Le Commissariat à la protection de la vie privée du Canada (le «?CPVP?»), ainsi que le Commissariat à l'information et à la protection de la vie privée de la Colombie-Britannique, le Commissariat à l'information et à la protection de la vie privée de l'Alberta et la Commission d'accès à l'information du Québec (collectivement les «?Commissariats?»), ont publié le 1er juin 2022 les résultats de leur enquête conjointe concernant la chaîne canadienne de restauration rapide, Tim Hortons, et son traitement des données de ses clients.

Contexte

Lancée pour la première fois en 2020, l'enquête des Commissariats découle d'une demande d'accès et d'un article de presse connexe qui ont révélé comment l'entreprise recueillait les données de localisation détaillées des clients via son application mobile, y compris les coordonnées précises de longitude et de latitude, même lorsque l'application était fermée (malgré des déclarations contraires). Selon le rapport d'enquête, les données étaient utilisées pour déduire où se trouvaient le domicile et le lieu de travail d'un utilisateur et évaluer quand l'utilisateur se déplaçait ou visitait l'établissement d'un concurrent, afin de faciliter la diffusion de publicités ciblées. Toutefois, en raison d'un changement des priorités commerciales de l'entreprise, les données recueillies n'ont en fait été utilisées uniquement sur une base agrégée et dépersonnalisée pour effectuer des analyses liées aux tendances des utilisateurs.

En concluant que la collecte et l'utilisation des données de localisation détaillées des clients par l'entreprise n'étaient pas conformes à la Loi sur la protection des renseignements personnels et les documents électroniques1 (« LPRPDÉ ») et aux lois provinciales applicables en matière de protection des renseignements personnels, les Commissariats ont jugé que cette pratique était non seulement déraisonnable et disproportionnée compte tenu de la sensibilité des renseignements, mais qu'elle était également dépourvue de consentement valable, en partie en raison des représentations fausses et trompeuses faites aux clients sur la portée et les conséquences de la collecte. En outre, les Commissariats ont formulé un certain nombre de recommandations concernant les conditions régissant les ententes d'impartition entre l'entreprise et son fournisseur de services pour l'application, ainsi que les pratiques internes de responsabilité et de gouvernance de la chaîne de restaurants.

Ce bulletin présente notre analyse des principales leçons que les entreprises utilisant des technologies de localisation devraient tirer de cette décision.

Le critère des fins raisonnables

La première question examinée par les Commissariats est l'application du critère des fins raisonnables, c'est-à-dire l'exigence fondamentale des lois canadiennes sur la protection des renseignements personnels qui oblige les entreprises à ne recueillir, utiliser et communiquer des renseignements personnels qu'à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances2.

Le Document d'orientation sur les pratiques inacceptables du traitement des données du CPVP décrit certains des facteurs clés à prendre en considération pour déterminer si une activité de traitement des données est raisonnable dans les circonstances, à savoir:

  • Le caractère sensible des renseignements personnels en question?;
  • Le besoin ou les intérêts commerciaux légitimes des fins visées par l'organisation?;
  • L'efficacité de la collecte, de l'utilisation et de la communication pour répondre au besoin de l'organisation?;
  • L'existence de moyens portant moins atteinte à la vie privée qui permettent d'atteindre les mêmes fins pour un coût et des avantages comparables?; et
  • La proportionnalité de l'atteinte à la vie privée par rapport aux avantages.

Les tribunaux ont indiqué que ces facteurs doivent être analysés de manière contextuelle, du point de vue d'une personne raisonnable3.

i. Sensibilité

Le principe4.3.4 de la LPRPDÉ prévoit que tout renseignement peut devenir sensible dépendamment du contexte. Le CPVP a récemment publié un bulletin d'interprétation dans lequel il identifie certains types de renseignements qui sont généralement reconnus comme sensibles, notamment les renseignements sur la santé, les finances, les origines ethniques et raciales, les opinions politiques, la vie sexuelle ou l'orientation sexuelle et les croyances religieuses ou philosophiques, ainsi que les données génétiques et biométriques.

Dans leur rapport de conclusions, les Commissariats ont conclu que les données de localisation collectées via l'application de la chaîne de restauration rapide étaient des renseignements sensibles à la lumière des facteurs suivants:

  • Le volume important de données recueillies (l'application, qui comptait plus de 1,6 million d'utilisateurs actifs, enregistrait en moyenne dix entrées de données par utilisateur par jour)?;
  • Le niveau de détail des données recueillies (l'application recueillait des coordonnées GPS précises en longitude et en latitude, ainsi que des données provenant d'autres sources telles que les réseaux Wi-Fi et les tours de télécommunication à proximité)?;
  • La fréquence de collecte des données (dès qu'un utilisateur se déplaçait, l'application recueillait l'emplacement de l'appareil toutes les quelques minutes jusqu'à ce que l'appareil soit considéré comme arrêté)?; et
  • La possibilité d'utiliser les données pour déduire des renseignements sensibles sur les individus (par exemple, les déplacements vers une clinique médicale, les visites dans un lieu de culte, etc.) Il est intéressant de noter que les Commissariats ont indiqué que même si l'entreprise n'utilisait pas réellement les données pour développer de telles connaissances, la «?possibilité réelle?» que les renseignements soient utilisés de cette façon est suffisante pour les rendre sensibles.

Ces facteurs sont utiles pour déterminer dans quelles circonstances, les entreprises doivent considérer les données de localisation qu'elles recueillent comme des renseignements sensibles.

Recommandation #1:Données de localisation.

Le volume et le détail des données, la fréquence de la collecte et la possibilité d'utiliser les données pour déduire des renseignements sensibles sur une personne (par exemple, ses croyances religieuses, ses préférences sexuelles, ses affiliations sociales et politiques, etc.) sont des facteurs clés pour déterminer si des données de localisation sont sensibles.

ii. Besoin légitime ou intérêt commercial

Les Commissariats ont conclu que les données de localisation détaillées ont été recueillies dans le but de diffuser des publicités ciblées afin de mieux promouvoir les produits de la chaîne et améliorer l'expérience des utilisateurs de l'application. Toutefois, en raison d'un changement de priorités internes, l'entreprise a cessé d'utiliser les données pour des fins de publicité ciblée. Ce changement de finalité a conduit les Commissariats à conclure que l'entreprise n'avait pas un besoin légitime de recueillir les données de localisation détaillées des clients au départ. En d'autres termes, en abandonnant la finalité initiale de la collecte, poursuivre la collecte des données de localisation détaillées n'était plus justifiée dans les circonstances.

iii. Proportionnalité

La notion de proportionnalité est un aspect important du test du caractère raisonnable. Elle consiste à mettre en balance les avantages de l'activité de traitement des données pour l'organisation et la perte de vie privée pour les individus. Les Commissariats ont souligné qu'il est particulièrement important pour les organisations de tenir compte de la proportionnalité dans le contexte d'une économie numérique, où les pratiques de collecte de données à grande échelle sont faciles à mettre en Suvre et peuvent conduire à une myriade de fins invasives. De plus, les Commissariats ont mis en garde les organisations contre le fait de traiter les données comme «?un simple bien ou produit à exploiter, ou comme un outil de surveillance des entreprises?», car cela augmente le risque que les renseignements personnels ne soient plus utilisés à des fins appropriées.

En l'espèce, les Commissariats ont constaté que la collecte par l'application de la localisation des utilisateurs toutes les quelques minutes - même lorsque l'application était fermée ou lorsque l'utilisateur se rendait dans d'autres pays - et l'analyse en continu de ces données pour en déduire le domicile et le lieu de travail constitue une atteinte importante à la vie privée des individus. Dans ce contexte, l'atteinte importante à la vie privée causée par le suivi quasi continu de la localisation d'un utilisateur n'a pas été considérée comme proportionnelle aux avantages que l'entreprise pouvait raisonnablement tirer de la possibilité de mieux promouvoir ses produits. La nature disproportionnée de l'activité de traitement a été mise en évidence par le fait que la chaîne de restauration rapide aurait pu obtenir des renseignements sur le lieu de travail ou le domicile de l'utilisateur par des moyens moins intrusifs, en demandant par exemple aux utilisateurs de fournir ces renseignements directement via l'application.

Recommandation #2:Changement de finalité en cours de route.

Les organisations doivent s'abstenir de recueillir des données lorsqu'elles ne sont plus destinées à être utilisées pour la finalité initiale pour laquelle elles ont été recueillies. Si la finalité identifiée au moment de la collecte change, une réévaluation de la nature et de la portée des opérations de traitement doit avoir lieu avant toute nouvelle collecte de données de localisation.

Consentement

La deuxième question examinée par les Commissariats est la validité du consentement obtenu auprès des utilisateurs de l'application de la chaîne de restauration rapide. Ayant conclu que l'entreprise n'avait pas une finalité appropriée pour recueillir les renseignements, les Commissariats ont tenu à rappeler que l'obtention du consentement n'aurait pas rendu appropriée une finalité autrement inappropriée.

