Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Communiqué

Home Depot n’a pas obtenu le consentement des clients avant de transmettre leurs données personnelles à Meta

GATINEAU (Québec), le 26 janvier 2023 – Pratiques et écologiques, les reçus électroniques sont la voie de l’avenir, mais leur utilisation soulève des questions en ce qui concerne la protection de la vie privée des consommateurs.

Cet enjeu a été abordé dans le cadre d’une récente enquête menée par le Commissariat à la protection de la vie privée du Canada visant Home Depot du Canada Inc. (Home Depot). Parce qu’elle a utilisé l’outil « Conversions hors ligne » de Meta Platforms Inc. (Meta), Home Depot a communiqué des renseignements figurant sur les reçus électroniques des clients, notamment des adresses électroniques chiffrées et des renseignements sur les achats en magasin, à Meta, la société mère du réseau social Facebook, et ce, sans en informer les clients et sans obtenir leur consentement.

« Les entreprises qui cherchent de plus en plus à offrir des services en ligne doivent porter une attention particulière à toute utilisation des renseignements personnels qu’elles recueillent, car il pourrait être nécessaire d’obtenir un consentement supplémentaire », a expliqué le commissaire à la protection de la vie privée du Canada, Philippe Dufresne.

« Dans le cas présent, il est peu probable que les clients de Home Depot se soient attendus à ce que leur information personnelle soit communiquée à une plateforme de médias sociaux tiers, simplement parce qu’ils ont opté pour un reçu électronique, a-t-il ajouté. Alors que le Canada souligne la Semaine de la protection des données, c’est le moment idéal pour rappeler aux entreprises qu’elles doivent obtenir le consentement valide des clients au moment de la vente avant de s’adonner à ce type d’activité commerciale. »

L’enquête a révélé que depuis au moins 2018, Home Depot recueillait les adresses électroniques de clients lors de leur passage à la caisse aux fins convenues d’envoyer à ces derniers un reçu électronique. Toutefois, l’enquête a permis de constater que pendant cette période, l’adresse électronique des clients sous forme chiffrée ainsi que des renseignements généraux sur les achats de ceux-ci en magasin étaient également transmis à Meta.

Meta utilisait ces renseignements pour vérifier si les clients avaient un compte Facebook. Si tel était le cas, Meta comparait les achats en magasin des clients avec les publicités que Home Depot avait diffusées sur Facebook afin d’évaluer l’efficacité de celles-ci et de présenter les résultats sous forme de rapport. Les modalités contractuelles de l’outil « Conversions hors ligne » permettaient aussi à Meta d’utiliser les renseignements sur les clients à ses propres fins commerciales, y compris le profilage des utilisateurs et le ciblage publicitaire, sans lien avec Home Depot.

Chaque adresse électronique transmise par Home Depot à Meta était chiffrée de sorte qu’elle ne pouvait pas être lue par des gens chez Facebook. Meta utilisait un processus automatisé lui permettant d’établir si les adresses étaient associées à un compte Facebook. Si ce n’était pas le cas, les adresses ne pouvaient être liées à une personne.

Les renseignements sur les achats en magasin effectués chez Home Depot ne sont généralement pas des renseignements sensibles. Or, il peut en être tout autrement pour ce qui est des renseignements sur les achats effectués dans d’autres types de magasins, car ils peuvent révéler, par exemple, de l’information sur la santé ou la sexualité d’une personne.

Durant l’enquête, Home Depot a déclaré qu’elle avait obtenu un consentement tacite auprès des clients et que sa déclaration sur la confidentialité, que les clients pouvaient consulter sur son site Web ou demander en magasin, expliquait adéquatement que l’entreprise utilise des « renseignements dépersonnalisés à des fins commerciales internes, notamment dans le cadre des activités du Marketing, du Service à la clientèle et de l’Analyse commerciale » et qu’elle peut « partager [les] renseignements personnels à des fins professionnelles », y compris « avec des tiers ». Home Depot s’est également fondée sur la politique de confidentialité de Facebook, laquelle expliquait en quoi consistait l’outil « Conversions hors ligne ».

Le Commissariat a toutefois rejeté l’argument de Home Depot, puisque les documents invoqués relativement au consentement n’étaient pas accessibles sur-le-champ au passage à la caisse et que les clients n’auraient aucune raison de chercher à en prendre connaissance. Qui plus est, le Commissariat a conclu que la déclaration sur la confidentialité de Home Depot n’expliquait pas clairement la pratique en question.

« Les explications offertes dans les politiques de l’entreprise étaient insuffisantes pour obtenir un consentement valable », a précisé le commissaire Dufresne.

« Lorsqu’on demandait aux clients de fournir leur adresse électronique, on ne leur disait jamais que leurs renseignements seraient communiqués à Meta et on ne leur fournissait pas d’information sur la façon dont Meta ou Home Depot utiliserait leurs renseignements, a-t-il ajouté. Cette information aurait été d’une grande importance dans la décision des clients de demander ou non un reçu électronique. »

L’entreprise a fait allusion à une « lassitude du consentement » pour justifier le fait qu’elle n’a pas informé les clients de ses pratiques de communication de renseignements avec Meta au moment où ils demandent un reçu électronique.

« Les clients ont besoin de renseignements clairs aux moments clés d’une transaction afin de pouvoir prendre des décisions éclairées sur la façon dont leurs renseignements personnels seront utilisés, a dit le commissaire Dufresne. Vouloir éviter la lassitude du consentement ne justifie pas le défaut d’obtenir le consentement valable. Bon nombre de clients seraient surpris, comme c’était le cas pour le plaignant dans cette affaire, d’apprendre que leurs renseignements personnels ont été transmis à un tiers comme Facebook, à leur insu et sans leur consentement. »

À la suite de l’enquête, le Commissariat a recommandé ce qui suit à Home Depot :

  • cesser de transmettre à Meta les renseignements personnels des clients qui demandent un reçu électronique jusqu’à la prise de mesures visant à assurer l’obtention d’un consentement valide;
  • prendre des mesures visant à obtenir un consentement explicite actif au préalable si elle décide de recommencer sa pratique de transmission des renseignements des clients à Meta;
  • obtenir un consentement valable en fournissant aux clients qui demandent un reçu électronique les principaux renseignements au sujet de la communication de renseignements à Meta au moment de la vente et en renforçant sa déclaration sur la confidentialité en y intégrant une explication détaillée de la pratique ainsi que la méthode de retrait d’un consentement.

Home Depot a pleinement collaboré à l’enquête et a accepté de donner suite aux recommandations du Commissariat. L’entreprise a cessé de communiquer les renseignements des clients à Meta en octobre 2022.

Pour en savoir davantage

Rapport de conclusions : Enquête sur la conformité de Home Depot du Canada inc. à la LPRPDE

Déclaration du commissaire à la protection de la vie privée du Canada au terme de l’enquête sur la conformité de Home Depot du Canada Inc. à la LPRPDE

Personnes-ressources pour les médias

Commissariat à la protection de la vie privée du Canada
communications@priv.gc.ca

Date de modification :