Sondage d'opinion publique
Recherche qualitative sur l’opinion publique auprès des Canadiennes et des Canadiens sur le consentement
Rapport final
Réalisé pour le Commissariat à la protection de la vie privée du Canada par la société Phoenix SPI
Mars 2017
Sommaire
Phoenix SPI a mené une recherche qualitative pour le compte du Commissariat à la protection de la vie privée du Canada (le Commissariat) afin d’en savoir davantage au sujet des enjeux liés à la protection de la vie privée et des renseignements personnels. Ce travail appuie les efforts du Commissariat déployés en vue d’examiner la question du consentement en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Huit groupes de discussion ont été tenus du 6 au 9 février 2017, soit deux groupes dans chacune des villes suivantes : Toronto, Montréal (en français), Halifax et Winnipeg. Dans toutes les villes, un groupe était composé de Canadiens de moins de 30 ans et l’autre groupe, de Canadiens âgés de 30 ans et plus.
Cette recherche est de nature qualitative et non quantitative. Par conséquent, les résultats, qui fournissent une indication des points de vue des participants au sujet des enjeux abordés, ne peuvent pas être généralisés à l’ensemble de la population.
Perceptions générales
Les participants pensent à la protection de leur vie privée et de leurs renseignements personnels, du moins dans une certaine mesure. En ce qui a trait à l’utilisation acceptable de leurs renseignements personnels par des entreprises, la vente ou la cession de ces renseignements à des tierces parties ne constituent pas à leurs yeux une pratique acceptable.
Pratiquement tous les participants pensent à la protection de leur vie privée et de leurs renseignements personnels, du moins dans une certaine mesure. Dans chacun des groupes, les participants étaient plus susceptibles de mentionner le vol d’identité et la fraude ou les pertes financières comme des problèmes qui soulèvent des inquiétudes. De plus, plusieurs participants ont exprimé des préoccupations en général au sujet du fait que les renseignements les concernant étaient « là », « accessibles » et « hors de leur contrôle ». Des participants dans tous les groupes ont fait remarquer qu’il est fréquent que des parties avec qui ils n’ont jamais fait affaire communiquent avec eux; plusieurs d’entre eux considèrent qu’il s’agit là de la preuve que des renseignements à leur sujet sont recueillis et partagés avec des tiers sans qu’ils n’y aient consenti.
La crédibilité dont jouit une entreprise aux yeux des participants détermine en grande partie le niveau de confiance que ces derniers ont par rapport à la capacité de l’entreprise de protéger leurs renseignements personnels. Parmi les facteurs qui augmentent la crédibilité, on note la taille de l’entreprise (les plus grandes entreprises, qui sont perçues comme des réussites, jouissent d’une plus grande crédibilité), le nombre d’années d’existence de l’entreprise, le degré de familiarité avec l’entreprise, les mesures de protection perçues en place, la réputation de l’entreprise aux yeux des participants, son siège social (entreprise canadienne ou étrangère), ainsi que la source du contact (l’entreprise a communiqué avec le participant ou le participant a communiqué avec l’entreprise).
La vente à une tierce partie des renseignements personnels recueillis par une entreprise et leur utilisation afin de promouvoir des produits ou des services à des clients actuels ou potentiels représentent les deux éléments les plus fréquemment identifiés. D’autres utilisations souvent mentionnées comprennent les études de marché, les analyses démographiques, le ciblage de produit et l’offre d’avantages aux clients (p. ex., remises, rabais, points).
Interrogés au sujet de l’utilisation inacceptable de leurs renseignements personnels par les entreprises, les participants ont à maintes reprises mentionné la vente ou le partage de ces renseignements à une tierce partie sans leur consentement. Ils ont également noté le fait de se faire demander un numéro d’assurance sociale ou de devoir fournir des renseignements financiers ou bancaires sans que ces renseignements ne soient nécessairement pertinents.
La plupart des participants reconnaissent les avantages et les inconvénients potentiels rattachés au fait de fournir leurs renseignements personnels à une entreprise. Les principaux avantages comprennent ce qui suit :
- Rabais/coupons/avantages/points de fidélité;
- Information au sujet des soldes;
- Personnalisation/recommandations de produit/publicités personnalisées;
- Mises à jour;
- Bulletins d’information/renseignements.
Les principaux inconvénients comprennent les plus grandes préoccupations énoncées plus tôt (c.-à-d., vol d’identité et fraude), mais également les pourriels.
Politiques en matière de protection des renseignements personnels
La plupart des participants n’ont aucune idée de la signification d’une politique en matière de protection des renseignements personnels propre à une entreprise et n’ont pas tendance à lire de telles politiques parce qu’elles sont longues et difficiles à comprendre.
La plupart des participants n’ont pas une idée claire ou bien définie de ce que représente une politique en matière de protection des renseignements personnels propre à une entreprise. La majorité d’entre eux ont indiqué que la signification dépend des modalités spécifiques qui s’y rattachent; certains ont ajouté qu’une telle politique représente en fait une façon pour l’entreprise de se protéger plutôt que de protéger le client ou le consommateur. La plupart des participants ont indiqué qu’ils n’ont pas tendance à lire ces politiques, principalement parce qu’elles sont longues, compliquées et rédigées dans un langage qu’ils ne comprennent pas.
Contrôle des renseignements personnels
La plupart des participants croient qu’ils ont peu ou pas de contrôle sur la façon dont leurs renseignements personnels sont recueillis et utilisés par des entreprises. Tous les participants désirent exercer eux-mêmes un certain contrôle et souhaitent aussi que des lois protègent leurs renseignements personnels.
La plupart des participants pensent qu’ils ont peu ou pas de contrôle sur la façon dont leurs renseignements personnels sont recueillis et utilisés par des entreprises. Pour plusieurs d’entre eux, ils n’ont d’autre choix que d’accepter les modalités s’ils veulent faire affaire avec des entreprises. En d’autres mots, il n’y a généralement pas de demi-mesure. Les participants ont également attribué leur perception de l’absence de contrôle au manque de clarté et de transparence quant à l’utilisation de leurs renseignements personnels.
Tous les participants désirent pouvoir exercer eux-mêmes un certain contrôle, mais ils veulent également que des lois protègent leurs renseignements personnels. Ils veulent contrôler la façon dont leurs renseignements personnels sont utilisés par des entreprises (c.-à-d. pouvoir décider de l’utilisation possible de leurs renseignements par une entreprise) et souhaitent que des lois soient adoptées pour les protéger. Aucun participant n’a indiqué ne pas vouloir que le gouvernement joue un rôle dans la protection de ses renseignements personnels.
Consentement
Les participants considèrent le consentement comme la compréhension et l’acceptation des modalités relatives à la collecte et à l’utilisation de leurs renseignements personnels. De plus, ils s’attendent à ce qu’on leur demande leur consentement quand ils font affaire avec une entreprise.
Les participants s’entendent généralement pour dire que le consentement repose sur la compréhension et l’acceptation des modalités relatives à la collecte et à l’utilisation de leurs renseignements personnels. Plusieurs ont ajouté qu’il ne suffit pas de donner son consentement une seule fois. En d’autres mots, ce dernier doit être demandé de nouveau de temps à autre et ne devrait pas être exigé qu’une seule fois.
Les participants s’attendent tous à ce qu’on leur demande leur consentement lorsqu’une entreprise avec laquelle ils font affaire désire utiliser leurs renseignements personnels. Les participants ont allégué principalement que, sans leur consentement, les entreprises peuvent faire ce qu’elles veulent avec leurs renseignements personnels.
Solutions possibles
Le gouvernement a généralement été identifié comme la principale organisation qui surveille, et devrait, surveiller les entreprises pour s’assurer qu’elles ne transgressent pas les règles quand elles recueillent et utilisent des renseignements personnels. En ce qui concerne le rôle du gouvernement dans la protection des renseignements personnels, la vaste majorité des participants conviennent qu’il devrait être à la fois proactif et réactif.
En ce qui a trait aux mesures qui permettraient aux clients des entreprises d’être plus confiants que leurs renseignements personnels sont protégés, les participants ont le plus fréquemment mentionné l’élaboration de modalités claires et transparentes et leur énumération pour que les clients puissent les cocher s’ils y consentent (c.-à-d. qu’ils aient l’option de ne pas les accepter).
Lorsqu’ils réfléchissent à la possibilité de partager leurs renseignements personnels avec une entreprise, les participants de chaque groupe ont à maintes reprises identifié les éléments suivants comme les principaux éléments que les entreprises devraient mettre en évidence :
- Le type de renseignements personnels recueillis.
- La façon dont les renseignements seront utilisés par l’entreprise et avec qui l’entreprise les partagera.
- La période pendant laquelle l’entreprise conservera les renseignements personnels.
- La façon dont l’entreprise protège les renseignements personnels.
Lorsqu’on leur a demandé quelle était l’organisation qui surveillait les entreprises pour s’assurer qu’elles ne transgressaient pas les règles concernant la collecte et l’utilisation des renseignements personnels, les participants ont régulièrement identifié le gouvernement. Par ailleurs, ils estiment que le gouvernement est l’organisation qui devrait surveiller les entreprises. Pour ce qui est du rôle du gouvernement quant à la protection des renseignements personnels, les participants s’entendent majoritairement pour dire que son rôle devrait être à la fois proactif et réactif. Il y avait également pratiquement un consensus à l’effet que le gouvernement devrait être investi des pouvoirs suivants pour appliquer les lois canadiennes en matière de protection des renseignements personnels afin de s’assurer que les entreprises s’y conforment :
- Le pouvoir d’imposer des sanctions financières.
- Des pouvoirs exécutoires pour forcer les entreprises à mettre en œuvre les recommandations.
- Des vérifications proactives (c.-à-d. effectuer des vérifications ou des vérifications ponctuelles des pratiques des entreprises en matière de protection des renseignements personnels).
Les participants ont manifesté un désir généralisé de recevoir de l’information sur des questions relatives à la protection de la vie privée de la part du gouvernement grâce à des efforts de sensibilisation ou d’éducation publique. Parmi les renseignements considérés les plus utiles, on note les suivants :
- Les éléments à prendre en considération dans les politiques visant la protection des renseignements personnels.
- L’information à ne pas divulguer/partager.
- La signification des diverses modalités/conditions ou un glossaire des principaux termes et expressions.
- Des mises à jour/modifications à la loi.
- Les mesures prises par le gouvernement concernant la protection des renseignements personnels.
- Les droits et les obligations de chaque personne.
- Une ligne téléphonique d’information.
- Une formation et une orientation sur des questions de protection de la vie privée à l’intention des particuliers.
- La liste des entreprises qui ont enfreint les lois relatives à la protection des renseignements personnels.
Introduction
Le Commissariat à la protection de la vie privée du Canada (le Commissariat) a mandaté Phoenix Strategic Perspectives (Phoenix SPI) pour mettre sur pied des groupes de discussion afin de connaître le point de vue des Canadiens sur le consentement relatif à l’utilisation que font les entreprises de leurs renseignements personnels et à d’autres questions liées à leur vie privée.
Contexte et objectifs
Le Commissariat à la protection de la vie privée du Canada défend les droits à la vie privée des Canadiens. Il a le pouvoir de mener des enquêtes suivant la réception de plaintes et d’effectuer des vérifications en vertu de deux lois fédérales; de publier de l’information au sujet des pratiques relatives à l’utilisation des renseignements personnels dans les secteurs public et privé; et d’effectuer des recherches sur des questions concernant la protection de la vie privée.
Le Commissariat à la protection de la vie privée du Canada est mandaté par le Parlement pour agir à titre d’ombudsman et de gardien de la protection des renseignements personnels au Canada. Le commissaire est entre autres chargé d’appliquer la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui vise les activités commerciales dans les provinces de l’Atlantique, de l’Ontario, du Manitoba, de la Saskatchewan et dans les territoires. Le Québec, l’Alberta et la Colombie-Britannique ont chacun leurs propres lois qui visent le secteur privé. Dans ces provinces, la LPRPDE s’applique au secteur privé régi par les lois fédérales ainsi qu’aux renseignements personnels dans les transactions interprovinciales et internationales.
En mai 2016, le Commissariat a tenu des consultations sur la question du consentement en vertu de la LPRPDE. Ces consultations avaient pour objectif de cerner des améliorations au modèle actuel de consentement et de fournir une définition plus claire des rôles et des responsabilités des divers intervenants pouvant les mettre en œuvre. Le Commissariat prévoit apporter ces améliorations au sein de son champ de compétence et recommander au Parlement d’autres modifications, au besoin. L’examen du modèle de consentement fait partie des travaux entrepris par le Commissariat sur les données économiques relatives aux renseignements personnels, l’une des quatre priorités stratégiques en matière de protection des renseignements personnels.
La présente recherche vise à mieux comprendre les opinions, les attitudes et les préoccupations des Canadiens relativement au consentement, à explorer leurs inquiétudes, leurs actions et leurs réflexions, ainsi qu’à évaluer leur réponse à des solutions possibles. Le Commissariat se servira des résultats en vue d’éclairer et d’orienter le rapport final et ses recommandations rattachés aux consultations sur la question du consentement en vertu de la LPRPDE.
Méthodologie
Afin d’atteindre les objectifs de recherche, Phoenix SPI a organisé, entre le 7 et le 9 février 2017, huit groupes de discussion avec des membres de la population. Deux séances ont été tenues dans chacune des quatre villes suivantes : Halifax, Montréal (en français), Toronto et Winnipeg. Dans toutes les villes, un groupe était composé de Canadiens de moins de 30 ans et l’autre groupe, de Canadiens âgés de 30 ans et plus. Chaque groupe comptait des participants affichant une diversité par rapport à l’âge (en respectant les paramètres établis), au sexe, au niveau de scolarité et au statut d’emploi. Les groupes, qui ont duré deux heures, ont récolté un très bon taux de participation : huit participants ont pris part à chacun des groupes et ont reçu un paiement de 100 $ pour leur temps.
Les huit séances ont été organisées comme suit :
Date et heure | Lieu | Composition du groupe |
---|---|---|
Le 7 février, 17 h 30, HE | Toronto, Ontario | Moins de 30 ans |
Le 7 février, 19 h 30, HE | Toronto, Ontario | 30 ans et plus |
Le 8 février, 17 h 30, HA | Halifax, Nouvelle-Écosse | Moins de 30 ans |
Le 8 février, 19 h 30, HA | Halifax, Nouvelle-Écosse | 30 ans et plus |
Le 8 février, 17 h 30, HC | Winnipeg, Manitoba | Moins de 30 ans |
Le 8 février, 19 h 30, HC | Winnipeg, Manitoba | 30 ans et plus |
Le 9 février, 17 h 30, HE | Montréal, Québec | Moins de 30 ans |
Le 9 février, 19 h 30, HE | Montréal, Québec | 30 ans et plus |
La présente recherche est de nature qualitative et non quantitative. Par conséquent, les résultats, qui fournissent une indication des points de vue des participants au sujet des enjeux abordés, ne peuvent pas être généralisés à l’ensemble de la population.
