Une entreprise de téléphones cellulaires satisfait aux conditions rattachées au consentement négatif

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-207

[Principes 4.3, 4.3.2, 4.3.4 et 4.3.5 de l'annexe 1]

Plainte

Après avoir reçu une brochure sur la protection des renseignements personnels de la part d'une entreprise de téléphones cellulaires, deux personnes ont porté plainte parce que l'entreprise en question ne leur a pas demandé leur consentement de manière adéquate avant d'utiliser leurs renseignements personnels à des fins secondaires de commercialisation.

Résumé de l'enquête

L'entreprise a joint à l'envoi de ses relevés de compte mensuels, une brochure sur la confidentialité dans laquelle elle précisait, entre autres, ses pratiques en matière de collecte, d'utilisation et de communication des renseignements personnels de sa clientèle à des fins secondaires de commercialisation et énumérait toutes les parties visées. Il y était indiqué aussi que les clients pouvaient faire retirer leur nom des listes de commercialisation en composant un numéro sans frais, en envoyant un courriel ou en visitant le site Web de l'entreprise, faute de quoi ils seraient réputés consentir à ce que l'entreprise recueille, utilise et communique leurs renseignements personnels aux fins énoncées.

Les deux plaignants se sont objectés à ce semblant de consentement - en d'autres mots, à ce que l'entreprise utilise le consentement négatif ou « l'option de refus » plutôt que le consentement positif ou « l'option d'acceptation ».

L'un des plaignants a éprouvé des difficultés à suivre par téléphone les consignes pour faire retirer son nom des listes, mais il a été établi que c'était surtout parce qu'il avait du mal à comprendre. Selon le Commissariat, la procédure était relativement facile à suivre, souple et efficace.

La base de données sur la clientèle de l'entreprise est dotée d'une fonction de confidentialité qui offre diverses options de suppression concernant l'utilisation des renseignements personnels des clients à des fins de commercialisation - par exemple, « Pas de publipostage », « Pas de courriel », « Pas de télémarketing », « Pas d'étude de marché ». Les clients qui veulent qu'on retire leur nom des activités de commercialisation ou de recherche peuvent se prévaloir de l'une de ces options ou toutes ces options en ayant recours à l'une des méthodes précisées dans la brochure.

L'enquête a révélé une incohérence dans la présentation de la politique de l'entreprise en matière de renseignements personnels. Ainsi, à l'achat d'un téléphone cellulaire, les nouveaux clients recevaient un exemplaire de la brochure à ce sujet, mais à l'activation de leur téléphone, ils obtenaient une version légèrement différente de la politique, dans laquelle on omettait de mentionner le droit des clients de se désister des pratiques de commercialisation de l'entreprise. À la suggestion du Commissariat, celle-ci a accepté de revoir le libellé de la seconde version pour y inclure un avis clair, assurant ainsi que ses clients étaient à nouveau informés de leur droit de se désister ainsi que de la procédure connexe lors du processus d'activation.

Conclusions du commissaire

Rendues le 6 août 2003

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques s'applique à toutes les installations, tous les ouvrages, toutes les entreprises et tous les secteurs d'activité fédéraux. Cette plainte était du ressort du commissaire parce que les entreprises de télécommunications sont des entreprises fédérales au sens de la Loi.

Application : Le principe 4.3 stipule que « toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire ». Suivant le principe 4.3.2, « les organisations doivent faire un effort raisonnable pour s'assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués ». Le principe 4.3.4 énonce que « la forme du consentement que l'organisation cherche à obtenir peut varier selon les circonstances et la nature des renseignements. Pour déterminer la forme que prendra le consentement, les organisations doivent tenir compte de la sensibilité des renseignements. Si certains renseignements sont presque toujours considérés comme sensibles, par exemple les dossiers médicaux et le revenu, tous les renseignements peuvent devenir sensibles suivant le contexte ». Le principe 4.3.5 stipule que « dans l'obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes ».

Le commissaire a d'abord mentionné qu'il privilégie le consentement positif ou l'option d'acceptation en tant que méthode la plus appropriée et la plus respectueuse à utiliser en tout temps. Néanmoins, en vertu du principe 4.3.4, il a reconnu que le consentement négatif ou « l'option de refus » était acceptable dans certains cas rigoureusement définis - notamment si les renseignements personnels ne sont manifestement pas sensibles, si le processus d'obtention du consentement répond aux attentes raisonnables de la personne, conformément au principe 4.3.5, et si l'organisation respecte généralement toutes les dispositions pertinentes de la Loi.

Le commissaire a constaté qu'un certain nombre de conditions auxquelles doivent satisfaire une organisation pour justifier le recours au consentement négatif avaient déjà été établies. Il les approuvait et les a résumées ainsi :

  1. les renseignements personnels doivent être nettement non sensibles de par leur nature et leur contexte;
  2. la communication doit être limitée et bien définie quant à la nature des renseignements personnels qui seront utilisés ou communiqués et à la mesure dans laquelle ils sont censés l'être;
  3. les intentions de l'organisation doivent être circonscrites et bien définies, énoncées d'une manière raisonnablement claire et compréhensible et signalées à la personne au moment de recueillir ses renseignements personnels;
  4. l'organisation doit mettre en place une procédure efficace, facile et peu coûteuse qui permet d'emblée à ses clients de se désister ou de retirer leur consentement relativement aux activités secondaires de marketing, et elle doit les en aviser au moment de recueillir leurs renseignements personnels.

Après avoir examiné la politique sur la protection des renseignements personnels exposée dans la brochure de l'entreprise et enquêté sur les pratiques de celle-ci, le commissaire a estimé que l'entreprise avait satisfait à ces conditions. Il a donc conclu que le recours au consentement négatif était conforme aux dispositions pertinentes de la Loi et, par conséquent, que cela était acceptable dans les circonstances.

Le commissaire a conclu que les plaintes étaient non fondées.

Autres considérations

Le commissaire a précisé que malgré la difficulté éprouvée par l'un des plaignants, il était satisfait de l'ensemble de la procédure d'option de refus de l'entreprise. Il a ajouté que, surtout depuis que l'entreprise a accepté de donner à ses clients une occasion distincte d'exercer leur droit de désistement, soit au moment de l'activation du téléphone, il était même tenté de qualifier la procédure d'exemplaire.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :