Les détaillants canadiens utilisant des outils de conversion hors ligne auront des leçons à tirer d’une décision du Commissariat à la protection de la vie privée

Une décision récente du Commissariat à la protection de la vie privée du Canada (le « CPVP ») illustre la nature complexe et souvent ambiguë du consentement au sens de la loi fédérale canadienne encadrant la protection de la vie privée, la Loi sur la protection des renseignements personnels et des documents électroniques (la « LPRPDE »). Elle met aussi en lumière des répercussions notables pour les détaillants canadiens qui traitent des données au moyen d’outils de conversion hors ligne dans le cadre de leurs activités de marketing numérique et d’analyse de données.

Contexte

Dans ses Conclusions en vertu de la LPRPDE no 2023-001, le CPVP analyse ces questions dans le contexte d’une affaire où un détaillant canadien, Home Depot du Canada inc. a transmis les renseignements personnels d’un client à la société mère de Facebook, Meta Platforms, Inc. (auparavant Facebook, Inc.) (« Meta ») au moyen d’un outil commercial appelé « Conversions hors ligne ». Cet outil aide les entreprises à mesurer les effets de campagnes publicitaires en ligne sur les ventes en magasin, en transmettant à une plateforme tierce une version hachée de l’adresse électronique de leurs clients et les détails de leurs achats en magasin. La plateforme fait ensuite concorder les adresses courriels hachées avec les comptes de ses utilisateurs et compare les détails des transactions de ces derniers avec les publicités qui leur ont été montrées. Les entreprises peuvent ainsi prendre des décisions éclairées quant à leur budget de publicité et améliorer leur stratégie de marketing numérique.

Pour conclure qu’un consentement explicite (opt-in) aurait dû être obtenu, le CPVP s’appuie sur sa détermination que la transmission des données à la plateforme de réseautage social ne répondait pas aux attentes raisonnables des clients qui avaient donné leur adresse courriel pour recevoir des reçus électroniques. Le CPVP en est venu à cette conclusion même si la pratique consistant à transmettre des données ne concernait pas des renseignements personnels sensibles ni ne créait un risque résiduel important de préjudice grave pour les clients.

En outre, le CPVP a soutenu que les clients auraient dû être activement informés d’aspects clés de cette pratique dès la collecte des informations, notamment du fait que la plateforme de réseautage social était autorisée par contrat à les utiliser à des fins commerciales. Cela montre les risques de compter uniquement sur les dispositions d’une politique de protection de la vie privée pour obtenir un consentement valable quand il est question de l’utilisation des renseignements à des fins secondaires comme le marketing et l’analyse de données.

Cette décision fait ressortir quelques-unes des zones grises des lois canadiennes sur la protection de la vie privée et les difficultés que posent aux entreprises l’interprétation et l’application de la notion de consentement et de la norme des « attentes raisonnables ». En fait, dans leur couverture de la décision, des médias ont fait remarquer que nombre d’autres grands détaillants canadiens avaient peut-être utilisé l’outil Conversions hors ligne de Meta sans obtenir le consentement explicite de leurs clients, ce qui montrait que d’autres acteurs pouvaient faire une interprétation analogue des zones grises de la loi.

Ce dossier montre que le secteur privé et les organismes de réglementation canadiens doivent adopter une approche plus collaborative, à la fois pour que les pratiques de marketing et d’analyse des données et les besoins des entreprises soient mieux compris, et pour que soient établies des orientations claires et pragmatiques sur la manière de mettre en œuvre ces pratiques dans le respect des lois.

Si la décision n’empêche pas les organisations de compter sur un consentement tacite pour toutes les formes de marketing et d’analytique, elle met en lumière l’importance de fournir des avis préalables sur le recours auxdites pratiques, de fixer des limites claires quant à l’usage que les partenaires peuvent faire des informations, et de permettre aux clients de retirer facilement leur consentement à l’utilisation de leurs informations à des fins secondaires. Cela dit, en l’absence de lignes directrices claires sur ces questions, les organisations qui comptent sur le retrait du consentement pour traiter des informations aux fins de marketing et d’analyse des données seront toujours à risque de contrevenir à la loi, surtout s’il est question de pratiques nouvelles susceptibles de ne pas répondre aux attentes raisonnables des clients.

Vous pouvez consulter notre article complet relatif à cette décision qui est disponible sur le site web de BLG.

This content has been updated on March 9, 2023 at 9 h 18 min.