Le respect du droit à la vie privée dans le monde de la publicité comportementale en ligne

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires dans le cadre de la Conférence sur le marketing et le droit

Le 6 décembre 2011
Toronto (Ontario)

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Bonjour et merci de m’avoir invitée. J’aimerais vous dire à quel point j’apprécie l’importance que vous accordez à la protection des renseignements personnels dans votre programme d’aujourd’hui. Cela témoigne que beaucoup de publicitaires se soucient vraiment des questions entourant la protection de la vie privée.

J’aimerais profiter de cette occasion pour discuter avec vous de certains enjeux que le Commissariat a mis en lumière dans le domaine de la publicité comportementale en ligne. Quoique ce genre de publicité soit maintenant très répandu, il s’agit d’un secteur relativement nouveau en matière de protection de la vie privée.

Comme nombre d’entre vous le savent, le Commissariat a mené de nombreuses discussions avec des intervenants du secteur de la publicité en vue de trouver un juste équilibre entre le droit à la vie privée et les besoins des entreprises dans ce monde numérique qui évolue rapidement.

À ce jour, nous nous sommes penchés sur la question de la publicité en ligne dans le cadre de deux enquêtes. L’an dernier, nous avons tenu des consultations publiques sur le suivi, le profilage et le ciblage en ligne.

Depuis, nous continuons de suivre ce dossier de près. Quoique certaines de nos discussions se soient avérées encourageantes, certaines pratiques suscitent néanmoins notre appréhension.

En conséquence, nous avons décidé de produire un nouveau document d’orientation. Ces lignes directrices aideront les organisations qui œuvrent dans le domaine de la publicité comportementale en ligne à adopter des pratiques équitables et transparentes, conformes à la loi du gouvernement fédéral canadien en matière de respect de la vie privée dans le secteur privé, la Loi sur la protection des renseignements personnels et les documents électroniques, ou LPRPDE.

Un environnement en évolution

Tout d’abord, j’aimerais parler de l’évolution du milieu en vous racontant une fable fondée sur la fameuse caricature du New Yorker, On the Internet, nobody knows you’re a dog ou, en français : « Sur Internet, personne ne sait que vous êtes un chien ».

Ce dessin a paru pour la première fois en 1993, avant l’explosion du suivi en ligne des utilisateurs d’Internet.

De nos jours, les divers agrégateurs de données en ligne doivent savoir à peu près tout ce qu’il y a à savoir sur ce pionnier canin d’Internet.

Ce que je m’apprête à vous raconter concerne un autre chien, que nous appellerons Ginger … probablement à son insu.

Tout d’abord, comme bien des jeunes, la chienne Ginger aime passer beaucoup de temps en ligne.

Ginger fréquente des sites Web qui traitent des divertissements prisés par la gent canine, comme la chasse aux écureuils. Sur un de ces sites, des messages publicitaires incitent même les utilisateurs à faire part de leurs préférences en matière de nourriture pour chiens, ce que Ginger s’est empressée de faire.

Ginger a signalé sa préférence pour les écureuils roux, afin d’être informée des nouvelles possibilités liées à son activité préférée dès que possible.

L’hiver approchant, Ginger a cherché dernièrement un blouson chic pour chien sur les sites www.chillydogs.ca et www.ohmydogsupplies.com.

Elle a remarqué, cependant, que des publicités de niches et de vétérinaires commençaient à apparaître sur tous les sites qu’elle visitait, ce qui l’a rendu un tant soit peu mal à l’aise.

Elle a commencé à se dire : « Sur Internet, peut-être sait-on, après tout, que je suis un chien. »

Comme Ginger l’a découvert, notre vagabondage en ligne de tous les jours laisse derrière nous une longue trace de miettes qui sont ramassées, analysées et rassemblées sous forme de profils pour que les entreprises puissent tenter de nous vendre plus de biens et de services.

Opinion publique

De plus en plus, les Canadiennes et Canadiens ont une vie en ligne et s’attendent à recevoir des services, et même des biens, « gratuitement ». Un certain nombre d’entre eux sont probablement conscients qu’ils paient ces services et ces biens gratuits en permettant aux sites Web de vendre leurs intérêts aux publicitaires.

D’aucuns apprécient même les publicités adaptées à leurs intérêts particuliers. D’autres n’apprécient pas ces publicités sur mesure. Ils sont aussi mal à l’aise avec l’idée que leurs allées et venues sur le Net soient surveillées que s’ils étaient suivis dans un centre commercial.

Autrement dit, cette pratique leur donne carrément la chair de poule.

