COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, Rapport de conclusions d’enquête en vertu de la LPRPDE. Apple est sommée de fournir davantage de précisions sur l’utilisation et la communication des identifiants uniques d’appareils aux fins de publicité ciblée, no 2013-017, 20 novembre 2013

Leçons retenues

En général, on entend par « renseignements personnels » les renseignements sur une personne identifiable s’il y a une forte probabilité que la personne puisse être identifiée à l’aide de cette information ou en combinaison avec d’autres renseignements.
Une organisation est responsable des renseignements personnels dont elle a la garde.
La collecte, l’utilisation ou la communication de renseignements personnels doivent se faire au su et avec le consentement de la personne concernée.
La forme de consentement appropriée dépend, notamment, de la sensibilité des renseignements compte tenu du contexte et des attentes raisonnables de la personne visée.
Les organisations doivent faire un effort raisonnable pour s’assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de manière à ce que la personne puisse raisonnablement comprendre la façon dont les renseignements seront utilisés ou communiqués.

Dernière modification : le 12 novembre 2017 à 22 h 57 min.

Informations
Commentaires

Référence : COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, Rapport de conclusions d’enquête en vertu de la LPRPDE. Apple est sommée de fournir davantage de précisions sur l’utilisation et la communication des identifiants uniques d’appareils aux fins de publicité ciblée, no 2013-017, 20 novembre 2013

Date de la décision : 20 novembre 2013

Éléments intéressants pour la publicité comportementale en ligne

Dans cette affaire, le CPVP applique la définition de renseignement personnel de la LPRPDE en contexte de nouvelles technologies (parag. 17-21, 34-5 et 56): l’UDID – ie, l’identifiant unique d’appareil formé de 40 caractères alphanumériques, défini par Apple avant la vente de l’appareil iOS, et qui ne peut être effacé ou modifié – ainsi que l’AdID – un des trois identifiant remplaçant l’UDID à partir des appareils iOS 6 – furent considérés des renseignements personnels lorsqu’ils pouvaient être liés à d’autres informations détenues par Apple et ainsi permettre l’identification de l’utilisateur mais l’AdID n’est plus considéré comme un renseignement personnel à partir du moment où fut ajoutée la fonction «Réinitialer l’identifiant de publicité» qui permet l’anonymisation.

L'obligation de dénoncer le recours à la PCL aux utilisateurs (parag. 48-54) : le contrat de services en ligne doit contenir des explications détaillées et claires concernant la façon dont les identifiants sont utilisés à des fins de publicité ciblée et dont leur contenu est communiqué à des tiers. L’obligation de clarté concerne aussi la facilité à trouver les options de réglage des fonctions de confidentialité et de retrait du consentement à la publicité ciblée.

Le consentement à la PCL (parag. 39) : l’existence d’une possibilité de retrait du consentement à la PCL peut être une condition de validité d'un consentement de type implicite.

Enjeux juridiques de la publicité comportementale

Un site utilisant la plateforme OpenUM.ca

Loi sur la protection des renseignements personnels et les documents électroniques

Règlement précisant les renseignements auxquels le public a accès

Loi sur la protection des renseignements personnels dans le secteur privé

Loi sur la concurrence

Loi sur la protection du consommateur, Québec

Règlement d'application de la Loi sur la protection du consommateur, Québec

Loi sur la protection du consommateur, Ontario

Règlement de l’ontario 17/05

Loi canadienne anti-pourriel

Règlement sur la protection du commerce électronique

Privacy Act (BC)

Loi sur les télécommunications