Courriels non sollicités pour fins de marketing

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2005-297

(Article 2; principe 4.3; alinéas 7(1)d) et 7(2)c.1); principes 4.1 et 4.1.3)

Le Commissariat à la protection de la vie privée du Canada a récemment eu l'occasion d'enquêter sur des plaintes de collecte et d'utilisation des renseignements personnels en relation à des courriels non sollicités. Dans le premier cas, les renseignements personnels du plaignant ont été collectés à partir de deux répertoires auxquels le public a accès. Dans le deuxième, ils ont été collectés à partir d'un répertoire auquel n'ont accès que les membres d'une association particulière. Voici un sommaire des préoccupations de chacun des plaignants.

Plainte A

Une personne s'est plainte qu'une organisation sportive ait collecté et utilisé ses renseignements personnels, plus particulièrement son adresse de courriel d'affaires, sans son consentement.

Résumé de l'enquête

Le plaignant a reçu un courriel non sollicité qui proposait l'achat de billets à son lieu de travail. Lorsqu'il a demandé au représentant des ventes comment son adresse de courriel avait été obtenue, on lui a répondu que celle-ci avait été collectée sur le site Web de son employeur. Le représentant des ventes a dit au plaignant qu'il ne ferait plus l'objet de marketing; cependant, quelques semaines plus tard, le plaignant a reçu un deuxième courriel de sollicitation de la part de la même organisation.

L'organisation sportive n'a pas contesté qu'elle avait envoyé un message de sollicitation au plaignant à deux reprises à son lieu de travail. Les deux représentants des ventes en question, qui avaient obtenu la même adresse de courriel en effectuant des recherches dans des répertoires de sites Web, n'avaient pas renvoyé sa demande de supprimer son nom des listes de marketing. L'un des agents était chargé de solliciter la vente de billets en communiquant avec les employés des établissements d'enseignement, alors que l'autre générait ses listes d'adresses à partir des sites Web des cabinets d'avocats, y compris celui avec lequel le plaignant était associé.

Subséquemment, l'organisation a établi des contrôles de référence des ventes afin que les noms des personnes qui ne voulaient pas être sollicitées soient supprimés de toutes les listes de marketing, et elle a retiré de ses listes le nom du plaignant. L'organisation a également fait appel à une entreprise de billetterie et de vente qui avait une meilleure connaissance des exigences de la LPRPDE.

L'employeur du plaignant était d'avis que les adresses de courriel de son personnel constituaient de l'information commerciale. Bien que l'employeur puisse, en raison de circonstances très exceptionnelles, permettre à un employé de supprimer son adresse de courriel, il exige que ses employés acceptent de publier leur adresse de courriel d'affaires, conformément à son modèle d'affaires et à son attente voulant que les employés soient facilement accessibles. L'employeur s'attend également à ce que les entreprises ou les organisations obtiennent sa permission avant de communiquer avec son personnel pour des fins qui ne sont pas liées à la promotion des intérêts de l'employeur.

Conclusions

Rendues le 1er décembre 2004

Application : L'article 2 définit le terme renseignement personnel comme « tout renseignement concernant un individu identifiable, à l'exclusion du nom et du titre d'un employé d'une organisation et des adresse et numéro de téléphone de son lieu de travail ». Le principe 4.3 de l'annexe 1 stipule que « toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire ». Deux exceptions au consentement sont invoquées. L'alinéa 7(1)d) établit que « l'organisation ne peut recueillir de renseignement personnel à l'insu de l'intéressé et sans son consentement que [s'il] s'agit d'un renseignement réglementaire auquel le public a accès. L'alinéa 7(2)c.1) précise que « l'organisation ne peut utiliser de renseignement personnel à l'insu de l'intéressé et sans son consentement que [s'il] s'agit d'un renseignement réglementaire auquel le public a accès ».

Aux fins des alinéas 7(1)d) et 7(2)c.1), le règlement précise que les renseignements auxquels le public a accès incluent le nom, le titre, l'adresse et le numéro de téléphone d'une personne qui figure dans un répertoire, listage ou avis à caractère professionnel ou d'affaires qui est accessible au public, si la collecte, l'utilisation et la communication de ces renseignements sont directement liées à la raison pour laquelle ils figurent dans le répertoire, listage ou avis.

Pour tirer ses conclusions, la commissaire adjointe à la protection de la vie privée a conclu comme suit :

  • L'article de la Loi énonçant les définitions qui lui sont applicables prévoit les types de renseignements qui ne sont pas protégés par la Loi, plus particulièrement les nom et titre d'un employé d'une organisation et les adresse et numéro de téléphone de son lieu de travail. Puisque l'article 2 ne précise pas les adresses de courriel d'affaires, la commissaire adjointe a conclu qu'il s'agissait des renseignements personnels d'un individu aux fins de la Loi.
  • La commissaire adjointe ne croyait pas que l'organisation pouvait se servir des exceptions au consentement énoncées aux alinéas 7(1)d) et 7(2)c.1) pour collecter et utiliser l'adresse de courriel du plaignant, car les fins pour lesquelles l'organisation a collecté et utilisé ses renseignements personnels n'avaient absolument aucun rapport avec le but visé par le répertoire des employés. L'employeur a publié les nom et adresse de courriel du plaignant dans l'espoir que des entreprises, des organisations et des particuliers communiquent avec les membres de son personnel dans le but de desservir les intérêts de l'employeur. La vente de billets n'était pas liée à la raison pour laquelle l'employeur a créé un listage de ses employés auquel le public avait accès. La même analyse pourrait également s'appliquer au site Web du cabinet d'avocats auquel le plaignant est associé.
  • Par conséquent, la commissaire adjointe a conclu que l'organisation avait collecté l'adresse de courriel d'affaires du plaignant et qu'elle l'avait utilisée pour communiquer avec lui à des fins de marketing sans son consentement, contrairement à ce qu'énonce le principe 4.3. Même après que le plaignant ait demandé à l'organisation de ne plus faire l'objet de marketing, celle-ci a collecté son adresse de courriel d'une autre source et l'a utilisée à nouveau pour le cibler dans son marketing, malgré ses directives explicites, en contravention avec le principe 4.3.

La commissaire adjointe a conclu que les plaintes de collecte et d'utilisation de renseignements personnels étaient fondées.

Plainte B

Dans la deuxième série de plaintes, les allégations concernaient encore une fois la collecte et l'utilisation de renseignements personnels, notamment une adresse de courriel d'affaires, à l'insu de la personne et sans son consentement. Dans ce cas, les plaintes ont été déposées contre deux organisations : une entreprise vendant un produit (le vendeur) et une entreprise de marketing agissant en son nom.

Résumé de l'enquête

La plaignante a reçu un courriel commercial non sollicité annonçant un produit. Le courriel était dirigé à son adresse de courriel d'affaires et semblait avoir été envoyé par le vendeur. Il invitait les destinataires à faire supprimer leur nom de la liste d'envoi, sur demande. En fait, le courriel avait été envoyé par l'entreprise fournissant les services de marketing.

Cette entreprise maintient également un site Web et une adresse de courriel d'affaires au nom du vendeur. Elle ne partage avec le vendeur que les renseignements personnels des clients potentiels qui manifestent de l'intérêt pour un produit annoncé.

La plaignante et le président de l'entreprise de marketing étaient tous deux membres d'une association professionnelle. L'accès à la liste des membres de cette association est restreint, et le répertoire de ses membres ne doit pas être utilisé par ces derniers pour solliciter ou commercialiser des produits à d'autres membres.

L'entreprise de marketing a reconnu qu'elle avait collecté et utilisé l'adresse de courriel d'affaires de la plaignante à son insu et sans son consentement pour commercialiser les produits du vendeur. À la demande de la plaignante, l'entreprise de marketing a supprimé ses renseignements personnels de sa liste de marketing et lui a présenté des excuses pour en avoir fait usage.

Le vendeur, quant à lui, a nié qu'il était au courant des pratiques de protection des renseignements personnels de l'entreprise de marketing et il a décliné toute responsabilité à cet égard. Il a également démenti avoir obtenu l'adresse de courriel de la plaignante sans son consentement.

Conclusions

Rendues le 31 mars 2005

Application : L'article 2 définit le terme renseignement personnel comme « tout renseignement concernant un individu identifiable, à l'exclusion du nom et du titre d'un employé d'une organisation et des adresse et numéro de téléphone de son lieu de travail ». Le principe 4.3 de l'annexe 1 stipule que « toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire ».

Pour tirer ses conclusions, la commissaire adjointe à la protection de la vie privée a conclu comme suit :

  • L'article de la Loi énonçant les définitions qui lui sont applicables prévoit les types de renseignements qui ne sont pas protégés par la Loi, plus particulièrement les nom et titre d'un employé d'une organisation et les adresse et numéro de téléphone de son lieu de travail. Puisque l'article 2 ne précise pas les adresses de courriel d'affaires, la commissaire adjointe a conclu qu'il s'agissait des renseignements personnels d'un individu aux fins de la Loi.
  • Il était clair que l'entreprise de marketing a enfreint le principe 4.3, lorsqu'elle a collecté et utilisé les renseignements personnels de la plaignante à des fins de marketing sans son consentement. L'entreprise de marketing a présenté des excuses à la plaignante et a supprimé le nom de cette dernière de ses listes de marketing.

Par conséquent, la commissaire adjointe a conclu que les plaintes de collecte et d'utilisation de renseignements personnels contre l'entreprise de marketing étaient fondées.

  • La commissaire adjointe a signalé que le vendeur n'obtient que les renseignements personnels des clients potentiels qui manifestent de l'intérêt pour le produit annoncé au moyen de sollicitations par courriel. Comme la plaignante n'a pas manifesté d'intérêt pour le produit annoncé, ses renseignements personnels n'ont pas été communiqués au vendeur. Ce dernier n'a pas collecté ou utilisé l'adresse de courriel de la plaignante et il n'avait pas le contrôle de ses renseignements personnels.
  • Par conséquent, la commissaire adjointe a indiqué qu'elle ne pouvait pas conclure que le vendeur était en contravention du principe 4.3.

La commissaire adjointe a conclu que les plaintes de collecte et d'utilisation de renseignements personnels contre le vendeur étaient non fondées.

Autres considérations

La commissaire adjointe a informé le vendeur qu'en faisant abstraction des pratiques de protection des renseignements personnels d'une entreprise qui agit en son nom, il risquait, à son avis, de ternir la réputation de son entreprise.

Date de modification :