, cela n’exclut pas la possibilité que des achats hors ligne et des habitudes de dépense soient de nature sensible et entraînent un risque important de préjudice dans d’autres contextes du commerce de détail. De plus, il est possible que ces renseignements deviennent sensibles s’ils sont transmis à Meta en vue de leur combinaison avec d’autres renseignements que détient la société afin de créer un profil multidimensionnel riche en détail à propos de la personne.
Les renseignements en question n’étaient pas forcément sensibles dans les circonstances de cette affaire, mais nous estimons que lorsqu’ils demandent un reçu électronique en magasin, les clients de Home Depot ne s’attendent raisonnablement pas à ce que leur adresse électronique et les détails de leur achat hors ligne soient transmis à Meta afin de mesurer les répercussions des campagnes publicitaires en ligne de Home Depot, ou ils n’ont aucune raison de le soupçonner. Ils ne s’attendent raisonnablement pas non plus à ce que les mêmes renseignements soient communiqués à Meta, la plus grande société de médias sociaux au monde et l’une des plateformes de publicité en ligne les plus importantes au monde, et soient utilisés aux fins commerciales de Meta, y compris les publicités ciblées, qui ne se rattachent pas à Home Depot (comme il est énoncé aux paragraphes 14 et 15).
Finalement, nous estimons que Home Depot aurait dû obtenir un consentement explicite, au moment de la collecte des renseignements ou avant, à ces fins.
Nos lignes directrices expliquent en outre que le consentement ne peut pas être exigé relativement à la collecte, à l’utilisation ou à la communication de renseignements personnels qui n’est pas essentielle à la fourniture d’un produit ou d’un service; des choix clairement expliqués et facilement accessibles doivent être offerts.
Lorsqu’ils donnent leur adresse électronique, les clients de Home Depot ne se font pas demander s’ils acceptent ou non que leurs renseignements soient transmis à Meta, aux fins secondaires de Home Depot ou aux fins de Meta qui ne se rattachent pas à celles de Home Depot.
Home Depot a fait observer que les personnes pouvaient retirer leur consentement à l’égard de cette pratique i) en lui faisant parvenir un courriel pour demander que leur adresse électronique soit dissociée de leur compte Home Depot; ou ii) en dissociant les données de tiers de leur compte Facebook^{Note de bas de page 9}. Cependant, comme il est énoncé de façon détaillée ci-dessus, les personnes sont peu susceptibles de savoir que leurs renseignements sont transmis à Meta. Par conséquent, elles n’auraient aucune raison de présenter une telle demande à Home Depot ou à Facebook.
Quoi qu’il en soit, la capacité de retirer un consentement après les faits n’est pas suffisante dans le cas qui nous occupe. Les renseignements du client auront alors déjà été communiqués à Meta. Étant donné l’exigence relative à l’obtention d’un consentement explicite, ce choix aurait dû être offert au départ, soit au moment de la collecte des renseignements, sous forme de choix visant à accorder un consentement, avant la transmission des renseignements à Meta.

Le consentement valable

Par ailleurs, nous estimons que le recours par Home Depot à sa Déclaration sur la confidentialité et à la Politique de confidentialité de Meta n’est pas suffisant pour corroborer l’obtention d’un consentement valable à l’égard de la communication des renseignements personnels des clients en magasin à Meta.
Le principe 4.3.2 de l’annexe 1 de la LPRPDE prévoit que les organisations doivent fournir un effort raisonnable pour s’assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués. En outre, l’article 6.1 de la LPRPDE précise que le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti.
De plus, les lignes directrices stipulent qu’il est nécessaire d’informer les personnes de toutes les fins auxquelles les renseignements sont recueillis, utilisés ou communiqués. Il faut énoncer ces fins dans un langage clair, en évitant les formulations vagues comme « améliorer le service ». De plus, une information enfouie dans une politique de confidentialité ou des modalités d’utilisation n’est en réalité d’aucune utilité aux personnes qui ont peu de temps et d’énergie à consacrer à leur analyse.
Enfin, conformément aux lignes directrices, afin que le consentement soit considéré comme valide ou valable, les organisations doivent informer les personnes de leurs pratiques en matière de protection de la vie privée de manière détaillée et en des termes faciles à comprendre. Par conséquent, les organisations doivent fournir l’information sur leurs pratiques de gestion des renseignements personnels sous une forme facilement accessible.
Home Depot a fait remarquer que sa Déclaration sur la confidentialité pouvait être consultée en format papier dans tous ses magasins et qu’un lien connexe figurait à toutes les pages de son site Web. Les clients en magasin peuvent présenter une demande d’obtention d’une copie papier de la Déclaration sur la confidentialité auprès de n’importe quel associé dans l’un ou l’autre de ses magasins.
Home Depot a ajouté que sa Déclaration sur la confidentialité décrivait i) le type de renseignements qu’elle recueillait, notamment l’« historique d’achats » et les « adresses électroniques »; ii) les circonstances dans lesquelles elle recueillait ces renseignements directement auprès des clients, dont « dans le cadre d’un achat en ligne ou en magasin »; et iii) l’utilisation qu’elle en fait à des fins commerciales, y compris « pour améliorer [ses] produits et [ses] services », pour examiner les « tendances ainsi que les intérêts des clients » et « à des fins de dépersonnalisation ». En ce qui concerne le dernier énoncé, la Déclaration sur la confidentialité stipule ceci : « Nous utilisons les renseignements dépersonnalisés à des fins commerciales internes, notamment dans le cadre des activités du Marketing, du Service à la clientèle et de l’Analyse commerciale ». Enfin, la Déclaration sur la confidentialité stipule ce qui suit : « Nous pouvons partager vos renseignements personnels à des fins professionnelles », notamment « avec des tiers offrant des services en notre nom ».
Pour ce qui est de la Politique de confidentialité de Meta, Home Depot a mis en évidence le fait qu’elle expliquait que les partenaires (dont Home Depot) avaient recours à des outils commerciaux pour transmettre des renseignements sur les « actions et achats en ligne et hors ligne ».
D’abord, nous constatons que lorsqu’ils demandent un reçu électronique, les clients ne sont ni avisés de la communication de leurs renseignements personnels à Meta ni dirigés vers les déclarations sur la confidentialité de Home Depot ou de Meta. Leurs attentes se limitent tout simplement à ce qu’on leur a dit, c’est-à-dire qu’ils recevront un reçu électronique de leur transaction. Par conséquent, nous estimons que les clients n’auraient aucune raison de consulter les documents mentionnés ci-dessus sur la confidentialité pour obtenir de plus amples renseignements au sujet d’une pratique dont ils ignorent l’existence. Pourtant, selon le modèle de consentement de Home Depot, il incombe aux clients de rechercher de façon proactive ces politiques en ligne ou d’en demander une copie papier auprès d’un associé en magasin. Or, il ne s’agit aucunement ici du déploiement par Home Depot d’« efforts raisonnables », au sens du principe 4.3.2, visant à voir à ce que les clients soient au courant des fins auxquelles leurs renseignements seront utilisés et communiqués. Par conséquent, Home Depot ne peut se fonder sur sa Déclaration sur la confidentialité ou celle de Meta pour corroborer l’obtention d’un consentement valable à l’égard de la pratique en question.
Home Depot a fait allusion à une « lassitude du consentement » pour justifier la raison pour laquelle elle n’avisait pas les clients de ses pratiques de transmission de renseignements à Meta au moment où ils demandaient un reçu électronique. Ici, nous constatons que Home Depot n’a donné aucune explication à ce point de vente précis au client au sujet de la façon dont l’entreprise utiliserait ou communiquerait ses renseignements à des fins autres que l’envoi d’un reçu électronique. Étant donné la nature de l’utilisation et de la communication en question, comme il est décrit ci-dessus, ces renseignements auraient été importants dans la décision du client de donner ou non son adresse électronique en vue d’obtenir un reçu électronique.
De plus, même si les clients qui demandent un reçu électronique devaient lire la Déclaration sur la confidentialité de Home Depot, nous ne croyons pas qu’ils comprendraient raisonnablement la nature de la transmission de leurs renseignements à Meta ou les conséquences de cette pratique. En fait, la Déclaration sur la confidentialité utilise des termes génériques et vagues comme « améliorer [ses] produits et [ses] services », ce qui ne décrit pas clairement les fins de la collecte, de l’utilisation et de la communication de renseignements personnels dans ce contexte. La déclaration de Home Depot selon laquelle l’entreprise « [peut] partager [les] renseignements personnels [de ses clients] à [ses propres] fins professionnelles »^{Note de bas de page 10} n’illustre pas suffisamment la pratique en question et n’explique certainement pas que les renseignements des clients peuvent être communiqués à Meta aux fins décrites ci-dessus. [caractères gras ajoutés]
Pour tous les motifs énoncés ci-dessus, nous sommes d’avis que Home Depot a omis d’obtenir un consentement valable et valide à l’égard de la communication des renseignements du client à Meta en vue de leur utilisation aux fins de Meta.

