22 July 2015

La publicité comportementale en ligne, une nouvelle ère de la publicité : les internautes doivent-ils s’inquiéter de leur vie privée ?

Deschênes-Hébert Sophie

Article paru dans "Technologies de l'information - En bref" dans son édition No 10 de Mai 2015, aux Éditions Yvon Blais.

 

 Il suffit de regarder quelques années dernières pour constater la métamorphose qu’a connue la sphère des communications par l’essor des technologies de l’information. Le domaine publicitaire en est une bonne illustration. En effet, l’évolution des technologies de l’information a eu un impact direct sur les modes de diffusion des messages publicitaires, ne suppléant pas l’un par un autre, mais plutôt multipliant et diversifiant ces derniers. Bien sûr, au format papier s’ajoutèrent la radio puis la télévision. Ensuite, l’éclosion d’Internet permit aux annonceurs d’être présents sur le Web. Cette présence se décline aujourd’hui sous différents volets. Bien sûr, par une recherche par mots-clés sur les moteurs de recherche en ligne, les internautes se voient suggérer différents sites au moyen de résultats naturels, c’est-à-dire issus des algorithmes liés aux pages Web, ou de liens dits « sponsorisés », qui résultent de l’achat de mots-clés par les annonceurs. Également, les annonceurs peuvent acheter des espaces publicitaires sur certains sites Web, similairement aux achats effectués dans les médias plus traditionnels. Et, depuis plus récemment, les annonceurs ont la possibilité de faire dépendre la diffusion de leurs publicités du comportement de l’internaute.

 

La présence des annonceurs sur le Web et sa diversification témoignent d’une volonté toujours grandissante de ces derniers de rejoindre le plus efficacement et assurément possible leur public cible. C’est donc dans ce contexte que s’est développée la pratique de plus en plus répandue de la publicité comportementale en ligne.

Bien que cette expression soit maintenant bien connue, la définition de ce concept l’est un peu moins. En effet, il existe différents types de publicité sur Internet, avec lesquels la publicité comportementale en ligne ne doit pas être confondue, notamment la publicité contextuelle, pratique par laquelle l’information de la visite actuelle de l’usager est utilisée afin de lui présenter, sur le site consulté, des publicités ciblées portant sur le même sujet1. Le Commissariat à la protection à la vie privée (le « Commissariat ») définit la publicité comportementale en ligne comme « le suivi et le ciblage des activités sur le Web des personnes, dans plusieurs sites et au fil du temps, afin de leur présenter des publicités adaptées à leurs intérêts présumés »2.

Cet article dresse un aperçu du fonctionnement de la publicité comportementale en ligne et discute des considérations que celui-ci soulève dans la pratique en matière de protection des renseignements personnels.

I– LE FONCTIONNEMENT DE LA PUBLICITÉ COMPORTEMENTALE EN LIGNE ET LES TECHNOLOGIES DE SUIVI

Par sa simple navigation sur le Web, un internaute laisse plusieurs traces. En effet, lorsque l’usager navigue en ligne, son appareil peut recevoir un témoin, petit fichier servant à conserver des données relatives à ses interactions avec le site consulté, telles que ses préférences, les pages consultées, le temps passé à consulter ces dernières, les achats effectués, son adresse IP, son système d’exploitation, des données sur la localisation géographique, etc.3. Ces témoins sont automatiquement conservés par le navigateur sur le disque dur local de l’usager pour être par la suite récupérés par le site Web consulté4. Ces témoins dits « ordinaires »5 peuvent être utiles aux usagers puisqu’ils leur permettent d’économiser du temps lors de visites subséquentes en sauvegardant leurs préférences, mais ils comportent également une valeur inestimable pour les annonceurs, leur permettant de dresser un profil relativement détaillé des usagers.

