Cookies et vie privée: ce que toute organisation devrait savoir

22 Juin 2022 Cookies

Cookies et vie privée: ce que toute organisation devrait savoir

Pour ceux et celles qui auront été présents à la conférence Tendances marketing numérique le 15 juin dernier, vous en aurez peut-être beaucoup appris sur l’utilisation légale que l’on puisse faire des cookies en marketing numérique. Nos conférencières à l’événement et avocates chez ROBIC, Caroline Jonnaert, également agente de marques et associée, et Élisabeth Lesage-Bigras, nous présentent ici deux lois à ne pas négliger pour préserver sa réputation organisationnelle.

Lois applicables

Principale législation et projets de loi

Il n’existe pas de législation portant spécifiquement sur les témoins de connexion au Québec. Par conséquent, les témoins de connexion sont réglementés dans cette province par :

  • la Loi canadienne anti-pourriel;
  • les lois sur la protection des renseignements personnels (collectivement, les « Lois applicables »).

Loi anti-pourriel
La Loi canadienne anti-pourriel (la « LCAP ») est actuellement la seule loi qui mentionne ou régit expressément l’utilisation des témoins de connexion et autres technologies similaires.

Caroline Jonnaert
CAROLINE JONNAERT, AVOCATE, AGENTE DE MARQUE ET ASSOCIÉE, ROBIC

Lois sur la protection de la vie privée
Dans la province de Québec, la principale législation responsable de la protection des données dans le secteur privé est la Loi sur la protection des renseignements personnels dans le secteur privé. La Loi s’applique à la collecte, à l’utilisation et à la communication de renseignements personnels dans la province par toute personne qui exploite une entreprise. La Loi est jugée « essentiellement similaire » à la loi fédérale, la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »), qui s’applique aux organisations du secteur privé au niveau fédéral, mais aussi lorsque les renseignements personnels sont divulgués au-delà des frontières provinciales ou internationales. Il convient de noter que le Projet de loi 64 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels), une importante réforme législative, a été adopté dans la province de Québec le 22 septembre 2021. Le Projet de loi 64 modifiera de façon substantielle le régime de protection des renseignements personnels régissant les secteurs privé et public. Le présent article a été rédigé en tenant compte des changements qui seront introduits par cette réforme législative en ce qui concerne l’utilisation des témoins de connexion dans le secteur privé.

Élisabeth Lesage-Bigras
ÉLISABETH LESAGE-BIGRAS, AVOCATE, ROBIC

Jusqu’à présent, la jurisprudence n’a pas eu à déterminer si les témoins de connexion se qualifient de « renseignements personnels » et sont assujettis aux lois sur la protection des renseignements personnels. En revanche, les autorités en charge de l’application de ces lois ont publié des lignes directrices dans lesquelles elles abordent le sujet. Spécifiquement, le Commissariat à la protection de la vie privée du Canada (le « CPVP ») a publié la « Position de principe sur la publicité comportementale en ligne » qui prévoit que le CPVP considérera généralement que les renseignements recueillis à des fins de publicité comportementale sont des « renseignements personnels ». De manière analogue, la Commission d’accès à l’information du Québec (la « CAI ») prévoit que les entreprises qui utilisent des systèmes de profilage et de publicité ciblée sur Internet sont assujetties à la Loi. Il convient également de noter que, sans préciser si les témoins de connexion constituent des « renseignements personnels », le Projet de loi 64 contient une disposition spécifique sur le « profilage » et les témoins, tel qu’expliqué plus loin.

Lignes directrices des autorités

Au Québec, l’autorité chargée de veiller à l’application de la Loi est la CAI. La CAI a publié en 2013 un guide intitulé « Le profilage et la publicité ciblée »[12], qui porte plus particulièrement sur le profilage et la publicité ciblée. Bien que le sujet de ces lignes directrices soit pertinent aux fins du présent article, il n’offre pas d’informations spécifiques sur la façon de réglementer l’utilisation des témoins de connexion ou autres technologies similaires, et vise davantage à informer le public sur le marketing direct et la publicité ciblée.