Alethea Woods et Philippe Azzie étaient chargés de mener l’étude. Alethea a animé les groupes à Winnipeg, alors que Philippe s'est occupé des groupes à Toronto, à Montréal et à Halifax. Les deux modérateurs ont contribué à la rédaction du rapport final.
Les outils de recherche sont annexés au présent rapport.
Constats détaillés
1. Perceptions générales
La présente section porte sur les impressions générales des participants en ce qui a trait à la protection de leur vie privée et de leurs renseignements personnels. Elle traite notamment de leurs inquiétudes à cet égard, de la mesure dans laquelle ils font confiance aux entreprises pour manipuler et protéger leurs renseignements personnels, de leurs perceptions par rapport aux façons dont les entreprises utilisent les renseignements personnels qu’ils recueillent, de leurs impressions sur ce qui est acceptable et inacceptable en matière de collecte et d’utilisation de renseignements personnels, ainsi que des avantages et inconvénients qui sont, selon eux, rattachés au fait de fournir des renseignements personnels à une entreprise.
Les participants sont préoccupés par la protection de leurs renseignements personnels
Pratiquement tous les participants pensent, du moins dans une certaine mesure, à la protection de leurs renseignements personnels et de leur vie privée. Bien que ce ne soit pas une inquiétude constante, il s’agit d’un enjeu qui les préoccupe. Les participants ont identifié ensemble plusieurs préoccupations, mais deux d’entre elles, qui étaient souvent liées, ressortaient du lot. Dans chacun des groupes, les participants étaient effectivement plus susceptibles de soulever le vol d’identité et la fraude ou les pertes financières possibles comme les éléments les plus inquiétants concernant la protection de leur vie privée. En fait, certains participants se sont déjà fait voler leur identité ou connaissent quelqu’un qui a été victime d’une telle fraude.
Les préoccupations suivantes ont également été soulevées à plusieurs reprises dans tous les groupes :
- Le piratage : Un certain nombre de participants ont mentionné être préoccupés par le piratage informatique et le vol de renseignements personnels; quelques-uns d’entre eux ont établi un lien direct entre ces inquiétudes et la crainte liée au vol d’identité et/ou à la fraude ou aux pertes financières possibles. Certains participants étaient d’autant plus préoccupés par cela qu’ils croient qu’aucune organisation, peu importe les mesures de sécurité rigoureuses mises en place, ne peut être à l’abri d’une atteinte à la protection des renseignements personnels. Des participants ont d’ailleurs mentionné le piratage des comptes Yahoo en 2016 à titre d’exemple.
- Le volume de renseignements personnels en circulation : Plusieurs participants ont exprimé une inquiétude au sujet de la quantité de renseignements personnels qui sont divulgués et qui sont « disponibles/accessibles ». À ce sujet, des participants de tous les groupes ont fait remarquer qu’ils sont souvent sollicités par des parties avec qui ils n’ont jamais eu d’interaction (p. ex., au moyen de publicités, de fenêtres contextuelles et de courriels). Plusieurs ont déclaré que ces contacts étaient irritants, mais qu’ils constituaient la preuve que leurs activités en ligne étaient surveillées et que ces renseignements sont recueillis et partagés avec d’autres.
- L’impression que l’utilisation de leurs renseignements personnels est hors de leur contrôle : En ce qui a trait à l’inquiétude précédente au sujet de la quantité d’information qui circule à leur sujet et qui est partagée, les participants avaient majoritairement le sentiment qu’ils ont peu ou pas de contrôle sur la façon dont leurs renseignements personnels sont utilisés. Pour reprendre les paroles d’un participant, « il s’agit d’un trou noir quand il est question de renseignements personnels ».
- Le manque de compréhension des modalités énoncées dans les politiques sur la protection des renseignements personnels : En lien avec la préoccupation précédente, les participants ont à maintes reprises mentionné que les modalités liées à la collecte et à l’utilisation de leurs renseignements personnels sont longues et compliquées, et qu’elles manquent de clarté ou de transparence.
L’inconfort ou les appréhensions relativement à la surveillance constituent une inquiétude moins fréquemment soulevée, mais tout de même mentionnée par quelques participants dans la plupart des groupes. Il y a l’inconfort lié à certains logiciels de géolocalisation (c.-à-d. la surveillance des lieux et des déplacements), ainsi que des appréhensions concernant les caméras Web (quelques participants ont indiqué qu’ils avaient recouvert la caméra de leur portable).
Des participants ont noté que leurs préoccupations relatives à la protection de leurs renseignements personnels concernent certains types de renseignements personnels, par exemple l’information financière ou bancaire, les numéros de cartes de crédit et les numéros d’assurance sociale. Ces participants ont fait remarquer qu’ils font preuve d’une grande prudence quand on leur demande de divulguer de tels renseignements.
Les demandes pour la divulgation de renseignements personnels sont monnaie courante
Pratiquement tous les participants ont indiqué qu’une entreprise leur avait demandé, au cours de la dernière année, de lui fournir des renseignements personnels. Il n’était pas difficile pour les participants d’en mentionner des exemples, que ce soit à des points de vente ou en ligne. Pour les points de vente, les participants ont souvent donné comme exemple la caissière à un magasin de détail qui demande le code postal, le numéro de téléphone ou l’adresse électronique. Pour ce qui est des adresses électroniques, les entreprises qui demandent ce type d’information disent vouloir envoyer aux clients des coupons.
Parmi les exemples en ligne ou numériques, on note le plus souvent le fait de se faire demander un numéro de carte de crédit pour réserver une chambre d’hôtel, magasiner en ligne et faire des réservations de voyage. Il y a également les situations suivantes :
- La demande d’un numéro de passeport pour une réservation de voyage.
- La demande du nom, de l’adresse électronique et du numéro de carte de crédit au moment de s’abonner à un service téléphonique.
- La demande du nom et de l’adresse électronique au moment de postuler un emploi en ligne.
- La demande d’une version numérisée d’un permis de conduire au moment de faire des réservations d’hébergement pour un voyage.
La crédibilité dont jouit une entreprise aux yeux des participants détermine en grande partie leur niveau de confiance par rapport à la protection de l’information
Il était difficile pour bon nombre de participants de se prononcer sur la mesure dans laquelle ils font confiance aux entreprises pour ce qui est de la protection de leurs renseignements personnels. Le niveau de confiance repose principalement sur la crédibilité de l’entreprise à leurs yeux, qui peut être accrue en raison de divers facteurs dont les suivants :
- La taille de l’entreprise (une entreprise de plus grande taille est généralement perçue comme une réussite et jouit ainsi d’une plus grande crédibilité).
- Le nombre d’années d’existence de l’entreprise (une entreprise établie depuis longtemps ou une nouvelle entreprise). Tout comme la taille, le nombre d’années d’existence d’une entreprise est vu comme un signe de réussite et permet d’accroître la crédibilité.
- Le degré de familiarité avec une entreprise ou la confiance à son égard (p. ex., y a-t-il une relation établie ou de longue date, est-ce que les participants font régulièrement affaire avec elle).
- Les mesures de protection en place perçues (p. ex., est-ce que l’entreprise utilise des méthodes sécurisées de paiement en ligne).
- La réputation de l’entreprise à leurs yeux (p. ex., Amazon, institutions financières/banques).
- Le lieu (c.-à-d. une entreprise canadienne ou une compagnie étrangère).
- Le point de contact initial (c.-à-d. est-ce que l’entreprise a communiqué avec le client ou si la personne a elle-même communiqué avec l’entreprise). Quelques participants ont fait remarquer que leur niveau de confiance était moindre s’ils avaient été contactés au hasard par une entreprise plutôt que d’avoir eux-mêmes communiqué avec l’entreprise.
- Les critiques des entreprises formulées par d’autres personnes.
- La connaissance de la façon dont une entreprise a protégé les renseignements personnels par le passé (p. ex., a-t-elle déjà porté atteinte à la protection de la vie privée, et si c’est le cas, comment l’entreprise a géré la situation).
Certains de ces facteurs étaient perçus comme des chevauchements ou comme des éléments qui se renforçaient mutuellement (p. ex., taille, nombre d’années en affaires, réputation perçue).
Des participants ont généralement des doutes quant à la mesure dans laquelle ils croient que les entreprises protégeront leurs renseignements personnels. Ce n’est pas parce qu’ils ne font pas confiance à l’entreprise, mais bien parce que le piratage est devenu tellement sophistiqué qu’aucune entreprise ne semble pouvoir en être à l’abri.
Pour répondre à cette question de confiance, certains participants ont suggéré que, peu importe le niveau de confiance que l’on peut avoir envers la capacité d’une entreprise de protéger l’information, il faut parfois fournir les renseignements demandés si l’on désire faire affaire avec elle.
Finalement, à ce sujet, un certain nombre de participants ont déclaré spontanément qu’ils ne croient pas que les entreprises ne partageront pas leurs renseignements personnels avec d’autres compagnies.
La promotion de produits et de services et le partage avec des tierces parties : principales utilisations des renseignements personnels selon les participants
Les participants ont le plus fréquemment identifié deux choses qu’une entreprise fera avec les renseignements personnels qu’elle recueille : elle les partagera avec une tierce partieNote de bas de page 1 et les utilisera pour faire la promotion de produits ou de services auprès de clients actuels ou potentiels, notamment au moyen de publicités générales et personnalisées. D’autres utilisations mentionnées à maintes reprises avaient trait à des objectifs commerciaux, entre autres les études de marché, les analyses démographiques, les analyses des tendances ainsi que les avantages pour les clients (p. ex., rabais, escomptes, programmes de points).
Aucun participant n’a abordé précisément l’utilisation de tels renseignements afin d’améliorer l’expérience des clients ou de prendre des décisions au sujet des clients pour des réclamations d’assurance ou la couverture santé, par exemple.
Consentement et pertinence : principaux critères concernant la collecte et l’utilisation de renseignements personnels
Lorsqu’on leur a demandé ce qui était inacceptable ou ce qui les rendait mal à l’aise au sujet de l’utilisation de leurs renseignements personnels par une entreprise, les participants ont régulièrement fait mention de la vente de cette information ou de son partage avec une tierce partie sans leur consentement. Plusieurs ont ajouté qu’ils n’aiment pas recevoir des publicités ou des courriels d’entreprises avec lesquelles ils n’ont jamais fait affaire, mais qu’il s’agit d’un irritant acceptable dans la mesure où ils ont consenti à ce que leurs renseignements personnels soient transmis à des tierces parties. Cette pratique devient inacceptable lorsque le consentement n’a pas été accordé.
Il est important de noter ici que la question du consentement est devenue un thème récurrent dans les discussions et qu’elle constituait l’un des principaux critères utilisés par les participants pour évaluer si les diverses utilisations étaient acceptables ou inacceptables. Les quatre scénarios présentés aux participants plus tard au cours de la séance, qui mettaient en lumière diverses façons d’utiliser les renseignements personnels, l’ont d’ailleurs confirmé; dans chacun des scénarios, les participants ont trouvé inacceptable que leurs renseignements personnels soient utilisés ou transférés sans leur consentement.
En plus de trouver qu’il est inacceptable de partager des renseignements personnels sans avoir obtenu au préalable un consentement, les participants ont tendance à penser qu’il n’est pas acceptable de demander certains types de renseignements à moins que cette information ne soit clairement pertinente pour l’interaction ou la transaction en question. Par exemple, les participants jugeaient souvent inacceptable le fait de se faire demander leur numéro d’assurance sociale, de l’information financière ou bancaire, un numéro de téléphone ou même leur origine ethnique sans que la raison visant à recueillir de tels renseignements ne soit évidente. Certains participants estimaient également qu’à moins d’avoir fourni un consentement explicite, il n’était pas acceptable qu’on leur envoie des publicités ou des promotions pour certains produits. Finalement, quelques-uns d’entre eux trouvaient que l’utilisation de logiciels de géolocalisation pour surveiller leurs déplacements représentait une pratique inacceptable.
En ce qui concerne les pratiques acceptables, la majorité des participants conviennent qu’il est légitime pour les entreprises d’utiliser les renseignements personnels pour les fins suivantes :
- Faciliter les transactions (p. ex., un numéro de carte de crédit pour une vente ou un numéro de téléphone pour communiquer avec des clients au sujet d’une livraison ou d’un service).
- Personnaliser des publicités afin de cibler des clients et leurs préférences possibles par rapport à certains produits.
- Mener des études de marché.
- Surveiller les visites à un site Web d’une entreprise.
Pour certains participants, leur niveau de confiance envers une entreprise détermine la ligne entre ce qui est acceptable et ce qui ne l’est pas. En d’autres mots, plus ils font confiance à une entreprise, plus ils sont susceptibles de fournir l’information demandée. En décrivant ce qui contribue à accroître la confiance, les participants avaient tendance à réitérer des éléments qu’ils avaient identifiés plus tôt concernant la crédibilité d’une entreprise.
Les avantages et les inconvénients de fournir des renseignements personnels
Les participants ont tendance à reconnaître les avantages et les inconvénients possibles au fait de fournir des renseignements personnels à une entreprise. Les avantages qui ont été régulièrement mentionnés comprennent les suivants :
- Les avantages (p. ex., rabais, coupons, programmes de fidélité/de points, meilleurs prix).
- De l’information sur les soldes.
- Des publicités et des produits personnalisés/des recommandations.
- Des transactions facilitées.
- Des mises à jour (p. ex., sur les emplacements des magasins).
- Des bulletins d’information ou autre type d’information (p. ex., possibilités d’emploi, information relative à la santé).
- La surveillance des cartes de crédit (p. ex., être informé par une compagnie de crédit si elle détecte un comportement d’achat anormal).
Parmi les inconvénients les plus fréquemment mentionnés, il y a la possibilité du vol d’identité ou de la fraude par le piratage et la réception de pourriels. Un plus petit nombre de participants ont fait part des inconvénients suivants : le manque de connaissances ou de compréhension relativement à l’utilisation de l’information, la nécessité de fournir de tels renseignements afin de se prévaloir des avantages (c’est-à-dire de se sentir obligé de se prévaloir de l’avantage pour compenser le fait de fournir des renseignements personnels) et le sentiment de ne pas avoir de contrôle ou le manque de choix (p. ex., l’impression qu’il est obligatoire de fournir des renseignements personnels pour faire affaire avec l’entreprise).
