Position de principe sur la publicité comportementale en ligne
Portée de la position de principe
La position de principe énoncée ci-après porte sur l’application de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) à la collecte et à l’utilisation de données concernant les activités sur le Web des personnes, à des fins de publicité comportementale en ligne (PCL) uniquement, au moyen de technologies comme les témoins, les pixels invisibles, les supertémoins, les témoins soi‑disant «zombie» et les données des appareils. La PCL se définit comme le suivi et le ciblage des activités sur le Web des personnes, dans plusieurs sites et au fil du temps, afin de leur présenter des publicités adaptées à leurs intérêts présumés.
Le suivi, le profilage et le ciblage en ligne de personnes ont de nombreux objectifs et sont réalisés à l’aide de diverses techniquesNote de bas de page 1. Ils visent notamment à mesurer l’utilisation des sites Web à des fins d’amélioration de la fonctionnalité du site, de répression de la fraude et de publicité comportementale en ligne. Sur le plan des techniques de suivi, la discussion et l’attention du public se concentrent généralement sur le suivi des témoins. Toutefois, «l’empreinte de l’appareil» saisit également les données sur l’appareil utilisé par une personne, comme l’adresse IP, le numéro d’identification unique d’un appareil (d’un téléphone cellulaire, par exemple) ou les données que le navigateur utilisé par la personne a recueillies (comme les données sur les fonctions, le fuseau horaire, le module d’extension et la taille de l’écran). L’empreinte de l’appareil sert parfois à déceler et à empêcher la fraude. Au cours des dernières années, les concepteurs ont cherché à étendre son utilisation à l’environnement de la publicité en ligneNote de bas de page 2.
La présente position de principe relative à la PCL vise toutes les parties concernées par le suivi, le profilage et le ciblage en ligne, y compris l’industrie de la publicité, les concepteurs de navigateur et les opérateurs de site Web. Elle n’a pas pour objet de s’appliquer à d’autres utilisations des renseignements sur la navigation des consommateurs, comme «l’écoute de médias sociaux», la publicité dans l’environnement des télécommunications sans fil ou les activités d’un site donné et de ses membres et utilisateurs. Ces pratiques peuvent aussi donner lieu à des problèmes liés à la protection des renseignements personnels; les organisations y ayant recours devraient réfléchir aux obligations relatives à leurs pratiques en vertu de la LPRPDE.
Le Commissariat ne fournissant pas de décisions anticipées, il faudra donc évaluer au cas par cas les futures plaintes déposées en vertu de la LPRPDE en matière de publicité comportementale; il est néanmoins possible et approprié de fournir une orientation générale relative au respect ou au non-respect de la Loi de certaines pratiques de publicité comportementale.
L’industrie de la publicité en ligne et la publicité comportementale
Au cours de la production du Rapport sur les consultations de 2010 du Commissariat à la protection de la vie privée du Canada sur le suivi, le profilage et le ciblage en ligne et sur l’infonuagique (les consultations), un grand nombre de représentants de l’industrie et certaines entreprises se sont exprimés sur l’importance de la publicité en général et de la publicité comportementale en particulier.
Résumé des positions de l’industrie énoncées au cours des consultations
L’industrie insiste sur le fait que la publicité en ligne finance l’accès gratuit au contenu en ligne et permet aux opérateurs de petits sites Web de demeurer concurrentiels et de créer du contenu gratuit et spécialisé. Le Bureau de la publicité interactive du Canada (IAB Canada) considère les publicités comme un service précieux offert aux consommateurs, plutôt que comme une interruption de leur expérience de navigation, si ces publicités correspondent étroitement aux intérêts des consommateurs.
D’autres membres de l’industrie sont d’avis que la publicité en ligne contribue à «alimenter Internet» et stimule l’économie numérique, car, selon eux, la croissance repose sur la capacité des publicités à cibler les utilisateurs d’Internet. Selon une entreprise, les annonceurs canadiens peuvent s’attendre à troisavantages importants de la publicité axée sur les intérêts:
- la fidélisation de la clientèle va augmenter et sa frustration va diminuer à mesure que les Canadiennes et les Canadiens seront exposés à des publicités de moins en moins nombreuses et de plus en plus pertinentes;
- les annonceurs diminueront les dépenses consacrées à la mise en marché, ce qui leur permettra d’investir davantage dans le développement de produits;
- les entreprises canadiennes seront en mesure de rivaliser avec les entités internationales et en ligne comme eBay et Amazon pour les parts de marché.
Une entreprise a affirmé que les recettes provenant de la publicité comportementale permettent de rehausser l’expérience en ligne des utilisateurs, au profit des petites entreprises qui ont ainsi accès à une gamme plus vaste d’annonceurs. Cela favoriserait une diversité des voix sur Internet.
Publicité en ligne
Il existe différents types de publicité sur Internet, dont:
Les annonces envoyées au hasard: Il s’agit d’annonces placées de manière aléatoire. Ces publicités ne se fondant pas sur le contenu des sites Web ou les préférences des utilisateurs, elles sont moins rentables pour les spécialistes du marketing.
Les publicités contextuelles:Elles utilisent l’information sur la visite actuelle d’un utilisateur à un site pour lui envoyer une publicité ciblée sur ce même site. On affichera notamment des annonces relatives à des animaux de compagnie si l’utilisateur visite un site sur ce sujet.
Publicités contextuelles d’une page Web: Dans ce modèle publicitaire, on affiche une annonce selon la teneur d’une page Web donnée. Ainsi, une personne visitant un site sur les animaux de compagnie et se rendant sur une page du site portant sur les chiots pourra consulter des annonces sur les chiens. Si cette même personne accède ensuite à une page du site sur les chatons, on affichera des publicités sur les chats.
Les annonces ciblées de la première partie: La première partie avec laquelle une personne a un lien crée un profil sur celle‑ci et lui envoie des annonces en fonction de ce profil. On ne suit pas les visites de l’utilisateur sur d’autres sites non connexes.
La publicité comportementale en ligne: Dans ce cas, un service publicitaire passe une annonce sur une page Web en fonction de données de suivi recueillies sur divers sites sans lien entre eux. Ces pratiques se fondent sur l’utilisation de renseignements sur les sites qu’un utilisateur a visités. À titre d’exemple, si un utilisateur a déjà consulté des sites sur les animaux de compagnie, des annonces sur des animaux de compagnie pourraient être affichées sur divers sites Web, même si ceux-ci n’ont aucun lien avec ce thème (comme des journaux en ligne).
D’après les représentants du Bureau de la publicité interactive du Canada entendus lors de notre processus de consultation, des sondages indiquent que les consommateurs ne veulent pas payer le contenu en ligne et qu’ils sont prêts à s’exposer à de la publicité en ligne pour recevoir du contenu en ligne gratuit. D’après une étude de l’Association canadienne du marketing réalisée en 2009, 50% des Canadiennes et Canadiens étaient «plutôt mal à l’aise» à l’idée que des spécialistes du marketing utilisent des renseignements sur la navigation des consommateurs pour leur présenter des publicités plus pertinentes. Il est intéressant de noter que, toujours selon cette étude, environ 51% des Canadiennes et Canadiens effacent leurs témoins au moins une fois par moisNote de bas de page 3.
Il ressort d’une étude conjointe de Berkeley et de l’Université de Pennsylvanie que les consommateurs seraient plus convaincus par les avantages de la publicité comportementale s’il y avait davantage de transparence, de choix de la part des consommateurs et de limites de conservation des donnéesNote de bas de page 4.
KPMG a récemment publié l’étude «Consumer and Convergence» de 2011. D’après ce rapport, 46% de Canadiennes et Canadiens étaient «plutôt prêts» à voir leur navigation Web suivie par des annonceurs, en particulier si ce suivi se traduit par un avantage (soit des services gratuits), comparativement à 36% en 2008. Le pourcentage de Canadiennes et Canadiens qui «n’étaient pas du tout prêts» est, quant à lui, passé de 49% en 2008 à 38% en 2011Note de bas de page 5.