Le régime législatif du Québec est complété par des lignes directrices fédérales émanant : (i) du CPVP en ce qui concerne la LPRPDE; et (ii) du Conseil de la radiodiffusion et des télécommunications canadiennes (le « CRTC ») en ce qui concerne la LCAP.

Jurisprudence

Il n’existe actuellement aucune jurisprudence pertinente portant sur les témoins de connexion et les technologies similaires au Canada, y compris dans la province de Québec.

Définitions

Il n’y a pas de définition de « témoins de connexion » ou de technologies similaires dans les textes de loi s’y rapportant (y compris dans le Projet de loi 64), et la jurisprudence n’a pas encore interprété ce concept. Cependant, les « témoins de connexion » s’entendent généralement de petits éléments de texte qui sont placés sur un ordinateur, un appareil mobile, une tablette ou un autre appareil, lors de l’utilisation d’un navigateur pour visiter un service en ligne. Ils sont activés par l’opérateur d’un site web et peuvent être définis par cet opérateur (les « témoins propriétaires ») ou par un tiers (les « témoins tiers »). Les témoins sont généralement classés selon leurs fonctions, à savoir :

  • Les témoins de connexion dits « essentiels » sont indispensables pour qu’un site web soit opérationnel ; ils comprennent notamment les témoins de session qui permettent aux individus de rester connectés lorsqu’ils naviguent sur le site web ;
  • Les témoins de connexion dits « non essentiels » ne sont pas nécessaires au bon fonctionnement du site web ; ils comprennent notamment les témoins de fonctionnalité, de performance et de ciblage.

Selon leurs fonctions et des données qu’ils recueillent, les témoins de connexion peuvent être soumis à des exigences légales spécifiques, notamment en matière de consentement et de transparence.

Consentement et politique en matière de témoins de connexion

Consentement

Il n’existe pas de directives claires sur le consentement à l’utilisation de témoins de connexion dans la province de Québec. Toutefois, à la lumière des Lois applicables, y compris les lignes directrices pertinentes, la forme de consentement que les entreprises devront obtenir variera vraisemblablement en fonction du type de témoins dont il est question.

  • Loi anti-pourriel

En vertu de la LCAP, une personne est réputée avoir consenti à l’installation d’un témoin de connexion si son comportement est tel qu’il est raisonnable de croire qu’elle y consent. À cet égard, le CRTC prévoit que « si la personne désactive les témoins de connexion dans son navigateur, vous ne seriez pas réputé avoir le consentement d’implanter des témoins de connexion ». Il n’existe cependant aucune indication claire sur la conduite qui serait considérée comme « raisonnable » pour présumer du consentement.

  • Lois sur la protection des renseignements personnels

De manière générale, les lois sur la protection des renseignements personnels exigent un consentement pour collecter, utiliser et divulguer des renseignements personnels. En fonction de certains facteurs, tels que la sensibilité des renseignements concernés, ce consentement peut être exprès ou implicite. À cet égard, le CPVP considère que le consentement implicite pour les témoins de suivi et de ciblage n’est valable que pour certains cas spécifiques. Il n’existe pas de lignes directrices similaires dans la province de Québec. Cependant, la Loi prévoit des exigences générales pour qu’un consentement soit valide, et le Projet de loi 64 comporte des dispositions spécifiques à l’utilisation de témoins de connexion et de technologies similaires.

Plus particulièrement, la Loi prévoit que le consentement doit être « manifeste, libre, éclairé et être donné à des fins spécifiques ». La CAI a reconnu que ce consentement peut être explicite ou implicite selon les circonstances. Le Projet de loi 64 ouvre la porte au consentement implicite pour certains témoins de connexion. En effet, selon le projet de loi, les paramètres des produits ou services technologiques doivent assurer par défaut le plus haut niveau de confidentialité aux utilisateurs ; or, cette exigence ne s’applique pas aux témoins de connexion. Le projet de loi prévoit par ailleurs que toute fonction d’identification, de localisation ou de profilage doit être désactivée par défaut, ce qui signifie que les personnes doivent pouvoir consentir à ces fonctions par le biais d’un mécanisme d’acceptation. Ainsi, les témoins de connexion qui n’incluent pas de fonctions d’identification, de localisation ou de profilage (par exemple, les témoins de connexion dits « essentiels ») sont probablement exemptés de l’obligation de consentement. Néanmoins, puisque ces amendements viennent tout juste d’être adoptés par le gouvernement, ils demeurent encore sujets à interprétation.