L’utilisation de ces témoins ordinaires est bien souvent étendue à des tiers, par exemple des annonceurs de publicité sur le Web, ces témoins sont alors qualifiés de « témoins tiers ». Ce sera le cas, par exemple, si l’usager consulte un site Internet où est affichée une publicité d’un tiers et que des témoins sont envoyés à son ordinateur pour ensuite être récupérés par l’annonceur lors de sa prochaine visite sur ce site ou sur un autre site où est diffusée cette même publicité. Il existe de surcroît d’autres types de témoins qui peuvent être stockés sur l’appareil de l’usager à son insu puis récupérés par les sites Web consultés. Il y a les « témoins Flash », qui sont générés par le module d’extension d’Adobe lors de la lecture de fichiers multimédia Flash par le navigateur, et les « supertémoins », dont le mécanisme de stockage est plus flexible et plus étendu que celui des témoins ordinaires et qui stockent de l’information dans de nouveaux emplacements intégrés aux navigateurs des usagers. Les « pixels espions » sont une autre technologie de suivi par laquelle il est possible pour le détenteur d’une page Web ou l’expéditeur d’un courriel d’obtenir, au moyen de petits fichiers images invisibles, certaines données très précises sur les habitudes de navigation d’un usager. 6

Les renseignements sur les activités de navigation en ligne ainsi recueillis peuvent sembler anonymes lorsque pris de manière individualisée. Cependant, le Commissariat souligne que :

[...] des rapports ont révélé que des données présumées parfois comme étant anonymes peuvent être associées à nouveau à une personne en particulier, et ce, avec une certaine facilité. De plus, la combinaison de données provenant de profils en ligne anonymes à des données provenant d’autres sources, comme les sites de réseautage, augmente les risques que des profils anonymes en ligne soient associés à des identités hors ligne.7
Il est à noter que, selon une étude menée par l’Electronic Frontier Foundation en 2010, la combinaison de certains renseignements liés à l’appareil d’un usager et révélés par son navigateur peut s’avérer unique parmi un million d’appareils.8

II– LA PUBLICITÉ COMPORTEMENTALE EN LIGNE ET LA PROTECTION DES RENSEIGNEMENTS PERSONNELS

A. Application de la Loi sur la protection des renseignements personnels et des documents électroniques à la publicité comportementale en ligne

La Loi sur la protection des renseignements personnels et des documents électroniques9 (ci-après « LPRPDE ») définit un renseignement personnel comme suit :

Tout renseignement concernant un individu identifiable, à l’exclusion du nom et du titre d’un employé d’une organisation et des adresse et numéro de téléphone de son lieu de travail.10

La Cour fédérale a précisé l’interprétation qui devait être donnée à cet article en établissant que « les renseignements seront des renseignements concernant un individu identifiable lorsqu’il y a de fortes probabilités que l’individu puisse être identifié par l’utilisation de ces renseignements, seuls ou en combinaison avec des renseignements d’autres sources »11.

Tel que développé précédemment, les renseignements recueillis au moyen de technologies de suivi et de ciblage permettent aux annonceurs de présenter aux usagers des publicités ciblant leurs champs d’intérêt présumés. La personnalisation étant l’élément clé de cette pratique, les technologies de suivi et de ciblage utilisées sont très développées et les moyens par lesquels les annonceurs peuvent analyser et regrouper les données recueillies sans lien apparent entre elles sont très performants. C’est dans cet ordre d’idées que le Commissariat affirme que « [l]e fait de combiner des bribes d’information disparates provenant de plusieurs sources peut aussi mener à l’établissement de profils détaillés permettant d’identifier les individus »12. Ainsi, de l’avis du Commissariat, « il y aura souvent une forte possibilité que les renseignements puissent être liés à une personne »13.

Les renseignements recueillis et utilisés aux fins de publicité comportementale en ligne pouvant donc généralement et raisonnablement être qualifiés de « renseignements personnels » au sens de la LPRPDE, les pratiques des organisations en matière de publicité comportementale en ligne doivent se conformer aux exigences et principes applicables à la protection des renseignements personnels.
Selon la LPRPDE, un individu doit être informé de toute collecte, utilisation ou communication de ses renseignements personnels et doit y consentir14. Les objectifs de cette collecte, utilisation ou communication de ses renseignements personnels doivent être expliqués à l’individu de manière claire, simple et transparente15.

Si le consentement de l’individu est requis afin de pouvoir collecter, utiliser ou communiquer tout renseignement personnel le concernant, la LPRPDE prévoit cependant que ce consentement peut être implicite ou explicite, selon la nature des renseignements personnels visés. C’est généralement la sensibilité de l’information qui sera déterminante dans le choix du mode d’obtention du consentement ; la sensibilité de l’information dépendant de la nature du renseignement personnels doivent être expliqués à l’individu de manière claire, simple et transparente15.

Si le consentement de l’individu est requis afin de pouvoir collecter, utiliser ou communiquer tout renseignement personnel le concernant, la LPRPDE prévoit cependant que ce consentement peut être implicite ou explicite, selon la nature des renseignements personnels visés. C’est généralement la sensibilité de l’information qui sera déterminante dans le choix du mode d’obtention du consentement ; la sensibilité de l’information dépendant de la nature du renseignement et du contexte dans lequel il est recueilli, utilisé ou communiqué. Par exemple, un renseignement portant sur la condition médicale ou la situation financière d’un individu sera généralement considéré comme « sensible »16.

Également, les renseignements concernant les enfants sont généralement considérés comme sensibles et la capacité à consentir de ces derniers peut être difficile à établir. Il est alors préférable d’obtenir le consentement d’un parent ou d’un tuteur légal pour ce faire17. Un consentement explicite sera donc requis lorsque l’information est sensible, alors qu’un consentement implicite sera généralement considéré comme suffisant lorsque l’information est moins sensible18. En janvier 2014, le Commissariat a d’ailleurs réitéré cette position en déclarant que le consentement explicite est requis pour collecter et utiliser des renseignements personnels concernant l’état de santé d’un usager, tel le fait qu’il ait consulté des sites portant sur des appareils médicaux pour traiter l’apnée du sommeil, aux fins de lui présenter de la publicité ciblée en fonction de son comportement en ligne19.

Tel qu’il a été précisé par le Commissariat, « toute déclaration ou comportement pouvant raisonnablement être interprété comme un consentement, soit explicitement ou implicitement, peut être acceptable compte tenu des circonstances. Il faut toutefois éviter qu’il y ait le moindre doute concernant le consentement »20. Bien sûr, l’environnement en ligne peut soulever certaines problématiques quant à l’obtention non équivoque du consentement de l’usager, contrairement au monde hors ligne où le consentement est généralement obtenu par écrit ou oralement. Une attention particulière doit donc être portée afin que le consentement sur lequel l’organisation souhaite se reposer soit considéré comme valable.

Par définition, le consentement explicite posera généralement peu de problèmes puisque pour être valable, il doit s’obtenir par un geste actif de l’individu, tel qu’une signature, une case à cocher, un formulaire à remplir, un bouton sur lequel cliquer, etc. Pourrait également être considéré comme un consentement explicite le fait pour un individu de télécharger une application après avoir lu les conditions et le contexte dans lesquels ses renseignements seront utilisés. L’incertitude demeure cependant quant à la possibilité pour un consentement implicite de revêtir un caractère non ambigu. Ceci dit, le fait pour un individu de ne pas exercer son option de retrait relativement à la collecte, à l’utilisation et à la communication de ses renseignements personnels pourrait être considéré comme un consentement implicite acceptable de l’avis du Commissariat, pour autant que cette option de retrait ait été clairement portée à l’attention de l’usager21.

Le consentement explicite ou implicite sera donc valable, selon la sensibilité des renseignements visés, sous réserve que les conditions suivantes22 soient respectées :

  • L’individu doit être informé des pratiques de gestion de l’information des organisations (collecte, utilisation, communication et conservation des renseignements personnels).
  • L’individu doit être informé des fins pour lesquelles ses renseignements personnels sont recueillis, utilisés ou communiqués avant, ou au plus tard, au moment de la collecte. Rappelons qu’en vertu de la LPRPDE, une organisation ne peut recueillir, utiliser et communiquer des renseignements personnels qu’aux fins qu’une personne raisonnable considérerait comme acceptables ou appropriées dans les circonstances23. Cette obligation limite donc la collecte, l’utilisation et la communication abusives des renseignements personnels par les organisations.
  • Si l’organisation décide d’utiliser ou de communiquer les renseignements collectés à une fin autre que celles auxquelles l’individu a consenti, elle doit en informer l’individu et obtenir son consentement avant de pouvoir procéder.
  • L’organisation qui a obtenu le consentement valable de l’individu doit assumer toutes les obligations qui lui incombent en vertu de la législation en matière de protection des renseignements personnels, notamment en matière de conservation et de sécurité.
  • L’individu doit pouvoir retirer son consentement en tout temps, sous réserve des restrictions légales et contractuelles, si applicables.

Le Commissariat fait d’ailleurs remarquer que l’organisation doit s’assurer de choisir un mode de présentation et de communication de ces informations qui soit efficace en fonction des réalités de la pratique, la communication en temps réel de ces informations devant être adaptée à la rapidité d’exécution et de navigation de l’usager sur son appareil. On peut donc penser que le fait, par exemple, de simplement enfouir la divulgation des pratiques en matière de publicité comportementale dans une politique de confidentialité accessible sur un site Internet, et sans autre avis précis et visible au moment de la collecte des renseignements de l’usager pourrait soulever certaines considérations en matière de validité du consentement. Le Commissariat a d’ailleurs recommandé à certaines organisations qu’elles revoient leurs pratiques en matière de communication de ces informations afin que les usagers puissent être informés en temps réel de la collecte et de ses fins24, étant d’avis que les documents utilisés dans ce cas n’informaient pas suffisamment clairement les usagers et que, par conséquent, « [t]out consentement obtenu sur la foi de ces documents ne saurait être tenu valable »25.

Il convient de souligner que, si le consentement à la collecte, à l’utilisation ou la communication des renseignements d’un individu est parfois requis par l’organisation pour pouvoir fournir le produit ou le service demandé par ce dernier, l’organisation ne pourrait pas toutefois l’obliger à fournir un consentement qui excéderait l’objectif du produit ou du service et ce qui est requis pour pouvoir fournir celui-ci26. C’est donc dire qu’un fournisseur d’une application ne pourrait pas, par exemple, refuser le droit de télécharger celle-ci au motif que l’individu refuse que ses renseignements personnels soient collectés aux fins de publicité comportementale en ligne.

B. Remarque sur la Loi sur la protection des renseignements personnels dans le secteur privé

Rappelons que le Québec27 s’est doté d’une loi en matière de protection de renseignements personnels considérée comme essentiellement similaire à la LPRPDE, intitulée Loi sur la protection des renseignements personnels dans le secteur privé28 (la « loi québécoise »). Ainsi, les organisations assujetties à cette loi sont exemptées de la LPRPDE relativement à la collecte, à l’utilisation et à la communication de renseignements personnels qui s’effectuent à l’intérieur du Québec. Cependant, il convient de mentionner que la LPRPDE continue de s’appliquer à la collecte, à l’utilisation ou à la communication de renseignements personnels à l’extérieur du Québec ainsi qu’à celles réalisées par des entreprises fédérales ayant des activités au Québec.

La loi québécoise prévoit qu’une organisation ne doit collecter que les renseignements personnels qui sont nécessaires à l’objet du dossier et que ces renseignements doivent être collectés de manière licite29.

Relativement à l’obtention du consentement à la collecte, à l’utilisation ou à la communication d’un renseignement personnel, la loi québécoise énonce ce qui suit :

Le consentement à la collecte, à la communication ou à l’utilisation d’un renseignement personnel doit être manifeste, libre, éclairé et être donné à des fins spécifiques. Ce consentement ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé.