Du point de vue des annonceurs

On comprend facilement pourquoi les annonceurs affectionnent la publicité comportementale : elle vend bien, et même très bien.

Durant les premières années d’Internet, la publicité en ligne était essentiellement générique, parfois contextuelle, ce qui veut dire qu’elle était adaptée à une seule page Web ou à une recherche précise.

Depuis, l’environnement est devenu autrement plus complexe. Les publicités sont fondées sur un profil créé d’après le suivi à long terme des activités de navigation en ligne. Ce suivi est habituellement effectué par un tiers, qui ne connaît pas les utilisateurs et qui recueille, traite et archive l’information sur leurs activités de navigation dans les divers sites Web.

Pour donner suite aux inquiétudes

Comme on peut s’y attendre, l’essor du suivi comportemental et le fait qu’en grande partie, il est effectué à l’insu de ceux qui font l’objet de cette attention, sans leur consentement, ont provoqué une vague de propositions législatives aux États-Unis, de même que la création d’une directive de l’Union européenne qui exige l’acceptation explicite des témoins dans de nombreux cas.

Entre-temps, les grands navigateurs Web ont adopté différentes méthodes pour résoudre la question du consentement. W3C, un consortium d’entreprises de technologie Web, a récemment publié des projets de normes qui permettraient aux utilisateurs d’exprimer leurs préférences en matière de suivi en ligne.

Au pays, le Bureau de la publicité interactive du Canada (IAB Canada) a proposé que le secteur de la publicité adopte quatre pratiques exemplaires établies en consultation avec sept grands partenaires, dont l’Association canadienne du marketing et l’Association canadienne des annonceurs.

Définir la notion de renseignements personnels

Je crois comprendre que des débats agitent le milieu de la publicité en ce qui concerne la distinction entre la simple information et les renseignements personnels, qui sont, eux, protégés par le droit relatif au respect de la vie privée.

Selon la LPRPDE, le terme « renseignement personnel » s’entend de « renseignement concernant un individu identifiable ».

Un renseignement concerne un individu identifiable s’il existe une réelle possibilité que cet individu puisse être identifié lors de l’utilisation de ce renseignement, seul ou combiné à d’autres renseignements.

De l’avis du Commissariat, les renseignements utilisés dans le suivi et le ciblage en ligne aux fins de publicité comportementale ciblée constituent normalement des renseignements personnels au sens de la loi canadienne sur la protection des renseignements personnels dans le secteur privé.

Dans le cadre de la publicité comportementale en ligne, le but de la collecte d’information est de créer des profils qui serviront à leur tour à faire de la publicité ciblée. Il s’agit d’un moyen extrêmement efficace pour rassembler des données éparses. La publicité qui en résulte peut ainsi être d’une nature hautement personnalisée.

Compte tenu de tous ces facteurs, il est raisonnable de croire que les renseignements recherchés dans le domaine de la publicité comportementale ne touchent pas seulement la protection de la vie privée, mais doivent également être considérés, de façon générale, comme étant « identifiables » dans ces circonstances.

En publicité comportementale, l’usage proposé de l’information recueillie — des publicités ciblées — ramène souvent à une réelle possibilité d’identification des individus concernés.

Application de la LPRPDE

Donc, s’il s’agit probablement de renseignements personnels, cela n’est pas sans conséquence pour vous, les annonceurs.

Nous comprenons l’importance de l’économie numérique : nous savons qu’elle est particulièrement cruciale dans ces temps difficiles sur le plan économique. Toutefois, la croissance requiert la confiance des consommateurs : elle exige que les gens aient confiance en vous. C’est là que la protection des renseignements personnels entre en jeu.

Depuis son entrée en vigueur, la LPRPDE n’a eu d’autre but que d’instaurer un équilibre entre le droit à la vie privée et les besoins des entreprises.

Cela dit, nous croyons que l’utilisation de la publicité comportementale peut être raisonnable, mais il y a des « mais ».

Accepter de participer à de la publicité comportementale en ligne ne devrait pas être considéré comme une condition sine qua non de la navigation sur le Net. Il existe d’autres formes de publicité, comme la publicité contextuelle, où la protection des renseignements personnels n’intervient généralement pas, et d’où les sites Web peuvent tirer des recettes.

De plus, les gens doivent être mis au courant des pratiques utilisées, ils doivent y consentir de façon explicite, et il faudrait imposer des limites quant au genre d’information qu’on peut recueillir et utiliser pour le profilage. La protection de l’information est également cruciale, tout comme l’est la limitation de la durée de conservation des données.

