Une entreprise de marketing est accusée de communication inappropriée de renseignements issus d'un sondage

Résumé de conclusions d'enquêtes en vertu de la LPRPDE no 2002-91

[Principes 4.1, 4.2.3, 4.3, 4.3.2, 4.3.4, 4.3.5, 4.4, 4.4.2, 4.8, et 4.8.2, annexe 1]

Plainte

Une personne a allégué qu'une entreprise de marketing, qui effectue des sondages sur des produits grand public, communique de façon inappropriée les renseignements personnels concernant les répondants à des sondages. Le plaignant a soulevé trois préoccupations précises concernant les sondages :

  • la question de savoir si l'entreprise précise adéquatement la portée à laquelle les renseignements personnels recueillis sont communiqués à des fins de marketing ou celle de savoir si l'entreprise trompe la confiance des personnes quant au but de la collecte de ces renseignements;
  • quelle formule de consentement (actif ou négatif) est utilisée dans les formulaires de sondage et la pertinence de la formule étant donné la nature délicate des renseignements en question;
  • la question de savoir si l'entreprise informe clairement le public de ses politiques et pratiques touchant la gestion des renseignements personnels.

Résumé de l'enquête

L'entreprise reconnaît qu'elle communique à des tiers moyennant des frais les renseignements qu'elle recueille dans les sondages. Les documents de sondage de l'entreprise et sa politique de protection de la vie privée ont été examinés au cours de l'enquête. Les faits suivants ont été rélévés :

  • Les sondages envoyés aux ménages d'un bout à l'autre du pays comportent une section de renseignements généraux qui demande aux répondants des renseignements comme l'âge, l'état matrimonial et le revenu des ménages. En plus de cette section, des renseignements personnels concernant la santé et les finances personnelles sont aussi sollicités dans le sondage proprement dit.
  • Les documents de sondage ne mentionnent pas explicitement toute intention de communiquer des renseignements personnels tirés du sondage à n'importe quel tiers à des fins de marketing. Les entreprises qui commandent les sondages ne sont pas identifiées. Les documents expliquent les objectifs seulement en ce qui concerne la recherche des faits, la collecte d'opinions et l'amélioration de la qualité des produits.
  • Les documents de sondage offrent des « bonis » sous forme de « coupons » et de rabais comme récompenses pour la participation à un sondage, mais ne donnent pas d'indication claire que ces bonis proviendront de n'importe quelle source autre que l'entreprise de marketing elle-même.
  • Le formulaire de sondage sollicite le consentement en vue d'autres envois et offres postaux. Le mécanisme de consentement est présenté comme l'une des questions d'information générale qui sont considérées comme facultatives et consiste en un énoncé suivi de cases « Oui » et « Non » à cocher. Il n'est pas indiqué clairement si le mécanisme se veut une forme de consentement positif (consentement actif) ou négatif (consentement passif) ou de quelle façon l'entreprise traitera le cas où le répondant a omis de cocher l'une ou l'autre case. L'énoncé comme tel est vague et ouvert, et n'indique pas que les envois ou offres postaux ultérieurs en question viendraient de tiers auxquels l'entreprise aurait communiqué les renseignements contenus dans le sondage.
  • L'entreprise reconnaît qu'un nombre important de répondants ne tiennent pas compte du mécanisme de consentement de quelque façon que ce soit. Dans de tels cas, l'entreprise a pour pratique de communiquer les renseignements personnels aux tiers, mais uniquement les renseignements qu'elle juge de nature non délicate. Toutefois, les documents de sondage n'établissent pas de distinction entre information de nature délicate et information de nature non délicate. De plus, les entreprises qui commandent les sondages peuvent demander des renseignements de sondage selon des critères précis - par exemple, les noms et adresses des répondants déclarant un revenu de ménage au-dessus d'un certain seuil. Dans ces cas, bien que les renseignements fournis puissent être de nature non délicate à proprement parler (par exemple, les noms et adresses), le contexte leur confère manifestement un caractère délicat.
  • La trousse ne donne aucun renseignement sur la façon de retirer son consentement ou même sur le fait que cela est possible. Aucun numéro de téléphone ou adresse électronique n'est fourni aux répondants relativement à toute préoccupation ou question qu'ils pourraient avoir. Il n'est pas fait mention du site Web de l'entreprise dans la trousse de sondage. Aucun représentant de l'entreprise n'y est mentionné. En effet, au moment du dépôt de la plainte, personne n'avait été désigné comme responsable de la conformité de l'organisation en vertu de la Loi.
  • L'entreprise s'est bel et bien dotée d'une politique de protection de la vie privée par rapport aux sondages (non mentionnée dans les documents de sondage) que le public peut consulter sur son site Web. La politique de protection de la vie privée donne une explication plus détaillée des objectifs, y compris des indications claires sur le fait que les renseignements personnels des répondants sont destinés à être communiqués à des tiers à des fins de marketing direct.
  • La politique prévoit en outre que les répondants peuvent retirer leur consentement par courrier électronique ou courrier ordinaire et que les entreprises participantes sont régulièrement informées des répondants aux sondages qui ne souhaitent plus y participer. Cependant, aucun numéro de téléphone sans frais n'est fourni et aucun représentant de l'entreprise n'est identifié par son nom ou le titre de son poste comme responsable des questions et demandes de renseignements en matière de protection de la vie privée.