Un consentement qui n’est pas donné conformément au premier alinéa est sans effet.30 [Nos soulignements]

La nature manifeste du consentement est donc l’une des caractéristiques requises pour qu’il soit considéré comme valable. Il est généralement entendu que pour être manifeste, le consentement doit être explicitement donné, et non « implicitement sous-entendu », comme le soulignent les auteurs Aylwin et Delwaide31. Cependant, il n’est pas clair si la loi québécoise permet, similairement à la LPRPDE, qu’un consentement manifeste puisse résulter de manière inhérente, quoique sans équivoque, d’un acte posé par un individu.

La Commission d’accès à l’information, organisation chargée de l’application de la loi québécoise, ne dissipe malheureusement pas complètement cette incertitude en énonçant ce qui suit, dans son seul communiqué portant sur la publicité comportementale en ligne qui soit disponible sur son site Internet :

Si une entreprise constitue un dossier sur vous afin de vous offrir des biens ou des services (ex. : achats en ligne d’un billet de concert), elle doit vous informer des renseignements personnels qu’elle entend collecter et obtenir votre consentement.
[...]

Et si l’entreprise veut utiliser vos renseignements à d’autres fins, non pertinentes à l’objet du dossier, ou si elle veut les communiquer à des tiers, elle doit vous demander votre consentement.

Pour être valide, le consentement doit être manifeste, libre, éclairé [...] les personnes doivent être informées [...] Sur la base de ces informations, la personne pourra consentir ou non.32

Soulignons que le législateur québécois a explicitement intégré à la loi québécoise certaines exceptions à cette obtention du consentement manifeste notamment relativement à l’utilisation et à la communication de listes nominatives à des fins de prospection commerciale ou philanthropique. La loi québécoise définit une liste nominative comme suit :

Une liste nominative est une liste de noms, de numéros de téléphone, d’adresses géographiques de personnes physiques ou d’adresses technologiques où une personne physique peut recevoir communication d’un document ou d’un renseignement technologique.33

Ainsi, une organisation qui exploite une entreprise peut utiliser ou communiquer, à un tiers avec qui elle a un contrat pour ce faire, une liste nominative de ses clients à des fins de prospection commerciale ou philanthropique, sous réserve qu’elle ait accordé à ces derniers une occasion valable de refuser que leurs renseignements soient utilisés à ces fins.

À la lumière de ce qui précède, peut-être serait-il permis de penser qu’il y aurait des arguments à faire valoir selon lesquels une organisation pourrait utiliser ou communiquer l’adresse IP de ses clients qui auraient, par exemple, acheté un bien ou service en ligne aux fins de prospection ou commerciale ou philanthropique, sous réserve de leur avoir préalablement donné une occasion valable de refuser que leurs renseignements soient collectés, utilisés ou communiqués à ces fins. Cette position rejoindrait d’ailleurs la position générale du Commissariat en matière de publicité comportementale prise en vertu de la LPRPDE et développée précédemment. Cependant, selon cet argumentaire, dans une situation qui serait extérieure à la relation « organisation-client », l’interrogation demeurerait quant à la manière d’appliquer la loi québécoise aux pratiques de publicité comportementale en ligne.

Devant l’ampleur et la complexité de mise en oeuvre des exigences énoncées par le Commissariat et l’incertitude que soulève l’application dans la pratique de la législation lois fédérale et provinciale, plusieurs grandes associations professionnelles publicitaires et marketing canadiennes se sont regroupées afin de concevoir un programme d’autoréglementation en matière de publicité comportementale en ligne, auquel les organisations peuvent adhérer sur une base volontaire et moyennant des frais.

III– PROGRAMME CANADIEN POUR LA PUBLICITÉ COMPORTEMENTALE EN LIGNE DE L’ALLIANCE DE LA PUBLICITÉ NUMÉRIQUE DU CANADA

Le programme canadien pour la publicité comportementale en ligne de l’Alliance de la publicité numérique du Canada (Digital Advertising Alliance of Canada) (le « programme de la DAAC ») « a été développé pour offrir aux consommateurs une meilleure compréhension et un plus grand contrôle sur les annonces qui leur sont présentées en fonction de leur comportement en ligne »34. Ce programme lancé en septembre 2013 est le fruit des efforts consolidés de huit des plus importantes associations canadiennes oeuvrant dans la sphère de la publicité, du marketing et des médias parmi lesquelles se trouvent deux associations québécoises :

  • L’Association des agences de publicité du Québec (AAPQ) ;
  • L’Association canadienne des annonceurs (ACA) ;
  • Les normes canadiennes de la publicité (NCP) ;
  • Le Conseil des directeurs médias du Québec (CDMQ ) ;
  • L’Association canadienne du marketing (ACM) ;
  • Le Canadian Media Directors’ Council (CMDC) ;
  • Le Bureau de la publicité interactive du Canada (IAB Canada) ;
  • L’Institut des communications et de la publicité (ICP).

Le programme de la DAAC vise à encadrer les pratiques de publicité comportementale en ligne générée à partir des renseignements des internautes. Le fonctionnement du programme de la DAAC est basé sur sept principes qui posent un cadre d’autoréglementation, et qui ont été établis notamment à la lumière des exigences énoncées par le Commissariat en la matière.

Ces sept principes sont les suivants et peuvent être résumés comme suit :

  • Éducation :

Les organisations doivent participer à l’information des entreprises et des consommateurs au sujet de la publicité comportementale, de son fonctionnement, de la manière dont sont collectés les renseignements des internautes, ainsi qu’au sujet de la possibilité et de la façon pour ces derniers d’exercer d’exercer un choix et un contrôle en cette matière.

  • Transparence :

Les organisations doivent fournir un avis clair et bien visible sur la page Web ou sur la publicité en ligne où les renseignements sont recueillis, faisant état de leurs pratiques en matière de collecte et d’utilisation des renseignements personnels.

  • Contrôle du consommateur :

Les organisations, incluant les annonceurs et les fournisseurs de services d’accès Internet et d’applications, doivent donner aux internautes la possibilité d’exercer un choix à l’égard de la collecte et de l’utilisation de leurs renseignements personnels. Soulignons que le site Internet officiel du programme de la DAAC offre aux internautes la possibilité de connaître les organisations, parmi celles qui participent au programme de la DAAC, qui ont collecté et qui utilisent leurs renseignements personnels aux fins de leur présenter des publicités ciblant leurs champs d’intérêt présumés ainsi que la possibilité de se retirer de cette pratique.36

  • Sécurité des données :

Les organisations doivent s’assurer de mettre en place des mesures de protection visant à protéger les renseignements recueillis et que leurs pratiques en matière de collecte, d’utilisation, de communication et de conservation des renseignements des internautes sont conformes aux législations applicables.

  • Données sensibles :

Les organisations devraient 1) éviter de recueillir des renseignements concernant les enfants qu’elles savent âgés de moins de 13 ans ou de faire de la publicité aux enfants qu’elles savent âgés de moins de 13 ans37 ; 2) éviter de recueillir et d’utiliser aux fins de publicité comportementale en ligne des renseignements sensibles sans obtenir le consentement requis et se conformer aux lois applicables en matière de protection des renseignements personnels.

  • Responsabilité :

Les normes canadiennes de la publicité (NCP), organisme indépendant d’autoréglementation de la publicité, est l’organisme chargé de vérifier et d’encourager la conformité des pratiques des organisations participant au programme de la DAAC. Les NCP peuvent également recevoir des plaintes et y répondre.

C’est en affichant l’icône « Choix de pub », réservé aux participants du programme de la DAAC, que les organisations affichent leur adhésion à ces principes. Si tous s’entendront pour dire que l’initiative est honorable et qu’elle témoigne de la diligence des organisations participantes, il n’en demeure pas moins que ce cadre en est un d’autoréglementation ; ce n’est donc que sur une base volontaire que les organisations se soumettent aux obligations qui en résultent. Cependant, rappelons que, que les organisations participent ou non au programme de la DAAC, elles doivent s’assurer que leurs pratiques en matière de publicité comportementale en ligne ne violent pas les lois applicables. Il est donc bien sûr à leur avantage de se doter des outils pour ce faire.