Des études indépendantes sur la valeur monétaire de la publicité comportementale sont rares, et la plupart sont réalisées par l’industrie. D’après nombre d’études d’associations de l’industrie, la publicité comportementale en ligne peut jouer un rôle important dans la stratégie d’une organisation: il s’agirait d’un outil efficace qui favorise la conversion d’achat et la production de recettes.
Selon certaines études, la publicité représentait environ 411,7milliards de dollars américains à la fin de 2011, dont 70,9milliards (soit 17%) étaient associés à la publicité en ligne. On ne dispose d’aucune estimation claire sur la proportion de publicité en ligne prenant la forme d’une publicité comportementale (elle se situerait entre 18% et30%)Note de bas de page 6.
Dans leRapport sur les consultations de 2010 du Commissariat à la protection de la vie privée du Canada sur le suivi, le profilage et le ciblage en ligne et sur l’infonuagique (le Rapport sur les consultations), le Commissariat a tenu compte de la complexité entourant les pratiques de suivi, de profilage et de ciblage à des fins de publicité comportementale. Nous avons étudié l’application de la LPRPDE à pareilles pratiques, ainsi que la forme de consentement pouvant convenir, compte tenu de nos positions passées sur le consentement négatif par rapport au consentement positif.
L’analyse des consultations par le Commissariat met en évidence de nombreuses sources d’inquiétude en ce qui a trait aux pratiques de suivi en ligne, qui se résume comme suit:
- Les divergences quant à ce qui constitue ou non des renseignements personnels. En général, la plupart des participants conviennent que le suivi en ligne a des répercussions en matière de protection de la vie privée (même si certains jugent que les données recueillies lors du suivi ne constituent pas des renseignements personnels).
- Un manque de transparence à l’égard du suivi, du profilage et du ciblage de ces activités et de ce que cela suppose du point de vue de l’obtention d’un consentement valable, qui est une obligation en vertu de la LPRPDE. La plupart des gens ne savent même pas qu’ils font l’objet d’un suivi et ne connaissent ni la quantité ni la nature des renseignements recueillis; il leur est donc difficile d’accorder ou non leur consentement. Il semble qu’il faille accorder plus d’attention au consentement, à la transparence et à la limitation de la collecte.
- Nous savons que les membres de l’industrie du suivi et du ciblage sont très nombreux, mais nous ne connaissons pas leur nombre exact. Ces entités sont très peu connues des utilisateurs, et cette situation complique la détermination des responsabilités.
- La situation est particulièrement épineuse dans le cas des enfants, qui sont de plus en plus jeunes à naviguer le Web et qui ne savent pas qu’ils font l’objet d’un suivi et encore moins de publicités ciblées. L’obtention d’un consentement valable conformément à la loi n’est pas chose facile.
Les consultations visaient, d’une part, à renseigner le Commissariat sur les nouvelles technologies et pratiques opérationnelles pouvant avoir une incidence sur la protection de la vie privée des Canadiennes et Canadiens et, d’autre part, à nous informer avant la tenue du processus d’examen de la LPRPDE. Le Rapport sur les consultations ne contient pas expressément une prise de position sur la conformité des pratiques de suivi et de profilage à la LPRPDE.
Analyse des pratiques en vertu de la LPRPDE
L’objet de la LPRPDE est de «fixer […] des règles régissant la collecte, l’utilisation et la communication de renseignements personnels d’une manière qui tient compte du droit des individus à la vie privée à l’égard des renseignements personnels qui les concernent et du besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances». Sur la question de l’équilibre, il faut examiner les raisons pour lesquelles les renseignements personnels sont recueillis, utilisés ou communiqués, de même que les types de renseignements touchés et la méthode de collecte et d’utilisation des données.
Nous examinons dans le présent document de position de principe: 1) si l’information visée constitue des renseignements personnels; 2) si la PCL est une fin acceptable pour la collecte, l’utilisation ou la communication de renseignements personnels en vertu de la LPRPDE; 3) le cas échéant, quelle forme de consentement conviendrait? Le présent document comprend également quelques recommandations précises afin que les pratiques de PCL respectent la LPRPDE.
- L’information en question constitue-t-elle des renseignements personnels tels qu’ils sont définis à l’article2 de la LPRPDE?
L’article 2 de la LPRPDE définit les renseignements personnels comme «tout renseignement concernant un individu identifiable». La Cour fédérale a aussi conclu que «un renseignement concerne un individu identifiable lorsqu’il y a une possibilité sérieuse qu’un individu puisse être identifié au moyen du renseignement, que ce renseignement soit pris seul ou en combinaison avec d’autres renseignements disponiblesNote de bas de page 7».
La plupart des renseignements en cause dans la PCL — témoins de suivi d’un tiers, adresses IP, paramètres du navigateur — ne sont pas nécessairement des renseignements personnels proprement dits; en effet, pris séparément, ils ne révèlent peut‑être rien sur une personne identifiable. Cependant, ils peuvent devenir des renseignements sur une personne identifiable s’ils sont associés et utilisés pour le profilage d’un utilisateur, en vue de cibler des annonces à son intention en fonction de ses intérêts présumés. Il serait utile de procéder à un examen minutieux des processus sous‑jacents à la PCL afin d’illustrer cette situation.
Le suivi du comportement de consommateurs en ligne peut inclure la collecte de divers renseignements. Sous sa forme la plus simple, le suivi comporte le placement, dans le navigateur d’un utilisateur, d’un témoin d’un tiers contenant en apparence uniquement un numéro de série aléatoire. On peut faire une utilisation plus complexe du témoin en y ajoutant directement des renseignements d’identification, comme le nom et l’adresse de courriel. Il est néanmoins utile d’étudier le simple cas d’un témoin ne comportant qu’un numéro de série.
En soi, le numéro de série ne permet peut‑être pas d’identifier des personnes, mais, en suivant les sites visités par l’utilisateur, on peut rapidement associer ce numéro à une vaste gamme de renseignements, comme:
- l’adresse IP de l’utilisateur;
- le type de navigateur, les chaînes d’identification et les paramètres techniques;
- les sites Web visités et, ce faisant, les champs d’intérêt;
- les termes recherchés et d’autres renseignements saisis dans des formulaires en ligne;
- des opérations ou des achats;
- des noms d’utilisateur ou des numéros d’identification sur des services Web, comme les sites de réseautage social.
Il y a également des cas documentésNote de bas de page 8 où des entreprises effectuant un suivi en ligne transmettent expressément et directement — des services Web à des annonceurs— des renseignements permettant d’identifier une personne, y compris des noms et des adresses électroniques. Cette information est affichée dans les paramètres de requête Web et dans les en‑têtes référents.
On peut associer les données recueillies durant le suivi sur le Web avec d’autres types de renseignements et ainsi créer des profils détaillés. L’industrie de la PCL fait souvent la promotion de cette capacité en tant qu’outil précieux de mise en marché. Nous avons également vu des annoncesNote de bas de page 9 sur des entreprises qui prévoyaient associer l’information du suivi en ligne avec les renseignements d’achat hors ligne.
Par conséquent, dans le contexte de la PCL, compte tenu du fait que le but derrière la collecte de renseignements est de créer des profils de personnes qui, à leur tour, permettent d’offrir des publicités ciblées; compte tenu des moyens puissants disponibles pour recueillir et analyser les bits de données disparates et la possibilité sérieuse d’identifier les personnes concernées, et compte tenu du caractère potentiellement très personnalisé de la publicité en résultantNote de bas de page 10, on peut raisonnablement penser que les renseignements en cause dans la publicité comportementale touchent à la protection de renseignements personnels et, dans les circonstances, ils doivent être considérés comme «identifiables». Même si une telle évaluation devrait être effectuée au cas par cas, il n’est pas déraisonnable de considérer cette information comme des «renseignements personnels» de prime abord.
Position : Adoptant une vision large et contextuelle de la définition de renseignements personnels, le Commissariat estime qu’en général, l’information recueillie à des fins de PCL constitue des renseignements personnels, étant donné que le but de la collecte de renseignements est de créer des profils de personnes qui, à leur tour, permettent d’offrir des publicités ciblées, de puissants moyens disponibles pour recueillir et analyser les bits de données disparates et la possibilité bien réelle d’identifier les personnes concernées et du caractère potentiellement très personnalisé de la publicité en résultant.
L’offre de publicités ciblées en fonction des comportements est-elle une fin acceptable aux termes du paragraphe5(3) de la LPRPDE et constitue-t-elle une condition de service?
En vertu du paragraphe5(3) de la LPRPDE, on peut recueillir, utiliser ou communiquer des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances. Selon le principe4.3.3, une organisation ne peut pas, pour le motif qu’elle fournit un bien ou un service, exiger d’une personne qu’elle consente à la collecte, à l’utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires pour réaliser les fins légitimes et explicitement indiquées.
Le contenu et les services Web sont en grande partie gratuits sur le plan monétaire pour tous les utilisateurs. Il existe un nombre limité de services — principalement des médias imprimés comme les journaux — qui sont également offerts dans l’environnement en ligne. Ceux-ci offrent un modèle d’abonnement, dans lequel une personne paie une certaine somme d’argent et fournit quelques renseignements personnels, afin de recevoir des services en ligne. La réussite de cette approche demeure mitigée et l’on fait encore appel à la publicité sur ces sitesNote de bas de page 11. La plupart des utilisateurs semblent s’attendre à la gratuité des renseignements publiés sur Internet.
Les sites Web ont généralement besoin de la publicité pour faire de l’argent. Les publicités adaptées aux préférences et aux goûts individuels sont plus lucratives que les autres, car plus de gens sont susceptibles de cliquer sur elles. Bien que beaucoup soient mal à l’aise à l’idée d’être suivis en ligne, certains disent apprécier les publicités axées sur leurs intérêts.
Le Commissariat s’est penché pour la première fois sur la publicité en ligne en 2009, dans une enquête sur Facebook où nous avons examiné les différents modèles publicitaires de l’entreprise (tels qu’ils étaient à l’époque). Dans son modèle de publicités Facebook (les annonces FB), l’entreprise offrait à ses utilisateurs de la publicité au nom d’annonceurs, à partir des renseignements liés au profil de l’utilisateur. Nous avons conclu que l’emploi des renseignements personnels d’une personne pouvait être une condition de service pourvu que la personne comprenne clairement l’utilisation faite de ses renseignements. Nous avons reconnu que certains usages des renseignements personnels étaient raisonnables, puisque l’utilisation du site était gratuite pour les utilisateurs, mais pas pour FacebookNote de bas de page 12. Bien que nous n’ayons pas renvoyé expressément au paragraphe5(3), nous avons implicitement admis que l’utilisation des renseignements personnels à des fins de publicité comportementale pouvait être appropriée dans ces circonstances.
Les annonces FB présentaient un modèle légèrement différent de la publicité comportementale comportant le suivi par un tiers (généralement inconnu de l’utilisateur) de la navigation de l’utilisateur sur le Web. En premier lieu, c’était Facebook qui présentait les annonces; nous avons compris à l’époque que l’entreprise ne divulguait pas de renseignements personnels aux annonceurs, sauf sous forme agrégée. Par conséquent, le nombre de parties concernées était limité, et un lien direct existait entre l’utilisateur et l’entreprise offrant l’annonce.
Position : Étant donné que certains utilisateurs peuvent être mal à l’aise à l’idée d’être «suivis» sur le Web, tout en jugeant utiles les publicités adaptées à leurs intérêts, et compte tenu du fait que les services sont généralement gratuits et que les utilisateurs doivent s’attendre à ce que certains renseignements personnels soient nécessaires pour accéder aux services et à l’information, la PCL peut être considérée comme une fin acceptable pour la collecte, l’utilisation ou la communication de renseignements personnels, du point de vue d’une personne raisonnable. Toutefois, la publicité comportementale en ligne ne devrait pas être considérée comme une condition permettant aux personnes d’utiliser Internet en général. Les sites Web peuvent compter sur d’autres formes de publicité. Un consentement valable et des limites sur les types de renseignements recueillis et utilisés à des fins de profilage sont nécessaires. La protection de l’information est également cruciale, tout comme l’est la limitation de la durée de conservation des données.
Consentement valable: consentement négatif ou consentement positif?
Le Rapport sur les consultations faisait aussi état du consentement négatif (implicite) à la PCL, dans le cadre des lignes directrices que nous avons décrites précédemment sur le consentement implicite. Selon ces lignes directrices:
- Il faut démontrer que les renseignements personnels ne sont pas sensibles compte tenu de leur nature et du contexte.
- La situation prévoyant le partage d’information doit être limitée et clairement définie selon la nature des renseignements personnels devant être utilisés ou communiqués ainsi que la portée de l’utilisation ou de la communication prévue.
- Les objectifs de l’organisation doivent être limités et nettement définis, et énoncés d’une manière claire et facile à comprendre.
- En règle générale, l’organisation devrait obtenir au moment de la collecte le consentement de la personne concernée pour utiliser ou communiquer les renseignements personnels.
- L’organisation doit mettre en place un mécanisme pratique pour le refus ou le retrait du consentement relativement à l’utilisation de renseignements personnels à des fins secondaires. Le refus devrait prendre effet immédiatement et avant toute utilisation ou communication d’information aux nouvelles fins proposéesNote de bas de page 13.
Il importe de se rappeler que ces directives ont été élaborées dans un contexte différent, impliquant des modèles opérationnels et des techniques de marketing plus traditionnels, dans lesquels les personnes transmettent des renseignements personnels en échange d’un produit ou service, renseignements qui sont ensuite vendus à des tiers «à des fins secondaires de marketing». Le marketing est loin d’être secondaire sur le Web, mais les lignes directrices continuent néanmoins à fournir un cadre utile, et ce, même pour l’environnement en ligne. Cependant, comme le Rapport sur les consultations en fait état, deux éléments présentent des difficultés: l’obtention du consentement au moment de la collecte et la détermination de la sensibilité de l’information. Ces éléments sont importants, et les organisations peuvent prendre certaines mesures à leur égard.
Dans cette optique, nous avons adapté ce cadre pour le consentement négatif à la PCL, en tenant compte du fait que la PCL peut être acceptable dans certaines conditions. Les entreprises présentes sur le Web ont besoin de générer des recettes et les publicités comportementales semblent être plus lucratives que les publicités contextuelles. D’autres modèles d’affaires sont moins populaires dans l’environnement en ligne, où les utilisateurs s’attendent à de l’information et à des services gratuits (ces modèles reposent néanmoins aussi sur l’obtention de certains renseignements personnels par une organisation). Les utilisateurs s’attendent également à un accès instantané. L’affichage constant d’avis aux utilisateurs sur les témoins et l’accès bloqué à des sites financés par la publicité finiront par frustrer les utilisateurs et pourraient susciter chez eux une lassitude ou une réaction négative à l’égard des efforts visant à protéger leurs renseignements personnels.
Position : Le consentement négatif pourrait être acceptable sous certaines conditions, énoncées ci-dessous, dans le cadre des deux restrictions proposées ci-après.
Conditions et restrictions: un cadre pour le consentement négatif
Voici les conditions sous lesquelles un consentement négatif à la PCL serait jugé acceptable:
- Les utilisateurs sont avisés des objectifs de la pratique de façon claire et compréhensible — ces objectifs doivent être manifestes et ne peuvent être enfouis dans une politique de protection de la vie privée. Il faut que les organisations soient transparentes quant à leurs pratiques et se demandent comment elles peuvent informer efficacement les utilisateurs de leurs pratiques en matière de publicité comportementale en ligne à l’aide de divers moyens de communication, comme l’utilisation de bannières en ligne, de technologies multicouches et d’outils interactifs.