2. Politiques en matière de protection des renseignements personnels
La présente section porte sur les impressions et le comportement des participants concernant les politiques des entreprises en matière de protection des renseignements personnels.
Impression généralisée que la signification des politiques en matière de protection des renseignements personnels dépend des modalités ou des conditions
La plupart des participants n’ont pas une idée claire ou bien définie de ce que représente une politique en matière de protection des renseignements personnels propre à une entreprise. En général, pour les participants, la signification d’une telle politique dépend des modalités et des conditions précisément énoncées dans ladite politique; certains ont ajouté que la politique d’une entreprise est en fait une façon pour l’entreprise de se protéger plutôt que de protéger le client ou le consommateur.
Par ailleurs, un petit nombre de participants ont abordé les éléments suivants au sujet d’une telle politique :
- Elle signifie qu’une entreprise assurera la confidentialité des renseignements personnels d’un individu.
- Elle signifie qu’une entreprise ne partagera pas les renseignements d’une personne avec une autre partie.
- Elle signifie que l’entreprise fera ce qu’elle énonce dans sa politique (c’est-à-dire qu’elle respectera les modalités).
- Elle signifie qu’une entreprise recueille de l’information et qu’elle fait preuve de diligence raisonnable pour essayer de protéger ces renseignements.
- Elle signifie que si l’entreprise ne respecte pas les modalités de la politique ou s’il y a de la fraude, il y aura des conséquences (p. ex., indemnisation).
- Elle signifie que les clients devraient être à l’aise de fournir leurs renseignements personnels.
- Elle signifie qu’une entreprise informera les clients si elle utilise des témoins de connexion ("cookies").
La plupart des participants ne lisent pas les politiques en matière de protection des renseignements personnels en raison de leur longueur et de leur complexité
La plupart des participants ont indiqué qu’ils n’ont pas tendance à lire les politiques en matière de protection des renseignements personnels. Parmi les raisons fréquemment invoquées, on note le fait que ces politiques sont longues, compliquées et rédigées en des termes que les gens ordinaires comme eux ne comprennent pas. Pour reprendre les paroles de certains participants, « il faut être un avocat pour comprendre les politiques des entreprises en matière de protection des renseignements personnels ». Certains ont parlé du fait qu’ils traitent seulement avec des entreprises réputées ou des entreprises à qui ils font confiance ou qu’ils connaissent pour expliquer le fait qu’ils ne lisent pas de telles politiques.
Certains ont précisé qu’ils jettent un coup d’œil rapide aux modalités, mais très peu ont indiqué qu’ils lisent au complet une telle politique. Il y a parfois des circonstances ou des conditions particulières pouvant faire en sorte que certains participants lisent au complet ou en partie une politique en matière de protection des renseignements personnels, notamment ce qui suit :
- Si les modalités sont brèves.
- S’ils font affaire pour la première fois avec une entreprise.
- S’ils sont informés que les modalités de la politique d’une entreprise avec laquelle ils font affaire ont changé, ou s’ils traitent avec une entreprise dont les modalités changent régulièrement.
- Si leurs échanges ou leurs transactions comportent un aspect financier (p. ex., des investissements, des transactions bancaires, des assurances).
- Pour en savoir davantage au sujet des services de repérage d’une entreprise.
- S’il y a un problème concernant la protection de leur vie privée ou de leurs renseignements personnels avec l’entreprise.
- S’ils entendent parler de quelque chose d’inhabituel ou qui sort de l’ordinaire au sujet d’une telle politique d’une entreprise.
L’exemple d’une politique en matière de protection des renseignements personnels tend à confirmer les présomptions au sujet du caractère flou ou du manque de clarté de tels documents
Dans le cadre des discussions portant sur les politiques en matière de protection des renseignements personnels des entreprises, les participants ont reçu un document qui renfermait un exemple d’une telle politique pour une entreprise fictive (annexe 3). On leur a donné quelques minutes pour passer en revue la politique et encercler tout élément qu’ils désiraient commenter.
Interrogés au sujet de leur impression générale concernant ce qu’ils avaient lu, les participants ont à maintes reprises indiqué qu’elle leur paraissait semblable à d’autres politiques en matière de protection des renseignements personnels qu’ils ont lues ou parcourues rapidement. En particulier, le document venait renforcer l’impression de nombreux participants à l’effet que de telles politiques sont généralement compliquées et manquent de transparence (c’est-à-dire qu’elles ont tendance à être floues ou nébuleuses). Cela dit, certains ont fait remarquer que le langage dans le document était peut-être un peu plus clair que d’autres politiques qu’ils avaient lues. Pour certains participants, le manque de transparence voulait surtout dire que les limites relatives à l’utilisation des renseignements personnels, s’il y en a, n’étaient pas du tout claires.
Interrogés plus précisément au sujet de ce qui a retenu leur attention, des participants dans tous les groupes se sont attardés à des termes, à des passages ou à des références qui leur paraissaient vagues et flous. Parmi les questions fréquemment posées, notons les suivantes :
- Que veut-on dire par l’utilisation des renseignements personnels pour gérer des « questions relatives au personnel et à l’emploi »?
- Qui sont les « tiers » auprès de qui l’entreprise recueille des renseignements personnels?
- Pourquoi et à quelle fin recueille-t-on des renseignements personnels au moyen de « caméras de surveillance »?
- Que veut-on dire par le fait que « des renseignements personnels peuvent être conservés ou traités aux États-Unis…»?
Un certain nombre de participants ont également soulevé des préoccupations au sujet de l’énoncé qui suit : « Nous ne pouvons cependant pas promettre que votre utilisation de nos sites Web ou de nos applications mobiles sera entièrement sécuritaire. Nous vous encourageons à faire preuve de prudence lorsque vous utilisez Internet ». Pour certains d’entre eux, l’énoncé semblait une façon d’attribuer la responsabilité de la protection des renseignements personnels aux clients en disant simplement « nous ne pouvons garantir la sécurité des renseignements que nous recueillons ». De plus, certains participants ont noté qu’il n’y avait pas de détails au sujet de la durée de conservation de ces renseignements personnels par l’entreprise.
À cette étape-ci de la discussion, dans chacun des groupes se dégageait un enjeu principal qui prenait la forme d’un dilemme reconnu par plusieurs participants. Alors que des participants considèrent que certaines utilisations de leurs renseignements personnels sont acceptables, ils reconnaissent qu’ils ne lisent généralement pas les modalités d’une politique d’une entreprise en matière de protection des renseignements personnels avant d’accepter ces pratiques. Bref, ils reconnaissent que leur consentement n’est pas éclairé et qu’ils peuvent consentir à des pratiques qu’ils trouvent inacceptables. Cela a mené à une autre question qui est devenue un thème important dans chacun des groupes : le désir d’avoir des politiques claires, simples et faciles à comprendre pour que les gens puissent fournir un consentement éclairé.
3. Contrôle des renseignements personnels
La présente section aborde les questions liées au contrôle des renseignements personnels.
La plupart des participants croient qu’ils ont peu ou pas de contrôle sur leurs renseignements personnels
La plupart des participants croient qu’ils ont peu ou pas de contrôle sur la façon dont leurs renseignements personnels sont recueillis et utilisés par les entreprises. Les deux raisons les plus souvent invoquées sont les suivantes :
- La nécessité d’accepter les modalités pour interagir ou faire affaire avec l’entreprise : Pour plusieurs participants, accepter les modalités relatives à la collecte et à l’utilisation des renseignements personnels représente une condition pour faire affaire avec les entreprises, du moins en ligne. En d’autres mots, il n’y a pas de demi-mesure. Ainsi, ils estiment que le seul contrôle qu’ils peuvent avoir est d’accepter ou de refuser les modalités, ou de refuser d’interagir en ligne avec des entreprises. À ce sujet, selon plusieurs participants, il n’y a pas d’option de retrait en ce qui concerne les modalités relatives à la collecte et à l’utilisation des renseignements personnels. S’il y avait une option de retrait, ils auraient l’impression d’exercer un plus grand contrôle sur la façon dont leurs renseignements personnels sont recueillis et utilisés par des entreprises.
- Le manque de clarté ou de transparence au sujet de la façon dont leurs renseignements personnels seront utilisés : Les participants ont à maintes reprises expliqué leur perception du manque de contrôle en mentionnant le fait que les politiques des entreprises tendent à être longues, compliquées et rédigées en des termes que les gens ordinaires comme eux ne comprennent pas.
Un plus petit nombre de participants ont expliqué leur perception du manque de contrôle en parlant de ce qui suit :
- L’omniprésence du piratage : Selon certains, les entreprises munies de systèmes de sécurité sophistiqués semblent être régulièrement victimes de piratage. Si tel est le cas, comment peuvent-ils, en tant qu’individus, exercer un contrôle significatif sur leurs renseignements personnels une fois qu’ils les communiquent à des entreprises avec lesquelles ils font affaire?
- La difficulté de se désabonner des listes d’envoi : Certains participants ont indiqué qu’il était difficile, pour ne pas dire impossible, de se désabonner des listes d’envoi ou de ne pas faire partie des listes des entreprises pour leurs publicités envoyées électroniquement.
Quelques participants croient qu’ils exercent au moins un certain contrôle sur la façon dont leurs renseignements personnels sont recueillis et utilisés, mais que ce contrôle tend à être utilisé de manière négative (c.-à-d. en ne faisant pas certaines choses). Par exemple, en expliquant comment ils exercent un contrôle, ces participants ont indiqué ce qui suit :
- En ne procédant pas à certaines transactions en ligne.
- En n’acceptant pas les modalités.
- En ne répondant pas aux incitations des entreprises.
- En fournissant de faux renseignements (p. ex., l’âge ou la date de naissance).
Quelques participants affirment exercer un contrôle sur la collecte de leurs renseignements personnels en vidant la mémoire cache de leur ordinateur, en changeant régulièrement leurs mots de passe et en ne fournissant pas de l’information qui n’est pas absolument nécessaire (p. ex., en ne divulguant pas un numéro d’assurance sociale).
Tout le monde désire exercer un certain contrôle tout en ayant des lois visant à protéger les renseignements personnels
On a demandé aux participants s’ils désiraient exercer eux-mêmes un contrôle sur la façon dont leurs renseignements personnels sont recueillis et utilisés par les entreprises ou s’ils préféraient compter sur des lois pour les protéger afin qu’ils n’aient pas besoin de réfléchir à ce type de décisions.
Tout le monde a indiqué vouloir exercer un certain contrôle tout en ayant des lois qui protégeraient les renseignements personnels. Personne ne voulait assumer l’entière responsabilité du contrôle sur la collecte et l’utilisation des renseignements personnels par des entreprises, ni ne désirait compter seulement sur des lois destinées à protéger les citoyens.
Les participants qui étaient favorables à un plus grand contrôle personnel plutôt qu’aux seules lois pour les protéger ont invoqué les raisons suivantes :
- Ils préfèrent avoir un plus grand contrôle en général dans leur vie.
- Ils ont généralement plus confiance en leurs propres moyens qu’en ceux du gouvernement (p. ex., les gouvernements changent et un nouveau gouvernement pourrait modifier des lois qui favoriseraient les entreprises plutôt que les particuliers).
- Ils désirent avoir leur mot à dire en ce qui concerne le consentement qu’ils accordent à une entreprise relativement à l’utilisation de leurs renseignements personnels.
- Ils estiment qu’il y a un manque de contrôle ou d’influence sur les gouvernements étrangers et les lois de ces derniers qui régissent les entreprises.
Bref, ces participants ont également indiqué qu’ils préféreraient encore que le gouvernement et des lois protègent leurs renseignements personnels. En d’autres mots, personne n’a demandé que le gouvernement s’abstienne de jouer tout rôle dans la protection des renseignements personnels.
Les participants qui préféraient compter davantage sur le gouvernement et les lois pour la protection de leurs renseignements personnels invoquaient les raisons suivantes pour expliquer leur préférence :
- Leur propre manque de temps, de connaissances et d’expertise par rapport à de telles questions.
- Une efficacité perçue (c.-à-d. que le gouvernement possède les ressources et le pouvoir coercitif pour influencer les entreprises à cet égard).
- Le besoin perçu d’assurer une certaine uniformité ou d’adopter des normes sur la question des renseignements pouvant être recueillis par les entreprises et les utilisations que ces dernières peuvent faire de ces renseignements.
- L’impression qu’il y a plusieurs personnes et groupes vulnérables qui pourraient ne pas être en mesure de se charger eux-mêmes de protéger leurs renseignements personnels (p. ex., les personnes âgées).
Encore une fois, les personnes qui désirent que le gouvernement assume une plus grande responsabilité voulaient tout de même exercer elles-mêmes un certain contrôle.
On a demandé aux participants qui étaient en faveur d’un plus grand contrôle personnel et aux participants qui privilégiaient un plus grand contrôle gouvernemental d’indiquer dans quelle mesure ils seraient favorables à l’orientation choisie (c.-à-d. contrôle personnel ou lois) sur une échelle de 0 à 100. La plupart des évaluations tendaient à osciller entre 60/40 et 80/20 environ, bien qu’un plus petit nombre aient proposé un équilibre de 90/10 en faveur de l’option favorisée.Note de bas de page 2
Le retrait : principale façon d’exercer soi-même un contrôle sur les renseignements personnels
Les participants favorables à un plus grand contrôle personnel quant à la façon dont les entreprises recueillent et utilisent leurs renseignements personnels ont mentionné le plus souvent les deux mesures suivantes : la capacité de se retirerNote de bas de page 3 de certains aspects d’une politique d’une entreprise en matière de protection des renseignements personnels et/ou la capacité de cocher oui ou non à des éléments précis d’une telle politique. D’autres exemples de la façon dont ce contrôle pourrait s’exercer à toutes fins pratiques comprennent ce qui suit :
- Des paramètres réglables pour la protection des renseignements personnels.
- Les entreprises devant demander une autorisation particulière pour partager de l’information avec des tierces parties.
- Des tierces parties devant informer les particuliers si leurs renseignements personnels ont été partagés avec elles et qui demandent leur consentement pour les conserver.
- Le droit de préciser le type d’entreprises avec lesquelles l’information peut être partagée.
- Demander aux entreprises de divulguer leurs niveaux de sécurité (p. ex., la mesure dans laquelle elles peuvent protéger les renseignements personnels) avant de leur permettre de recueillir et d’utiliser des renseignements personnels.
