Déclaration du commissaire à la protection de la vie privée du Canada au terme de l’enquête sur la conformité de Home Depot du Canada Inc. à la LPRPDE
Le 26 janvier 2023
Ottawa (Ontario)
Le commissaire à la protection de la vie privée du Canada, Philippe Dufresne, a prononcé la déclaration suivante lors d’une conférence de presse.
(Le texte prononcé fait foi)
Bonjour à tous. Je vous remercie de votre présence aujourd’hui.
Je m’appelle Philippe Dufresne et je suis le commissaire à la protection de la vie privée du Canada.
J’ai pour mandat de protéger et de promouvoir le droit à la vie privée des individus dans les secteurs public et privé et de m’assurer que les organisations respectent leurs obligations à cet égard. Le Commissariat enquête sur les plaintes, fournit des conseils aux ministères et aux organisations du secteur privé, sensibilise la population aux enjeux de vie privée, et formule des avis et des recommandations au Parlement sur la réforme législative et sur des enjeux de vie privée qui revêtent un intérêt et une importance considérables pour le public.
Depuis ma nomination en juin dernier, j’ai rencontré des intervenants clés de partout au Canada, représentant le gouvernement, les entreprises, la société civile, les consommateurs, le milieu universitaire et les groupes en quête d’équité. L’un des thèmes récurrents lors des discussions était le suivant : la protection de la vie privée dans un monde de plus en plus tourné vers le numérique constitue l’un des principaux défis de notre époque.
En tant que commissaire à la protection de la vie privée du Canada, je compte bien relever ce défi. Pour ce faire, j’appliquerai les trois éléments de ma vision de la protection de la vie privée, que voici :
- Premièrement, la protection de la vie privée est un droit fondamental. Ce droit doit être protégé légalement et sa protection doit être encadrée par un régime solide, équitable, accessible et applicable, fondé sur les droits, qui offre de véritables recours pour prévenir et traiter les infractions et qui incite les institutions à créer une culture de protection de la vie privée où cette protection est présente dès la conception et par défaut.
- Deuxièmement, la protection de la vie privée est un moyen de favoriser l’intérêt public et d’appuyer l’innovation et la compétitivité du Canada. Il ne s’agit pas ici de choisir une option et d’exclure l’autre. Les organisations qui tiennent compte des répercussions sur la vie privée au début de toute activité d’innovation ou initiative et qui font en sorte qu’il soit facile pour les Canadiennes et les Canadiens de choisir la protection de leur vie privée comme paramètre par défaut constateront qu’en fin de compte, cette approche est plus rentable et plus efficace, et que les coûts connexes deviendront des investissements profitables autant pour les consommateurs que pour les entreprises, les politiques publiques et l’innovation.
- Troisièmement, et en dernier lieu, la protection de la vie privée est un moyen d’accentuer la confiance des Canadiennes et des Canadiens envers leurs institutions. Lorsque les individus sont rassurés de savoir que leur vie privée est suffisamment protégée, ils se sentent en confiance pour participer librement à l’économie numérique.
Cette vision repose sur le fait que les Canadiennes et les Canadiens veulent pouvoir participer activement et en toute connaissance de cause au monde numérique, à la société et à l’économie, sans être obligés de choisir entre cette participation et leur droit fondamental à la vie privée.
Comme vous le savez, c’est la Semaine de la protection des données, et aujourd’hui, nous avons publié les résultats de notre enquête sur la communication par Home Depot du Canada inc. à Meta Platforms Inc., la société mère de Facebook, de renseignements sur des clients. Notre principale conclusion à cet égard permet de rappeler à toutes les organisations qu’au moment où les clients demandent un reçu électronique au lieu d’un reçu papier, ils ne consentent pas forcément à ce que leurs renseignements personnels soient communiqués à des tiers.
Depuis au moins 2018, Home Depot recueillait les adresses électroniques de clients lors de leur passage à la caisse aux fins convenues d’envoyer aux clients un reçu électronique.
