Ticketmaster Canada Limited a révisé ses politiques et pratiques relativement à la LPRPDE en vue de protéger les renseignements personnels de ses clients

Résumé de conclusions d’enquête en vertu de la LPRPDE no 2008-388

[Principes 4.1.3, 4.3, 4.3.2, 4.3.3, 4.5, 4.8.1, 4.9 et 4.9.3 de l’annexe 1]

Le 12 février 2008


Synopsis

L’enquête a confirmé les allégations de la plaignante, selon lesquelles : 1) La politique de confidentialité de Ticketmaster (TM) était incohérente et portait à confusion; 2) les clients n’avaient pas la juste possibilité de donner leur consentement éclairé à la collecte routinière de leurs renseignements personnels ou à leur communication à des tierces parties à des fins de promotion secondaire. Elle a mis en lumière deux pratiques de collecte de renseignements illicites :

  • Le fait que TM n'ait pas informé ses clients de façon systématique (dans certains cas, pas du tout) que leurs renseignements personnels seraient communiqués à des tierces parties à des fins de promotion;
  • Le fait d'avoir conçu et manipulé les transactions de vente en ligne de sorte qu'il n'existait effectivement aucune option valable pour les clients qui ne souhaitaient pas que leurs renseignements personnels soient communiqués par TM.

Nous avons fortement recommandé à TM de corriger ces deux pratiques de collecte de renseignements inacceptables et de revoir sa politique de confidentialité. TM a accepté ces recommandations et leur a donné suite. Par conséquent, lors des transactions de vente, les clients de TM sont maintenant mis au courant de façon plus systématique des politiques sur l’échange de renseignements et de leur incidence sur eux, et ils disposent maintenant d’une option de consentement acceptable (p. ex. une case à cocher si l’achat est fait en ligne), au moyen de laquelle ils peuvent clairement, et de façon informée, consentir à ce que TM communique leurs renseignements personnels à des fins de promotion secondaire.


Introduction

Ticketmaster Canada Limited (TM) est une entreprise qui a son siège social aux États-Unis et dont la principale activité commerciale consiste à vendre des billets au nom de sites, de promoteurs de spectacles, d’équipes et de ligues sportives, etc., pour des événements qui se tiennent au Canada. Pour ce faire, l’entreprise recueille couramment les renseignements personnels de ses clients pour ses propres fins et celles d’autres parties.

Une simple citoyenne s’est plainte du fait que TM permettait que certaines parties utilisent les renseignements recueillis à des fins de promotion. Selon la plaignante, les clients n’ont pas été dûment informés de cette pratique et ne se sont pas vu offrir une autre solution pratique lors de leurs achats en ligne ou par téléphone, advenant le cas où ils ne souhaitaient pas que leurs renseignements soient communiqués. La plaignante soutient que les politiques et pratiques de l’entreprise en ce qui a trait à la collecte, à la communication et à l’utilisation des renseignements personnels des clients ne respectent pas les principes d’accès, de transparence, de responsabilité et de consentement énoncés à l’annexe 1 de la LPRPDE (la Loi).

Sommaire des enquêtes

I. Selon la plaignante, la politique de confidentialité de TM était compliquée et trop longue. La politique échouerait donc au test de la transparence.

La politique n’énonçait pas clairement la façon dont TM recueillait, utilisait et communiquait les renseignements personnels des clients. La pratique de l’entreprise qui consiste à communiquer les renseignements personnels des clients à d’autres parties était irrégulière et dépendait de facteurs comme le lieu géographique du client (c.-à-d. les États-Unis ou le Canada), le type de renseignements fournis et le fait que la transaction ait été effectuée en ligne ou par téléphone. TM recueille couramment les renseignements personnels de ses clients pour les fournisseurs d’événements, conformément à ses ententes contractuelles, mais sa politique n’indiquait pas s’il y avait des limites à la façon dont les parties pouvaient, en définitive, utiliser les renseignements personnels.

Le CPVP a recommandé à l’organisation de revoir en profondeur sa politique de confidentialité. La politique révisée devrait être clairement conforme au principe 4.8.1 de la Loi.

