Lignes directrices

La protection de la vie privée et la publicité comportementale en ligne

La publicité comportementale en ligne suppose le suivi des activités des consommateurs en ligne sur les sites Web au fil du temps afin de leur présenter des annonces ciblant leurs champs d’intérêt présumés. Les annonceurs qui ont recours à la publicité comportementale utilisent souvent des algorithmes sophistiqués pour analyser les données recueillies, établir des profils personnels détaillés d’utilisateurs et associer ces profils à différentes catégories de champs d’intérêt. Les utilisateurs d’une catégorie donnée se font ainsi présenter des annonces ciblées selon leurs champs d’intérêt présumés.

Même si la publicité peut aider à financer l’accès gratuit au contenu en ligne, ce que la plupart des utilisateurs recherchent, il est néanmoins essentiel que les pratiques de publicité en ligne respectent le droit à la vie privée et les choix en matière de consentement des personnes.

La publicité comportementale en ligne peut être considérée comme une activité raisonnable en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), pourvu qu'elle soit effectuée sous certains paramètres, et qu’elle ne soit pas une condition de service généralisée pour accéder et utiliser l’Internet.

Les lignes directrices qui suivent ont été élaborées afin d’aider les divers types d’organisations qui font de la publicité comportementale en ligne à s’assurer que leurs pratiques soient justes, transparentes et conformes à la LPRPDE. Toute future plainte concernant la publicité comportementale en ligne serait évaluée en fonction des faits propres à chaque situation.


La LPRPDE et les renseignements personnels

Dans la LPRPDE, on entend par renseignement personnel « tout renseignement concernant un individu identifiable ». Les renseignements concerneront un individu identifiable dans le cas où il est très possible qu’un individu puisse être identifié par l’utilisation de ces renseignements, seuls ou en combinaison avec d’autres renseignements disponibles.

Un élément stratégique important de la publicité comportementale en ligne découle de la personnalisation des publicités selon l’activité de navigation sur Internet de la personne, ce qui comprend les habitudes d’achat et l’historique des recherches. Compte tenu de la portée et de l’envergure des renseignements recueillis, des moyens puissants qui permettent de regrouper et d’analyser des données disparates et le caractère personnalisé de l’activité, il est raisonnable de penser qu’il y aura souvent une forte possibilité que les renseignements puissent être liés à une personne.

À ce titre, nous considérerons que les renseignements touchés par le suivi et le ciblage en ligne dans le but d’offrir une publicité liée au suivi comportemental d’une personne seront habituellement considérés comme des renseignements personnels.

La LPRPDE et le choix de l’utilisateur

La LPRPDE exige qu’un individu soit informé de toute collecte, utilisation ou communication de renseignements personnels qui le concernent et qu’il y consente. La LPRPDE exige également que les fins pour lesquelles les renseignements personnels d’un individu sont recueillis, utilisés ou communiqués soient expliquées d’une manière claire et transparente. Par ailleurs, la LPRPDE reconnaît que la forme de consentement peut varier : par exemple, le consentement explicite (consentement positif) pour le traitement d’information sensible, et le consentement implicite (consentement négatif) lorsque l’information est moins sensible. Soulignons que la sensibilité de l’information dépend de sa nature et du contexte dans lequel elle est recueillie, utilisée ou communiquée.

Obtenir le consentement dans l’environnement en ligne peut représenter des défis, mais c’est possible. Le consentement négatif pour la publicité comportementale en ligne pourrait être jugé raisonnable dans la mesure où :

  • les personnes sont avisées des objectifs de la pratique de façon claire et compréhensible — ces objectifs doivent être manifestes et ne peuvent être enfouis dans une politique de protection de la vie privée. Les organisations devraient être transparentes quant à leurs pratiques et se demander comment elles peuvent informer efficacement les utilisateurs de leurs pratiques en matière de publicité comportementale en ligne à l’aide d’une variété de solutions de communication, comme l’utilisation de bannières en ligne, de technologies multicouches et d’outils interactifs;
  • les personnes sont informées de ces objectifs au plus tard au moment de la collecte et reçoivent de l’information sur les diverses parties qui participent au processus de publicité comportementale en ligne;
  • les personnes peuvent facilement renoncer à la pratique — idéalement au plus tard au moment où les renseignements sont recueillis;
  • la renonciation est immédiate et durable;
  • les renseignements recueillis et utilisés sont limités, dans la mesure du possible, aux renseignements non sensibles (éviter les renseignements sensibles comme les renseignements sur la condition médicale ou la santé);
  • les renseignements recueillis et utilisés sont détruits dans les plus brefs délais ou anonymisés efficacement.

Restrictions

Enlever la possibilité de donner son consentement

Une personne doit être informée de toute collecte ou utilisation des activités de navigation sur Internet et y consentir. Par conséquent, si une personne ne peut refuser le suivi et le ciblage, par un mécanisme de consentement négatif, ou parce qu’il n’existe aucun moyen viable de contrôler la technologie utilisée, ou parce qu’un refus rendrait le service inutilisable, les organisations ne doivent pas faire appel à ce type de technologie à des fins de publicité comportementale en ligne. À l’heure actuelle, cela pourrait inclure, par exemple, des témoins soi‑disant « zombie », des supertémoins et l’empreinte de l’appareil. D’autres renseignements sur les technologies de suivi en ligne figurent dans notre fiche d’information Les témoins et le suivi sur le Web.

Suivi des enfants

La LPRPDE exige un consentement éclairé pour la collecte, l'utilisation et la communication de renseignements personnels. Il serait difficile d’obtenir le consentement éclairé d’un enfant à des fins de pratiques de publicité comportementale en ligne. Par conséquent, et comme pratique exemplaire, les organisations devraient éviter de suivre les enfants ou les sites Web destinés aux enfants.

Relever les défis

En adoptant des cadres pour assurer la protection de la vie privée, les organisations renforceront la confiance des consommateurs dans leurs activités en ligne. Il est primordial de s’attaquer aux risques d’atteinte à la vie privée soulevés par la publicité comportementale en ligne pour établir et conserver la confiance des consommateurs.

Documents du CPVP connexes

La CPVP offre certaines ressources connexes sur son site Web :

Mis à jour en juin 2012