Je suis sûr qu’à un moment donné, on vous a déjà demandé : « Voulez-vous un reçu papier ou électronique? » Devant ce choix, la plupart des clients comprennent sans doute que c’est avantageux et pratique pour eux, dans un monde de plus en plus tourné vers le numérique, de recevoir un reçu électronique. Toutefois, il serait peu probable que les Canadiennes et les Canadiens s’attendent à ce que leurs renseignements personnels soient communiqués à une tierce partie comme Facebook simplement parce qu’ils ont choisi un reçu électronique, et peu probable qu’ils acceptent cette situation.
Toutefois, l’enquête que nous avons menée à la suite d’une plainte en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques a permis de constater que Home Depot transmettait à Meta ces adresses électroniques (sous une forme chiffrée), ainsi que des renseignements généraux sur les achats des clients en magasin. Meta les utilisait ensuite afin d’établir si ces clients disposaient d’un compte Facebook. Si tel était le cas, Meta comparait les achats en magasin des clients avec les publicités que Home Depot avait diffusées sur Facebook afin d’évaluer l’efficacité de celles-ci et de présenter les résultats sous forme de rapport. De plus, Meta pouvait utiliser ces renseignements à ses propres fins commerciales, y compris le profilage des utilisateurs et le ciblage publicitaire, sans lien avec Home Depot. Même si chaque adresse électronique que Home Depot transmettait à Meta était chiffrée de sorte qu’elle ne pouvait pas être lue par des gens chez Facebook, Meta utilisait un processus automatisé lui permettant d’établir si les adresses étaient associées à un compte Facebook.
Lorsqu’on demandait aux clients de Home Depot s’ils souhaitaient recevoir un reçu électronique et que ceux-ci acceptaient, on ne leur disait jamais que leurs renseignements seraient communiqués à Meta et on ne leur fournissait pas d’information sur la façon dont Meta ou Home Depot utiliserait leurs renseignements. C’est la raison pour laquelle Home Depot a manqué à ses obligations. Les clients ont besoin de renseignements clairs aux moments clés d’une transaction afin de pouvoir prendre des décisions éclairées sur la façon dont leurs renseignements personnels seront utilisés et fournir un consentement valable.
J’ai le plaisir de vous informer qu’à la suite des recommandations formulées dans notre rapport, Home Depot a cessé cette pratique en octobre 2022. Home Depot a également confirmé qu’il obtiendra le consentement explicite actif et valable s’il met en place une pratique similaire à l’avenir.
Il s’agit là d’un résultat concret et très positif pour les Canadiennes et les Canadiens.
Les renseignements personnels sont intimement liés à notre identité, et le respect du droit à la vie privée est essentiel à notre dignité et aux libertés fondamentales. Les organisations ne devraient pas banaliser l’utilisation des renseignements personnels. Même si notre enquête portait sur un dossier en particulier, l’ensemble de nos conclusions pourraient s’appliquer à toute organisation qui adopte une pratique semblable en ce qui concerne les reçus électroniques. Ce rapport rappelle à toutes les entreprises, alors qu’elles comptent accroître leurs services offerts en ligne et offrir des reçus électroniques, qu’elles doivent indiquer de façon claire et transparente aux clients pourquoi elles recueillent leurs renseignements personnels et de quelle façon, et qu’elles doivent obtenir le consentement valable de leurs clients avant de communiquer leurs renseignements à des tiers. Ce faisant, non seulement les entreprises respectent leurs obligations prévues par les lois sur la protection des renseignements personnels, mais elles investissent aussi dans la confiance que porte la population canadienne dans l’économie numérique.
La Semaine de la protection des données est également une occasion de rappeler aux Canadiennes et aux Canadiens de toujours vérifier auprès des entreprises pourquoi et à quelles fins leurs renseignements sont recueillis, même si la demande peut sembler assez simple en apparence.
Je serais maintenant heureux de répondre à vos questions.
- Date de modification :