Les Lignes directrices pour l'obtention d'un consentement valable du CPVP prévoient que les organisations doivent généralement obtenir un consentement explicite lorsque les renseignements recueillis sont sensibles, lorsqu'ils ne correspondent pas aux attentes raisonnables de l'individu et/ou lorsqu'ils créent un risque résiduel important de préjudice grave.

Dans des décisions antérieures, le CPVP a conclu que le traitement de données de localisation peut nécessiter un consentement explicite dans certaines circonstances, par exemple lorsqu'elles sont utilisées pour présenter des publicités basées sur la localisation des individus, mais il a également reconnu que le consentement implicite peut être acceptable dans certaines situations, par exemple lorsque la localisation est nécessaire pour présenter des publicités s'adressant à un pays en question pour les utilisateurs de sites Internet. La décision récente illustre l'importance du niveau de détail des données de localisation et de la fréquence de la collecte dans la détermination de la forme du consentement.

Un autre aspect important en matière de consentement est l'information fournie aux individus afin d'obtenir un consentement valable lors de la collecte. Les lignes directrices du CPVP mentionnées précédemment suggèrent de mettre l'accent sur le type de renseignements personnels recueillis, les fins pour lesquelles les renseignements sont recueillis, les tiers avec lesquels les renseignements sont communiqués, et le risque de préjudice et les autres conséquences de la collecte pour les individus. Dans leur décision, les Commissariats ont relevé trois erreurs dans le processus mis en place par la chaîne de restauration rapide pour obtenir un consentement valable pour la collecte et l'utilisation de données de localisation détaillées par l'application:

  • Ne pas avoir informé les utilisateurs de certains éléments clés relatifs à l'étendue de la collecte, y compris le fait que l'application recueille des données de localisation détaillées même lorsqu'elle est fermée?;
  • Avoir fait des déclarations trompeuses sur la portée de la collecte, en soutenant notamment que l'application recueillait uniquement des données de localisation lorsqu'elle était ouverte?; et
  • Ne pas s'être assuré que les utilisateurs comprennent clairement les conséquences de leur consentement à la collecte des données de localisation détaillées, notamment le fait qu'ils seraient soumis à un suivi de localisation presque continu dès que leur appareil serait allumé.

Il est intéressant de noter que les Commissariats ont examiné de près le libellé de la demande d'autorisation des applications sous les versions Android et iOS. Ils ont constaté qu'étant donné que les utilisateurs n'auraient pas pu raisonnablement s'attendre à ce que l'application recueille leurs données de localisation lorsqu'elle était fermée, ce renseignement aurait dû être fourni de façon évidente et immédiate aux utilisateurs.

Enfin, les Commissariats ont conclu que l'entreprise n'avait pas obtenu un consentement manifeste, libre et éclairé pour la collecte, l'utilisation et la communication de renseignements personnels au sens de la des exigences spécifiques de la Loi sur le secteur privédu Québec. Ceci étant dit, nous notons que l'organisme de protection de la vie privée au Québec, la Commission d'accès à l'information, a déjà indiqué que le consentement n'est pas toujours nécessaire lorsque les renseignements personnels sont recueillis directement auprès des individus4.

Recommandation #3:

Forme du consentement. Afin de déterminer si un consentement explicite est nécessaire, les organisations qui recueillent des données de localisation doivent se demander si les renseignements sont sensibles (c.-à-d. en examinant le volume et le détail des données et la fréquence de collecte) et si l'utilisation prévue ne correspond pas aux attentes raisonnables des individus (ex. le suivi continu d'un utilisateur pour envoyer des publicités basées sur sa localisation précise).

Demande de consentement avec autorisation. Les organisations qui recueillent des données de localisation par le biais d'applications mobiles doivent s'assurer que la demande de consentement reflète précisément le fonctionnement réel de l'application et reste cohérente sur toutes les plateformes mobiles.

Impartition

Bien que ce ne soit pas le point central de leur décision, les Commissariats se sont dits préoccupés par les protections contractuelles prévues dans l'entente conclue avec le fournisseur de services de l'entreprise. En particulier, les Commissariats se sont opposés au langage «?vague et permissif?» concernant la façon dont le fournisseur de services peut utiliser ou communiquer les renseignements à ses propres fins, comme l'amélioration de ses services et la communication de données uniquement sous forme agrégée ou dépersonnalisée dans le cadre de ses activités. Bien que les Commissariats n'aient pas complètement fermé la porte à la possibilité pour un fournisseur de services de réutiliser des renseignements personnels à ses propres fins, ils ont établi certains paramètres sur la façon dont ces types de traitement doivent être effectués en pratique afin de se conformer aux lois canadiennes sur la protection des renseignements personnels.

Une organisation est généralement responsable des renseignements personnels qu'elle a en sa possession ou sous sa garde, y compris les renseignements communiqués à un fournisseur de services, et doit ainsi utiliser des moyens contractuels ou autres pour assurer un niveau de protection comparable pendant que les renseignements sont traités par un fournisseur de services5. Cela se traduit généralement par l'obligation de conclure avec le fournisseur de services une entente prévoyant des mesures de sécurité raisonnables et appropriées, compte tenu de la sensibilité des renseignements personnels traités6. Toutefois, les lois canadiennes sur la protection des renseignements personnels ne précisent pas les types de mesures contractuelles qui doivent être incluses dans une entente de protection des données, laissant cette question à la discrétion des Commissariats, qui ont rendu un certain nombre de décisions au cours des dernières années dans lesquelles ils exposent certaines de leurs attentes à cet égard7. Un aspect essentiel de cette entente est la limitation de la portée des opérations de traitement effectuées par le fournisseur de services, qui vise à empêcher toute utilisation ou communication non autorisées des renseignements transmis. En pratique, le fournisseur de services ne devrait être autorisé à traiter des renseignements personnels que pour le compte de l'organisation à laquelle il fournit ses services, car ce type de traitement bénéficie normalement d'une exception au consentement. Si le fournisseur de services souhaite traiter les renseignements à ses propres fins, les parties devront peut-être obtenir un consentement supplémentaire et s'assurer que ce traitement est correctement circonscrit par l'entente.

En l'espèce, les Commissariats ont signalé que le niveau de protection offert par I'entente en place entre la chaîne de restauration rapide et le fournisseur de services responsable de l'application était inadéquat compte tenu du volume et de la sensibilité potentielle des renseignements ainsi que du niveau de risque associé à l'«?écosystème actuel de suivi de la localisation?», qui augmentait le risque global d'utilisation ou de communication non autorisée des renseignements. En particulier, le langage vague et permissif et l'absence de définitions appropriées de concepts clés dans l'entente tels que «?renseignements personnels?» et «?renseignements dépersonnalisés?»8 laissaient la porte ouverte au fournisseur de services pour utiliser ou communiquer les données de localisation détaillées à ses propres fins, potentiellement sans obtenir un consentement préalable valable.

Recommandation #4: Dispositions contractuelles

Les Commissariats ont identifié des dispositions contractuelles qui devraient être mises en Suvre pour s'assurer que le traitement de renseignements personnels par un fournisseur de services pour ses propres fins (comme pour le développement et l'amélioration de ses produits ou services ou le développement de nouveaux produits ou services) demeure conforme aux lois canadiennes sur la protection des renseignements personnels:

  • Un langage clair et sans ambiguïté concernant la façon dont les renseignements personnels peuvent être utilisés ou communiqués par le fournisseur de services?;
  • Les termes utilisés dans l'entente (ex. «?renseignements personnels?» et «?renseignements dépersonnalisés?») doivent être clairement définis et conformes aux lois canadiennes sur la protection des renseignements personnels applicables?; et
  • Si un consentement supplémentaire est requis, les responsabilités de chaque partie pour s'assurer qu'un consentement valable est obtenu doivent être clairement identifiées.

Principe de responsabilité

Dans le cadre de leurs remarques finales, les Commissariats ont indiqué qu'après un examen général des pratiques de gouvernance des données de la chaîne de restauration rapide, ils ont conclu que plusieurs des manquements à la loi découlaient d'un non-respect du principe de responsabilité. Par exemple, l'entreprise a continué à recueillir des données de localisation détaillées et sensibles pendant plus d'un an sans utiliser ces renseignements à des fins commerciales définies. Les Commissariats ont noté que l'entreprise aurait pu éviter ses manquements si elle avait pris des mesures de protection de la vie privée « dès la conception » (privacy by design), notamment si elle avait effectué une évaluation des facteurs relatifs à la vie privée («?EFVP?») pour s'assurer que la collecte et l'utilisation continues des données étaient appropriées. En conséquence, les Commissariats ont recommandé à la société de réorganiser son programme de protection de la vie privée, afin d'inclure la réalisation d'EFVP lorsqu'elle envisage un nouvel outil ou une nouvelle pratique susceptibles d'avoir une incidence sur les renseignements personnels d'un individu ou sur sa conformité aux lois canadiennes sur la protection des renseignements personnels, et de veiller à ce que les caractéristiques de protection des renseignements personnels soient introduites directement dans la conception de ses produits.

Recommandation #5

Évaluations des facteurs relatifs à la vie privée. Les commentaires des Commissariats suggèrent que, bien qu'une EFVP ne soit pas exigée par toutes les lois canadiennes sur la protection des renseignements personnels, ils s'attendent néanmoins à ce que les organisations qui recueillent des renseignements sensibles, comme des données de localisation détaillées, soient en mesure de fournir de telles évaluations comme preuve des efforts déployés par l'organisation pour s'assurer que des pratiques adéquates sont en place.

Nouvelles exigences. N'oubliez pas que les modifications apportées par la Loi 64 à la Loi sur le secteur privé au Québec intégreront une exigence obligatoire d'EFVP ainsi qu'une exigence de transparence lors de la collecte de renseignements personnels à l'aide d'une technologie ayant des fonctions de localisation9. Consultez notre Guide de conformitépour plus de détails sur ces nouvelles exigences.

Conclusion

Avec les nouvelles lois sur la protection des renseignements personnels qui enteront progressivement en vigueur au Canada (Loi64 au Québec, réforme prochaine de la LPRPDÉ, etc.), des exigences plus strictes sont susceptibles de s'appliquer au traitement des données de localisation par le biais d'applications mobiles et de technologies similaires. Par exemple, en vertu des récentes modifications apportées à la Loi sur le secteur privé au Québec, qui entreront en vigueur en septembre 2023, une organisation qui recueille des renseignements personnels au moyen de technologies ayant des fonctions d'identification, de localisation ou de profilage doit informer les individus de l'utilisation de ces fonctions et des moyens disponibles pour les activer au préalable. En outre, l'organisation peut également être tenue d'ajuster les paramètres de confidentialité de certains produits ou services technologiques offerts au public afin que ces paramètres fournissent par défaut le plus haut niveau de confidentialité. Ainsi, les organisations devraient examiner attentivement leur programme de protection de la vie privée et s'assurer qu'une EFVP a été effectuée afin d'atténuer les risques liés à la protection des renseignements personnels et d'éviter des sanctions potentielles.

Vous pouvez compter sur l'équipe Cybersécurité, respect de la vie privée et protection des renseignements personnelsde BLG pour vous aider sur ces questions.

Footnotes

1 À savoir la Loi sur la protection des renseignements personnels dans le secteur privé du Québec («?Loi sur le secteur privé?»), la Personal Information Protection Act de l'Alberta («?AB PIPA?») et la Personal Information Protection Act de la Colombie-Britannique («?BC PIPA?»).

2 Article5(3)?LPRPDE?; article2?AB PIPA?; article2 BC PIPA et articles4 et 5 Loi sur le secteur privé.

3 Turner c. Telus Communications Inc. 2005CF1601, par. 39.

4 L'article6 de la Loi sur le secteur privé du Québec prévoit qu'un consentement est requis pour la collecte de renseignements personnels auprès de tiers. Voir Intact Assurance c. Commission d'accès à l'information du Québec2021 QCCQ1971. Voir aussi les déclarations faites dans la CAI, Projet de loi n°64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, Mémoire de la Commission d'accès à l'information présenté à la Commission des institutions dans le cadre des consultations particulières et auditions publiques, p.35?; et CAI, Rétablir l'équilibre, Rapport quinquennal2016, p.92.

5 Principe4.1.3 LPRPDE?; art. 5?AB PIPA?; et art. 4(2) BC PIPA

6 Principe4.7?LPRPDE?; art. 34?AB PIPA?; art. 34 BC PIPA; et art. 10 Loi sur le secteur privédu Québec.

7 Par exemple, voir les conclusions de la LPRPDE #2019-001?; les conclusions de la LPRPDE #2019-003?; les conclusions de la LPRPDE #2020-001.

8 La notion de «?renseignements dépersonnalisés?» n'est pas définie de façon uniforme dans les lois canadiennes sur la protection des renseignements personnels. Par exemple, en vertu des récentes modifications apportées à la Loi sur le secteur privé, le terme «?dépersonnalisé?» désigne des renseignements personnels qui «?ne permettent plus d'identifier directement la personne concernée?», ce qui s'apparente davantage à la pseudonymisation qu'à l'anonymisation (art. 12). En effet, en vertu de la Loi sur le secteur privé modifiée, le terme «?anonymisé?» désigne des renseignements personnels qui «?ne permettent plus, de façon irréversible, d'identifier directement ou indirectement la personne concernée?» (art. 23).

9 Voir les nouveaux articles3.3 et 8.1 de la Loi sur le secteur privé, qui entreront en vigueur le 22 septembre 2023.

About BLG

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.