Développer la confiance en protégeant la vie privée

Allocution prononcée au déjeuner-causerie de l’Association canadienne du marketing

Le 24 septembre 2015
Toronto (Ontario)

Allocution prononcée par Daniel Therrien
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Introduction

Je vous suis reconnaissant de m’avoir invité à prendre la parole ici ce matin — et je vous remercie de l’intérêt que vous portez aux questions de protection de la vie privée. Je suis accompagné aujourd’hui de Vance Lockton, de notre bureau de Toronto. Comme vous le savez peut-être, notre bureau de Toronto examine les plaintes déposées en vertu de la LPRPDE et assure la liaison avec les organisations de la région du Grand Toronto.

Dans mon allocution, je parlerai d’abord de certains travaux récents du Commissariat — plus précisément de notre projet de recherche sur la publicité comportementale en ligne et de notre enquête sur le Programme de publicité pertinente de Bell Canada.

J’aimerais aussi me tourner vers l’avenir et vous parler des priorités que nous avons établies récemment pour la protection de la vie privée. Ces priorités orienteront nos efforts au cours des cinq prochaines années. D’ailleurs, certains volets de notre travail seront particulièrement pertinents pour votre industrie.

En fait, des membres de l’Association canadienne du marketing ont participé à nos séances de consultation des intervenants et formulé de précieux commentaires sur certains enjeux relatifs à la protection de la vie privée touchant votre industrie. Je vous remercie de votre contribution. Comme vous pourrez le constater, nous en avons tenu compte dans l’élaboration de nos stratégies.

Tout comme nous l’avons fait avant d’adopter de nouvelles stratégies, nous poursuivrons le dialogue avec les intervenants au cours de la mise en œuvre des initiatives découlant des priorités que nous avons établies. Dans mon style de leadership, je privilégie la consultation et la collaboration. Et je compte bien conserver cette approche.

La protection de la vie privée ne relève pas uniquement de la responsabilité du Commissariat à la protection de la vie privée et nous ne pouvons fonctionner efficacement si nous travaillons en vase clos. J’estime que l’opinion des intervenants nous aidera grandement à obtenir des résultats concrets qui permettront aux Canadiennes et aux Canadiens d’exercer un meilleur contrôle sur leurs renseignements personnels.

Aujourd’hui, avant d’entrer dans le vif du sujet, j’aimerais vous parler brièvement d’une initiative récente qui devrait grandement vous intéresser — le ratissage pour la protection de la vie privée des enfants organisé par le Global Privacy Enforcement Network (GPEN).

Ratissage pour la protection de la vie privée du GPEN

Dans le cadre de cette initiative annuelle, les autorités de protection des données de partout au monde choisissent un thème pour ensuite évaluer ensemble les communications concernant la protection de la vie privée et les contrôles en place en lien avec ce thème. Le ratissage de cette année avait pour thème la protection de la vie privée des enfants en ce qui concerne les applications mobiles et les sites Web.

Nous avons constaté que la plupart des applications mobiles et des sites Web évalués recueillaient des renseignements personnels auprès des enfants et les communiquaient ensuite à des tiers.

Nous avons également observé qu’un trop grand nombre de concepteurs recueillaient des renseignements personnels particulièrement sensibles, comme des photos, des vidéos et l’emplacement des enfants.

Trop souvent, les enfants étaient redirigés vers d’autres sites ayant des pratiques de protection des renseignements personnels variées. Ils étaient souvent redirigés au moyen d’une publicité ou de l’icône d’un concours qui semblait parfois faire partie intégrante du site initial.

Il y a selon nous d’importantes leçons à tirer, non seulement pour les enfants et leurs parents, mais aussi pour les concepteurs d’applications et de sites Web et les annonceurs, qui devraient songer à limiter les raisons et les façons de recueillir les renseignements personnels des enfants.

Par exemple, nous avons vu certaines mesures de protection novatrices telles que le recours à des noms d’utilisateur et à des avatars prédéfinis, des fonctions de message ou de clavardage supervisés et des tableaux de bord parentaux. Nous avons été encouragés de constater que de nombreux sites Web très fréquentés qui ciblent les enfants ne recueillaient aucun renseignement personnel, ce qui prouve que c’est possible!

La protection des renseignements personnels des enfants au Canada est une responsabilité partagée. Enfants, parents, enseignants, concepteurs et annonceurs ont tous un rôle à jouer. D’ailleurs, j’invite les esprits créatifs présents ici aujourd’hui à bien réfléchir à ce que l’on pourrait faire pour aider à mettre fin à la collecte excessive de renseignements personnels auprès des enfants et améliorer les fonctions de protection de la vie privée en ligne.