Conclusions du commissaire

Rendues le 22 novembre 2002

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques s'applique non seulement aux entreprises fédérales, mais aussi à toute organisation qui communique des renseignements personnels outre frontières pour contrepartie. Ce cas relevait de la compétence du commissaire parce que cette entreprise appartient à la dernière catégorie d'organisations.

Application : Le principe 4.1 stipule qu'une organisation est responsable des renseignements personnels dont elle dispose et doit désigner une personne responsable ou des personnes responsables de la conformité de l'organisation avec les principes suivants. Le principe 4.2.3 stipule que les fins déterminées devraient être précisées dès ou avant la collecte de renseignements personnels. Le principe 4.3 stipule que la connaissance et le consentement de la personne sont nécessaires pour la collecte, l'utilisation ou la communication de ses renseignements personnels, à moins qu'il ne soit pas approprié de le faire. Le principe 4.3.2 souligne que la connaissance est nécessaire de même que le consentement et stipule que les organisations doivent faire un effort raisonnable pour s'assurer que la personne est informée des fins pour lesquelles les renseignements seront utilisés; pour que le consentement soit valable, les fins doivent être indiquées de telle façon que la personne puisse comprendre de manière raisonnable comment les renseignements seront utilisés ou communiqués. Le principe 4.3.4 stipule en partie qu'en déterminant la forme de consentement à utiliser les entreprises tiendront compte de la nature délicate des renseignements. Le principe 4.3.5 stipule que, dans l'obtention du consentement du répondant, les attentes raisonnables de ce dernier sont pertinentes. Le principe 4.4 stipule en partie que les renseignements doivent être obtenus de façon honnête et licite. Le principe 4.4.2 clarifie le fait que l'exigence précédente vise à empêcher les organisations de recueillir des renseignements en trompant la confiance des personnes quant aux fins pour lesquelles les renseignements sont recueillis. Le principe 4.8 stipule qu'une organisation doit mettre immédiatement à la disposition des personnes de l'information précise sur ses politiques et pratiques liées à la gestion des renseignements personnels. Le principe 4.8.2 stipule que l'information mise à la disposition des répondants doit inclure, entre autres, le nom ou le titre et l'adresse de la personne responsable des politiques et pratiques de l'organisation et à qui les plaintes ou demandes de renseignements peuvent être adressées.

Le commissaire a conclu que les attentes du plaignant telles qu'elles sont énoncées dans la plainte sont raisonnables et conformes à la Loi.

Le commissaire a établi que l'entreprise n'a pas précisé de façon appropriée la portée à laquelle les renseignements personnels devaient être utilisés à des fins de marketing. Les documents de sondage n'indiquaient pas clairement que les renseignements personnels du répondant devaient être communiqués à des tiers à des fins de marketing. Le commissaire n'a pas considéré ces documents comme étant un effort raisonnable de la part de l'entreprise pour informer les personnes des fins visées par la collecte de leurs renseignements personnels.

De l'avis du commissaire, la politique en matière de protection de la vie privée contenait une meilleure explication des objectifs et de l'intention de communiquer des renseignements personnels à des tiers à des fins de marketing direct. Cela dit, il a noté que la politique n'était pas facilement ou immédiatement mise à la disposition de la personne au moment où elle répondait au sondage et, en fait, n'était même pas communiquée à chaque répondant. Étant donné l'attente raisonnable visant la simultanéité de la précision des fins et de la collecte des renseignements, il n'a pas trouvé raisonnable le fait que l'entreprise s'en remette à des intentions déclarées dans une politique qui n'est pas disponible au moment où les participants répondent aux questions du sondage et qui est uniquement accessible sur un site Web non annoncé. Pour ces raisons, le commissaire a conclu que l'entreprise a contrevenu aux principes 4.2.3, 4.3.2 et 4.3.5.

Puisque l'entreprise avait omis de répondre à l'exigence visant la connaissance de la personne au moyen des principes 4.2.3 et 4.3.2, il a établi qu'elle n'avait pas obtenu un consentement valable et éclairé de chaque répondant en vue de la collecte, de l'utilisation ou de la communication de leurs renseignements personnels par le biais des sondages. Pour ces raisons, le commissaire a conclu que l'entreprise a contrevenu au principe 4.3.

