Nouvelle décision en protection de la vie privée: Principales leçons pour les entreprises qui utilisent des technologies de localisation

Le Commissariat à la protection de la vie privée du Canada (le « CPVP »), ainsi que le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique, le Commissariat à l’information et à la protection de la vie privée de l’Alberta et la Commission d’accès à l’information du Québec (collectivement les « Commissariats »), ont publié le 1er juin 2022 les résultats de leur enquête conjointe concernant la chaîne canadienne de restauration rapide, Tim Hortons, et son traitement des données de ses clients.

Contexte

Lancée pour la première fois en 2020, l’enquête des Commissariats découle d’une demande d’accès et d’un article de presse connexe qui ont révélé comment l’entreprise recueillait les données de localisation détaillées des clients via son application mobile, y compris les coordonnées précises de longitude et de latitude, même lorsque l’application était fermée (malgré des déclarations contraires). Selon le rapport d’enquête, les données étaient utilisées pour déduire où se trouvaient le domicile et le lieu de travail d’un utilisateur et évaluer quand l’utilisateur se déplaçait ou visitait l’établissement d’un concurrent, afin de faciliter la diffusion de publicités ciblées. Toutefois, en raison d’un changement des priorités commerciales de l’entreprise, les données recueillies n’ont en fait été utilisées uniquement sur une base agrégée et dépersonnalisée pour effectuer des analyses liées aux tendances des utilisateurs.

En concluant que la collecte et l’utilisation des données de localisation détaillées des clients par l’entreprise n’étaient pas conformes à la Loi sur la protection des renseignements personnels et les documents électroniques1 (« LPRPDÉ ») et aux lois provinciales applicables en matière de protection des renseignements personnels, les Commissariats ont jugé que cette pratique était non seulement déraisonnable et disproportionnée compte tenu de la sensibilité des renseignements, mais qu’elle était également dépourvue de consentement valable, en partie en raison des représentations fausses et trompeuses faites aux clients sur la portée et les conséquences de la collecte. En outre, les Commissariats ont formulé un certain nombre de recommandations concernant les conditions régissant les ententes d’impartition entre l’entreprise et son fournisseur de services pour l’application, ainsi que les pratiques internes de responsabilité et de gouvernance de la chaîne de restaurants.

Vous pouvez lire notre bulletin sur ce sujet : il présente notre analyse des principales leçons que les entreprises utilisant des technologies de localisation devraient tirer de cette décision.

This content has been updated on June 13, 2022 at 14 h 20 min.