Recherche sur la publicité comportementale en ligne

Parlons maintenant de la recherche sur la publicité comportementale en ligne.

En juin dernier, le Commissariat a publié les résultats d’une étude sur la publicité comportementale en ligne affichée sur 46 sites Web gratuits très fréquentés par les Canadiens et assujettis à la LPRPDE.

Cette étude a eu lieu près de quatre ans après la publication de nos lignes directrices à l’intention des organisations qui font de la publicité comportementale en ligne. À certains égards, il s’agissait d’évaluer la mesure dans laquelle les organisations suivaient ces lignes directrices.

Je suis heureux de souligner que nous avons vu de nombreux exemples de pratiques exemplaires de protection de la vie privée en ce qui touche la publicité comportementale en ligne.

Par exemple, la grande majorité des publicités ciblées que nous avons examinées, soit plus de 96 %, donnaient un avis quelconque faisant état de la publicité comportementale en ligne et offraient une option de refus.

Mais il y a encore matière à amélioration.

Nous avons été déçus de constater que certains renseignements sensibles servaient à faire de la publicité ciblée. Par exemple, nous avons vu que les recherches en ligne sur des sujets sensibles comme les tests de grossesse, les avocats spécialisés en divorce, la dépression et la faillite pouvaient entraîner l’affichage de publicités connexes à l’écran de l’utilisateur.
Ces publicités ciblées de nature sensible ne proposaient aucune option permettant d’obtenir un consentement positif comme le prévoient nos lignes directrices.

Dans d’autres cas, les procédures de refus étaient trop complexes.

L’information fournie n’était pas toujours claire. Il était souvent difficile de trouver l’option de refus. Et pour refuser la publicité de différents annonceurs, il fallait utiliser de nombreuses interfaces et aller sur de nombreux sites Web.

Alors, qu’attendons-nous des annonceurs qui font de la publicité comportementale en ligne, par exemple l’industrie de la publicité?

Les annonceurs doivent s’assurer qu’ils ont informé les utilisateurs et obtenu leur consentement pour toutes les publicités ciblées.

Ceux qui utilisent un modèle de consentement négatif doivent éviter toute publicité ciblée portant sur des sujets sensibles et surveiller de près le recours au reciblage.

De plus, les annonceurs et les groupes de l’industrie doivent améliorer leurs procédures de refus pour qu’elles soient claires, uniformes et simples.

Nous avons fait part de nos conclusions aux annonceurs en général et plus précisément aux trois organisations qui avaient utilisé des renseignements sensibles sans avoir obtenu un consentement valable.

Comme certains d’entre vous l’ont peut-être lu dans les médias, les associations du domaine de la publicité ont indiqué qu’elles prennent le rapport au sérieux, qu’elles trouvent les résultats utiles et qu’elles l’utiliseront pour façonner leur travail à l’avenir. C’est une très bonne nouvelle!

Bien entendu, nous continuerons de faire le suivi auprès de ces organisations et d’autres annonceurs pour nous assurer qu’ils apportent des améliorations. J’ai hâte de travailler avec certains d’entre vous à mesure que nous progresserons sur ce front.

Comme nous l’affirmons depuis des années maintenant, le consentement négatif à la publicité comportementale en ligne peut être considéré comme raisonnable en vertu de la LPRPDE dans la mesure où il respecte certains paramètres, entre autres la nature non sensible des renseignements recueillis.

Dans le cadre de notre étude, nous nous sommes aussi penchés sur des sujets non sensibles, comme les voyages, les appareils photo numériques et le golf. Or, même pour ce type de sujets, on ne devrait pas avoir à accepter de recevoir de la publicité comportementale en ligne pour pouvoir naviguer sur Internet en général et les utilisateurs devraient pouvoir s’y soustraire facilement.

Bien entendu, il y a des zones interdites, par exemple lorsqu’il est impossible de refuser la publicité comportementale en ligne en raison de l’utilisation de certaines technologies, comme les supertémoins ou les témoins zombies.

De plus, les organisations devraient éviter de suivre les enfants ou les sites Web qui s’adressent à eux, car il est difficile d’obtenir le consentement valable d’un enfant.

Enquête sur Bell

Le Commissariat a traité un autre dossier étroitement lié à ce dont je viens de parler, soit le Programme de publicité pertinente de Bell.

Au moment de l’annonce de ce programme, le Commissariat a reçu un nombre sans précédent de plaintes, soit plus de 170.

Le programme prévoyait la surveillance des habitudes de navigation des clients sur Internet, de l’utilisation des applications, des émissions de télévision qu’ils regardaient et de leurs habitudes en matière d’appels téléphoniques. En combinant ces renseignements avec les données démographiques et les renseignements sur leur compte déjà recueillis auprès des clients, Bell a établi des profils détaillés permettant à des tiers d’envoyer des publicités ciblées à ses clients. Il leur suffisait de verser un montant à Bell pour ce service.

Bell souhaitait ainsi maximiser ses revenus publicitaires tout en améliorant l’expérience en ligne des clients. Nous reconnaissons qu’il s’agit d’un objectif d’affaires légitime et que l’initiative de publicité ciblée de Bell pourrait constituer un moyen très efficace de l’atteindre.

Le Commissariat a cependant conclu que les clients de Bell s’attenraient raisonnablement qu’on leur demand un consentement clair avant de les inclure au programme.

Pour en arriver à cette conclusion, le Commissariat a tenu compte de la sensibilité des renseignements en cause et des attentes raisonnables des clients. Dans le cas présent, ces attentes étaient fondées sur la nature de la relation établie de longue date entre Bell et ses clients, y compris le fait qu’elle offre des services payants en tant qu’entreprise de télécommunication.

Par conséquent, nous avons conclu que Bell devrait obtenir le consentement positif de ses clients avant de les faire participer au programme.

Comme vous le savez certainement, Bell a décidé par la suite de mettre fin à son programme et de supprimer tous les profils de clients existants.

L’entreprise a indiqué publiquement son intention de relancer un programme en utilisant un modèle de consentement positif. Il lui reviendra de s’assurer que tout nouveau programme qu’elle lancera sera conforme aux exigences de la LPRPDE.

Comme nous l’avons indiqué dans notre rapport, nous poursuivons notre engagement auprès des intervenants auxquels nos conclusions pourraient être utiles, car il est évident à nos yeux que la question de la publicité ciblée est loin d’être résolue. En fait, le Commissariat mène actuellement des enquêtes qui ont un lien avec ce type de publicité.

Le Commissariat mène ses enquêtes au cas par cas et tire ses conclusions à partir des faits précis et particuliers entourant chaque plainte. C’est pourquoi je ne voudrais pas préjuger de l’issue de ce dossier ou de tout autre dossier portant sur la publicité comportementale en ligne qui pourrait aboutir sur mon bureau.

Cela dit, on demande souvent au Commissariat comment déterminer si le consentement devrait être positif ou négatif.

Je ne peux donner une réponse vraiment tranchée à cet égard. Mais je vous dirai ceci : nos lignes directrices sur la publicité comportementale en ligne indiquent que le consentement négatif à la publicité comportementale en ligne peut être raisonnable dans la mesure où certaines conditions sont remplies :

  • Les renseignements recueillis ne devraient pas être de nature sensible; les fins de la collecte devraient être énoncées de façon claire; les personnes devraient recevoir de l’information sur les tiers qui participent au processus de publicité comportementale en ligne; et l’option de refus devrait être manifeste et opportune.

Mais cela ne signifie pas que le consentement négatif est l’option par défaut pour toute la publicité comportementale ciblée.

Il est important de se rappeler que les programmes de publicité comportementale en ligne varient généralement d’une organisation à l’autre.

Les facteurs essentiels à prendre en compte pour déterminer le type de consentement qui convient dans une situation donnée demeurent le degré de sensibilité des renseignements et les attentes raisonnables de l’intéressé.

Nous recommandons aux organisations d’examiner ces facteurs en soumettant leurs programmes et initiatives de marketing à une évaluation des facteurs relatifs à la vie privée ou à une analyse comparable du risque.

Priorités pour la protection de la vie privée

En ce qui concerne le consentement, vous savez peut-être que l’établissement de nos priorités a abouti à une initiative clé, soit l’examen des défis pratiques associés au modèle de consentement prévu dans la LPRPDE.

Nous avons longuement parlé avec les citoyens participant aux groupes de discussion ainsi qu’avec des intervenants du secteur privé et des représentants d’établissements universitaires, d’organisations de la société civile et de groupes de défense des consommateurs à l’étape de la recherche de notre démarche d’établissement des priorités.