- La capacité de demander des résumés clairs et concis des politiques des entreprises en matière de protection des renseignements personnels.
Éventail de mesures gouvernementales proposées afin de protéger les renseignements personnels
Les participants qui préfèrent compter sur le gouvernement et des lois en vue de protéger la façon dont sont recueillis et utilisés leurs renseignements personnels ont indiqué plusieurs exemples de ce à quoi pourrait ressembler ce contrôle à toutes fins pratiques, entre autres :
- Des politiques cohérentes et uniformisées pour que les modalités soient les mêmes pour toutes les entreprises. De cette façon, les particuliers sauraient toujours à quoi s’attendre, peu importe l’entreprise avec laquelle ils font affaire.
- Des limites claires concernant la collecte et l’utilisation des renseignements personnels par les entreprises.
- Des lois exigeant que les entreprises utilisent un langage clair et transparent dans leurs politiques.
- Des pouvoirs gouvernementaux pour appliquer les lois en matière de protection des renseignements personnels et pour s’assurer que les entreprises s’y conforment (p. ex., des amendes, la publication ou la diffusion du nom des entreprises qui ne respectent pas les lois).
4. Consentement
La présente section porte sur des questions liées au consentement.
Le consentement est perçu comme la confirmation qu’une personne comprend les modalités et les accepte
La vaste majorité des participants conviennent que le consentement concerne à la fois la compréhension et l’acceptation des modalités relatives à la collecte et à l’utilisation de leurs renseignements personnels. Plusieurs ont ajouté qu’il ne suffit pas de donner son consentement une seule fois. Ils jugent qu’on doive demander leur consentement à divers moments et que ce dernier, une fois donné, n’est pas nécessairement accordé pour toujours.
Les participants s’attendent à ce que les entreprises avec lesquelles ils font affaire leur demandent leur consentement afin d’utiliser leurs renseignements personnels
Les participants s’attendent pratiquement tous à ce qu’on leur demande leur consentement quand les entreprises avec lesquelles ils font affaire veulent utiliser leurs renseignements personnels. Les participants ont pour la plupart expliqué que, sans leur consentement, les entreprises peuvent utiliser comme bon leur semble leurs renseignements personnels. D’autres raisons invoquées pour expliquer leur impression comprennent les suivantes :
- La croyance que les renseignements personnels sont privés à moins qu’une personne ne consente à ce qu’ils soient utilisés.
- Demander le consentement est une indication importante de la crédibilité ou du caractère d’une entreprise.
- Les affaires avec une entreprise sont de nature » semi-contractuelle « et devraient donc exiger un consentement.
- Demander le consentement témoigne d’un respect de base envers le client.
La plupart des participants considèrent que la collecte de renseignements dans les coulisses est une pratique acceptable t
En général, les participants sont à l’aise (ou du moins ne sont pas mal à l’aise) avec le fait que des entreprises recueillent des renseignements au sujet de leurs intérêts ou de leurs actions « dans les coulisses »Note de bas de page 4 plutôt que de leur demander directement de divulguer leurs renseignements personnels. À ce sujet, les participants avaient tendance à réitérer ce qu’ils avaient dit plus tôt concernant ce qu’ils trouvent acceptable par rapport à la collecte de renseignements personnels par des entreprises et les avantages possibles associés à une telle collecte. Plus particulièrement, ils ont répété qu’ils trouvent acceptable que des entreprises personnalisent leurs publicités en fonction des renseignements recueillis au sujet des clients et de leurs préférences par rapport à certains produits. Les avantages que peuvent en tirer les clients comprennent des rabais, des coupons, des points de fidélité ou de récompense, de meilleurs prix et des renseignements.
Bien que certains participants ne soient pas tout à fait à l’aise avec cette pratique et que quelques-uns l’aient décrite comme insidieuse, ils s’y attendent.
Présentation des scénarios
À cette étape de la discussion, les participants ont reçu un document renfermant quatre scénarios différents. Ces scénarios visaient à explorer plus en profondeur leurs points de vue concernant le consentement. La présentation de chacun des scénarios comprenait les étapes suivantes :
- Chaque scénario était lu à voix haute par le modérateur pendant que les participants en faisaient la lecture.
- Le modérateur demandait ensuite aux participants de réagir à l’information présentée dans le scénario.
- Après la discussion du premier scénario, on ajoutait d’autres détails et les participants devaient commenter ces nouveaux renseignements.
Survol de la réaction des participants aux scénarios
En ce qui a trait aux utilisations de renseignements personnels considérées acceptables et inacceptables dans les scénarios présentés aux participants, deux questions importantes sont ressorties. La première concernait le consentement. Dans chacun des scénarios, les participants jugeaient souvent inacceptable l’utilisation ou le transfert perçu de leurs renseignements personnels à une tierce partie sans leur consentement. L’autre question visait la pertinence de l’information recueillie. Encore une fois, dans chacun des scénarios, les participants remettaient en question la nécessité de fournir certains renseignements qui ne semblaient pas être pertinents pour les fins auxquelles ils étaient recueillis.
Les commentaires concernant chacun des scénarios et leurs versions modifiées sont présentés ci-dessous.
SCÉNARIO 1 : Boutique de vêtements ACME
Vous vous rendez à la boutique de vêtements ACME pour acheter un article. La vendeuse vous demande votre adresse courriel et votre numéro de téléphone pour que vous puissiez retourner ou échanger l’article plus facilement.
L’enjeu ou le problème que soulevaient les participants dans le présent scénario concernait le manque perçu de lien entre les renseignements demandés (p. ex., adresse électronique et numéro de téléphone) et la justification pour fournir de tels renseignements (p. ex., pour faciliter le retour ou l’échange de l’article). Les participants ne s’opposaient pas en principe à fournir ces renseignements dans la mesure où ils seraient utilisés pour les fins déclarées, c’est-à-dire pour améliorer l’expérience du service en facilitant le retour ou l’échange dans la présente situation.
Dans le présent cas, cependant, les participants soupçonnaient qu’il y avait un autre motif à la collecte (p. ex., permettre au magasin de faire la promotion de ses produits auprès des clients). Par conséquent, certains participants se montraient plus réticents à fournir leur numéro de téléphone comparativement à leur adresse électronique parce que la communication par téléphone à des fins de marketing est perçue comme une pratique plus envahissante pour eux. De manière générale, toutefois, les participants avaient une plus grande réticence à divulguer les deux renseignements.
La boutique de vêtements ACME se sert de votre numéro de téléphone et de votre adresse courriel pour analyser vos habitudes de consommation afin de vous envoyer des offres et des coupons personnalisés en fonction des achats que vous avez déjà faits. La vendeuse n’a pas mentionné cela quand vous avez fourni vos renseignements personnels.
Les participants ont été nombreux à critiquer ce scénario, puisque, comme l’avaient soupçonné plusieurs d’entre eux, leurs renseignements personnels étaient utilisés pour des raisons autres que celle qu’on leur avait donnée (c’est-à-dire de faciliter le retour ou l’échange de l’article) et qu’ils n’y avaient donc pas consenti. Plusieurs ont fait remarquer que la pratique aurait été acceptable s’ils avaient été informés au départ des véritables motifs pour la collecte de ces renseignements. En fait, des participants dans tous les groupes ont déclaré qu’ils se seraient attendus à ce que l’entreprise leur demande si elle pouvait se servir de leurs renseignements à de telles fins, mais la plupart d’entre eux ont indiqué qu’une telle utilisation de leurs renseignements ne les surprenait pas.
Maintenant, supposons que la boutique de vêtements ACME transmette les renseignements personnels de ses clients à une autre entreprise qui fait ensuite correspondre ces renseignements avec des données démographiques comme les adresses postales, de l’information sur les intérêts et les passe-temps, de l’information sur le revenu du ménage, par exemple, et que cette entreprise vous envoie un coupon ou une offre pour du lait maternisé parce que vous avez acheté quelque chose à la boutique de vêtements ACME…Vous ne saviez pas que vos renseignements étaient fournis à une tierce partie.
La majorité des participants condamnaient une telle utilisation de leurs renseignements personnels. Bien que l’information soit utilisée pour leur procurer certains avantages, elle a été remise à une tierce partie sans leur consentement. Comme dans le cas précédent, les participants se seraient attendus à ce que l’entreprise leur demande si elle pouvait utiliser leurs renseignements personnels à cette fin. Contrairement au cas précédent, par contre, plusieurs ont indiqué qu’une telle utilisation les surprend (ils ne s’attendent pas à une telle utilisation puisqu’elle leur paraît être une pratique clairement inacceptable).
SCÉNARIO 2 : Câblodistributeur ACME
Au moment d’ouvrir un compte auprès du câblodistributeur ACME, vous avez dû fournir plusieurs renseignements personnels, y compris votre numéro de cellulaire, votre adresse de facturation et votre numéro de carte de crédit. Le représentant des ventes vous a dit que ces renseignements serviront à vous fournir un service plus rapide et efficace.
Le présent scénario a suscité des réactions plus mitigées chez les participants. Comme dans le scénario précédent, plusieurs s’opposaient à cette demande parce qu’ils ne comprenaient pas le lien entre les renseignements demandés et la justification pour les obtenir. En particulier, bon nombre d’entre eux ne voyaient pas en quoi il était nécessaire de fournir un numéro de carte de crédit pour recevoir un service plus rapide et efficace, et quelques-uns ont dit que la référence au fait de fournir un service plus rapide et efficace était trop floue. De plus, certains étaient inquiets que leurs renseignements soient communiqués à une tierce partie.
D’un autre côté, un certain nombre de participants ne s’opposaient pas au fait de fournir ces renseignements, alléguant qu’une telle information au dossier permet à une entreprise avec laquelle on fait affaire de nous offrir un service plus efficace.
Le câblodistributeur ACME transmet les renseignements liés à votre compte, y compris votre nom, vos coordonnées et les renseignements de votre carte de crédit, à une tierce partie qu’il a embauchée pour les appels de service. Un membre de votre foyer appelle le câblodistributeur ACME en raison d’un problème avec la réception. Étant donné que le câblodistributeur ACME a transmis l’information à l’entreprise qui se charge des appels de service, l’entreprise détient tous les renseignements nécessaires pour fixer un rendez-vous et vous facturer l’appel de service. Vous êtes mis au courant de l’appel de service seulement au moment de recevoir votre relevé de carte de crédit.
Plusieurs participants se sont opposés à une telle utilisation de leurs renseignements personnels parce qu’ils n’en avaient pas été informés au moment d’ouvrir leur compte avec le câblodistributeur. En d’autres mots, leurs renseignements personnels avaient été transmis à une tierce partie sans leur consentement. De plus, le fait que leur numéro de carte de crédit fasse partie de l’information communiquée sans leur consentement était particulièrement dérangeant et inacceptable pour la plupart d’entre eux. La majorité des participants ont indiqué qu’ils se seraient attendus à ce que l’entreprise leur demande si elle pouvait utiliser leurs renseignements personnels de cette façon et ont déclaré qu’une telle utilisation les surprenait.
D’un autre côté, certains participants ne s’y opposaient pas; ils ont fait remarquer que de tels arrangements entre une entreprise et ses sous-traitants sont relativement courants. Certains ont d’ailleurs noté que ces arrangements permettent parfois à l’entreprise de fournir un service plus rapide et efficace. Alors qu’ils se seraient attendus à ce que l’entreprise leur demande si elle pouvait utiliser leurs renseignements personnels à cette fin, ils ne sont pas surpris de cette pratique.
Maintenant, supposons que le câblodistributeur ACME utilise les renseignements que vous lui avez fournis en tant que client pour les combiner aux renseignements qu’il recueille sur les émissions que vous regardez en vue de comprendre ce que vous appréciez et n’appréciez pas…Vous commencez ensuite à recevoir par courriel de la publicité qui pourrait vous intéresser selon l’entreprise. ACME vous avise qu’il se servira de vos renseignements personnels pour vous envoyer de la publicité, mais ne vous offre pas la possibilité de retirer votre nom de la liste.
Les participants ont critiqué en grand nombre l’utilisation de leurs renseignements personnels à cette fin, à la fois parce que leur consentement n’avait pas été sollicité ni accordé (c’est-à-dire qu’ils avaient été avisés et non sollicités) et parce qu’ils n’avaient pas la possibilité de se retirer de la liste. En fait, tous les participants s’opposaient au fait qu’il n’y avait pas d’option à cet égard. Certains participants ne s’opposaient pas au fait que leurs renseignements personnels servent à l’entreprise pour la promotion de ses produits, mais plutôt au fait qu’ils ne pouvaient pas retirer leur nom de la liste.
Les participants s’attendent presque tous à ce qu’une entreprise demande si elle peut utiliser les renseignements personnels de cette façon, particulièrement parce qu’il n’est pas possible de retirer son nom de la liste. La plupart des participants ont également indiqué qu’une telle utilisation de leurs renseignements personnels les surprend, surtout étant donné l’impossibilité de retirer son nom de la liste.
SCÉNARIO 3 : Bracelet d’activité physique ACME
Vous avez reçu le bracelet d’activité physique ACME pour votre anniversaire. Au moment de l’utiliser, vous avez dû fournir beaucoup de renseignements personnels, tels votre âge, votre poids, votre niveau d’activité et votre rythme cardiaque, afin que l’appareil puisse évaluer votre forme physique.
Les participants ne voyaient aucun problème avec ce scénario. Ils se sentaient à l’aise de fournir les renseignements demandés et n’ont exprimé aucune inquiétude relativement à la protection de leurs renseignements personnels dans une telle situation.
Supposons que l’information relative à votre forme physique, à vos habitudes alimentaires, à votre lieu et à votre rythme cardiaque, par exemple, soit fournie à une autre entreprise qui effectue des recherches en santé… l’entreprise se servira de ces renseignements pour mener des recherches sur la façon dont la forme physique et les habitudes alimentaires affectent l’état de santé général d’une personne. Cette information figure à la fois dans les termes et les conditions de l’application associée au bracelet et dans le dépliant d’information contenu dans la boîte du bracelet, mais vous n’avez pas lu ces compléments d’information.
Les participants ont jugé, pratiquement à l’unanimité, qu’une telle utilisation de leurs renseignements personnels était acceptable. Ils ont à maintes reprises répété qu’il était important de retenir que l’utilisation escomptée des renseignements était clairement énoncée dans les modalités et que le client avait la responsabilité de lire l’information.
Bien que la plupart des participants aient déclaré ne pas être étonnés d’une telle utilisation de leurs renseignements personnels, certains l’étaient. Ces derniers ne s’opposaient pas nécessairement à une telle utilisation de leurs renseignements, mais ne savaient tout simplement pas qu’on pouvait s’en servir à des fins semblables. La plupart ont déclaré qu’ils ne se seraient pas attendus à ce que l’entreprise leur demande si elle pouvait utiliser leurs renseignements personnels dans un tel but, étant donné que l’information figurait dans les conditions. D’un autre côté, certains participants auraient aimé avoir la possibilité de ne pas adhérer aux modalités et d’autres se seraient attendus à ce que l’entreprise leur demande si elle pouvait utiliser leurs renseignements personnels de cette manière plutôt que de l’indiquer dans les conditions.
Maintenant, supposons que les mêmes renseignements personnels étaient vendus à une compagnie d’assurance, qui pourrait s’en servir pour établir le tarif de votre police.
Une telle utilisation de leurs renseignements personnels était considérée inacceptable parce que l’information a servi à des fins autres qu’à celles énoncées par l’entreprise et qu’elle a été transmise à une tierce partie sans le consentement du client. Certains ont également fait remarquer que l’information était utilisée d’une façon qui pouvait nuire aux clients (c’est-à-dire pour prendre des décisions qui les affecteraient négativement). Pour toutes ces raisons, les participants estimaient pratiquement à l’unanimité que l’utilisation d’une telle information représentait une pratique inacceptable. Le fait que presque tous les participants ont déclaré qu’une telle utilisation les surprenait et qu’ils se seraient attendus à ce que l’entreprise leur demande leur consentement pour utiliser leurs renseignements de cette façon vient renforcer cette impression.
SCÉNARIO 4 : PROGRAMME DE POINTS ACME
On vous offre une carte de points ACME assortie d’une application mobile. Pour vous inscrire au programme, vous devez fournir votre nom, votre adresse courriel, votre date de naissance ainsi que de l’information relative à votre revenu annuel et au nombre de personnes qui habitent sous votre toit, par exemple. On vous dit que la carte tient compte de vos achats et que vous recevrez des coupons et/ou des offres spéciales selon les achats que vous faites.
Dans ce scénario, les participants étaient plus susceptibles de s’opposer à la quantité d’information demandée. En particulier, ils ont fait remarquer à maintes reprises qu’il n’était pas nécessaire de fournir de l’information au sujet des revenus annuels et du nombre de personnes vivant sous le même toit. De tels renseignements étaient considérés non pertinents et/ou non nécessaires en vue d’établir un programme de points. Pour cette raison, plusieurs participants soupçonnaient qu’il y avait un autre motif justifiant une telle demande et qu’ils seraient mal à l’aise de divulguer l’information demandée. D’un autre côté, certains participants ne s’opposaient pas du tout au fait de fournir ces renseignements, particulièrement puisqu’ils pourraient bénéficier de certains avantages qui s’y rattachent.
En se basant sur les renseignements que les détenteurs de la carte de points ont fournis au sujet de leur foyer et de leur revenu lorsqu’ils se sont inscrits au programme, ACME décide d’augmenter les prix dans certains points de vente. Votre magasin local est l’un de ces points de vente. La politique en matière de protection des renseignements personnels énonçait quelque part que vos renseignements personnels seraient utilisés pour créer des profils et à des fins de recherche et de marketing. Vous avez cliqué « J’accepte » sans lire la politique au complet.
Les réactions à ce scénario se distinguent par la façon dont les participants interprètent l’idée sous-jacente à l’utilisation des renseignements « à des fins de recherche et de marketing ». Les participants convenaient que la responsabilité de lire la politique en matière de protection des renseignements personnels pour obtenir plus de détails au sujet de l’utilisation des renseignements personnels incombe au client.
Pour plusieurs, cependant, la référence à la création « des profils et à des fins de recherche et de marketing » était trop vague et générale pour inclure une mesure aussi tangible que la différenciation des prix. Plusieurs jugeaient cette pratique inacceptable parce qu’elle était discriminatoire de manière négative. D’un autre côté, certains participants étaient d’avis que l’utilisation de renseignements personnels à des fins de recherche et de marketing pouvait se solder par cette possibilité.
Qu’ils estiment que cette mesure soit acceptable ou non, les participants avaient pour la plupart l’impression que l’entreprise aurait dû énoncer plus clairement la possibilité que l’information pouvait être utilisée en vue de différencier les prix et la majorité d’entre eux ont affirmé être surpris que leurs renseignements soient utilisés de cette façon.
5. Solutions possibles
La présente section porte sur les solutions possibles afin de traiter des enjeux relatifs à la collecte et à l’utilisation des renseignements personnels.
Mesures possibles pour accroître la confiance que les renseignements personnels sont protégés
Les participants ont cerné un éventail de mesures que les entreprises pourraient prendre afin d’accroître leur confiance qu’elles protègent les renseignements personnels. Les deux mesures les plus fréquemment mentionnées sont les suivantes :
- Fournir des modalités claires et transparentes, dans un langage facile à comprendre en ce qui concerne la collecte et l’utilisation de leurs renseignements personnels : Cette proposition vise notamment à inclure de l’information au sujet du type d’information à partager et des tierces parties à qui elle est destinée (p. ex., des entreprises ou des types d’entreprise) et la période pendant laquelle elle sera conservée. Elle comprend également le fait de fournir une version abrégée des modalités avec des renseignements clés, notamment un résumé des principaux points.
- Offrir la possibilité de se retirer de la liste : Il faudrait dresser la liste des conditions pour que les clients aient la possibilité de cocher chacune d’entre elles en vue de signifier leur accord.
Measures identified less frequently included the following:
- S’assurer d’entreposer l’information de manière sécuritaire.
- Une meilleure présentation ou une présentation plus conviviale des modalités pour qu’elles soient plus faciles à lire (p. ex., taille plus grosse de la police, texte présenté en style télégraphique).
- Une plus grande cohérence entre les modalités de chacune des entreprises.
- Un glossaire des principaux termes et expressions utilisés dans les modalités ayant trait à la collecte et à l’utilisation des renseignements personnels.
- Une case réservée aux commentaires pour que les clients puissent poser des questions ou fournir leurs commentaires au sujet des modalités relatives à la collecte et à l’utilisation des renseignements personnels.
- La confirmation par une tierce partie que nos renseignements personnels lui ont été communiqués.
Principaux renseignements au sujet des pratiques d’une entreprise en matière de protection des renseignements personnels
Lorsqu’ils réfléchissaient au fait de divulguer ou non leurs renseignements personnels aux entreprises, des participants dans tous les groupes ont à maintes reprises mentionné les éléments suivants comme des éléments d’information clés qui devraient figurer dans les modalités de l’entreprise :
- Le type de renseignements personnels recueillis.
- La façon dont l’entreprise les utilisera/à quelles fins.
- À qui l’entreprise communique de l’information.
- La période pendant laquelle l’entreprise conservera ces renseignements.
- La façon dont l’entreprise protège ou garantit la protection des renseignements personnels.
Un nombre plus restreint de participants ont identifié les types de renseignements suivants :
- Ce qui adviendra suivant une atteinte à la sécurité
- Des renseignements concernant la responsabilité légale.
- Le propriétaire de l’entreprise/la structure de propriété.
Le gouvernement est considéré comme le surveillant le plus important des entreprises
Dans tous les groupes, les participants ont à maintes reprises mentionné que le gouvernement était l’organisation la plus importante visant à surveiller les entreprises afin qu’elles s’en tiennent à des pratiques acceptables relativement à la collecte et à l’utilisation des renseignements personnels. Très peu de participants ont identifié d’autres organisations ou intervenants, mais quelques-uns ont parlé de l’ombudsman, du Better Business Bureau, du Commissariat à la protection de la vie privée du Canada et des entreprises elles-mêmes.
Les participants étaient quasiment tous d’accord pour dire que le gouvernement est l’organisation qui devrait surveiller les entreprises.
Rappel limité des enquêtes/vérifications des entreprises concernant leurs pratiques en matière de protection des renseignements personnels
Très peu de participants se souvenaient d’avoir entendu quoi que ce soit au sujet des entreprises ayant fait l’objet d’enquêtes ou de vérifications en ce qui concerne leurs pratiques en matière de protection des renseignements personnels. De plus, ceux qui se rappelaient avoir entendu quelque chose à ce sujet se souvenaient rarement des détails. Les seuls éléments plus précis concernaient les atteintes à la sécurité à LinkedIn et Yahoo ainsi que le vol d’information concernant la carte de crédit d’un client par un employé de Rogers. Quelques participants semblaient se souvenir d’avoir entendu quelque chose au sujet des rapports internes sur la conformité, mais ne pouvaient pas se rappeler les détails.
Perceptions concernant le rôle du gouvernement en matière de protection des renseignements personnels
Les participants n’avaient pas de difficulté à identifier le ou les rôles du gouvernement en ce qui a trait à la protection des renseignements personnels. Les réponses qu’ils ont fournies à maintes reprises spontanément comprenaient les suivantes :
- Élaborer et adopter des lois.
- Appliquer les lois.
- Assurer une supervision ou une surveillance pour veiller à la conformité.
- Mener des enquêtes/assurer le suivi concernant des problèmes/des atteintes.
- Sensibiliser la population ou lui fournir plus de renseignements.
De plus, certains participants ont suggéré que le gouvernement reconnaisse ou récompense les entreprises qui adoptent des pratiques exemplaires ou un comportement modèle ayant trait à la protection des renseignements personnels. D’autres proposaient la création d’un sceau d’approbation du gouvernement ou d’un programme de certification pour les entreprises dans ce domaine.
Avis généralisé que le gouvernement doit jouer un rôle proactif et réactif
Après avoir fourni spontanément des commentaires sur le rôle du gouvernement à cet égard, les participants ont été informés que le gouvernement pouvait assumer deux rôles différents en ce qui concerne la protection des renseignements personnels : un rôle proactif, grâce auquel le gouvernement pourrait mener des vérifications sur une base régulière des pratiques en matière de protection des renseignements personnels, et un rôle réactif qui permettrait au gouvernement de procéder à des enquêtes suivant des plaintes ou des atteintes à la protection des renseignements personnels.
Interrogés au sujet de ces deux rôles, les participants ont convenu pratiquement à l’unanimité que le gouvernement devrait assumer ces deux rôles.
Gamme de rôles précis identifiés pour le gouvernement
Il y avait également pratiquement un consensus à l’effet que le gouvernement devrait être investi de pouvoirs lui permettant d’appliquer les lois canadiennes en matière de protection des renseignements personnels pour s’assurer que les entreprises s’y conforment :
- Le pouvoir d’imposer des sanctions financières.
- Des pouvoirs exécutoires pour forcer les entreprises à mettre en œuvre les recommandations.
- Des vérifications proactives (c.-à-d. des vérifications ou des vérifications ponctuelles des pratiques des entreprises en matière de protection des renseignements personnels).
Pour ce qui est de l’imposition de sanctions financières, certains participants ont suggéré des amendes plus importantes pour être efficaces.
Désir généralisé de recevoir de l’information ou une orientation au sujet des questions relatives à la protection de la vie privée
Les participants ont manifesté un désir généralisé de recevoir de l’information sur des questions relatives à la protection de la vie privée de la part du gouvernement grâce à des efforts de sensibilisation ou d’éducation publique. Parmi les renseignements considérés les plus utiles, on note les suivants :
- Les éléments à prendre en considération dans les politiques visant la protection des renseignements personnels.
- L’information à ne pas divulguer/partager.
- La signification des diverses modalités/conditions ou un glossaire des principaux termes et expressions.
- Des mises à jour/modifications à la loi.
- Les mesures prises par le gouvernement concernant la protection des renseignements personnels.
- Les droits et les obligations de chaque personne.
- Une ligne téléphonique d’information.
- Une formation et une orientation sur des questions de protection de la vie privée à l’intention des particuliers.
- La liste des entreprises qui ont enfreint les lois relatives à la protection des renseignements personnels.
Lorsqu’on leur a demandé de quelles manières ils aimeraient recevoir de tels renseignements (p. ex., dans quels formats), les participants étaient plus susceptibles d’accorder la préférence aux formats en ligne, notamment les sites Web du gouvernement, les courriels et même les vidéos (p. ex., dans YouTube), ainsi que les curriculums des programmes du primaire et du secondaire. Quelques participants ont suggéré l’envoi d’information avec les avis de cotisation de l’ARC. Certains ont aussi proposé de présenter de tels renseignements au moyen d’un scénario hypothétique afin de rendre l’information plus concrète et claire.
Annexes
Annexe 1 : Questionnaire de sélection
Spécifications
- Recruter 12 participants.
- Les participants recevront 100 $ en contrepartie de leur participation.
- Dans chaque ville, un groupe réunira des participants de moins de 30 ans et l’autre, des participants qui ont 30 ans ou plus.
- Chaque groupe réunira un ensemble diversifié de participants selon les facteurs suivants : l’âge (dans les limites des paramètres définis), le sexe, le niveau de scolarité et la situation d’emploi.
- Toutes les séances se dérouleront en anglais, sauf à Montréal, où elles se dérouleront en français.
Groupe | Lieu | Date et heure | Composition du groupe |
---|---|---|---|
Groupe 1 | Toronto | 7 février 17 h 30 | Moins de 30 ans |
Groupe 2 | Toronto | 7 février 19 h 30 | 30 ans et plus |
Groupe 3 | Halifax | 8 février 17 h 30 | Moins de 30 ans |
Groupe 4 | Halifax | 8 février 19 h 30 | 30 ans et plus |
Groupe 5 | Winnipeg | 8 février 17 h 30 | Moins de 30 ans |
Groupe 6 | Winnipeg | 8 février 19 h 30 | 30 ans et plus |
Groupe 7 | Montréal | 9 février 17 h 30 | Moins de 30 ans |
Groupe 8 | Montréal | 9 février 19 h 30 | 30 ans et plus |
Questionnaire
A. Introduction
Bonjour/Hello, je m’appelle . Préférez-vous continuer en français ou en anglais? / Would you prefer to continue in English or French?
[NOTE À L’INTERVIEWEUR : POUR LES SÉANCES EN ANGLAIS, SI UN(E) PARTICIPANT(E) PRÉFÈRE CONTINUER EN FRANÇAIS, DIRE CE QUI SUIT : « Malheureusement, nous cherchons des gens qui parlent anglais pour participer à ces groupes de discussion. Nous vous remercions de votre intérêt. »]
Je communique avec vous au nom de Research House, une maison de recherche canadienne. Le gouvernement du Canada a retenu nos services pour réaliser une série de séances de discussion afin d’explorer des questions importantes pour la population canadienne. Chaque séance de discussion durera deux heures environ. Les participants et participantes recevront une somme en argent comptant en guise de remerciement pour le temps consacré à l’étude.
