Document d’information – enquête sur l’entreprise Ticketmaster

Le 12 février 2008

Ticketmaster Canada Limited (TM) est une entreprise qui a son siège social aux États‑Unis et dont la principale activité commerciale consiste à vendre des billets au nom de sites, de promoteurs de spectacles, d’équipes et de ligues sportives, etc., pour des événements qui se tiennent au Canada. Pour ce faire, l’entreprise recueille couramment les renseignements personnels de ses clients pour ses propres fins et celles d’autres parties.

La commissaire à la protection de la vie privée du Canada a ouvert une enquête relative aux pratiques de TM en matière de collecte de renseignements à la suite du dépôt d’une plainte devant le Commissariat par une citoyenne qui alléguait que les politiques et pratiques de l’entreprise en ce qui a trait à la collecte, à la communication et à l’utilisation des renseignements personnels des clients ne respectaient pas la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

Selon la plaignante, TM permettait l’utilisation des renseignements recueillis à des fins de promotion par certaines parties, et les clients n’étaient pas dûment informés de cette pratique et ne disposaient pas d’autre solution pratique lors de leurs achats en ligne ou par téléphone, advenant le cas où ils ne souhaitaient pas partager ces renseignements.

La commissaire adjointe à la protection de la vie privée a ouvert une enquête et a conclu que TM n’avait pas respecté les principes de transparence et de consentement énoncés à l’annexe 1 de la LPRPDE. Au moment de rendre sa décision, la commissaire a tenu compte des éléments suivants :

Principe de transparence

Bien que TM ait eu une politique de confidentialité en place, celle‑ci était longue et complexe. Elle ne répondait donc pas au critère de transparence. À la suite de la présente enquête, l’entreprise a révisé sa politique pour qu’elle précise la nature des renseignements personnels recueillis, les personnes auxquelles ces renseignements sont communiqués et la façon dont ils sont utilisés. De ce fait, elle est désormais plus transparente. Elle a été affichée de nouveau sur le site Web de TM en octobre 2007 et l’on peut se procurer la copie papier sur demande. 

Principe de consentement

La commissaire adjointe a souligné que TM recueillait les renseignements personnels des clients dans un but valable puisque l’entreprise doit procéder au traitement des paiements de billets, acheminer les billets, aviser les clients des annulations ou reports, vérifier l’identité des clients lorsqu’ils viennent chercher leurs billets de même que remplacer les billets perdus à la billetterie.

Par contre, il n’est pas justifié d’utiliser les renseignements personnels à des fins de promotion sans le consentement des clients. Le fait de consentir à la promotion ne devrait pas être une condition à l’achat d'un billet. La promotion est une utilisation secondaire et, à ce titre, elle requiert un consentement pleinement éclairé du client (c.‑à‑d. le choix d’accepter) ou la possibilité de refuser sans être pénalisé. De plus, la politique initiale de TM ne précisait pas si les fournisseurs d’événements utilisaient les renseignements concernant les clients à des fins de promotion et, dans l’affirmative, de quelle façon ils s’en servaient. 

À la suite des modifications apportées à la politique de confidentialité de TM ainsi qu’aux avis en ligne et aux messages téléphoniques des centres d’appels, l’entreprise offre maintenant aux clients le choix d’accepter ou non de recevoir du matériel promotionnel de sa part et de celle des fournisseurs d’événements. Les clients en ligne sont pleinement informés et ont le choix d’accepter de recevoir du matériel promotionnel de la part du fournisseur d’événements en cochant une case avant d’effectuer le paiement des billets.

Les clients qui ont créé un compte Mon Ticketmaster en ligne peuvent contrôler l’information qu’ils souhaitent recevoir de TM en inscrivant leurs préférences dans leur compte. Pour les clients qui achètent par téléphone, TM utilise maintenant des messages qui les informent pleinement et leur offrent l'option de recevoir de l’information promotionnelle de la part des fournisseurs d’événements. TM transmet maintenant les préférences de chaque client au fournisseur d’événements en même temps qu’elle lui communique les renseignements personnels.

Le fournisseur d’événements est chargé de veiller au respect des préférences du client.  

La commissaire adjointe a remarqué qu’une disposition dans l’entente que TM a conclue avec les fournisseurs d’événements précise que ces derniers respecteront toutes les préférences des acheteurs relatives au refus, qu’elles soient reçues directement par eux ou par l'entremise de TM.

Conclusion

Une fois que ces plaintes ont fait l’objet d’une enquête et ont été portées à l’attention de l’entreprise, elles ont été réglées d’une manière satisfaisante.

Toutefois, la commissaire adjointe a manifesté de sérieuses préoccupations après avoir découvert que les allégations d’infraction aux lois visant la protection de la vie privée avancées contre une grande entreprise en ligne active dans tout le pays étaient fondées plusieurs années après l’adoption de la LPRPDE.

La commissaire adjointe a souligné que les entreprises en ligne faisant affaire au Canada devaient adopter des mesures pour assurer le respect de la LPRPDE. En particulier, elles doivent observer ce qui suit :

1. Si les entreprises recueillent les renseignements personnels de leurs clients avec l’intention de les communiquer à un tiers à des fins de promotion ou autres, leurs clients doivent en être explicitement informés et avoir la possibilité d’accepter ou de refuser de consentir à cette communication et cette utilisation avant d’effectuer leur paiement. Le choix des clients d’accepter ou de refuser la communication de leurs renseignements ne doit ni les avantager ni les désavantager en ce qui a trait au fait que d’autres clients obtiennent ou cherchent à obtenir le même service.
2. Les entreprises ont la responsabilité de protéger, au moyen de contrat ou autre, les renseignements personnels de leurs clients ayant été transférés à un tiers à des fins de traitement. Le degré de protection doit être comparable à celui offert par l’entreprise qui a recueilli les données.
3. Que les clients soumettent leurs demandes par écrit, en personne, par téléphone ou par l’entremise d’un site Web, les entreprises doivent leur communiquer efficacement et d’une manière uniforme leurs pratiques et politiques concernant la collecte, l’utilisation, la communication et l’utilisation des renseignements personnels.
4. La politique de confidentialité d’une entreprise doit être facilement accessible par quiconque, en plus d’être organisée et écrite de telle sorte qu'il soit possible de prendre connaissance de toute pratique liée à la gestion des renseignements personnels sans effort déraisonnable.