Des citoyens avec lesquels nous avons parlé s’inquiètent du manque de contrôle qu’ils peuvent exercer sur leurs renseignements en ligne.

Ils savent bien que les services en ligne sont offerts sans frais en échange de renseignements personnels et que des entreprises utilisent ces renseignements pour offrir un contenu personnalisé, par exemple du marketing personnalisé.

Certains acceptent cette pratique, mais d’autres estiment qu’ils devraient pouvoir naviguer en ligne sans que leurs renseignements personnels soient recueillis et vendus.

Certains considèrent que le rapport de force entre les personnes et les organisations est à l’avantage de l’industrie, que le consentement ne signifie généralement rien et qu’il faut renforcer la réglementation à cet égard.

D’autres ont souligné les avantages, par exemple l’accès gratuit à des services novateurs, l’aspect pratique et la croissance économique.

Certains intervenants, entre autres des représentants de l’industrie de la publicité, ont remis en question l’efficacité et la pertinence du modèle de consentement prévu par la LPRPDE dans le contexte des mégadonnées, de l’Internet des objets et des services mobiles.

Et bien sûr, certains nous ont fait part de leurs préoccupations concernant les politiques de confidentialité, les formulaires de consentement et les ententes d’utilisation qui n’expliquent pas clairement les pratiques de gestion de l’information complexes, ce qui les rend inefficaces lorsqu’il s’agit d’obtenir un consentement valable.

On nous a également dit qu’il est souvent difficile de déterminer et d’exprimer clairement les fins précises visées au moment de la collecte des renseignements personnels.

Certains ont fait valoir que les organisations ne devraient pas recueillir de renseignements personnels si aucune utilisation raisonnable n’est prévue, tandis que d’autres craignent que cette pratique nuise à l’innovation.

On nous a également parlé des difficultés associées à la nature binaire du consentement, c’est-à-dire que les internautes doivent accepter en bloc les conditions d’utilisation d’une organisation pour participer. Cette façon de procéder entraîne forcément une mauvaise évaluation du risque — elle privilégie ainsi les avantages immédiats sans tenir compte des préjudices futurs, et fait subir aux utilisateurs la normalisation et pression exercée par leurs pairs.

À l’issue de l’examen du consentement que nous effectuerons, à court terme, plus précisément le printemps prochain, nous produirons un document de travail faisant état des divers défis que je viens de mentionner. Nous proposerons des solutions possibles, comme l’adoption de codes de pratique et d’autres formes d’autoréglementation par l’industrie; l’accroissement de la reddition de comptes, ce qui selon certains attribuera davantage la responsabilité à ceux qui sont en mesure d’évaluer le risque; et le renforcement de la réglementation, y compris la délimitation de zones interdites où les renseignements personnels devraient toujours être protégés.

Nous envisagerons des solutions visant à réduire le plus possible le risque, des mesures législatives, des possibilités de sensibilisation et des moyens techniques ou d’autres moyens pratiques d’améliorer le modèle de consentement actuel.

Nous essaierons également de préciser le rôle des citoyens, des organisations, des organismes de réglementation et des législateurs, et les intervenants pourront débattre de toute cette question.

À l’heure actuelle, les solutions possibles dont j’ai parlé ne sont encore que des hypothèses qui pourraient être mentionnées dans le document de travail. Nous ne préconisons pas pour l’instant une solution plutôt qu’une autre. Nous prévoyons aussi mener des consultations avant de prendre position à la lumière du document de travail.

À moyen terme, nous déterminerons les améliorations que l’on pourrait apporter, nous appliquerons les solutions qui relèvent de notre compétence et nous recommanderons des modifications législatives, s’il y a lieu.

Il s’agit de l’une des nombreuses initiatives découlant de l’établissement de nos priorités. Nous avons retenu quatre priorités clés sur lesquelles nous concentrerons nos efforts. La première de ces priorités, soit l’économie des renseignements personnels, prévoit l’examen du modèle de consentement et d’autres questions. D’après moi, cette priorité est du plus haut interêt pour les annonceurs et les responsables du marketing.

Grâce à notre laboratoire de technologie et à la collaboration d’associations, de fabricants et d’experts en sécurité du secteur de la technologie, au cours des prochaines années, nous nous efforcerons d’aider à mettre au point des solutions créatrices et novatrices qui renforceront la protection de la vie privée.