- Les utilisateurs sont informés de ces fins au moment de la collecte ou avant et reçoivent de l’information sur les diverses parties qui participent au processus de publicité comportementale en ligne.
- Les utilisateurs peuvent facilement renoncer à la pratique, idéalement au moment de la collecte ou avant.
- La renonciation est immédiate et durable.
- Les renseignements recueillis et utilisés sont limités, dans la mesure du possible, aux renseignements non sensibles (éviter les renseignements qui sont généralement considérés comme sensibles, par exemple les renseignements sur la condition médicale ou la santé, les finances, les origines ethniques et raciales, les opinions politiques, la vie sexuelle ou l’orientation sexuelle et les croyances religieuses ou philosophiques, ainsi que les données génétiques et biométriques).
- Les renseignements recueillis et utilisés sont détruits dès que possible ou anonymisés efficacementNote de bas de page 14.
Restrictions à la PCL
1. Les témoins soi‑disant «zombie», les supertémoins, les témoins tiers qui ont l’apparence des témoins de la première partie, l’empreinte de l’appareil, ainsi que d’autres techniques hors du contrôle des personnes
Il existe certains types de suivi dans la PCL qu’on ne peut bloquer ou contrôler qu’en prenant des mesures extraordinaires (et certains qu’on ne peut ni bloquer ni contrôler). Il s’agit notamment des témoins soi‑disant «zombie», des supertémoins et de l’empreinte de l’appareil. Dans d’autres cas, certaines parties qui s’engagent dans la PCL ont recours à des témoins tiers qui sont déguisés en témoins de la première partie. Un utilisateur qui tente d’effacer des témoins de la première partie (afin de se débarrasser de témoins tiers) risque de rendre inutilisables certains sites dont le fonctionnement repose sur des témoins de première partie «réels». Les utilisateurs ne pouvant pas se soustraire efficacement de ces techniques, il est de notre point de vue qu’elles devraient être interdites à l’heure actuelle. Il se peut qu’on trouve une solution technologique à ce manque de contrôle de la part de l’utilisateur, mais pour le moment, si, d’une part, une technique de suivi ne permet pas à l’utilisateur d’avoir le contrôle et, cela étant, le prive de la possibilité de consentir ou de retirer son consentement, et si, d’autre part, la technique sert à recueillir des renseignements personnels à des fins de PCL, la position du Commissariat est qu’un pareil suivi devrait être interdit, car il n’est pas conforme à la LPRPDE.
2. Renseignements personnels des enfants
Le type le plus évident d’information qui ne devrait pas être suivi concerne les renseignements des enfants. Les opérateurs de sites Web destinés aux enfants devraient interdire le placement de tout type de technologies de suivi sur le site. Il est difficile de prétendre que de jeunes enfants puissent donner un consentement valable à pareilles pratiques, et le profilage de jeunes en vue de leur offrir de la publicité comportementale ciblée en ligne semble inapproprié dans ces circonstances. L’industrie canadienne de la publicité a indiqué qu’elle demandera à ses membres de ne pas cibler sciemment les enfants; le Commissariat approuve et encourage cette position.
En effet, les organisations auraient probablement de grandes difficultés à obtenir un consentement valable à la PCL de la part des jeunes utilisateurs d’Internet.
Nous constatons que les enfants qui naviguent sur Internet sont de plus en plus jeunes. Comme de nombreux adultes ne comprennent pas ce qui se passe derrière l’écran de leur ordinateur, il est illusoire de s’attendre à ce que les enfants puissent comprendre pleinement comment leurs renseignements personnels sont recueillis et utilisés. L’industrie de la publicité s’est également dite préoccupée par cette question.