Le principe 4.8.1 exige que les organisations fassent preuve de transparence au sujet de leurs politiques et pratiques concernant la gestion des renseignements personnels. Une personne doit pouvoir obtenir sans effort déraisonnable de l’information au sujet des politiques et des pratiques d’une organisation. Ces renseignements doivent être fournis sous une forme généralement compréhensible.

Par suite de l’enquête, TM a convenu de la nécessité de revoir ses pratiques de protection des renseignements personnels. Sa nouvelle politique précise maintenant quels renseignements personnels sont recueillis, comment ils sont utilisés et à qui ils sont communiqués. Elle est plus transparente et plus facile à lire. Elle a été affichée de nouveau sur le site Web de TM le 8 octobre 2007, et on peut se procurer la copie papier sur demande.

La commissaire adjointe a conclu que la plainte était fondée et résolue en ce qui concerne la transparence.

II. La plaignante était d’avis que TM faisait preuve d’un manque général de responsabilité dans sa façon de traiter les renseignements personnels des clients lorsque ces renseignements étaient communiqués à ses tierces parties : fournisseurs de services, fournisseurs d’événements et marchands (ces derniers, par l’entremise de leurs offres spéciales par boîtes-éclair).

Comme preuve du manque de responsabilité de la part de TM, la plaignante a mentionné la politique officielle de l’entreprise, dans laquelle cette dernière décline toute responsabilité en ce qui a trait à la sécurité des renseignements personnels communiqués à des tierces parties. La plaignante était d'avis que TM contrevenait au principe 4.1.3 de la Loi à cause de cet avis de non-responsabilité.

Le principe 4.1.3 stipule qu’une organisation est responsable des renseignements personnels qu’elle a en sa possession ou sous sa garde, y compris les renseignements confiés à une tierce partie aux fins de traitement. L’organisation doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie.

TM a expliqué au CPVP qu’elle s’est engagée par contrat à vendre des billets au nom de fournisseurs d’événements et qu’elle recueille également des renseignements personnels sur ses clients à leur intention. En ce qui concerne la protection des renseignements, le CPVP a déterminé qu’en réalité, TM a passé des contrats qui obligent les fournisseurs d’événements à utiliser les renseignements personnels des clients en conformité avec les lois applicables et avec leurs propres politiques de confidentialité. Les fournisseurs d’événements sont également tenus de mettre en œuvre et de maintenir des procédures et des pratiques de sécurité pour protéger les renseignements personnels des clients contre l’accès, la destruction, l’utilisation, la modification ou la communication non autorisés. Les fournisseurs de services de TM (p. ex. les entreprises de services de livraison et les entreprises émettrices de cartes de crédit) ont également conclu des ententes contractuelles similaires avec TM pour protéger les renseignements qui leur sont confiés.

En ce qui concerne ses marchands, TM a indiqué que lorsque ses clients décidaient d’accepter des offres spéciales (seulement à partir du site Web de TM, en cliquant sur une boîte-éclair), les clients autorisaient essentiellement TM à transmettre leurs coordonnées (p. ex. leur adresse courriel) à ces marchands. La politique et les pratiques relatives à la protection des renseignements personnels de ces marchands devraient donc s’appliquer à l’utilisation des renseignements personnels recueillis. La commissaire adjointe partage ce point de vue et considère que l’on ne peut s’attendre à ce que TM s’assure que les renseignements personnels de ses clients sont protégés par les marchands si ses clients ont accepté une offre ou adhéré à un programme du marchand.

Par conséquent, bien que la politique originale de TM et les avis communiqués aux clients lors de l’achat de billets ne précisaient pas comment les renseignements personnels étaient protégés, la commissaire adjointe a conclu que la plainte n’était pas fondée en ce qui concerne la responsabilité puisque des mesures de protection appropriées étaient effectivement prévues là où elles étaient requises. La politique de confidentialité révisée de TM est maintenant cohérente et indique clairement que des mesures de protection sont prévues.

III. La plaignante prétendait que le consentement explicite et éclairé du client n’avait pas été demandé par TM dans toutes les circonstances.

Le principe 4.3 stipule que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire.

La plaignante a soutenu que TM recueillait des renseignements personnels comme condition de service et sans offrir clairement d’options de refus à ses clients qui ne souhaitaient pas que leurs renseignements personnels soient communiqués à des fins de promotion. Par exemple, les clients qui remplissaient le formulaire d’inscription en ligne avant d’acheter leurs billets étaient avisés en temps réel qu’en cliquant sur le bouton « Commander », ils souscrivaient à la politique de TM relative à la communication de l’adresse courriel à des sites, des équipes, des représentants d’artistes, des fans clubs, des promoteurs et des ligues sportives, qui communiqueraient par la suite avec eux par courriel ou autrement à des fins de promotion. Ces clients étaient également informés que des tierces parties pouvaient à leur tour utiliser et communiquer les renseignements recueillis d’autres façons, sous réserve de leurs propres politiques de confidentialité. Si l’on avisait ces clients qu’ils avaient la possibilité de communiquer avec les tierces parties concernées pour savoir comment elles pourraient utiliser leurs renseignements, on ne leur disait pas que dans la plupart des cas, les renseignements personnels recueillis sont conservés aux États-Unis, et donc soumis à la loi américaine.

Notre enquête a établi que TM n’offrait aucune solution de rechange ou suggestion, en temps réel, aux clients des services Internet qui souhaitaient faire leur achat en ligne mais ne voulaient pas que leurs renseignements soient communiqués à des tierces parties. Pour cette raison, le CPVP a conclu qu’en violation de la Loi, TM a fait de la communication de renseignements personnels à des fins de promotion secondaire une condition de service.

Selon le principe 4.3.3 de la Loi, une organisation ne peut pas, pour le motif qu’elle fournit un bien ou un service, exiger d’une personne qu’elle consente à la collecte, à l’utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires pour réaliser les fins légitimes et explicitement indiquées.

Ensuite, nous avons cherché à savoir comment, le cas échéant, les clients qui achetaient des billets étaient avisés que leurs renseignements personnels seraient communiqués à des tierces parties. Nous avons déterminé que les pratiques de TM manquaient d’uniformité pour ce qui est de la façon dont les clients étaient informés de leurs options. Par conséquent, le CPVP a recommandé à TM d’uniformiser davantage ses pratiques puisqu’il était clair que les clients qui se procuraient leurs billets par téléphone recevaient moins d’information sur la communication de leurs renseignements personnels à des tierces parties que ceux qui achetaient leurs billets en ligne. Pour les clients qui ne souhaitaient pas fournir leurs renseignements personnels lors de la transaction de vente, TM n’offrait que la possibilité de se procurer les billets en personne auprès du fournisseur d’événements ou à l’un de ses points de vente. Cette option, toutefois, était difficile à trouver dans la politique de confidentialité de l’entreprise.

Lorsque les clients téléphonaient à TM durant les heures d’ouverture, un message automatisé diffusé avant qu’un agent réponde les avisait simplement que toute information fournie à l’agent serait assujettie à la politique de confidentialité de l’entreprise. Il incombait aux clients de consulter la politique en ligne pour apprendre que leurs renseignements personnels seraient probablement communiqués à des tierces parties à des fins de promotion. Nous étions également préoccupés par le fait que lorsque le système automatisé répondait aux appels après les heures d’ouverture, le message ne se faisait pas entendre. Les acheteurs en ligne étaient, par comparaison, mieux informés en temps réel que leurs renseignements seraient probablement communiqués à des tierces parties.

Suivant le principe 4.3.2, il faut informer la personne au sujet de laquelle on recueille des renseignements et obtenir son consentement. Les organisations doivent faire un effort raisonnable pour s'assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués.

Par ailleurs, la commissaire adjointe a fait remarquer que si les clients du service téléphonique n’avaient pas accès à Internet, ils ne pouvaient pas consulter la politique de confidentialité de l’entreprise, ce qui les empêchait de bien comprendre ce qu’il adviendrait de leurs renseignements personnels. Ni les clients du service téléphonique ni ceux du service en ligne n’étaient en mesure d’offrir un consentement suffisamment éclairé à la communication et à l’utilisation de leurs renseignements personnels avant l’achat de leurs billets.

Par conséquent, le CPVP a recommandé à TM de modifier ses avis en ligne et les messages téléphoniques de ses centres d’appels pour améliorer la transparence et l’uniformité au chapitre du consentement. Les clients de TM peuvent maintenant accepter ou refuser de recevoir de la publicité et d’autre matériel de la part de TM et de ses fournisseurs d’événements. Par exemple, les clients du service en ligne de TM peuvent donner leur consentement en cochant la case appropriée avant de procéder au paiement de leurs billets. S’ils s’en abstiennent, les fournisseurs d’événements (qui sont liés par leur entente contractuelle) ne leur feront pas parvenir de publicités. En ce qui concerne les achats par téléphone, les messages téléphoniques de TM informent maintenant les clients qu’ils peuvent refuser de recevoir de la publicité des fournisseurs d’événements. Un agent leur donne cette option et leur demande de fournir un consentement verbal. Dans le cas des transactions téléphoniques automatisées, les clients sont priés de peser sur la touche # de leur téléphone pour indiquer leur consentement. Conformément à la politique et aux pratiques révisées de TM, les clients peuvent maintenant donner un consentement éclairé et ne sont plus obligés d’accepter de recevoir de la publicité comme condition pour l’achat de leurs billets.

La commissaire adjointe a conclu que la plainte était fondée et résolue en ce qui concerne le consentement.

IV. L’enquête sur la plainte voulant qu’il soit difficile pour les clients d’avoir accès à leurs renseignements personnels (principes 4.9, 4.9.3 et 4.5).

L’enquête a établi que TM était parfaitement capable de répondre aux demandes d’accès aux renseignements personnels, mais qu’elle ne conservait les renseignements que jusqu’à la date de l’événement, à moins que le client n’ait ouvert un compte MonTicketmaster. La commissaire adjointe a fait remarquer que la Loi ne précise pas pendant combien de temps les renseignements personnels doivent être conservés, mais le principe 4.5 stipule qu’ils ne doivent être conservés qu’aussi longtemps que nécessaire pour la réalisation des fins déterminées, sauf si la personne concernée autorise l’entreprise à procéder autrement. Une fois l’événement terminé, TM n’a plus besoin de l’information recueillie lors de l’achat du billet. En ouvrant un compte MonTicketmaster, les clients donnent automatiquement leur consentement à la conservation de leurs renseignements pour une période plus longue.

La commissaire adjointe a donc conclu que la plainte n’était pas fondée en ce qui concerne l’accès.

Conclusion

Une fois que ces plaintes ont été portées à l’attention de l’entreprise faisant l’objet de l’enquête et que le CIPVP de l’Alberta a effectué une enquête, les plaintes ont été réglées d’une manière satisfaisante. Toutefois, la commissaire adjointe a exprimé de sérieuses préoccupations après avoir découvert que les allégations d’infractions aux lois relatives à la protection des renseignements personnels, avancées contre une grande entreprise en ligne active en exploitation tout le pays, étaient fondées plusieurs années après l’adoption de la Loi.

Les entreprises en ligne faisant affaire au Canada doivent adopter des mesures pour assurer le respect de la LPRPDE. En particulier, elles doivent observer ce qui suit :

1) Si les entreprises recueillent les renseignements personnels de leurs clients avec l’intention de les communiquer à une tierce partie à des fins de promotion ou autres, leurs clients doivent en être explicitement informés et avoir la possibilité d’accepter ou de refuser cette communication et cette utilisation avant d’effectuer leur paiement. Le choix des clients d’accepter ou de refuser la communication de leurs renseignements ne doit ni les avantager ni les désavantager en ce qui a trait au fait que d’autres clients obtiennent ou cherchent à obtenir le même service.

2) Les entreprises ont la responsabilité de protéger, par voie contractuelle ou autre, les renseignements personnels de leurs clients ayant été confiés à une tierce partie à des fins de traitement. Le degré de protection doit être comparable à celui offert par l’entreprise qui a recueilli les données.

3) Que les clients soumettent leurs demandes par écrit, en personne, par téléphone ou par l’entremise d’un site Web, les entreprises doivent leur communiquer efficacement et systématiquement leurs pratiques et politiques concernant la collecte, l’utilisation, la communication et l’utilisation des renseignements personnels.

4) La politique de confidentialité d’une entreprise doit être facilement accessible par quiconque, en plus d’être organisée et écrite de telle sorte qu'il soit possible de prendre connaissance de toute pratique liée à la gestion des renseignements personnels sans effort déraisonnable.

Date de modification :