Mémoire reçu dans le cadre de la consultation sur le consentement en vertu de la LPRPDE (BC FIPA)

BC Freedom of Information and Privacy Association

Octobre 2016

Remarque : Ce document a été présenté par les auteurs ou auteures au Commissariat à la protection de la vie privée du Canada dans le cadre de la consultation sur le consentement en vertu de la LPRPDE.

Avertissement : Les opinions exprimées dans ce document sont celles des auteurs ou auteures et ne reflètent pas nécessairement celles du Commissariat à la protection de la vie privée du Canada. Comme ce mémoire a été fourni par une entité non assujettie à la Loi sur les langues officielles, il a été traduit de sa langue d’origine par le Commissariat à titre indicatif. En cas de divergence, veuillez consulter la version anglaise. Pour plus d’information sur la politique du Commissariat sur l’offre de contenu dans les deux langues officielles, vous pouvez consulter la page Conditions d’utilisation.


La FIPA tient à reconnaître la contribution de la Law Foundation of British Columbia. L’appui indéfectible qu’elle nous offre en ce qui concerne nos travaux dans le domaine de la réforme du droit, de la recherche et de l’éducation nous permet de réaliser des mémoires comme celui‑ci.

Introduction

La FIPA est un organisme apolitique à but non lucratif qui a vu le jour en 1991 dans le but de promouvoir et de défendre la liberté d’information et les droits en matière de protection des renseignements personnels au Canada. Notre mission consiste à donner aux citoyens les moyens nécessaires pour améliorer leur accès à l’information et pour mieux contrôler leurs renseignements personnels. Nous offrons nos services à un éventail de particuliers et d’organisations au moyen de programmes d’éducation publique, de services d’aide juridique, de travaux de recherche et de réforme du droit.

Nous remercions le Commissariat à la protection de la vie privée du Canada (le Commissariat) de nous donner l’occasion de discuter de différentes questions relatives au consentement; nous espérons que nos commentaires seront utiles.

Nous avons lu et compris les procédures de consultation figurant dans l’Avis de consultation et appel de mémoires et nous espérons que notre mémoire vous sera utile.

Mémoire

Notre mémoire sera relativement bref. Il portera principalement sur les résultats de l’étude Le véhicule connecté : Qui est aux commandes? que nous avons réalisée en 2015 dans le cadre du Programme des contributions.

Dans le cadre de cette étude, nous avons signalé diverses lacunes dans le modèle de consentement en vigueur au sein de l’industrie des véhicules connectés.

L’une des principales lacunes est le grand nombre de politiques de confidentialité complexes que les acheteurs de véhicules connectés sont censés avoir lues et comprises avant de donner leur consentement. Ces politiques comprennent notamment les éléments suivants :

  • Un contrat d’achat en vertu duquel le concessionnaire a le droit de recueillir, de conserver, d’utiliser et de divulguer certains renseignements personnels.
  • Les conditions du constructeur, lesquelles peuvent comprendre une politique de confidentialité ou la possibilité pour le constructeur de simplement imposer aux nouveaux propriétaires de véhicules sa propre politique de confidentialité, ainsi que d’autres conditions relatives à l’utilisation du véhicule.
  • L’inscription auprès du constructeur (ou son représentant) de l’acheteur d’un véhicule connecté offrant des services d’infodivertissement (p. ex. OnStar, SyNC ou Uconnect) pour accéder à ces services, ce qui suppose d’accepter un ensemble de conditions détaillées comprenant une politique de confidentialité spéciale qui précise de quelle façon les données personnelles seront recueillies, utilisées et divulguées par le constructeur ou ses représentants aux fins de la prestation des services du véhicule connecté.
  • La possibilité pour le constructeur d’adopter une troisième politique de confidentialité pour les services additionnels facultatifs, notamment les options de commande à distance activées à l’aide du téléphone intelligent du client, d’un porte‑clés spécial ou d’un autre type de télécommande, dans lequel cas, le client pourrait avoir à consulter la politique de confidentialité du fournisseur de réseau mobile.
  • La nécessité pour le client qui utilise son plan mobile pour accéder aux services connectés de consulter la politique de confidentialité de son fournisseur de réseau mobile. Si le client doit utiliser un téléphone intelligent pour accéder aux services connectés, on supposera qu’il a consulté les politiques de confidentialité de son fournisseur de téléphone intelligent et qu’il les a acceptées.