Recommandations

Pour que Home Depot se conforme à la LPRPDE, nous recommandons ce qui suit à l’entreprise :
1. cesser de transmettre à Meta les renseignements personnels des clients qui demandent un reçu électronique jusqu’à la prise de mesures visant à assurer l’obtention d’un consentement valide;
2. prendre des mesures visant à obtenir un consentement explicite actif au préalable si elle décide de recommencer sa pratique de transmission des renseignements des clients à Meta au moyen de l’outil « Conversions hors ligne »;
3. modifier les communications sur la confidentialité afin de veiller à la transmission de messages transparents et à l’obtention d’un consentement valable à l’égard de cette pratique, en faisant ce qui suit :
  1. donner dès le départ les principaux renseignements, soit au moment où les clients demandent un reçu électronique, dont i) les renseignements précis qui seront communiqués à Meta; ii) le fait que ces renseignements serviront à mesurer l’efficacité des campagnes publicitaires de Home Depot sur Facebook; iii) le fait que Meta (Facebook) utiliseront les renseignements à leurs propres fins, y compris à des fins de ciblage; et iv) le fait que les clients ont le choix de retirer leur consentement à un moment ultérieur;
  2. intégrer dans sa Déclaration sur la confidentialité une explication plus détaillée de la pratique ainsi que la méthode de retrait d’un consentement.

Réponse de Home Depot aux recommandations

En réponse à nos recommandations, Home Depot a cessé d’utiliser l’outil « Conversions hors ligne » de Meta en octobre 2022, se conformant ainsi à la recommandation que nous avons formulée au paragraphe 47(i) du présent rapport. Home Depot a également confirmé qu’elle mettrait en œuvre les recommandations énoncées aux paragraphes 47(ii) et (iii) au préalable si elle décidait de recommencer à utiliser l’outil.
Nous apprécions la collaboration de Home Depot tout au long de notre enquête ainsi que l’engagement de celle-ci à améliorer la protection de la vie privée en acceptant nos recommandations.

Conclusion

Par conséquent, le Commissariat conclut que la plainte est fondée et résolue.

Notes de bas de page

Note de bas de page 1

Le hachage d’une adresse électronique se traduit par son encodage au moyen d’une fonction de hachage cryptographique. Ce processus crée une chaîne obscurcie de caractères, ou un algorithme de hachage, de sorte qu’elle représente maintenant le courriel. La version hachée du courriel est de nature irréversible, mais elle peut être utilisée lors du processus de concordance lorsque deux parties ont le même courriel.

Retour à la référence de la note de bas de page 1

Note de bas de page 2

Selon les Pages d’aide de Facebook, « [l]’activité en dehors de Facebook fait référence à un résumé de l’activité que les entreprises et les organisations partagent avec nous concernant vos interactions (utilisation de leur application, consultation de leur site Web, etc.). Elles nous envoient ces informations à l’aide de nos outils Facebook Business, comme Facebook Login ou le pixel Facebook ».

Retour à la référence de la note de bas de page 2

Note de bas de page 3

Home Depot a affirmé qu’il s’agissait d’une erreur de communication interne.

Retour à la référence de la note de bas de page 3

Note de bas de page 4

Meta a précisé qu’elle affichait publiquement de l’information sur cet outil à divers endroits sur ses sites (p. ex. les pages informatives de Meta « Conversions hors ligne » et « À propos des conversions hors ligne »).

Retour à la référence de la note de bas de page 4

Note de bas de page 5

Il est à noter que les transactions en ligne ne faisaient pas l’objet de l’enquête.

Retour à la référence de la note de bas de page 5

Note de bas de page 6

Meta a soutenu que, selon les Conditions, les entreprises représentaient et garantissaient qu’elles avaient l’ensemble des autorisations et droits nécessaires ainsi qu’un fondement juridique (conformément à l’ensemble des lois, règlements et lignes directrices industrielles applicables) pour traiter les données de l’outil commercial.

Retour à la référence de la note de bas de page 6

Note de bas de page 7

P. ex., voir les pages informatives de Meta « Conversions hors ligne », « Examiner votre activité en dehors de Facebook » et « Comment gérer mon activité future en dehors de Facebook? »

Retour à la référence de la note de bas de page 7

Note de bas de page 8

Cela sera fait en supprimant une partie ou l’ensemble des renseignements que Meta associe à leur envoi par des tiers ou en neutralisant la capacité de Meta de faire concorder les données transmises à l’avenir par des tiers.

Retour à la référence de la note de bas de page 8

Note de bas de page 9

Cette option se trouve dans les paramètres de Facebook.

Retour à la référence de la note de bas de page 9

Note de bas de page 10

Il convient de noter que la version française de la Déclaration sur la confidentialité de Home Depot, accessible sur le site Web de l’entreprise, précise ce qui suit : « Nous pouvons partager vos renseignements personnels à des fins professionnelles », alors que la version anglaise, que nous avons traduite librement dans la version française de notre rapport de conclusions, indique : « We may share your information for our business purposes ».

Retour à la référence de la note de bas de page 10

Date de modification :: 2023-01-26

Sélection de la langue

Recherche et menus

Recherche