Avant de vous inviter à participer à la séance de discussion, nous devrons vous poser quelques questions pour veiller à ce que chaque groupe réunisse différents types de personnes. Puis-je vous poser quelques questions? Ça devrait prendre cinq minutes.
Oui 1 CONTINUER Non 2 REMERCIER/METTRE FIN
Vous êtes entièrement libre de participer ou non à cette discussion. Ce sont vos opinions qui nous intéressent. Nous n’essaierons pas de vous vendre quoi que ce soit ou de vous faire changer d’avis sur une question. La discussion prendra la forme d’une table ronde qu’animera un(e) professionnel(le) de la recherche et à laquelle prendront part jusqu’à huit participants. Toutes les opinions exprimées demeureront anonymes et serviront dans le contexte de l’étude seulement, conformément aux lois visant à protéger la confidentialité de vos renseignements.
[NOTE À L’INTERVIEWEUR : SI LE/LA PARTICIPANT(E) S’INTERROGE AU SUJET DES LOIS SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS, DIRE : « Les renseignements recueillis dans le cadre de l’étude font l’objet des dispositions de la Loi sur la protection des renseignements personnels, une loi du gouvernement du Canada, ainsi que des dispositions des lois provinciales pertinentes dans ce domaine. »]
B. Critères de sélection
1. Est-ce que vous-même ou un membre de votre foyer ou de votre famille immédiate travaille dans l’un des domaines suivants? LIRE LA LISTE
- La recherche en marketing, les relations publiques ou la publicité
- Les médias (radio, télévision, journaux, revues, etc.)
- Le gouvernement fédéral ou provincial
Oui 1 REMERCIER/METTRE FIN Non 2 CONTINUER
2. On nous a demandé de parler avec des participants de différents âges. Pouvez-vous me dire quel âge vous avez? VEILLER À OBTENIR UN GROUPE DIVERSIFIÉ
INSCRIRE Moins de 18 ans REMERCIER/METTRE FIN 18 à 24 ans 25 à 29 ans 30 à 34 ans 35 à 44 ans 45 à 54 ans 55 à 64 ans 65 à 74 ans 75 ans ou plus REMERCIER/METTRE FIN
3. Inscrire le sexe selon vos observations. RÉPARTITION 50/50
Femme Homme
4. Est-ce que vous utilisez l’Internet sur un appareil mobile, comme un téléphone intelligent ou une tablette, sur un ordinateur, ou au moyen de ces deux types d’appareils?
Appareil mobile Ordinateur Les deux Ni l’un ni l’autre THANK/DISCONTINUE
5. Parmi les activités suivantes, lesquelles faites-vous en ligne? LIRE LA LISTE
Acheter des produits ou services Recourir à des sites de réseautage social comme Facebook, Instagram et Twitter Visionner des émissions de télévision ou des films Consulter des messages électroniques Utiliser des cartes routières Utiliser des moteurs de recherche
REMERCIER ET METTRE FIN SI LE/LA RÉPONDANT(E) AFFIRME SEULEMENT « CONSULTER DES MESSAGES ÉLECTRONIQUES »
6. Au moyen d’une échelle de cinq points, selon laquelle « 1 » signifie pas du tout et « 5 » signifie beaucoup, dans quelle mesure vous intéressez-vous aux nouvelles et aux questions d’actualité?
INSCRIRE . REMERCIER/METTRE FIN SI LE/LA PARTICIPANT(E) A DONNÉ UN RÉSULTAT DE 1 OU 2
7. Pouvez-vous s.v.p. m’indiquer le plus haut niveau de scolarité que vous avez atteint? LIRE LA LISTE; VEILLER À OBTENIR UNE COMBINAISON VARIÉE
Études secondaires partielles Études secondaires terminées Certificat d’une école de métiers Études postsecondaires partielles Études postsecondaires terminées Diplôme d’études supérieures
8. Quelle est votre situation d’emploi actuelle? LIRE LA LISTE; VEILLER À OBTENIR UNE COMBINAISON VARIÉE
Temps plein (35 heures ou plus) Temps partiel (moins de 35 heures) Personne au foyer Étudiant(e) À la retraite Sans emploi
9. Les participants des séances de discussion doivent émettre leurs opinions et présenter leurs points de vue. Dans quelle mesure êtes-vous à l’aise de partager votre opinion en groupe? Diriez-vous que vous êtes…? LIRE LES OPTIONS
Très à l’aise AU MOINS 5 PAR GROUPE Plutôt à l’aise Pas très à l’aise METTRE FIN Très mal à l’aise METTRE FIN
10. Avez-vous déjà participé à une séance de discussion ou à une entrevue organisée à l'avance et reçu une somme d'argent en échange de votre participation?
Oui AU PLUS 5 PAR GROUPE Non ALLER À L’INVITATION
11. À quand remonte votre dernière participation à un groupe de discussion ou à une entrevue?
Il y a moins de six mois METTRE FIN Il y a plus de six mois
12. À combien de séances de discussion ou d’entrevues avez-vous participé au cours des cinq dernières années?
Moins de cinq Cinq ou plus METTRE FIN
13. Dans le cadre de ces séances, il arrive que les participants soient invités à inscrire leurs réponses dans un questionnaire. Est-ce qu’il y a des raisons pour lesquelles vous ne seriez pas en mesure de participer à ce genre d’activité? (ajouter les déficiences auditives.)
Oui METTRE FIN Non
METTRE FIN SI LE/LA RÉPONDANT(E) INVOQUE DES RAISONS COMME UNE DÉFICIENCE VISUELLE OU AUDITIVE, UN PROBLÈME DE COMMUNICATION ÉCRITE OU VERBALE OU UNE CRAINTE DE NE PAS ÊTRE EN MESURE DE COMMUNIQUER EFFICACEMENT.
14. Il y aura un enregistrement vidéo de la séance pour les besoins de l’étude seulement. Seuls les membres de l’équipe de Phoenix SPI auront accès aux enregistrements pour préparer un rapport sur les observations découlant de l’étude. Ces enregistrements ne seront pas mis en commun avec d’autres personnes. Êtes-vous d’accord pour faire l’objet d’un enregistrement vidéo pour les besoins de l’étude?
Oui METTRE FIN Non
C. INVITATION À PARTICIPER
J’aimerais vous inviter à participer à une séance dans le cadre de laquelle vous pourrez mettre en commun vos opinions avec d’autres Canadiens et Canadiennes de votre collectivité dans le cadre d’une discussion encadrée par un animateur. La discussion sera dirigée par un chercheur d’un cabinet national de recherche sur l’opinion publique, Phoenix SPI. La séance sera enregistrée et observée. Votre participation sera toutefois confidentielle. La séance de discussion doit se dérouler le [JOUR] [DATE], à [HEURE]. La séance doit durer environ deux heures. Les participants recevront 100 $ en contrepartie du temps consacré. Est-ce que vous aimeriez participer à la séance de discussion?
Oui Non METTRE FIN
Avez-vous un crayon à portée de la main? Je vais vous donner l’adresse où aura lieu la séance. Elle aura lieu au [AJOUTER L’ÉTABLISSEMENT]. J’aimerais vous rappeler que la séance aura lieu à [HEURE], le [DATE]. Nous demandons aux participants d’arriver 15 minutes d’avance.
À votre arrivée, vous devrez présenter une pièce d’identité avec photo; n’oubliez pas d’en apporter une (p. ex., un permis de conduire). Si vous avez besoin de lunettes pour lire, merci de les apporter. Les participants devront peut-être examiner des documents en [ANGLAIS/FRANÇAIS] au cours de la discussion.
Tel que je l’ai signalé tantôt, nous enregistrerons la discussion sur bande vidéo pour les besoins de l’étude et des représentants de l’équipe de recherche du gouvernement du Canada observeront la séance à partir d’une pièce voisine. Nous vous demanderons de signer un formulaire de renonciation indiquant que vous êtes au courant que la rencontre sera enregistrée sur bande vidéo. Seuls les membres de l’équipe de recherche de Phoenix SPI se serviront des enregistrements. Les enregistrements ne seront pas partagés avec d’autres personnes. Comme je l’ai dit plus tôt, tous les renseignements recueillis lors de la discussion de groupe demeureront anonymes et ne seront utilisés qu’à des fins de recherche, conformément aux dispositions des lois visant à protéger les renseignements personnels.
Étant donné que nous n’invitons qu’un petit nombre de personnes, votre participation est très importante pour nous. S’il vous est impossible d’être présent(e), pour une raison ou pour une autre, merci de communiquer avec nous afin que nous puissions trouver un remplaçant. Vous ne pourrez pas envoyer quelqu’un d’autre pour participer à la séance à votre place. Seules les personnes qui se sont prêtées au processus de sélection peuvent participer à la séance. Vous pouvez nous joindre à nos bureaux au [AJOUTER LE NUMÉRO]. Demandez [AJOUTER LE NOM].
Quelqu’un vous téléphonera la veille de la séance de discussion pour vous en rappeler la tenue.
Afin que nous puissions vous rappeler la tenue de la séance de discussion ou pour communiquer avec vous s’il y a des changements, nous aimerions confirmer avec vous votre nom et les coordonnées pour vous joindre.
Prénom : Nom de famille : No de téléphone (jour) : No de téléphone (soir) :
Merci beaucoup pour le temps que vous nous consacrez. Nous apprécions votre intérêt pour cette étude d’importance.
Annexe 2 : Guide du modérateur
Introduction (5 minutes)
- Remercie les participants d’être présents
- Présente le modérateur et Phoenix
- Ce soir, nous menons une recherche pour le Commissariat à la protection de la vie privée du Canada. La discussion portera sur la vie privée et la protection des renseignements personnels. La discussion durera 2 heures.
- Ma responsabilité est de faciliter la discussion et de veiller à ce qu’on ne s’éloigne pas du sujet et qu’on respecte le temps alloué.
- Pour votre part, votre responsabilité est de donner votre opinion au sujet des enjeux qui seront abordés ce soir.
- Il ne s’agit pas d’un test de connaissances; il n’y a pas de bonnes ou de mauvaises réponses (nous sommes intéressés par les opinions).
- Nous recherchons la franchise et l’honnêteté.
- On peut être en désaccord; nous voulons que les gens s’expriment s’ils ont une opinion différente.
- Les commentaires seront traités de manière confidentielle; ils feront l’objet d’un compte rendu global; l’enregistrement vidéo et la prise de notes ne serviront qu’à la rédaction du rapport; des observateurs se trouvent derrière le miroir.
- Si vous avez un cellulaire ou un autre appareil électronique, veuillez l’éteindre.
- Des questions?
- Tour de table pour les présentations : Dites-nous votre prénom et l’un de vos passe-temps.
Réchauffement / Perceptions générales (25 minutes)
Comme je l’ai mentionné, nous allons discuter de la vie privée et de la protection des renseignements personnels ce soir. Rappelez-vous que, lorsque nous parlons de renseignements personnels, nous voulons dire votre nom, votre âge, votre adresse, votre revenu et votre adresse courriel, en plus de renseignements comme vos habitudes d’achat, vos activités en ligne et même votre ADN.
Commençons par une question très générale…
- Dans quelle mesure pensez-vous à la protection de votre vie privée et de vos renseignements personnels? Est-ce que cela vous préoccupe? Pourquoi/pourquoi pas?
- Si vous avez des préoccupations concernant la protection de votre vie privée, qu’est-ce qui vous inquiète le plus?
Explorer (au besoin) : vol d’identité, fraude/perte financière, piratage, surveillance
Plusieurs entreprises recueillent des renseignements personnels au sujet de leurs clients. Certains de ces renseignements sont nécessaires pour des transactions ou des achats, comme un numéro de carte de crédit, alors que d’autres sont recueillis principalement pour permettre à l’entreprise d’en savoir davantage au sujet des clients. Par exemple, lorsqu’une personne à la caisse vous demande votre numéro de téléphone et votre adresse courriel pendant une transaction de vente.
NE PAS PASSER BEAUCOUP DE TEMPS LÀ-DESSUS, MAIS UTILISER POUR DONNER LE TON/FOURNIR LE CONTEXTE DU SUJET - Pouvez-vous penser à des situations qui se sont produites plus ou moins dans la dernière année où vous avez été demandé de fournir des renseignements personnels par une entreprise? Quels renseignements vous a-t-on demandés de fournir et quel était le contexte? DEMANDER DES EXEMPLES PRÉCIS; L’ACCENT DEVRAIT ÊTRE MIS SUR LES EXEMPLES NUMÉRIQUES (PLUTÔT QUE SUR LES POINTS DE VENTE)
Explorer (au besoin) :
- Renseignements : code postal, carte de crédit, pièce d’identité avec photo
- Situations : magasinage dans un point de vente, enregistrement à l’hôtel, courriel ou date de naissance en ligne
- En général, dans quelle mesure faites-vous confiance aux entreprises pour ce qui est de gérer et de protéger vos renseignements personnels?
Explorer : différences selon le type d’entreprise, le type de renseignements personnels - À quoi serviront les renseignements personnels qu’une entreprise recueille à votre sujet et au sujet d’autres clients? Y a-t-il autre chose? NOTER LES UTILISATIONS SUR UN TABLEAU-PAPIER
Explorer au besoin :
- les vendre à une tierce partie
- les utiliser pour vous faire connaître des produits ou des services, améliorer votre expérience en tant que client, prendre des décisions à votre sujet relativement à vos réclamations d’assurance ou votre couverture médicale
- Qu’est-ce qui dépasse la limite? Qu’est-ce qui vous rend mal à l’aise et que jugez-vous acceptable? Pourquoi? MODÉRATEUR : NE PAS PASSER BEAUCOUP DE TEMPS SUR CETTE QUESTION ET ABORDER LA Q7 EN MÊME TEMPS S’IL Y A LIEU; CES QUESTIONS SERONT EXPLORÉES À FOND PLUS TARD.
Explorer (au besoin) :
- Est-ce qu’il s’agit du caractère sensible des renseignements partagés?
- Est-ce que c’est la réputation de l’entreprise et/ou le manque de confiance à son égard?
- Est-ce parce qu’il y a un risque de préjudice (décisions négatives vous concernant ou des occasions ratées)?