De plus, si un client a besoin d’un financement de primes d’assurance et qu’il conclut une entente à cet effet avec le concessionnaire, il pourrait avoir à lire et à comprendre deux autres politiques de confidentialité.

Il n’est pas donc pas réaliste de considérer qu’un consentement accordé dans ces circonstances puisse être éclairé.

Les constructeurs tiennent pour acquis que leurs clients consentent à ce qu’ils recueillent, utilisent et divulguent de grandes quantités de données personnelles souvent sensibles, et ce, à de nombreuses fins qui ne sont pas toutes cruciales pour la prestation des services en question. En règle générale, les clients ne peuvent pas demander une dérogation pour l’utilisation ou la divulgation de leurs données personnelles tel qu’il est précisé dans leur contrat, et ce, même lorsque l’utilisation ou la divulgation de ces données n’est pas essentielle à la prestation des services et que les politiques (en admettant que le client puisse les trouver) ne sont pas suffisamment détaillées pour permettre au client de comprendre de quelle façon ses données personnelles pourraient être utiliséesNote de bas de page 1.

Il y a trop d’acteurs dans le domaine des véhicules connectés. Nombreux sont ceux qui ont leurs propres conditions de service et politiques de confidentialité que les clients devraient lire, comprendre et accepter (ou alors chercher un autre constructeur dont la politique est plus acceptable). Il est pratiquement impossible de donner un consentement éclairé dans ce contexte. Même s’il existe une certaine concurrence entre les fabricants d’équipement d’origine sur le plan des politiques de confidentialité et que leurs conditions de service comportent davantage d’options de confidentialité, le consommateur moyen n’a tout simplement pas le temps, et encore moins l’expertise, d’examiner toutes ces conditions de service et toutes ces politiques de confidentialité avant de prendre une décisionNote de bas de page 2.

Par conséquent, voici notre recommandation générale :

Plutôt que de se fier à l’illusion du choix et du consentement de cette industrie, il faut définir des limites claires, précises et pertinentes pour la collecte, la conservation, l’utilisation et la divulgation des données personnelles des consommateurs. Nous avons besoin de règlements sur la protection des données adaptés à l’industrie des véhicules connectésNote de bas de page 3.

Voici les recommandations particulières que nous avons formulées en matière de consentementNote de bas de page 4 :

  • Lorsqu’un fabricant d’équipement d’origine a besoin du consentement du client, cette pratique doit être signalée au client et les modalités doivent être formulées clairement et expliquées de façon exhaustive pour que le client puisse comprendre exactement ce à quoi il consent. Un consentement positif est toujours préférable à un consentement négatif. Les données personnelles d’un client ne devraient pas être recueillies à son insu, sauf s’il a été démontré qu’elles sont essentielles pour la prestation du service ou que le client y a expressément consenti.
  • Il ne faut pas tenir pour acquis que le simple fait d’utiliser un service signifie que le client a donné son consentement pour toute utilisation à d’autres fins que celles qu’une personne raisonnable comprendrait et approuverait.
  • Le consentement à l’utilisation ou à la divulgation des données personnelles à des fins secondaires comme la commercialisation, l’amélioration d’un produit ou la recherche et le développement ne doit jamais être tenu pour acquis. Le consentement doit toujours être explicite et positif.
  • Un constructeur de véhicules connectés ne doit pas refuser de fournir des services à un client qui refuse que l’on recueille, utilise ou divulgue ses données personnelles à des fins non nécessaires.

Conclusion

Nous remercions le Commissariat de nous avoir donné l’occasion de présenter nos points de vue sur cette question importante.

Il est impératif de faire preuve d’une grande prudence aux fins de l’adoption de toute mesure susceptible de réduire l’importance du consentement. Il faut également cesser de mettre l’accent uniquement sur le consentement obligatoire et mettre en œuvre des systèmes qui permettent de personnaliser le consentement en fonction d’exigences et de besoins particuliers en matière de collecte, d’utilisation ou de divulgation de renseignements personnels.

Si vous avez besoin de renseignements supplémentaires ou de précisions, n’hésitez pas à communiquer avec nous.
Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :