Nouvelles lignes directrices du Commissariat à la vie privée – un RGPD allégé?

8 août 2018 | David Young, associé principal, David Young Law

Le 24 mai dernier, le Commissariat à protection de la vie privée du Canada (CPVP) a publié un guide important en vertu de la loi canadienne sur la vie privée, la Loi sur la protection des renseignements personnels et des documents électroniques (LPRPDE). Ces Lignes directrices pour l’obtention d’un consentement valable, qui entreront en vigueur le 1er janvier 2019, sont importantes et obligeront toutes les entreprises à réviser – et fort probablement renforcer – leurs procédures d’obtention du consentement à la collecte et à l’utilisation des renseignements personnels. Plus important encore, ces lignes directrices augmentent le degré de contrôle que pourront exercer les utilisateurs et se concentre sur la collecte et l’utilisation de l’information des données dans les environnements numériques.
Les lignes directrices exposent « Sept principes directeurs pour le consentement valable » et identifient quelles directives seront considérées comme obligatoires et lesquelles seront plutôt vues comme des pratiques souhaitables, les premières ayant force de loi.

Le contexte
La publication de ces lignes directrices constitue la dernière d’une série d’événements dont les médias ont fait grand état ce printemps et, bien qu’elles ne répondent pas directement à aucun d’entre eux, on ne peut que les voir comme faisant partie d’une politique d’ensemble visant à rendre le respect de la loi sur la vie privée plus contraignant et la non-conformité plus coûteuse. À la suite des révélations de mars dernier concernant Facebook et Cambridge Analytica et l’entrée en vigueur en mai du Règlement général sur la protection des données (RGPD) en Europe, le gouvernement fédéral a signalé son intérêt pour la protection des données des consommateurs avec ses Consultations nationales sur le numérique et les données.Par ailleurs, on a vu à la fin juin, le dépôt d’un projet de loi privé prévoyant imposer de lourdes amendes en cas d’infractions relatives à la vie privée. Les lignes directrices représentent aussi l’aboutissement de plus de deux ans de consultations auprès des groupes concernés par le CPVP à propos du rôle et de la viabilité du consentement tel que le définit la LPRPDE. Les pressions imposées au modèle de consentement actuel par la technologie, et plus particulièrement les données numériques et les fonctions de technologie publicitaire, ont servi de trame de fond à ces consultations. Dans son rapport au gouvernement, le CPVP a conclu que le consentement devrait rester au centre du cadre canadien de protection de la vie privée, mais que la situation actuelle exige des processus améliorés (lire plus rigoureux), une surveillance active et la supervision des organismes de règlementation.

Les conséquences du RGPD
Ce n’est pas tout à fait une coïncidence si les lignes directrices ont été publiées le jour avant l’entrée en vigueur du RGPD qui, en raison de sa portée extraterritoriale, s’applique maintenant aux entreprises multinationales, peu importe où elles sont établies. Avec la publication prévue l’an prochain d’une nouvelle règlementation européenne sur la vie privée et les médias électroniques, le RGPD obligera les entreprises à évaluer et à renforcer leurs pratiques en matière de collecte des données. Cela aura des conséquences sur les médias numériques et sur la cueillette des données en ligne. Selon le RGPD, le consentement doit désormais être fourni activement, de manière précise, informée et sans ambigüités. L’inaction, les boîtes pré-cochées ou le défaut de se retirer ne suffisent plus à obtenir un consentement valable. L’utilisation prévue des données recueillies doit, de surcroît, être expliquée clairement, simplement et de manière compréhensible.

Dans une grande mesure, les Lignes directrices pour l’obtention d’un consentement valable sont alignées sur le RGPD. Ce qui importe pour l’industrie de la publicité et les technologies publicitaires en particulier est qu’elles exigent des processus de consentement en ligne beaucoup plus rigoureux. Elles obligent aussi de souligner explicitement les éléments d’information clés et exigent que la divulgation de l’information se fasse de façon accessible et facile à gérer. Elles imposent d’offrir un choix clair (oui/non) pour les utilisations de l’information recueillie autres que la transaction principale avec le consommateur ou l’utilisateur (les « utilisations secondaires », qui servent à la plupart, sinon à la totalité, du suivi en ligne). Plus précisément, pour tout suivi ou autre collecte de renseignements personnels, l’annonceur doit souligner :

  • Les renseignements personnels recueillis;
  • Les personnes à qui ces données seront divulguées; et
  • Leur utilisation prévue, décrite de manière suffisamment détaillée pour être compréhensible.

Il est clair que ces lignes directrices entraîneront des ajustements significatifs aux processus de collecte de renseignements et aux protocoles de suivi. De plus, la nouvelle exigence de divulgation de l’importance des risques de dommages financiers, émotionnels ou à la réputation découlant de toute autorisation d’utilisation des données devrait imposer une nouvelle contrainte sur les pratiques de collecte générale.

Les conséquences pour les annonceurs et les technologies publicitaires
Même avant l’entrée en vigueur du RGPD, la collecte d’information en ligne au moyen de fichiers témoins (cookies), de GIF et d’autres technologies similaires était réglementée de façon beaucoup plus rigoureuse dans l’UE qu’au Canada et aux États-Unis. La Directive sur la vie privée et les documents électroniques actuelle de l’UE (souvent appelée la « directive sur les cookies ») oblige la divulgation active de tout suivi des utilisateurs, habituellement par la voie de fenêtres popup offrant la possibilité de retrait. Il est fort plausible que ces mesures ne soient pas suffisantes selon les nouvelles règles du RGPD ou de l’éventuelle règlementation sur la vie privée et les documents électroniques. La divulgation proactive des renseignements recueillis et de leur utilisation prévue sera non seulement obligatoire, mais il faudra probablement inclure un mécanisme d’autorisation.

Pour démontrer le respect du RGPD, on doit pouvoir fournir des preuves de consentement à toutes les étapes de l’utilisation des données – y compris dans l’écosystème de la publicité numérique. Comment peut-on y arriver? Une technique considérée est la « chaîne de consentement », soit un code numérique ajouté à une enchère d’annonce pour décrire l’état de consentement des données utilisées par le fournisseur de technologie publicitaire.

Même elles n’imitent pas intentionnellement le RGPD, les lignes directrices sur le consentement pousseront clairement le Canada dans cette direction. Pour les annonceurs et leurs agences de technologies publicitaires, qui opèrent sur la scène mondiale et qui sont désormais soumis au RGPD, respecter les Lignes directrices sur le consentement pourrait donc ne pas être si onéreux, puisque les préparatifs visant à respecter les nouvelles règles de l’UE sont déjà amorcés.