Concernant l’âge approprié pour le consentement implicite à la PCL, la LPRPDE ne prévoit pas de seuils d’âge précis pour l’obtention d’un consentement; elle introduit plutôt le concept de consentement valable. Ce qui est valable pour un jeune de 17ans ne le sera peut-être pas pour un enfant de neufans. Les pratiques doivent correspondre au développement cognitif et émotionnel de l’utilisateur. Le caractère approprié dépendra aussi du contexte.
Compte tenu des obstacles pratiques à l’obtention d’un consentement valable des enfants, en particulier d’un consentement implicite, les organisations devraient éviter de faire sciemment le suivi des enfants et des sites Web destinés aux enfants.
Sommaire
Le présent document de position de principe ne vise que le suivi et le ciblage en ligne à des fins de PCL. Dans le cadre du présent document, la PCL se définit comme le suivi et le ciblage des activités sur le Web de personnes, dans plusieurs sites et au fil du temps, afin de leur présenter des publicités adaptées à leurs intérêts présumés.
Conformément à une interprétation large et contextuelle de la définition de «renseignements personnels» aux termes de la LPRPDE, les données recueillies et utilisées à des fins de PCL constitueront souvent des «renseignements personnels».
La publicité joue un rôle clé afin que le contenu sur Internet soit gratuit. Il existe différents types de publicité; la PCL n’est qu’un des types de publicité possibles en ligne. Toutefois, les répercussions de la PCL sur la protection de la vie privée sont plus importantes, compte tenu de la manière dont elle est pratiquée. La PCL peut être considérée comme une «fin raisonnable» aux termes du paragraphe5(3) de la LPRPDE, mais, en général, elle ne constitue pas une condition de service pour l’accès à Internet et son utilisation.
La PCL nécessite un consentement valableNote de bas de page 15. Le consentement implicite ou négatif au suivi et au ciblage de personnes à des fins de publicité comportementale peut être acceptable si les paramètres suivants sont en place:
- Les utilisateurs sont avisés des objectifs de la pratique de façon claire et compréhensible — ces objectifs doivent être manifestes et ne peuvent être enfouis dans une politique de protection de la vie privée. Il faut que les organisations soient transparentes quant à leurs pratiques et se demandent comment elles peuvent informer efficacement les utilisateurs de leurs pratiques en matière de publicité comportementale en ligne à l’aide de divers moyens de communication, comme l’utilisation de bannières en ligne, de technologies multicouches et d’outils interactifs.
- Les utilisateurs sont informés de ces fins au moment de la collecte ou avant et reçoivent de l’information sur les diverses parties qui participent au processus de publicité comportementale en ligne.
- Les utilisateurs peuvent facilement renoncer à la pratique, idéalement au moment de la collecte ou avant.
- La renonciation est immédiate et durable.
- Les renseignements recueillis et utilisés se limitent, dans la mesure du possible, aux renseignements non sensibles (éviter les renseignements qui sont généralement considérés comme sensibles, par exemple les renseignements sur la condition médicale ou la santé, les finances, les origines ethniques et raciales, les opinions politiques, la vie sexuelle ou l’orientation sexuelle et les croyances religieuses ou philosophiques, ainsi que les données génétiques et biométriques).
- Les renseignements recueillis et utilisés sont détruits dès que possible ou anonymisés efficacement.
Certaines formes de suivi peuvent être bloquées ou empêchées, mais pas toutes. Pour le moment, l’industrie devrait s’abstenir d’avoir recours, à des fins de PCL, à une méthode que les utilisateurs ne peuvent ni bloquer ni empêcher.
De même, étant donné que les organisations auraient probablement de grandes difficultés à obtenir le consentement valable d’enfants à des fins de PCL, l’industrie devrait s’abstenir de faire sciemment un suivi des enfants ou des sites Web destinés aux enfants.
L’orientation du Commissariat en matière de PCL vise toutes les parties concernées par le suivi, le profilage et le ciblage en ligne, y compris l’industrie de la publicité, les concepteurs de navigateur et les opérateurs de site Web.
Mise à jour en décembre 2015
- Date de modification :