Nous informerons les petites entreprises, plus particulièrement celles des secteurs du commerce de détail et de l’hébergement, dans le cadre de la première étape de notre travail de sensibilisation. La recherche a montré que ces entreprises pourraient avoir besoin de plus d’information sur leurs responsabilités concernant la protection de la vie privée. Nous publierons des lignes directrices. Nous encouragerons aussi les organisations à expliquer en termes simples et faciles à comprendre pour tout le monde les conséquences pour la vie privée que présentent leurs nouveaux produits et services.

Nous tenterons aussi de sensibiliser les groupes vulnérables, comme les jeunes et les personnes âgées, pour aider à améliorer leur culture numérique et leur permettre par le fait même de participer pleinement, en toute sécurité, à l’économie numérique.

À cette fin, nous renforcerons nos partenariats avec les organisations qui traitent avec les personnes âgées et les jeunes ou nous en établirons de nouveaux. Nous lancerons des campagnes ciblées dans les médias. Et nous produirons et diffuserons des lignes directrices pertinentes et concrètes pour aider ces groupes.

Nous nous efforcerons de simplifier nos lignes directrices et de les rendre plus concrètes pour tous les segments de la population, notamment en facilitant la navigation sur notre site Web et en faisant en sorte qu’il réponde mieux aux besoins des utilisateurs. Les Canadiens craignent perdre le contrôle sur leurs renseignements, mais ils ne savent trop comment s’y prendre pour mieux se protéger. Nous voulons leur fournir des renseignements clairs sur les risques d’atteinte à la vie privée et les mesures à prendre pour les atténuer.

Conclusion

Aujourd’hui, je vous ai parlé des mesures prises par le Commissariat, en tant qu’organisme de réglementation, et de celles qu’il prévoit prendre pour protéger les renseignements personnels des Canadiens. Mais la protection de la vie privée ne dépend pas uniquement de nous. J’ai hâte que vous participiez à nos discussions avec les intervenants dans le cadre de l’élaboration du document sur le modèle de consentement et d’autres initiatives touchant les priorités.

En terminant, j’aimerais vous présenter quelques statistiques tirées d’un sondage mené par le Commissariat. Ces données confirment ce que vous savez déjà : en protégeant les renseignements personnels, on se conforme à la loi. Mais ce n’est pas tout. On renforce la confiance des consommateurs et, par le fait même, c’est bon pour les affaires.

Nous avons entendu certaines personnes affirmer qu’elles aiment la publicité comportementale en ligne parce qu’elles reçoivent davantage d’annonces correspondant à leurs intérêts.

D’autres se sentent envahies. Les deux tiers des répondants qui se rappelaient avoir vu une publicité ciblée en ligne ont indiqué avoir eu l’impression que leur vie privée était moins bien protégée en ligne.

Une grande majorité des Canadiens ont de fortes réserves concernant les entreprises de services Internet qui les suivent en ligne. En fait, 92 % d’entre eux sont d’avis que ces entreprises devraient avoir l’obligation de demander leur autorisation avant de suivre leurs activités en ligne.

Les Canadiens craignent de perdre le contrôle sur leurs renseignements personnels. Plus de sept répondants sur dix considèrent que leurs renseignements personnels sont moins protégés dans le cadre de leurs activités quotidiennes qu’il y a dix ans. Il s’agit de la proportion la plus élevée depuis que le Commissariat a commencé à recueillir des données à ce sujet en 2005.

Selon le sondage, 81 % des Canadiens choisiraient de faire affaire avec une entreprise précisément parce qu’elle a adopté de bonnes pratiques de protection de la vie privée. Et plus de la moitié choisiraient de faire affaire avec une entreprise précisément parce qu’elle ne recueille pas leurs renseignements personnels.

Les Canadiens sont de plus en plus conscients de l’importance de protéger leur vie privée et l’affirment haut et fort. Nous avons appris que 29 % des répondants avaient demandé à une entreprise comment elle utilisait ou protégeait leurs renseignements personnels avant de faire affaire avec elle. Parmi ceux qui avaient posé la question, 43 % ont choisi de ne pas faire affaire avec une entreprise en raison de préoccupations liées à la protection de la vie privée.

Pourquoi cela devrait-il avoir de l’importance pour vous?

De plus en plus, les consommateurs veulent faire affaire avec des entreprises en qui ils ont confiance pour la protection de leurs renseignements personnels. Pas avec des entreprises dont les pratiques laissent à désirer.

Je serai maintenant heureux de répondre à vos questions.

Date de modification :