Publicité comportementale en ligne et enquête canadienne sur Facebook

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires à l’occasion de la 23e conférence annuelle de Privacy Laws and Business

Le 6 juillet 2010
Cambridge (Royaume-Uni)

Chantal Bernier
Commissaire adjointe à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Je vous remercie de me donner l’occasion de vous parler des arguments et des conclusions du Commissariat à la protection de la vie privée (Commissariat) du Canada dans son enquête de 2009 sur Facebook. Je me concentrerai sur les conclusions qui ont trait à la question de la publicité comportementale.

I. Aperçu de ma présentation

  • Je préciserai d’abord le contexte de l’enquête du Commissariat sur Facebook, ainsi que les définitions et les distinctions qui, à notre avis, s’appliquent à la publicité personnalisée en ligne.
  • Je décrirai ensuite les arguments et les conclusions du Commissariat dans le cadre de l’enquête de 2009 sur Facebook.
  • Enfin, j’aimerais vous faire part de notre avis sur les nouveaux enjeux qui doivent être abordés relativement à la publicité comportementale en ligne.

Il est à noter que Facebook a modifié ses politiques relatives à la publicité depuis notre rapport, mais que ma présentation est basée sur ce rapport.

II. L’enquête du Commissariat sur Facebook

La plainte contre Facebook a été déposée auprès du Commissariat en 2008 par la Clinique d’intérêt public et de politique d’Internet du Canada (CIPPIC), affiliée à l’Université d’Ottawa.

La plainte contenait 24 allégations portant sur 11 aspects distincts, y compris la connaissance et le consentement, la conservation de renseignements personnels et les mesures de sécurité. Pour la présente discussion, les allégations qui nous intéressent sont celles qui se rapportent à la publicité.

La CIPPIC a allégué que Facebook :

  • ne faisait pas d’efforts raisonnables pour s’assurer que ses utilisateurs étaient informés de la façon dont leurs renseignements personnels servaient à des fins publicitaires;
  • avait recours de façon inappropriée au consentement implicite plutôt qu’au consentement explicite en ce qui concerne les publicités sociales;
  • ne permettait pas aux utilisateurs de retirer leur consentement relativement aux publicités Facebook, ce qui est contraire aux lois canadiennes;
  • faisait du consentement aux publicités Facebook une condition de service, puisque les utilisateurs n’étaient pas autorisés à retirer leur consentement à celles-ci, ce qui est contraire aux lois canadiennes.

III. Les conclusions

En règle générale, les conclusions de l’enquête du Commissariat peuvent être réparties en deux grandes catégories, à savoir que certaines pratiques de Facebook devaient être modifiées et que d’autres devaient être mieux expliquées. Les pratiques qui devaient être modifiées s’appliquaient à la publicité comportementale et ciblée sur Internet

IV. Les diverses répercussions de la publicité comportementale

  • Puisque nos conclusions reposent sur la distinction entre les différentes formes de publicité en ligne, j’aimerais clarifier la définition des termes utilisés et en différencier les incidences juridiques.
  • La publicité personnalisée peut prendre différentes formes.
    • La publicité contextuelle est présentée en réponse aux activités en ligne du moment, sans collecte ni conservation de renseignements personnels. Par exemple, un utilisateur consulte un site de vacances et reçoit de la publicité sur les hôtels du coin. Il n’y a pas de corrélation entre l’identité et le profil d’activité en ligne. C’est l’activité du moment qui déclenche la publicité, et il n’y a pas de collecte de renseignements personnels.
    • La publicité comportementale est une pratique de commercialisation qui cible la publicité adressée aux utilisateurs selon les caractéristiques personnelles observées ou connues, comme l’âge, le profil et l’activité en ligne. Elle nécessite donc la collecte et la conservation de renseignements personnels, ainsi qu’un suivi des habitudes de consommation.
    • L’adresse IP, les pages consultées, la durée de consultation, les articles lus et les achats effectués sont quelques-uns des renseignements personnels pouvant être recueillis. Ces renseignements permettent de faire un suivi des activités en ligne.
    • Selon le Commissariat, la publicité comportementale est plus intrusive que la publicité contextuelle parce qu’elle cible les activités des utilisateurs et les relie à leur identité. Cette intrusion est préoccupante en soi en raison du niveau de surveillance qu’elle suppose, mais elle est également préoccupante pour ce qui est des conséquences sur la vie privée :
      • les libertés fondamentales qui devraient être protégées par le droit à la vie privée peuvent être restreintes;
      • le droit à l’exactitude des renseignements personnels est compromis par la spéculation sur les caractéristiques ou les intérêts d’une personne, à savoir que la personne peut avoir des raisons de consulter un site ne pouvant pas être expliquées par un simple suivi du site et qu’il peut y avoir plusieurs inférences fautives selon l’âge ou le sexe;
      • enfin, l’extrapolation des intérêts d’un consommateur joue sur la notion de consentement, c’est-à-dire que le choix de cibler un utilisateur à des fins publicitaires suppose une réceptivité ou un consentement quant à l’utilisation des renseignements personnels qui n’a peut­être pas été obtenu.

V. L’enquête sur Facebook

Pour en revenir à notre enquête sur la protection de la vie privée par Facebook, nous avons distingué la publicité Facebook, que nous ne considérons pas comme de la publicité fondée sur le comportement, de la publicité sociale, qui constitue selon nous une forme de publicité fondée sur le comportement.

Nos conclusions sont basées sur la résolution des enjeux ci-après.

  • La publicité sur Facebook constitue-t-elle une fin première ou secondaire pour la collecte de renseignements personnels?
  • À quel point la publicité est-elle intrusive relativement à la collecte et à l’utilisation de renseignements personnels?
  • Les paramètres permettent-ils le consentement valable des utilisateurs?
  • La publicité entraîne-t-elle la communication de renseignements personnels à des tiers?
  • Les politiques de Facebook sont-elles convenablement transparentes en ce qui a trait à la gestion des renseignements personnels relativement à la publicité?

J’aborderai chacun de ces enjeux en présentant nos considérations et nos conclusions.

VI. Les fins

D’abord, nous nous sommes penchés sur la question de savoir si la publicité sur Facebook est une fin première ou secondaire.

Selon le Commissariat, les fins premières de collecte de renseignements personnels sont celles essentielles à la prestation d’un service. Les fins secondaires sont celles qui ne visaient pas les renseignements au moment de leur collecte initiale.

La distinction a une incidence sur le consentement. En effet, si la collecte de renseignements personnels est essentielle à la prestation d’un service, une fin première, l’utilisateur doit y consentir pour obtenir ce service. Si les renseignements personnels sont recueillis ou communiqués à d’autres fins que la prestation d’un service, appelées fins secondaires, l’utilisateur doit y consentir de manière spécifique.

Dans le cas qui nous intéresse, nous avons soumis un nouveau modèle opérationnel aux lois canadiennes, car Facebook offre ses services gratuitement et doit générer des revenus d’autres sources pour financer ses activités. Ces revenus proviennent de la publicité. Dans ce contexte, nous avons conclu que la publicité était essentielle à la prestation des services de Facebook et, donc, qu’il s’agissait d’une fin première.

Conséquemment, les utilisateurs doivent accepter la publicité dans une certaine mesure.

Cela dit, il doit y avoir une distinction en ce qui a trait au caractère intrusif de la publicité, ce qui m’emmène au deuxième enjeu.

VII. L’intrusion

Au moment de notre enquête, il y avait deux types de publicité sur Facebook : les publicités Facebook et les publicités sociales.

Les publicités Facebook sont basées sur des caractéristiques personnelles, comme le profil démographique ou des mots clés. Les utilisateurs doivent consentir aux publicités Facebook pour pouvoir utiliser le site, et il n’y a pas de possibilité de retrait. Seul l’utilisateur peut voir ces publicités, et il ne souscrit pas à un produit par cooptation. Les données transmises aux annonceurs par Facebook sont agrégées. Les renseignements personnels des utilisateurs ne sont donc pas communiqués aux annonceurs.

Les publicités sociales sont présentées en fonction des interactions sociales ou des activités, comme devenir adepte d’une page, joindre un groupe ou apparaître sur la page des actualités. La publicité est basée sur la promotion d’un produit ou d’un service par l’utilisateur auprès de ses amis. L’annonceur n’a pas accès aux renseignements personnels de l’utilisateur, mais la publicité associe le produit ou le service à l’identité de l’utilisateur. Les utilisateurs peuvent refuser de recevoir les publicités sociales et choisir les activités qui apparaîtront sur la page des actualités de leurs amis. Les utilisateurs peuvent donc exercer un certain contrôle sur les renseignements personnels utilisés pour les publicités sociales.

Selon nous, le caractère intrusif des publicités Facebook et des publicités sociales est différent, en ce sens que les publicités sociales sont « intrusives par définition » puisqu’elles se servent des actions, de la vignette et du nom d’un utilisateur pour promouvoir un produit ou un service donné. La publicité s’intègre alors aux actualités et s’entremêle aux activités de l’utilisateur et de ses amis. Les publicités sociales associent donc l’utilisateur à la publicité et font également en sorte que l’utilisateur semble souscrire au produit.

Ce niveau d’intrusion signifie :

  • qu’on ne peut raisonnablement s’attendre à ce que les utilisateurs aient donné un consentement implicite à l’utilisation de leurs renseignements personnels;
  • que les utilisateurs devraient pouvoir retirer leur consentement.

Ce qui mène au troisième enjeu important en ce qui a trait à nos conclusions sur la publicité Facebook, le consentement.

VIII. Le consentement

Vu le caractère intrusif des publicités sociales, et par conséquent de la publicité comportementale utilisée sur Facebook, le consentement ne peut être implicite à cet égard. Le consentement est requis et, pour qu’il soit valable, les raisons pour lesquelles les renseignements personnels sont recueillis et utilisés doivent être expliquées.

Selon les lois canadiennes, cela signifie que « les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués » (principes 4.3.3. et 4.3.2. du Code type canadien de protection des renseignements personnels).

Par conséquent, Facebook doit faire un effort raisonnable pour s’assurer que ses utilisateurs sont informés de l’utilisation de leurs renseignements personnels. À cet égard, nos conclusions étaient les suivantes :

  • compte tenu du rôle essentiel et prédominant de la publicité dans le modèle opérationnel de Facebook, l’entreprise doit expliquer plus clairement dans sa Politique de respect de la vie privée l’utilisation de la publicité, des renseignements personnels à des fins de publicité ciblée et la mesure dans laquelle les utilisateurs peuvent refuser de recevoir de la publicité;
  • l’information contenue dans la Politique de respect de la vie privée doit être plus détaillée;
  • la différence entre les publicités Facebook et les publicités sociales doit être mieux expliquée;
  • la Politique de respect de la vie privée doit indiquer clairement que les utilisateurs peuvent refuser de recevoir des publicités sociales, mais que cela ne s’applique pas aux publicités Facebook.

En ce qui a trait au consentement, nous avons conclu que Facebook ne faisait pas « un effort raisonnable pour s’assurer que la personne [était] informée des fins auxquelles les renseignements sont utilisés », ce qui est contraire aux lois canadiennes (principe 4.3.2. du Code type).

IX. La communication

En ce qui a trait à la communication, le modèle de Facebook examiné dans le cadre de notre enquête n’aboutissait pas nécessairement à la communication de renseignements personnels aux annonceurs. Selon ce modèle, les annonceurs indiquaient à Facebook le groupe démographique qu’ils désiraient cibler et Facebook présentait les publicités. Dans ce contexte, la communication ne pose pas problème.

X. La responsabilité

En ce qui concerne la responsabilité, je crois que ce qui ressort de ma description des enjeux précédents, c’est que la Politique de respect de la vie privée de Facebook ne répond pas tout à fait aux normes de responsabilité relativement :

  • à la clarté et à la qualité de l’information sur l’utilisation des renseignements personnels en ce qui concerne la publicité fondée sur le comportement;
  • au manque de clarté et à la non-conformité aux normes sur les avis pour ce qui est de la distinction entre les fins de l’utilisation des renseignements personnels pour les publicités Facebook et les publicités sociales;
  • à la quantité insuffisante d’information sur le consentement pour que ce dernier soit valable;
  • au manque de précision qui fait en sorte que les politiques et les pratiques ne répondent pas aux normes de transparence.

XI. L’avenir

À la suite de son enquête, le Commissariat a fait deux recommandations à Facebook en ce qui a trait à la publicité, et elles sont encore d’actualité. Toutefois, dans ce domaine qui évolue rapidement, il importe d’examiner la progression des pratiques afin d’offrir une protection de la vie privée convenable.

Premièrement, le Commissariat a recommandé à Facebook de modifier sa Politique de respect de la vie privée de façon :

  • à mieux expliquer le rôle de la publicité dans le modèle Facebook;
  • à mieux expliquer les différences entre les publicités Facebook et les publicités sociales, notamment en ce qui concerne les possibilités de retrait du consentement;
  • à informer les utilisateurs que l’information du profil sert à fins de publicités ciblées.

Deuxièmement, le Commissariat a recommandé à Facebook de rappeler aux utilisateurs, à tous les endroits où les renseignements personnels saisis peuvent se traduire par une publicité, que ces renseignements peuvent être utilisés à des fins publicitaires, en plus de fournir un hyperlien vers la politique de confidentialité de Facebook.

Facebook a accepté la première recommandation, mais a refusé la deuxième, affirmant qu’elle s’opposait aux alertes dissuasives qui dérangeaient l’expérience des utilisateurs.

Tout de même, Facebook a accepté de configurer ses systèmes pour que les utilisateurs puissent accéder facilement à l’information sur le fonctionnement du site et puissent fournir des commentaires, notamment sur les questions propres au respect de la vie privée.

Depuis l’enquête du Commissariat, la publicité comportementale est encore plus prédominante et intrusive, ce qui soulève quelques questions pour l’avenir, que je vous soumets ici.

Considérons d’abord la question de l’anonymat. La publicité comportementale est-elle réellement anonyme?

  • Les industries de la publicité et des études analytiques ont toujours soutenu que leurs activités n’étaient pas visées par les lois en matière de respect de la vie privée, puisqu’elles ne recueillent et n’utilisent que des données anonymes.
  • C’était peut-être vrai au début d’Internet. Toutefois, dans l’environnement Web actuel, les utilisateurs sont couramment suivis sur de multiples sites Web, et l’anonymat est chose du passé. Il y a également de plus en plus d’études qui démontrent à quel point il est facile d’identifier l’utilisateur de données supposément anonymes.
  • Facebook affirme ne communiquer que des données anonymes aux annonceurs. Toutefois, l’architecture même du site rend accessibles beaucoup de données qui permettent d’identifier les utilisateurs. En effet, les renseignements qui peuvent être affichés à « tous » sur Facebook ainsi que ceux pouvant être vus par tout le monde (actuellement, il s’agit du nom, de la photo de profil, du sexe et des réseaux) sont accessibles à tous les internautes, y compris les agences de publicité et les entreprises d’études analytiques. Facebook est une mine de renseignements pour les entreprises qui compilent des profils de consommateurs.
  • Notre préoccupation porte sur le fait que ces données sont liées à des personnes qui peuvent être identifiées, parce que les membres de Facebook ont l’obligation d’utiliser leur vrai nom.
  • Les données publiques des utilisateurs de Facebook peuvent être associées à des données recueillies sur divers sites Web par des entreprises d’études analytiques, ce qui permet de compiler des profils assez détaillés de véritables personnes.
  • Facebook vise aussi de plus en plus la collecte de données sur ses membres, pas seulement sur son site, mais partout sur Internet. Avec le lancement de Open Graph et de modules d’extension sociaux, Facebook fait le suivi de la navigation et des activités de ses membres sur 200 000 sites Web, au dernier calcul. Seul l’avenir indiquera les bénéfices et les répercussions sur la vie privée des utilisateurs qui découleront de ces initiatives.

Le deuxième enjeu à examiner est l’émergence de la surveillance par les entreprises.

  • La popularité croissante des réseaux sociaux multiplie les possibilités, et les avantages supposés, de la surveillance des personnes. Ainsi, les entreprises et les gouvernements peuvent, comme jamais auparavant, suivre les habitudes d’achat, les opinions politiques, les affiliations sociales et les déplacements géographiques.
  • On commence à peine à tenir compte des conséquences sociales à long terme de cette réalité, notamment pour nos enfants, et à étudier ces conséquences.

Le troisième enjeu est la notion de consentement et de contrôle.

  • La population doit être informée du suivi qui est effectué sur les réseaux sociaux, notamment le suivi, l’agrégation et l’analyse de données, afin d’être en mesure de prendre des décisions éclairées sur les services à utiliser et sur les renseignements à divulguer.
  • Des études et des sondages menés au Canada montrent que de nombreux Canadiennes et Canadiens ne sont pas conscients du suivi en ligne. Dans le cadre d’un sondage, seulement 45 % des personnes interrogées ont dit connaître la signification de la publicité comportementale.
  • Par la même occasion, les sondages montrent que, parmi les personnes qui savent ce qu’est la publicité en ligne, environ 75 % sont mal à l’aise avec cette publicité, 50 % sont mal à l’aise avec le fait que les annonceurs connaissent leur historique de navigation, et 58 % sont préoccupées par leur vie privée en ligne. Seuls 4 % des répondants affirment que la vie privée en ligne n’est pas un problème à leurs yeux.
  • Le consentement à des données agrégées est aussi problématique puisque les consommateurs consentent à une transaction en particulier (par exemple, ils téléchargent leur emplacement pour que leurs amis puissent savoir où ils sont), mais pas à ce que ces données soient éventuellement agrégées (fin secondaire).
  • L’influence des pairs sur la participation au réseautage social est si grande qu’il importe de se demander si elle ne compromet pas le consentement.

Le quatrième enjeu, que nous commençons à peine à explorer, a trait aux conséquences des intrusions dans la vie privée des jeunes sur Internet, au moyen de publicités fondées sur le comportement.

Comme je l’ai mentionné pour ce qui est de l’omniprésence des réseaux sociaux comme forums de socialisation, la question du consentement libre doit être repensée, notamment pour les jeunes.

Les stéréotypes, pour ainsi dire, qu’entraîne la publicité fondée sur le comportement doivent aussi être examinés à la lumière des conséquences qu’ils peuvent avoir sur l’épanouissement personnel des jeunes.

Étant donné la vulnérabilité des jeunes, la dégradation de la vie privée des jeunes internautes soulève des questions d’intégrité personnelle et de développement psychologique.

Le dernier enjeu que j’aimerais vous soumettre est la tendance à l’autoréglementation des réseaux sociaux.

Bien que l’autoréglementation soit idéale, je crois que, dans l’ensemble, peu importe l’industrie, il a été démontré qu’elle n’était pas suffisante. Il faut un cadre législatif qui répond précisément aux défis que pose la protection de la vie privée sur Internet.

Le Commissariat a récemment mené deux consultations sur la protection de la vie privée des consommateurs qui comprenaient deux séances d’une journée sur la publicité comportementale et sur le ciblage, au cours desquelles des experts ont discuté des tendances de l’industrie et de la pertinence de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) en ce qui a trait à ce nouveau défi en matière de protection de la vie privée.

Les résultats de ces consultations enrichiront la position du Commissariat sur l’évolution de notre loi sur la protection des renseignements personnels dans le secteur privé. Ils seront publiés à l’automne.

Pour la suite des choses, ce sont là des enjeux auxquels le Commissariat continuera d’accorder la priorité au fur et à mesure de l’évolution d’Internet.

En ce qui a trait à l’enquête sur Facebook, le Commissariat discute toujours de la mise en œuvre des recommandations du rapport avec Facebook.

Merci.

Date de modification :