CONCLUSION ET CONSTATATION

Le présent article met certes en lumière l’existence de bien des incertitudes liées à l’encadrement des pratiques de publicité comportementale en ligne, mais une chose est claire : si les principes juridiques existent, c’est leur application à la pratique qui pose le plus grand défi.

Si l’on s’accorde pour conclure que les renseignements générés par le comportement de l’internaute sont effectivement des renseignements personnels, puisqu’ils peuvent raisonnablement permettre, seuls ou en combinaison avec d’autres renseignements, d’identifier un individu, la manière d’assurer la conformité aux lois applicables demeure une question entière dans cet environnement où les clics des internautes sont plus vites que leur ombre.

La publicité comportementale en ligne se présente comme une réalité incontournable du Web d’aujourd’hui et de l’accès illimité à cet univers d’information en ligne. Cette pratique est devenue pour la majorité des internautes un « mal nécessaire » pour pouvoir naviguer gratuitement dans cet océan électronique. Cependant, si la majorité de ceux-ci reconnaît et est exposée à l’existence de cette pratique, bien peu d’usagers sont à l’affût de son fonctionnement et cet inconnu nourrit les inquiétudes. Les multiples énoncés du Commissariat, la mise sur pied du programme de la DAAC et les maintes publications des acteurs et professionnels oeuvrant dans le domaine témoignent de la nécessité de soulager ces inquiétudes.

Dans ce contexte, les organisations doivent redoubler d’efforts afin d’aiguiller les internautes sur leurs pratiques en la matière en vue de maximiser leurs chances d’obtenir un consentement valable et d’ainsi se conformer aux lois applicables.

Et bien sûr, plus les usagers seront informés, plus prudentes devront être les organisations. Nous n’avons qu’à penser à la récente entrée en vigueur de la Loi anti-pourriel, dont la médiatisation des principes a eu le plus grand des effets dissuasifs avec un nombre de plaintes déposées auprès du CRTC qui ne cesse de s'accroître.

1. COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE, « Position de principe sur la publicité comportementale en ligne », juin 2012.

2. Ibid.

3. COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE, « Lorsque le moindre de vos gestes est surveillé... – Les annonceurs font un suivi de vos comportements en ligne », octobre 2011.

4. COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE, « Les témoins sous la loupe – Les témoins et le suivi sur le Web », mai 2011.

5. Ibid.

6. Ibid.

7. COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE, supra, note 3.

8. COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE, supra, note 4.

9. Loi sur la protection des renseignements personnels et des documents électroniques (ci-après « LPRPDE »), L.C. 2000, ch. 5.

10. Id., art. 2.

11. Gordon c. Canada (Santé), 2008 CF 258 (CanLII).

12. COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE, « Lignes directrices : La protection de la vie privée et la publicité comportementale en ligne », mai 2014.

13. COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE, supra, note 12.

14. LPRPDE, supra, note 9, ann. 1, art. 4.3.

15. Id., ann. 1, art. 4.8.

16. Id., ann. 1, art. 4.3.4.

17.COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE, « Lignes directrices en matière de consentement en ligne », avril 2013.

18. LPRPDE, supra, note 9, ann. 1, art. 4.3.6.

19. COMMISSARIAT À LA PROTECTION À LA VIE PRIVÉE, « Rapport de conclusions – L’utilisation par Google de renseignements sensibles sur l’état de santé aux fins de l’affichage de publicités ciblées soulève des préoccupations en matière de vie privée », Rapport des conclusions en vertu de la LPRPDE nº 2014-001, 14 janvier 2014,

20. COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE, supra, note 17.

21. Ibid.

22. Ibid.

23. LPRPDE, supra, note 9, art. 3.

24. COMMISSARIAT À LA PROTECTION À LA VIE PRIVÉE, « Rapport de conclusions – Des profils affichés sur le site de rencontres PositiveSingles.com se retrouvent sur d’autres sites Web de rencontres affiliés », Rapport des conclusions en vertu de la LPRPDE nº 2013-003, 11 juillet 2013, https://www.priv.gc.ca/cf-dc/2013/2013_003_0711_f.asp et « Rapport de conclusions – Apple est sommée de fournir davantage de précisions sur l’utilisation et la communication des identifiants uniques d’appareils aux fins de la publicité ciblée », Rapport des conclusions en vertu de la LPRPDE nº 2013-017, 20 novembre 2013.

