Les données personnelles des Canadiens doivent être protégées

La semaine dernière, le commissaire à la protection de la vie privée, Philippe Dufresne, a publié un rapport détaillant comment le géant de la rénovation Home Depot avait vendu les renseignements personnels de ses clients à Meta, société propriétaire de Facebook et d’Instagram, sans leur consentement et à leur insu. Les données transmises comprenaient des détails sur les clients provenant de reçus électroniques, à savoir des adresses électroniques codées et des informations sur les achats en magasin. S’il peut être légitime de transmettre ce genre d’information à d’autres entreprises, cela nécessite néanmoins le consentement actif des utilisateurs, conformément à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

Ce n’était pas le cas. Home Depot a indiqué au commissaire à la protection de la vie privée qu’elle croyait avoir le consentement tacite des utilisateurs, puisque la déclaration de confidentialité affichée sur son site Web explique que l’entreprise utilise des « renseignements dépersonnalisés à des fins commerciales internes, notamment dans le cadre des activités du Marketing, du Service à la clientèle et de l’Analyse commerciale ». M. Dufresne a conclu que ces explications étaient insuffisantes pour obtenir le consentement des clients. Home Depot a toutefois invoqué une « lassitude du consentement » pour justifier le fait qu’elle n’informait pas les clients de cette pratique au passage à la caisse.

Cette décision fait suite à d’autres cas récents d’entreprises qui vendent des données personnelles, négligent de les protéger une fois qu’elles les ont en leur possession ou suivent des personnes sans leur consentement. Vous vous souviendrez peut-être que Tim Hortons a également été réprimandé par le commissaire à la protection de la vie privée cet été, parce que son application suivait et enregistrait les mouvements des clients, même lorsqu’elle n’était pas en cours d’exécution.

Dans les deux cas, les sanctions infligées à ces entreprises sont négligeables, voire inexistantes. Home Depot doit maintenant s’abstenir de fournir à Meta les données de ses clients, et ce, jusqu’à ce qu’elle ait mis en place des systèmes permettant d’obtenir un consentement direct. Tim Hortons a dû supprimer les données de localisation des clients recueillies par l’application, ainsi qu’établir et maintenir un programme de gestion de la vie privée. Pas d’amende, pas d’autre sanction, tant que ces entreprises acceptent de renforcer leurs politiques de protection de la vie privée.

La confidentialité numérique et la protection des données ne sont pas des concepts nouveaux dans le grand ordre des choses. Facebook et YouTube sont là depuis près de 20 ans, et les courriels sont devenus monnaie courante une bonne décennie plus tôt. Mais ni le gouvernement libéral actuel ni l’ancien gouvernement conservateur n’ont fait quoi que ce soit de notable pour protéger les données des utilisateurs contre le type de pratiques employées par Home Depot et Tim Hortons. Bien que la LPRPDE et la Loi canadienne anti-pourriel (LCAS) offrent un point de départ, de toute évidence, les entreprises ne s’inquiètent pas trop de savoir si elles enfreignent ces lois, car les sanctions sont minimes.

Les Canadiens s’inquiètent à juste titre pour leur vie privée, leur sécurité et leurs droits de consommateurs. Il est temps de créer une Charte canadienne du numérique qui protège les données des gens. Il faudrait notamment renforcer les pouvoirs du commissaire à la protection de la vie privée, pour qu’il puisse faire respecter les ordonnances et imposer des amendes et des pénalités aux grandes entreprises en cas de violation potentielle des données. Il ne suffit pas de prendre les entreprises au mot lorsqu’elles affirment que « cela ne se reproduira plus ». Nous devons veiller à ce qu’elles protègent les données personnelles qu’elles reçoivent avec le plus grand soin, sous peine de subir des conséquences réelles et graves. Tant que l’utilisation abusive des données personnelles n’aura pas porté atteinte à leurs résultats financiers, les entreprises ne prendront pas la protection des données au sérieux.

La sécurité numérique et la vie privée doivent l’emporter sur les profits des entreprises. Les Canadiens méritent d’avoir la certitude que leurs données ne sont utilisées qu’aux fins auxquelles ils ont consenti.