COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, Résumé de conclusions d’enquête en vertu de la LPRPDE. Communication alléguée sans consentement de renseignements personnels pour des fins secondaires de marketing par une banque, no 2002-83, 16 octobre 2002

Conclusions du commissaire
Rendues le 16 octobre 2002

«Le principe 4.3 stipule que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire. Le principe 4.3.2 stipule que les organisations doivent faire un effort raisonnable pour s'assurer que la personne est informée des fins auxquelles les renseignements seront utilisés; pour que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués. Le principe 4.3.3 stipule qu'une organisation ne peut pas, pour le motif qu'elle fournit un bien ou un service, exiger d'une personne qu'elle consente à la collecte, à l'utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires pour réaliser les fins légitimes et explicitement indiquées. Le principe 4.3.5 stipule que dans l'obtention du consentement les attentes raisonnables de la personne sont pertinentes. Le paragraphe 5(3) stipule qu'une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu'à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances.

Le commissaire a conclu que les attentes du client décrites dans sa plainte sont raisonnables et conformes à la Loi.

Le commissaire a fait les conclusions suivantes au sujet de la question du consentement :

Les informations dans la documentation de la banque ne représentent pas un effort raisonnable d'informer clairement les clients individuels de la banque des motifs d'utilisation ou de communication de leurs renseignements personnels.
Les renseignements dans la documentation sont rédigés en termes tellement vagues qu'ils sont presque incompréhensibles, à moins qu'on les interprète comme voulant dire que la banque a l'intention d'utiliser les renseignements personnels comme bon lui semble et de les communiquer à qui elle veut. Le commissaire signale qu'aucune personne raisonnable ne s'attendrait et ne jugerait approprié qu'on utilise ainsi ses renseignements personnels, peu importe les circonstances.
Le document de la banque sur sa politique de protection de renseignements personnels est rédigé en termes trop vagues et, quoi qu'il en soit, il ne peut être utilisé comme preuve de consentement, puisqu'il n'est pas distribué aux clients individuellement et n'est donc pas à porté de main pour leur permettre de s'y référer avant de prendre une décision d'autoriser ou non la communication de leurs renseignements personnels.
Le message communiqué aux personnes qui soumettent une demande par téléphone est trop vague et ne dit pas grand-chose.
Les renseignements figurant sur le formulaire de demande de carte de crédit sont rédigés en jargon juridique incompréhensible et imprimés en caractères tellement petits qu'ils sont difficiles à lire.
La banque n'avertit pas convenablement ses clients que certains produits et services fournis en son nom entraîneront la communication de leurs renseignements personnels à des tiers fournisseurs de ces produits et services.

Comme la documentation en question est inadéquate, le commissaire a conclu que la banque enfreint le principe 4.3.2 de l'annexe 1 de la Loi. Cette documentation n'étant pas suffisante pour confirmer un consentement quelconque, le commissaire estime aussi que la banque viole le principe 4.3.

Il faut aussi forcément conclure qu'en utilisant la documentation en question, la banque oblige en fait les personnes souhaitant utiliser ses produits et services à donner leur consentement à recueillir, utiliser et communiquer leurs renseignements personnels pour d'autres fins que celles qui sont expressément nécessaires pour fournir les produits et services en question. Le commissaire juge donc que la banque n'observe pas le principe 4.3.3.

Le commissaire est également convaincu qu'une personne raisonnable n'accepterait jamais la collecte, l'utilisation ou la communication de ses renseignements personnels à des fins secondaires, telles qu'indiqué dans la documentation, sans l'en informer et sans son consentement. Par conséquent, la banque n'a pas respecté l'article 5 (3) de la Loi.

En dernier lieu, en ce qui a trait aux procédures de refus de consentement, le commissaire a constaté que l'omission par la banque de fournir aux clients un moyen pratique, immédiat et facile de refuser qu'elle divulgue les renseignements personnels ne cadre pas avec les attentes raisonnables des gens quant à la pertinence d'une telle demande de consentement tel qu'établi au principe 4.3.5.»

Dernière modification : le 12 novembre 2017 à 23 h 04 min.

Référence : COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, Résumé de conclusions d’enquête en vertu de la LPRPDE. Communication alléguée sans consentement de renseignements personnels pour des fins secondaires de marketing par une banque, no 2002-83, 16 octobre 2002

Date de la décision : 16 octobre 2002

Éléments intéressants pour la publicité comportementale en ligne

La cueillette, l’utilisation et la communication de renseignements personnels à des fins de marketing : cette fin n'est pas «nécessaire» à la fourniture d’une service de cartes de crédit au sens du principe 4.3.3. Ainsi, inclure une clause de consentement dans le contrat de service en fait une condition de service, ce qui contrevient au même principe.

Articles cités

La décision sur le caractère nécessaire fut réaffirmée dans : COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, Résumé de conclusions d’enquête en vertu de la LPRPDE. Les nouveaux clients d’une carte de crédit doivent consentir à l’utilisation ou à la communication de renseignements personnels à des fins de marketing secondaire, no 2003-238, 4 décembre 2003, en ligne : <https://www.priv.gc.ca/fr/mesures-et-decisions-prises-par-le-commissariat/enquetes/enquetes-visant-les-entreprises/2003/lprpde-2003-238/>.

Enjeux juridiques de la publicité comportementale

Un site utilisant la plateforme OpenUM.ca

Loi sur la protection des renseignements personnels et les documents électroniques

Règlement précisant les renseignements auxquels le public a accès

Loi sur la protection des renseignements personnels dans le secteur privé

Loi sur la concurrence

Loi sur la protection du consommateur, Québec

Règlement d'application de la Loi sur la protection du consommateur, Québec

Loi sur la protection du consommateur, Ontario

Règlement de l’ontario 17/05

Loi canadienne anti-pourriel

Règlement sur la protection du commerce électronique

Privacy Act (BC)

Loi sur les télécommunications

COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, Résumé de conclusions d’enquête en vertu de la LPRPDE. Communication alléguée sans consentement de renseignements personnels pour des fins secondaires de marketing par une banque, no 2002-83, 16 octobre 2002