25. Id., « Rapport de conclusions – Des profils affichés sur le site de rencontres PositiveSingles.com se retrouvent sur d’autres sites Web de rencontres affiliés ».

26. COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE, supra, note 17.

27. Les provinces de l’Alberta (Personal Information Protection Act), de la Colombie-Britannique (Personal Information Protection Act), de l’Ontario (Loi de 2004 sur la protection des renseignements personnels sur la santé), du Nouveau-Brunswick (Loi sur l’accès et la protection en matière de renseignements personnels sur la santé) et de Terre-Neuve (Personal Health Information) ont également adopté respectivement une loi provinciale considérée comme essentiellement similaire à la LPRPDE.

28. Loi sur la protection des renseignements personnels dans le secteur privé (ci-après « loi québécoise »), RLRQ, c. P-39.1.

29. Id., art. 5.

30. Id., art. 14.

31. Antoine AYLWIN et Karl DELWAIDE, « Leçons tirées de dix ans d’expérience : la Loi sur la protection des renseignements personnels dans le secteur privé du Québec », dans Développements récents en droit d’accès à l’information (2005), Service de la formation continue du Barreau du Québec, Cowansville, Éditions Yvon Blais, 2005, p. 306, EYB2005DEV1092.

32. COMMISSION DE L’ACCÈS À L’INFORMATION, « Le profilage et la publicité ciblée », octobre 2013..
La loi québécoise prévoit qu’une organisation ne doit collecter que les renseignements personnels qui sont nécessaires à l’objet du dossier et que ces renseignements doivent être collectés de manière licite.

33.Supra, note 28, art. 22, al. 2.

34. ALLIANCE DE LA PUBLICITÉ NUMÉRIQUE DU CANADA, Site Internet Choix de pub : l’Alliance de la publicité numérique du Canada (DAAC).

35. Id., « Les principes ».

36. Id., « Retrait de la publicité comportementale en ligne ».

37. La Loi sur la protection du consommateur interdit au Québec que soit faite de la publicité commerciale destinée à des enfants âgés de moins de 13 ans (Loi sur la protection du consommateur, RLRQ, c. P-40.1, art. 248).

**** L’information contenue dans la présente publication, bien qu’elle soit de nature juridique, ne saurait constituer un avis d’ordre juridique ou une opinion. L’information n’est fournie qu’à titre informatif et LJT ne prétend pas exposer l’état complet du droit sur quelque question. Les utilisateurs ne devraient d’aucune façon prendre des décisions uniquement sur la base des informations contenues dans cette publication ou obtenues sur le site web de LJT sans obtenir les conseils juridiques d’un professionnel. Le contenu de cette publication est protégé par la Loi sur le droit d’auteur et par les conventions internationales applicables. Veuillez-vous référer aux Conditions d'utilisation.




Ajouter un commentaire

Saviez-vous que...

Nous offrons un service de conseiller aux annonces qui permet aux membres de l’Association des agences de publicité du Québec (AAPQ) et à leurs clients de bénéficier d’un service ponctuel d’interprétation de l’entente collective UDA/APC en matière d’annonces publicitaires.

Auteur

Deschênes-Hébert Sophie
Sophie Deschênes-Hébert
Me Deschênes-Hébert conseille les annonceurs et les agences de publicité dans l'élaboration de leurs campagnes.
Consulter sa fiche

Conférences

Autres conférences

Brochure d'entreprise

Brochure d'entreprise

Pour plus d'informations relativement à notre cabinet, ses membres et ses services, consulter notre brochure d'entreprise.

Voir le PDF(1411Ko)