Politique en matière de témoins

Les Lois applicables sur le sujet n’exigent pas spécifiquement que les entreprises adoptent une politique en matière de témoins de connexion. Toutefois, sur la base de l’obligation générale de transparence prévue par les lois sur la protection des renseignements personnels, les entreprises sont tenues de divulguer des informations spécifiques sur l’utilisation des renseignements personnels qu’elles collectent.

Plus particulièrement, la Loi stipule que les entreprises sont tenues d’informer les personnes concernées, avant ou au moment de la collecte, des mentions suivantes :

  • l’objet et les finalités de la collecte ;
  • l’utilisation prévue ;
  • les catégories de personnes au sein de l’entreprise qui auront accès à leurs renseignements personnels;
  • le lieu où seront conservés leurs renseignements personnels;
  • leur droit d’accès et de rectification.

En sus de ce qui précède, le Projet de loi 64 impose davantage de transparence, notamment en ce qui concerne les « technologies de suivi » ou autres technologies permettant aux personnes concernées d’être identifiées, localisées ou de faire l’objet d’un profilage (comme c’est souvent le cas avec les témoins de connexion et autres technologies similaires).

Plus précisément, la Loi amendée exigera que les personnes soient informées :

  • du recours à ces technologies par l’entreprise;
  • des moyens utilisés pour activer ces fonctions.

Il convient également de noter qu’à partir du 22 septembre 2023, les entreprises seront tenues de publier ces informations sur leur site Internet ou de les rendre disponibles par tout autre moyen approprié.

Témoins de connexion et tiers

Accès par des tiers

Les entreprises sont responsables des renseignements personnels en leur possession, y compris lorsque ces renseignements ont été transférés à une tierce partie.

Témoins tiers

Les Lois applicables ne donnent aucune directive sur les témoins de connexion tiers, y compris sur la façon d’obtenir le consentement à leur utilisation. Cependant, le CPVP a exprimé des inquiétudes quant à l’utilisation de ces témoins, car ils « impliquent des tiers inconnus et s’exécutent à votre insu ou sans votre consentement ».

Conservation des témoins de connexion

Les Lois applicables ne traitent pas spécifiquement de la conservation des témoins de connexion. En revanche, les lois sur la protection des renseignements personnels imposent généralement des limites à la durée de conservation des renseignements personnels. Par exemple, la LPRPDE exige que la collecte, l’utilisation et la divulgation des renseignements personnels soient limitées à la mesure où elles sont consenties et nécessaires pour atteindre les fins énoncées dans le consentement. De même, la Loi prévoit que les renseignements personnels peuvent être conservés aussi longtemps que les fins convenues ne sont pas encore atteintes. Une fois que les renseignements personnels ne sont plus nécessaires à l’atteinte des fins énoncées, ils doivent être détruits ou anonymisés, sous réserve des exemptions prévues par la Loi. Il est également important de noter que le Projet de loi 64 impose l’adoption d’une politique sur la conservation des renseignements personnels et la publication d’informations détaillées sur les pratiques des entreprises, en termes clairs et simples, sur leur site Internet.

Pénalités

Les sanctions en cas de non-respect des lois sur la protection des renseignements personnels varient et peuvent inclure des amendes, des ordonnances ainsi que des dommages réputationnels. Par exemple, la Loi prévoit actuellement à l’article 91(1)1 qu’un premier contrevenant sera contraint de payer une amende allant de 1 000 à 10 000$ pour avoir enfreint la Loi. En cas de récidive, cette même personne sera passible d’une amende allant de 10 000 à 20 000$.

Cependant, à partir du 22 septembre 2023, de nouvelles sanctions et de pénalités entreront en vigueur. Plus précisément, le Projet de loi 64 ajoutera des sanctions administratives en sus des sanctions pénales mentionnées précédemment, augmentera considérablement le montant des amendes et fera une distinction entre les infractions commises par des particuliers et celles commises par des entreprises.

Vous souhaitez en apprendre davantage? Visitez le site de ROBIC.