Je traiterai tout spécialement de ces deux questions : la connaissance et le consentement.

La connaissance

Une de nos préoccupations concernant la publicité comportementale en ligne est que, la plupart du temps, elle est invisible. Un sondage réalisé en 2009 par le Centre pour la défense de l’intérêt public a révélé que seulement la moitié des répondants connaissaient les dispositifs et les techniques de suivi.

Il n’est pas surprenant qu’un grand nombre de personnes ne savent pas qu’elles sont suivies. Pour le savoir, elles doivent décortiquer l’article 123, un long énoncé légaliste de la politique sur la protection de la vie privée!

Les renseignements concernant la publicité comportementale en ligne ne devraient pas être camouflés dans les politiques sur la protection de la vie privée.

Ces renseignements devraient se retrouver carrément sur la page Web; les gens pourraient alors suivre le lien pour trouver facilement les renseignements relatifs aux pratiques de la publicité comportementale en ligne.

Cette information devrait être facilement accessible, facile à lire et exacte.

Le Commissariat reconnaît que l’initiative de IAB Canada est un bon début pour fournir plus d’information aux consommateurs. Une vaste campagne de sensibilisation semble justifiée pour éclairer les internautes sur les fins de l’icône « i », car certaines personnes n’osent pas cliquer sur un élément qu’elles ne connaissent pas.

Le consentement

Le consentement est une autre question importante.

Il y a eu beaucoup de discussions dans les milieux de la protection de la vie privée à l’échelle internationale concernant le consentement positif par rapport au consentement négatif dans le contexte de la publicité comportementale en ligne.

Au fil des ans, l’approche que nous avons privilégiée pour l’application de la LPRPDE par rapport à d’autres types de marketing, s’appuie sur le fait que le consentement négatif est acceptable à certaines conditions.

Conformément à cette approche, nous pensons que le consentement négatif peut être utilisé en publicité comportementale si les conditions suivantes sont respectées :

  • Les utilisateurs doivent être informés des fins des pratiques de publicité comportementale de façon claire, évidente et facile à comprendre. Je me permets d’insister : les fins ne doivent pas être ensevelies dans une politique relative à la protection de la vie privée. Les personnes ne doivent pas être contraintes de les chercher; elles doivent être évidentes;
  • Les utilisateurs doivent être informés de ces fins au moment ou avant d’entreprendre la collecte, et les parties impliquées dans l’environnement publicitaire doivent être connues (l’une de nos préoccupations concernant l’initiative d’IAB Canada est que l’icône « i » avertit l’utilisateur après que les renseignements ont été recueillis et utilisés d’une façon donnée);
  • Les utilisateurs doivent pouvoir facilement refuser leur consentement, idéalement au moment de la collecte ou avant;
  • Le refus devrait prendre effet immédiatement et devrait être durable;
  • Les renseignements recueillis et utilisés doivent être limités, dans la mesure où cela est possible en pratique, aux renseignements non confidentiels (excluant ainsi les renseignements confidentiels comme ceux portant sur la santé);
  • Les renseignements recueillis et utilisés doivent être détruits ou rendus anonymes dès que possible.

Restrictions

Je dois aussi signaler ce que nous considérons comme étant des zones interdites.

La première porte sur les technologies de suivi qu’un utilisateur ne peut pas bloquer. Comme je l’ai déjà mentionné, la collecte ou l’utilisation des activités de navigation d’un utilisateur doit se faire au su de l’intéressé et avec son consentement.

Si un utilisateur ne peut bloquer la technologie servant à suivre ou à cibler ses activités, vous ne pouvez donc pas utiliser cette technologie à des fins de publicité comportementale.

Donc, dans le contexte actuel, cela signifie qu’aucune utilisation de pixel espion ou de connexion maligne, de supertémoins, de piratage informatique, d’empreinte numérique n’est permise, ni aucune nouvelle technique de suivi cachée dont l’utilisateur n’est pas conscient et qu’il ne peut donc pas raisonnablement refuser.

Si ces technologies évoluaient pour traiter de façon adéquate les questions relatives à la protection de la vie privée, il va de soi que nous changerions notre position à cet égard.

En outre, si le refus de consentir à un tel suivi rendait le service inutilisable, nous jugerions cela inacceptable.

Le suivi des activités en ligne des enfants est une autre zone interdite.

Cette préoccupation découle du fait que les enfants ne sont pas en mesure de fournir un consentement valable exigé en vertu de la LPRPDE concernant le suivi des activités en ligne.

