Une des innovations les plus frappantes de la digitalisation des activités de démarchage et de commercialisation des entreprises est la capacité de cibler des groupes d'individus afin de livrer du matériel publicitaire pertinent, et au bon moment. La publicité ciblée est certainement l'une des formes de profilage les plus répandues, bien que le profilage puisse être utilisé dans d'autres situations. Simplement résumé, le profilage est l'analyse et la prédiction d'un comportement sur la base de renseignements personnels.
Des exemples de profilage automatisé incluent :
- Le prix d'un produit basé sur les intérêts, la fiabilité, le comportement et la localisation d'une personne physique;
- Une présentation de produits basés sur l'historique d'achat, la situation économique, les préférences et les intérêts d'un consommateur;
- La création de profils en ressources humaines basés sur le rendement au travail, les statistiques d'usage des technologies et d'autres attributs collectés automatiquement par des outils de travail;
- Et bien évidemment, le fameux dossier de crédit des consommateurs basé sur la santé financière, les achats et le taux d'endettement, par exemple.
Certains types de profilages ont d'ores et déjà des limites règlementaires importantes. Par exemple, la jurisprudence a établi qu'une prime d'assurance doit être basée sur des preuves actuarielles afin de ne pas être discriminatoire[1]. À cet ensemble de règles, il faudra rajouter les obligations résultant des amendements suggérés à la loi par le Projet de loi 64.
Qu'est-ce que le profilage sous le Projet de loi 64?
En fait, la définition retenue par le Projet de loi 64 est presque entièrement calquée sur le Règlement de protection des données personnelles (le « RGPD »), soit :
« la collecte et l'utilisation de renseignements personnels afin d'évaluer certaines caractéristiques d'une personne physique, notamment à des fins d'analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne. » [2]
Il convient de noter l'utilisation des mots « collecte » et « utilisation », ce qui exclut la « communication » des renseignements personnels. En conséquence, lorsque la collecte a lieu au profit d'un tiers, c'est l'utilisateur final qui devra s'assurer de respecter les obligations de la Loi.
Les nouvelles obligations relatives au profilage sont proposées à la fois pour les organismes publics et pour les entreprises privées.
Quelles nouvelles obligations sont suggérées par le Projet de loi 64 ?
Avant d'utiliser des technologies permettant le profilage d'un individu, deux exigences doivent être considérées :
- Informer la personne sujette à ce traitement de l'utilisation d'une telle technologie;
- Informer la personne sujette à ce traitement des moyens offerts, le cas échéant, afin de désactiver les fonctions permettant le profilage.
Le droit de désactiver les fonctions de profilage devra être analysé à la lumière du modèle d'affaire de services « gratuits » offerts en retour de la possibilité de faire du profilage, notamment pour des fins de ciblage publicitaire.
Est-ce qu'une telle entreprise pourra refuser d'offrir le service dans de telles circonstances à la lumière de l'article 9 de la Loi sur le secteur privé actuelle qui limite la possibilité d'exiger la collecte d'un renseignement personnel afin d'offrir un service?
Nous notons que les obligations énumérées ci-haut s'étendent également à toute technologie permettant d'identifier ou de localiser un individu, en plus du profilage.
Au sujet de l'identification, on peut concevoir des difficultés pratiques d'application. Par exemple, des algorithmes prédictifs peuvent identifier des individus, mais seulement avec l'utilisation des renseignements personnels. Dans ce cas-ci, est-ce que c'est la technologie qui identifie l'individu, ou bien l'individu qui s'identifie en fournissant ses renseignements? Est-ce que cette distinction est pertinente? Ces nuances devront être clarifiées afin de savoir quelle est la portée de ces nouveaux articles.
En plus des moyens pour désactiver les fonctions de profilage, il faut rappeler que les individus profiteraient également des droits suivants suite aux amendements :
- L'individu a le droit de retirer son consentement au traitement des données;
- Par exemple, le consentement doit être manifeste et express dès lors que le traitement suscite un « haut degré d'attente raisonnable en matière de vie privée », de sorte que dans ce cas, l'individu doit consentir avant.
- Par défaut, les paramètres des produits et services technologiques doivent avoir le plus haut niveau de confidentialité sans intervention de la personne concernée.
En pratique, les entreprises devront revoir leurs pratiques, incluant au sujet des témoins de connexion (les fameux cookies)!
Témoins de connexion, profilage et consentement : quoi comprendre?
Dans plusieurs cas, le profilage électronique a lieu par le biais de témoins de connexion ou technologies de profilage similaire. Il s'agit de petits fichiers qui permettent de compiler différents attributs relativement au comportement des internautes en ligne, comme leurs habitudes de consommation, centres d'intérêts et heures d'activité en ligne.
Suivant les évolutions jurisprudentielles et législatives dans d'autres juridictions, il est à prévoir que la publicité ciblée et d'autres formes de profilage et/ou traitement automatisé seront considérés comme des traitements sensibles. Le cas échéant, un consentement explicite sera exigé.
De toute façon, même dans les cas où le traitement n'est pas sensible, les services technologiques devront avoir le plus haut niveau de confidentialité sans intervention de la personne concernée. Le cas échéant, il semble que l'installation des témoins de connexion de publicité ciblée ne pourra se faire sans un acte positif quelconque de la personne concernée, puisque le paramètre doit être confidentiel par défaut.
Ces interprétations seront à confirmer, toutefois, l'avenir pourrait mener à l'apparition de bandeaux de consentement pour les témoins de connexion de publicité ciblée.
Il sera intéressant de suivre l'interaction entre les règles découlant de la loi fédérale anti pourriel qui est appliquée et interprétée par le Conseil de la radiodiffusion et des télécommunications canadiennes et les interventions de la Commission d'accès à l'information au sujet des obligations relatives au profilage.
Quelques conseils pratiques…
- Préparez un inventaire des traitements de renseignements personnels conduits par votre organisation;
- Identifiez les traitements de renseignements personnels qui pourraient constituer du profilage ainsi que les renseignements personnels utilisés à cette fin;
- Déterminez comment le consentement, son retrait et les paramètres par défaut devront être implémentés;
- Modifiez votre politique de confidentialité;
- Assurez-vous de vérifier si le profilage mène à une décision fondée exclusivement sur un traitement automatisé des renseignements personnels.
|
CENTRE DE RESSOURCES PL64 - Découvrez notre centre de ressources dédié au Projet de Loi 64regroupant toutes les informations que vous devez savoir pour faire face aux changements qui pourraient être apportés à la législation. LISTE DE DISTRIBUTION - Pour ne pas manquer nos prochains bulletins, notre webinaire de formation et toutes autres informations pertinentes à ce sujet, inscrivez-vous dès maintenant sur notre liste de distribution. |
[1] Voir notamment Zurich Insurance Co. v. Ontario (Human Rights Commission), [1992] 2 SCR 321.
[2] Art. 18 et 99 du Projet de Loi.