En ce qui concerne les efforts de l'entreprise visant à se conformer à la Loi, le commissaire a été troublé par le grand écart entre le site Web et les documents de sondage, de même que par les conséquences de cet écart relativement aux principes 4.4 et 4.4.2. Il s'est posé la question de savoir pourquoi l'entreprise indiquerait ses objectifs de manière relativement raisonnable dans une politique sur la protection de la vie privée, tenue à l'écart et non annoncée, et qui est située sur son site Web, à savoir notamment que les renseignements personnels seraient communiqués à des tiers à des fins de marketing direct, mais explique ensuite dans les documents de sondage les fins en des termes aussi limités que la recherche des faits, la collecte d'opinions et l'amélioration de la qualité des produits. Il s'est ensuite demandé pourquoi l'entreprise ferait l'effort de formuler une politique en matière de vie privée plus ou moins conforme pour ne pas attirer ensuite l'attention de chaque répondant à cet égard. De l'avis du commissaire, loin d'offrir une compréhension raisonnable de l'utilisation et de la communication des renseignements personnels, comme l'avait prétendu l'entreprise, les documents de sondage n'informaient pas les personnes sur les véritables objectifs des sondages et portaient atteinte à l'équité de la collecte des renseignements personnels par l'entreprise. Pour ces raisons, il a conclu que l'entreprise a contrevenu aux principes 4.4 et 4.4.2.

Le commissaire a établi que le procédé relatif au consentement qui est fourni sur les formulaires du sondage est vague, n'est pas bien en vue et est ambigu quant à la forme de consentement recherché. Le commissaire a déjà fait connaître publiquement qu'il a conclu que tout renseignement personnel peut être de nature délicate dans des circonstances données. Par conséquent, il ne pouvait accepter la pratique de communication de renseignements jugés par l'entreprise de nature non délicate dans les cas où un répondant au sondage n'a pas indiqué « Oui » ou « Non » à une telle communication. Il a jugé le procédé relatif au consentement inapproprié, étant donné la nature éventuellement délicate des renseignements personnels en question. Pour ces raisons, il a conclu que l'entreprise ne s'était pas conformée au principe 4.3.4.

Étant donné qu'au moment du dépôt de la plainte l'entreprise ne disposait d'aucun représentant responsable de la conformité de l'entreprise avec la Loi et que des renseignements précis concernant les pratiques et politiques de l'entreprise en matière de protection de la vie privée n'étaient pas accessibles immédiatement et de manière raisonnable, le commissaire a conclu que l'entreprise ne répondait pas à ses obligations en vertu des principes 4.1, 4.8 et 4.8.2.

Le commissaire a ainsi conclu que la plainte était fondée.

Autres considérations

Le commissaire a fait les quatre recommandations suivantes à l'entreprise afin de l'amener à se conformer à la Loi:

  1. L'entreprise devrait prendre des mesures appropriées afin de préciser clairement et de manière exhaustive les objectifs de ces documents de sondage pour que les personnes puissent comprendre de manière raisonnable au moment où elles répondent au sondage de quelle façon et dans quelle mesure leurs renseignements personnels seront utilisés ou communiqués. L'entreprise devrait identifier les tiers auxquels elle a l'intention de communiquer les renseignements personnels et les utilisations que ces tiers peuvent faire des renseignements.
  2. L'entreprise devrait améliorer son mécanisme de consentement concernant le marketing direct par des tiers en indiquant le mécanisme de manière plus visible sur le formulaire de sondage, en clarifiant la formulation de façon à indiquer que le marketing direct est l'objectif visé, que les tiers sont les commerçants et en levant l'ambiguïté sur la forme de consentement en cause. Étant donné la nature délicate des renseignements recueillis, un consentement actif strict devrait être utilisé.
  3. L'entreprise devrait prendre des mesures appropriées pour se conformer à toutes les exigences en vertu du principe 4.1 (responsabilité) et du principe 4.8 (ouverture). Ces étapes devraient inclure la désignation d'un représentant pour assumer la responsabilité de la conformité de l'entreprise avec la Loi et identifier cette personne par son nom ou le titre de son poste, de même que la façon de la joindre dans les documents de sondage distribués aux ménages.
  4. L'entreprise devrait indiquer clairement dans ses documents de sondage la possibilité pour les répondants de retirer leur consentement concernant les utilisations et les communications de leurs renseignements personnels, de même qu'une méthode par laquelle ce retrait peut être effectué facilement, immédiatement et à peu de frais. La méthode devrait inclure un numéro de téléphone sans frais.
Date de modification :