- Pouvez-vous penser à un exemple où il est clairement avantageux de fournir vos renseignements personnels à une entreprise? Et quels en sont les désavantageux? MODÉRATEUR : VEUILLEZ FAIRE RÉFÉRENCE À LA LISTE SUR LE TABLEAU-PAPIER
Explorer (au besoin) :
- Avantages : service amélioré, service plus rapide
- Inconvénients : risque d’atteinte à la vie privée, vol d’identité
Politiques en matière de protection des renseignements personnels (10 minutes)
Les organisations qui recueillent des renseignements personnels doivent faire preuve d’honnêteté en expliquant leurs pratiques en matière de protection de la vie privée.
- Qu’est-ce que cela signifie pour vous qu’une entreprise ait une politique en matière de protection des renseignements personnels? MODÉRATEUR : LAISSER LES PARTICIPANTS S’EXPRIMER SPONTANÉMENT ET POURSUIVRE AVEC LES QUESTIONS SUIVANTES : Est-ce qu’elle garantit la confidentialité de vos renseignements personnels? Est-ce que cela veut dire que l’entreprise ne partagera pas vos renseignements avec une autre partie?
- Avez-vous tendance à lire les politiques en matière de protection des renseignements personnels? Pourquoi/pourquoi pas? Y a-t-il des situations ou des circonstances particulières qui font en sorte que vous lisez une politique en matière de protection des renseignements personnels? Dans l’affirmative, quelles sont-elles? Qu’est-ce qui vous incite ou vous motive à lire les politiques en matière de protection de renseignements personnels dans de telles situations? MODÉRATEUR : EXPLORER POUR COMPRENDRE L’ÉLÉMENT INCITATIF POUR LES PARTICIPANTS.
Explorer (au besoin) :
- Est-ce qu’il s’agit du caractère sensible des renseignements partagés?
- Est-ce que c’est la réputation de l’entreprise et/ou le manque de confiance à son égard?
- Est-ce parce qu’il y a un risque de préjudice (décisions négatives vous concernant ou des occasions ratées)?
[DISTRIBUER LE DOCUMENT; DONNER LE TEMPS AUX PARTICIPANTS DE LE LIRE, PUIS POURSUIVRE] - Commençons par une question générale…que pensez-vous de ce que vous venez tout juste de lire? Pourquoi dites-vous cela? Qu’est-ce qui vous saute aux yeux et pourquoi?
Contrôle des renseignements personnels (10 minutes)
Les gens interagissent avec les entreprises pour diverses raisons, que ce soit pour obtenir des services pour leur auto, par exemple, se procurer des produits ou des services comme l’épicerie ou des services publics, ou louer entre autres des autos, des ordinateurs et des appartements. Dans le cadre de telles interactions, vous devez souvent fournir divers genres de renseignements personnels.
- Si vous pensez à vos diverses interactions avec des entreprises, croyez-vous détenir un certain contrôle sur la façon dont vos renseignements personnels sont recueillis et utilisés par ces entreprises? Pourquoi/pourquoi pas?
- Préféreriez-vous contrôler vous-même la façon dont vos renseignements personnels sont recueillis et utilisés par les entreprises? Ou préféreriez-vous plutôt pouvoir compter sur des lois qui vous protègent afin que vous n’ayez pas besoin de penser à tous ces genres de décisions?
- Autrement dit, si vous deviez pencher en faveur de l’une des deux options (d’un côté, le contrôle que vous pouvez vous-même exercer / de l’autre côté, une plus grande réglementation gouvernementale), laquelle auriez-vous tendance à choisir et pourquoi?
- À quel point iriez-vous dans l’une ou l’autre direction? (NOTE AU MODÉRATEUR : ESSAYER D’OBTENIR DES MESURES CONCRÈTES, SOIT DES POURCENTAGES, DES FRACTIONS OU DES NOTES SUR UNE ÉCHELLE)
- Si vous préférez plus exercer vous-même un contrôle sur la façon dont vos renseignements personnels sont recueillis et utilisés par les entreprises, à quoi cela ressemblerait-il, selon vous, à toutes fins pratiques?
Explorer (au besoin) :
- Accès facile aux paramètres de confidentialité pouvant être modifiés
- Avoir le choix de retirer son nom de certains aspects d’une politique en matière de protection des renseignements personnels d’une entreprise
- Des tableaux de bord qui vous permettent de régler vos paramètres de confidentialité généraux sur un appareil et de les appliquer aux applications ou services que vous utilisez
- Si vous préférez plus pouvoir compter sur le gouvernement et des lois pour vous protéger afin de ne plus devoir penser aux décisions relativement à vos renseignements personnels quand vous interagissez avec des entreprises, à quoi cela ressemblerait-il, selon vous?
Explorer (au besoin) :
- Plus grand nombre de lois ou des lois plus sévères qui protègent vos renseignements personnels
- Des restrictions plus claires ou détaillées sur ce que peuvent faire les entreprises (p. ex., recueillir certains types de renseignements à prime abord ou utiliser vos renseignements personnels à certaines fins)
- Des pouvoirs accrus accordés au gouvernement pour mettre en application les lois relatives à la protection des renseignements personnels et s’assurer de la conformité des entreprises (p. ex., ordres, amendes, inspections proactives des pratiques des entreprises)
Consentement (40 minutes)
- Quand vous pensez à vos renseignements personnels et à votre vie privée, que signifie le consentement pour vous? MODÉRATEUR : OBTENIR D’ABORD LES RÉPONSES SPONTANÉES DES PARTICIPANTS, PUIS FOURNIR LA DÉFINITION QUI SUIT AVANT DE POURSUIVRE.
Le consentement est la façon dont les gens, comme vous, peuvent protéger leur vie privée en exerçant un contrôle sur le genre de renseignements recueillis par les entreprises, l’utilisation qu’elles en font et à qui elles les divulguent. Les changements technologiques et les nouveaux modèles d’affaires font en sorte qu’il est maintenant beaucoup moins facile de savoir quelles organisations recueillent des renseignements personnels, où vont ces renseignements, à quelles fins ils sont utilisés et si les gens peuvent donner un consentement éclairé et comment ils peuvent s’y prendre. - Pouvez-vous penser à un exemple d’une utilisation inattendue de vos renseignements personnels?
Explorer (au besoin) :- Un livre qui vous a été recommandé à la suite d’un achat que vous avez fait en ligne
- Une invitation pour un événement ou pour un rendez-vous qui vous a été envoyée par courriel et qui figure dans votre calendrier en ligne
- Lorsque vous faites affaire avec une entreprise, vous attendez-vous à ce qu’on vous demande votre consentement ou êtes-vous à l’aise avec le fait que les entreprises présument qu’elles ont votre consentement? Pourquoi/pourquoi pas?
Probe:- Est-ce qu’il s’agit du caractère sensible des renseignements partagés?
- Est-ce que c’est la réputation de l’entreprise et/ou le manque de confiance à son égard?
- Est-ce parce qu’il y a un risque de préjudice (décisions négatives vous concernant ou des occasions ratées)?
- Est-ce en raison de la pertinence de l’information relativement au service?
- Qu’en est-il des situations où les entreprises recueillent dans les coulisses des renseignements au sujet de vos intérêts ou de vos actions plutôt que de vous demander directement vos renseignements personnels? Par exemple, les sites Web recueillent souvent des données concernant les visiteurs par l’entremise de témoins (cookies). De l’information à ce sujet peut généralement être obtenue dans les politiques des sites Web en matière de protection de renseignements personnels. Dans quelle mesure êtes-vous à l’aise avec la collecte de ces renseignements? Pourquoi/pourquoi pas?
Probe:- Est-ce qu’il s’agit du caractère sensible des renseignements partagés?
- Est-ce que c’est la réputation de l’entreprise et/ou le manque de confiance à son égard?
- Est-ce parce qu’il y a un risque de préjudice (décisions négatives vous concernant ou des occasions ratées)?
Je vais maintenant faire circuler un autre document qui comprend plusieurs scénarios différents. J’aimerais que vous lisiez chacun des scénarios et nous en discuterons ensuite en groupe.
[DISTRIBUER LE DOCUMENT; DONNER LE TEMPS AUX PARTICIPANTS DE LE LIRE, PUIS POURSUIVRE.] NOTE : Seule la première partie de chacun des scénarios figurera dans le document. Le reste sera présenté par le modérateur.
Commençons par le…
SCÉNARIO 1 : Boutique de vêtements ACME
Vous vous rendez à la boutique de vêtements ACME pour acheter un article. La vendeuse vous demande votre adresse courriel et votre numéro de téléphone pour que vous puissiez retourner ou échanger l’article plus facilement.
- Que pensez-vous de l’échange de renseignements personnels dans le scénario que vous venez tout juste de lire?
- Seriez-vous à l’aise de fournir vos renseignements personnels dans une telle situation?
- Avez-vous des préoccupations quant à votre vie privée dans ce scénario? Dans l’affirmative, quelles sont-elles et pourquoi?
MODÉRATEUR : Explorer pour savoir si les gens perçoivent différemment le téléphone et le courriel pour ce qui est de la collecte de renseignements personnels. Est-ce qu’il semble y avoir plus de réticence par rapport à l’un de ces moyens? Dans l’affirmative, pourquoi?
Envisageons maintenant ceci…
La boutique de vêtements ACME se sert de votre numéro de téléphone et de votre adresse courriel pour analyser vos habitudes de consommation afin de vous envoyer des offres et des coupons personnalisés en fonction des achats que vous avez déjà faits. La vendeuse n’a pas mentionné cela quand vous avez fourni vos renseignements personnels.
- Êtes-vous à l’aise avec cela?
- Dans l’affirmative, pourquoi croyez-vous que ce soit acceptable?
- Si non, qu’est-ce qui dépasse la limite? Qu’est-ce qui vous rend mal à l’aise et pourquoi?
- Est-ce que cette utilisation vous surprend? Vous seriez-vous attendu à ce que l’entreprise vous demande si elle pouvait utiliser vos renseignements personnels à cette fin?
MODÉRATEUR : Explorer pour savoir si les gens auraient des perceptions différentes si on les avait informés d’une telle utilisation au point de vente.
Maintenant, supposons que la boutique de vêtements ACME transmette les renseignements personnels de ses clients à une autre entreprise qui fait ensuite correspondre ces renseignements avec des données démographiques comme les adresses postales, de l’information sur les intérêts et les passe-temps, de l’information sur le revenu du ménage, par exemple, et que cette entreprise vous envoie un coupon ou une offre pour du lait maternisé parce que vous avez acheté quelque chose à la boutique de vêtements ACME…Vous ne saviez pas que vos renseignements étaient fournis à une tierce partie.
- Êtes-vous à l’aise avec cela?
- Dans l’affirmative, pourquoi croyez-vous que ce soit acceptable?
- Si non, qu’est-ce qui dépasse la limite? Qu’est-ce qui vous rend mal à l’aise et pourquoi?
- Est-ce que cette utilisation vous surprend? Vous seriez-vous attendu à ce que l’entreprise vous demande si elle pouvait utiliser vos renseignements personnels à cette fin?
SCÉNARIO 2 : Câblodistributeur ACME
Au moment d’ouvrir un compte auprès du câblodistributeur ACME, vous avez dû fournir plusieurs renseignements personnels, y compris votre numéro de cellulaire, votre adresse de facturation et votre numéro de carte de crédit. Le représentant des ventes vous a dit que ces renseignements serviront à vous fournir un service plus rapide et efficace.
- Que pensez-vous de l’échange de renseignements personnels dans le scénario que vous venez tout juste de lire?
- Seriez-vous à l’aise de fournir vos renseignements personnels dans une telle situation?
- Avez-vous des préoccupations quant à votre vie privée dans ce scénario? Dans l’affirmative, quelles sont-elles et pourquoi?
Envisageons maintenant ceci……
Le câblodistributeur ACME transmet les renseignements liés à votre compte, y compris votre nom, vos coordonnées et les renseignements de votre carte de crédit, à une tierce partie qu’il a embauchée pour les appels de service. Un membre de votre foyer appelle le câblodistributeur ACME en raison d’un problème avec la réception. Étant donné que le câblodistributeur ACME a transmis l’information à l’entreprise qui se charge des appels de service, l’entreprise détient tous les renseignements nécessaires pour fixer un rendez-vous et vous facturer l’appel de service. Vous êtes mis au courant de l’appel de service seulement au moment de recevoir votre relevé de carte de crédit.
- Êtes-vous à l’aise avec cela?
- Dans l’affirmative, pourquoi croyez-vous que ce soit acceptable?
- Si non, qu’est-ce qui dépasse la limite? Qu’est-ce qui vous rend mal à l’aise et pourquoi?
- Est-ce que cette utilisation vous surprend? Vous seriez-vous attendu à ce que l’entreprise vous demande si elle pouvait utiliser vos renseignements personnels à cette fin?
Maintenant, supposons que le câblodistributeur ACME utilise les renseignements que vous lui avez fournis en tant que client pour les combiner aux renseignements qu’il recueille sur les émissions que vous regardez en vue de comprendre ce que vous appréciez et n’appréciez pas…Vous commencez ensuite à recevoir par courriel de la publicité qui pourrait vous intéresser selon l’entreprise. ACME vous avise qu’il se servira de vos renseignements personnels pour vous envoyer de la publicité, mais ne vous offre pas la possibilité de retirer votre nom de la liste.
- Êtes-vous à l’aise avec cela?
- Dans l’affirmative, pourquoi croyez-vous que ce soit acceptable?
- Si non, qu’est-ce qui dépasse la limite? Qu’est-ce qui vous rend mal à l’aise et pourquoi?
- Est-ce que cette utilisation vous surprend? Vous seriez-vous attendu à ce que l’entreprise vous demande si elle pouvait utiliser vos renseignements personnels à cette fin?
SCÉNARIO 3 : Bracelet d’activité physique ACME
Vous avez reçu le bracelet d’activité physique ACME pour votre anniversaire. Au moment de l’utiliser, vous avez dû fournir beaucoup de renseignements personnels, tels votre âge, votre poids, votre niveau d’activité et votre rythme cardiaque, afin que l’appareil puisse évaluer votre forme physique.
- Que pensez-vous de l’échange de renseignements personnels dans le scénario que vous venez tout juste de lire?
- Seriez-vous à l’aise de fournir vos renseignements personnels dans une telle situation?
- Avez-vous des préoccupations quant à votre vie privée dans ce scénario? Dans l’affirmative, quelles sont-elles et pourquoi?
Envisageons maintenant ceci…
Supposons que l’information relative à votre forme physique, à vos habitudes alimentaires, à votre lieu et à votre rythme cardiaque, par exemple, soit fournie à une autre entreprise qui effectue des recherches en santé… l’entreprise se servira de ces renseignements pour mener des recherches sur la façon dont la forme physique et les habitudes alimentaires affectent l’état de santé général d’une personne. Cette information figure à la fois dans les termes et les conditions de l’application associée au bracelet et dans le dépliant d’information contenu dans la boîte du bracelet, mais vous n’avez pas lu ces compléments d’information.
- Êtes-vous à l’aise avec cela?
- Dans l’affirmative, pourquoi croyez-vous que ce soit acceptable?
- Si non, qu’est-ce qui dépasse la limite? Qu’est-ce qui vous rend mal à l’aise et pourquoi?
- Est-ce que cette utilisation vous surprend? Vous seriez-vous attendu à ce que l’entreprise vous demande si elle pouvait utiliser vos renseignements personnels à cette fin?
MODÉRATEUR : Explorer pour savoir si les gens auraient des perceptions différentes s’ils avaient lu les termes et conditions ou le complément d’information que contenait la boîte du bracelet d’activité physique.
Maintenant, supposons que les mêmes renseignements personnels étaient vendus à une compagnie d’assurance, qui pourrait s’en servir pour établir le tarif de votre police.
- Êtes-vous à l’aise avec cela?
- Dans l’affirmative, pourquoi croyez-vous que ce soit acceptable?
- Si non, qu’est-ce qui dépasse la limite? Qu’est-ce qui vous rend mal à l’aise et pourquoi?
- Est-ce que cette utilisation vous surprend? Vous seriez-vous attendu à ce que l’entreprise vous demande si elle pouvait utiliser vos renseignements personnels à cette fin?
SCÉNARIO 4 : Programme de points ACME
On vous offre une carte de points ACME assortie d’une application mobile. Pour vous inscrire au programme, vous devez fournir votre nom, votre adresse courriel, votre date de naissance ainsi que de l’information relative à votre revenu annuel et au nombre de personnes qui habitent sous votre toit, par exemple. On vous dit que la carte tient compte de vos achats et que vous recevrez des coupons et/ou des offres spéciales selon les achats que vous faites.
- Que pensez-vous de l’échange de renseignements personnels dans le scénario que vous venez tout juste de lire?
- Seriez-vous à l’aise de fournir vos renseignements personnels dans une telle situation?
- Avez-vous des préoccupations quant à votre vie privée dans ce scénario? Dans l’affirmative, quelles sont-elles et pourquoi?
Envisageons maintenant ceci…
En se basant sur les renseignements que les détenteurs de la carte de points ont fournis au sujet de leur foyer et de leur revenu lorsqu’ils se sont inscrits au programme, ACME décide d’augmenter les prix dans certains points de vente. Votre magasin local est l’un de ces points de vente. La politique en matière de protection des renseignements personnels énonçait quelque part que vos renseignements personnels seraient utilisés pour créer des profils et à des fins de recherche et de marketing. Vous avez cliqué « J’accepte » sans lire la politique au complet.
- Êtes-vous à l’aise avec cela?
- Dans l’affirmative, pourquoi croyez-vous que ce soit acceptable?
- Si non, qu’est-ce qui dépasse la limite? Qu’est-ce qui vous rend mal à l’aise et pourquoi?
- Est-ce que cette utilisation vous surprend? Vous seriez-vous attendu à ce que l’entreprise vous demande si elle pouvait utiliser vos renseignements personnels à cette fin?
- Maintenant que vous avez examiné ces différents scénarios, vous pouvez constater qu’il n’est pas toujours clair et évident de donner un consentement éclairé et qu’il y a divers facteurs à prendre en considération quand on décide de fournir ses renseignements personnels à une entreprise. Quels sont certains des facteurs clés que vous jugez importants au moment de prendre de telles décisions?
Explorer (au besoin) :
- Compromis : avantages, aspect pratique comparativement au risque de fournir l’information
- Réputation de l’entreprise
- Caractère sensible perçu des renseignements
Solutions possibles (30 minutes)
Étant donné la complexité désormais rattachée à la question du consentement, que pensez-vous qu’on pourrait faire pour aider…
- Y a-t-il des mesures que pourraient adopter les entreprises, ou des gestes qu’elles pourraient faire, pour que vous ayez davantage confiance qu’elles protègent vos renseignements personnels?
POLITIQUES EN MATIÈRE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS
Réfléchissez maintenant à la politique en matière de protection des renseignements personnels que vous avez consultée tout à l’heure. Maintenant que nous nous sommes penchés sur des situations où des entreprises ont recueilli et utilisé vos renseignements personnels de diverses façons…
- Quels renseignements au sujet des pratiques des entreprises en matière de protection des renseignements personnels voudriez-vous que l’on mette en évidence ou que l’on vous mentionne lorsque vous devez décider de divulguer ou non vos renseignements personnels à une entreprise?
Explorer (au besoin) :
- Quels sont les renseignements personnels recueillis?
- Comment seront-ils utilisés par l’entreprise? À quelles fins?
- À qui l’entreprise transmet-elle vos renseignements?
- Combien de temps l’entreprise conservera-t-elle vos renseignements personnels?
- Comment l’entreprise protège-t-elle vos renseignements personnels?
- Comment l’entreprise pourrait-elle utiliser vos renseignements personnels à part vous fournir directement un service?
APPLICATION
- Qui s’assure que les entreprises ne dépassent pas les limites quand elles recueillent et utilisent vos renseignements personnels? Qui devrait surveiller les entreprises?
Entendez-vous parfois parler d’entreprises qui font l’objet d’une enquête ou d’une vérification en raison de leurs pratiques en matière de protection de la vie privée? Dans l’affirmative, qu’avez-vous entendu? - Quel est le rôle du gouvernement relativement à la protection de vos renseignements personnels? Pourquoi dites-vous cela?
- Le gouvernement pourrait jouer différents rôles. Que pensez-vous…[INSÉRER]?
[ALTERNER L’ORDRE]
…d’un rôle proactif qui permet à un organisme gouvernemental de mener des vérifications régulières des pratiques des entreprises en matière de protection des renseignements personnels, comme les vérifications ponctuelles des restaurants pour la santé et la sécurité, par exemple?
…d’un rôle réactif qui permet à un organisme gouvernemental de mener des enquêtes relatives aux pratiques des entreprises en matière de protection des renseignements personnels en réponse à une plainte ou à une atteinte à la vie privée? - Quels pouvoirs devrait avoir le gouvernement, s’il y a lieu, pour faire respecter les lois canadiennes en matière de protection des renseignements personnels et s’assurer que les entreprises s’y conforment? Que pensez-vous de…. [INSÉRER]
[ALTERNER L’ORDRE]
… sanctions financières…devrait-il imposer des amendes?
…pouvoirs exécutoires…la capacité de forcer les entreprises à suivre les recommandations?
…vérifications proactives…mener des vérifications ou des vérifications ponctuelles des pratiques des entreprises en matière de protection des renseignements personnels?
CONSEILS POUR LES PARTICULIERS
- Désirez-vous plus d’information/de conseils concernant les questions de protection des renseignements personnels? Pourquoi/pourquoi pas?
MODÉRATEUR : METTRE L’ACCENT SUR L’ÉDUCATION/LA SENSIBILISATION; L’INFORMATION QUI POURRAIT ÊTRE FOURNIE PAR LE GOUVERNEMENT (PAS LES PRATIQUES DES ENTREPRISES EN MATIÈRE DE PROTECTION DE LA VIE PRIVÉE)
- Chercheriez-vous à obtenir plus de renseignements s’ils étaient disponibles? Dans l’affirmative, quelle source consulteriez-vous?
- Quel genre de renseignements vous serait le plus utile? À quoi cela ressemblerait? EXPLORER POUR DES EXEMPLES/FORMATS PRÉCIS (P. EX., RADIO, WEB, ETC.)
Conclusion
- Aimeriez-vous ajouter des commentaires sur n’importe quel sujet abordé ce soir?
REMERCIER LES PARTICIPANTS. RECUEILLIR TOUS LES DOCUMENTS.
Annexe 3 : Documents distribués
Politique sur la protection des renseignements personnels
Dernière mise à jour : 30 janvier 2017
Dans les présentes, l’expression « renseignements personnels » désigne tous renseignements identifiant de façon spécifique un individu (notamment mais non limitativement, son nom, sa date de naissance, son adresse, son numéro de téléphone fixe/mobile, son adresse électronique ou ses données de paiement/facturation) et toutes autres informations devant être traitées comme des renseignements personnels au regard du droit applicable (ci-après désignées les « renseignements personnels »). Les renseignements personnels n’incluent pas les informations « agrégées » ou « anonymisées », à savoir les données recueillies concernant l’utilisation des Services et/ou d’autres sites ou services par un Utilisateur, un groupe d’Utilisateurs ou une catégorie d’Utilisateurs (notamment mais non limitativement des données démographiques ou des données relatives aux préférences), dont l’identité ou les autres renseignements personnels ont été effacés. Veuillez noter que dans le cas où Les Entreprises ACME mélangeraient ces données avec des renseignements personnels, Les Entreprises ACME traiteront lesdites données comme des renseignements personnels au titre de la présente politique.
Les Entreprises ACME recueillent des renseignements personnels uniquement pour les fins suivantes : a) établir et maintenir des relations commerciales responsables avec les clients et fournir un service constant; b) comprendre les besoins et les préférences des clients et déterminer l’admissibilité aux produits et aux services; c) recommander des produits et des services en particulier pour répondre aux besoins des clients; d) développer, améliorer, commercialiser ou fournir des produits et des services; e) gérer et développer l’entreprise et ses activités, y compris les questions relatives au personnel et à l’emploi; et f) respecter les exigences juridiques et réglementaires.
Les Entreprises ACME recueillent des renseignements personnels de diverses façons, par exemple au moment de l’achat de nos produits et services, d’une demande d’adhésion à ceux-ci, d’une demande de soumission pour ceux-ci ou dans le cadre de votre participation à un ou plusieurs de nos programmes et concours, promotions ou événements. Les entreprises ACME recueillent des renseignements personnels des façons suivantes : a) directement de vous en personne, par la poste, par téléphone, au moyen de nos sites Web ou de toute autre manière directe; b) de sociétés liées; c) de tiers; d) au moyen de la technologie; e) au moyen des systèmes dans les points de vente; f) au moyen de caméras de surveillance dans les espaces à proximité de nos magasins, dans nos stationnements et dans d’autres endroits à des fins de sécurité; g) par l’entremise des sites Web, des médias sociaux, des applications et d’autres moyens électroniques.
Nous utiliserons et communiquerons les renseignements personnels uniquement pour les fins énoncées ci-dessus, sauf si nous avons le consentement de la personne visée pour les utiliser ou les communiquer pour une autre fin ou sauf si c’est exigé ou autorisé par la loi, ce qui peut comprendre un accès légal par les tribunaux canadiens ou américains ou des autorités gouvernementales. Nous pouvons transférer les renseignements personnels à nos sociétés affiliées et aux autres tiers qui fournissent des services en notre nom (ou les mettre à leur disposition par tout autre moyen). Les renseignements personnels peuvent être conservés et traités aux États-Unis par nous ou par nos fournisseurs de services tiers. Nos fournisseurs de services ne sont pas autorisés à utiliser ou à communiquer des renseignements personnels à des fins autres que la prestation des services en notre nom sauf si c’est exigé par la loi applicable. Nous ne communiquerons à quiconque aucun renseignement personnel sur nos clients et ne permettrons à personne d’autre d’utiliser des renseignements personnels sur nos clients pour quelque motif que ce soit sans avoir obtenu le consentement du client à l’exception des cas indiqués dans la présente politique ou dans notre Politique générale sur le droit à la vie privée des clients. Nous conserverons les renseignements personnels uniquement pour le temps nécessaire pour réaliser les fins énoncées ou si autrement exigé par la loi.
Quand vous passez des commandes sur nos sites Web, tous les renseignements relatifs à ces commandes, incluant votre numéro de carte de crédit et votre adresse de livraison, sont transmis par Internet au moyen d’une technologie sécurisée SSL (de l’anglais «Secure Sockets Layer»). La technologie SSL force votre navigateur à crypter les renseignements relatifs à vos commandes avant de les transférer à notre serveur sécurisé. Cette technologie est conforme aux normes de l’industrie et est conçue pour empêcher toute personne autre que des opérateurs de nos sites Web de s’approprier et de consulter vos renseignements personnels. Bien que nous utilisions des moyens conformes aux normes de l’industrie pour protéger nos sites Web et vos renseignements personnels, Internet n’est pas un endroit entièrement sécuritaire. Les mesures que nous mettons en œuvre sont appropriées au type de renseignements que nous recueillons. Nous ne pouvons cependant pas promettre que votre utilisation de nos sites Web ou de nos applications mobiles sera entièrement sécuritaire. Nous vous encourageons à faire preuve de prudence lorsque vous utilisez Internet. L’accès en ligne à vos renseignements personnels est protégé par le mot de passe que vous avez choisi. Nous vous recommandons fortement de ne pas divulguer votre mot de passe. Nous conservons vos renseignements personnels aussi longtemps qu’ils sont requis pour les utilisations décrites dans la présente déclaration sur la sécurité et la confidentialité, ou pour toute autre utilisation permise ou exigée par la loi.
Si vous avez des questions au sujet de cette Politique sur la protection des renseignements personnels, veuillez communiquer avec nous.
Boutique de vêtements ACME
Vous vous rendez à la boutique de vêtements ACME pour acheter un article. La vendeuse vous demande votre adresse courriel et votre numéro de téléphone pour que vous puissiez retourner ou échanger l’article plus facilement.
Câblodistributeur ACME
Au moment d’ouvrir un compte auprès du câblodistributeur ACME, vous avez dû fournir plusieurs renseignements personnels, y compris votre numéro de cellulaire, votre adresse de facturation et votre numéro de carte de crédit. Le représentant des ventes vous a dit que ces renseignements serviront à vous fournir un service plus rapide et efficace.
Bracelet d’activité physique ACME
Vous avez reçu le bracelet d’activité physique ACME pour votre anniversaire. Au moment de l’utiliser, vous avez dû fournir beaucoup de renseignements personnels, tels votre âge, votre poids, votre niveau d’activité et votre rythme cardiaque, afin que l’appareil puisse évaluer votre forme physique.
Programme de points ACME
On vous offre une carte de points ACME assortie d’une application mobile. Pour vous inscrire au programme, vous devez fournir votre nom, votre adresse courriel, votre date de naissance ainsi que de l’information relative à votre revenu annuel et au nombre de personnes qui habitent sous votre toit, par exemple. On vous dit que la carte tient compte de vos achats et que vous recevrez des coupons et/ou des offres spéciales selon les achats que vous faites.
- Date de modification :