En conséquence, les organismes ne doivent pas suivre sciemment les enfants. Les sites Web destinés aux enfants ne doivent pas permettre le suivi à des fins de publicité comportementale.

C’est une question qui prend de plus en plus d’importance. En effet, l’âge moyen des nouveaux internautes est en baisse. Dernièrement, j’ai lu un rapport indiquant que 40 % des enfants âgés de deux à quatre ans utilisaient un téléphone intelligent, une tablette ou un iPod vidéo.

Une approche raisonnable

Je suis persuadée que notre liste de choses à faire et à ne pas faire ne surprend personne parmi vous.

Je suis convaincue que l’approche que nous privilégions — conforme à la loi canadienne — est raisonnable. La LPRPDE est axée sur des principes, et elle permet à l’industrie d’être innovatrice et de croître tout en respectant le droit à la vie privée des utilisateurs. Parallèlement, elle garantit que le droit à la vie privée des Canadiennes et des Canadiens est respecté de façon appropriée.

Comme nous le mentionnons dans le nouveau document d’orientation, nous sommes conscients qu’il y a un certain nombre de défis associés à l’équilibre entre la protection de la vie privée et l’environnement virtuel.

Pour mieux tenir compte de cette complexité, les intervenants du milieu de la publicité, y compris les opérateurs de sites Web et les développeurs de fureteurs, ont un rôle à jouer pour veiller à ce que les questions relatives à la transparence et au consentement réfléchi soient prises en compte.

Les développeurs de fureteurs ont un rôle de premier plan à jouer, surtout lorsqu’il s’agit de la collecte de renseignements personnels, puisque c’est à ce stade que les utilisateurs peuvent exercer leur choix — c'est-à-dire avant que les données sur la navigation ne soient recueillies.

Orientations futures

Comme je l’ai mentionné au départ, il est évident que nous en sommes aux balbutiements de la publicité comportementale en ligne.

À l’avenir, nous pouvons nous attendre à beaucoup de changements et, vraisemblablement, à de nouveaux défis quant au respect de la vie privée.

Nous avons appris récemment , par exemple, que Visa a obtenu des brevets pour commercialiser ses renseignements sur les transactions à des fins de publicité ciblée en les jumelant avec les renseignements des sites Web de réseautage social, des agences d’évaluation du crédit, des moteurs de recherche, des listes de souhaits, etc.

Vous avez probablement déjà entendu parler d’inquiétudes relatives au respect de la vie privée concernant le ramassage de données des sites Web au moyen d’agrégateurs de données de suivi en ligne. Des chercheurs d’AT&T et du Worcester Polytechnic Institute ont documenté la façon dont les sites Web populaires transmettent automatiquement les renseignements personnels à ces agrégateurs, apparemment sans consentement valable.

Cette question préoccupe beaucoup le Commissariat et nous l’analysons attentivement.

Conclusion

Il est évident que ces questions sont mondiales. Mes collègues à l’étranger partagent les mêmes préoccupations concernant la publicité comportementale.

Nous percevons tous le besoin d’un consentement valable. Nous souhaitons que les gens comprennent ce qui se passe avant que leurs renseignements soient recueillis. Et nous nous attendons à ce que l’industrie de la publicité respecte les lois relatives à la protection de la vie privée dans les pays où elle fait affaire.

Cela peut vous paraître digne des scénarios les plus loufoques, mais dans les faits, nous nous fondons sur des études poussées. Au cours des prochains mois, nous veillerons à ce que notre orientation soit suivie. Si nous percevons des tendances inquiétantes, nous prendrons les mesures d’application jugées appropriées.

Nous sommes à l’étape finale d’une enquête portant sur un site de réseautage social destiné aux jeunes. Nos conclusions porteront notamment sur la publicité comportementale en ligne, y compris les témoins de suivi tiers. Nous nous exprimerons à ce sujet au cours des prochaines semaines.

En terminant, j’aimerais revenir sur l’importante question de la confiance. Si vous informez adéquatement les consommateurs au sujet de vos pratiques, si vous leur donnez le choix, si vous respectez leur droit à la vie privée, vous gagnerez leur confiance. Le respect absolu de la vie privée en publicité comportementale en ligne est essentiel à l’obtention de la confiance des consommateurs.

Merci beaucoup de votre attention. J’aimerais maintenant inviter deux membres du Commissariat, qui jouent un rôle important dans ce dossier, à se joindre à moi. Barbara Bucknell est analyste à la Direction générale des politiques et Andrew Patrick est analyste de la recherche en technologie de l’information.

Si vous avez des questions, nous serons heureux d’y répondre.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :