Communiqué de presse : Home Depot n’a pas obtenu le consentement du client avant de partager des données personnelles avec Meta

by Posted on

Home Depot n’a pas obtenu le consentement du client avant de partager des données personnelles avec Meta

Gatineau, CQ26 janvier 2023 – Pratiques et respectueux de l’environnement, les reçus électroniques sont la voie de l’avenir, mais ils soulèvent également des questions sur la vie privée des consommateurs.

C’est un problème mis en évidence dans la récente enquête du Commissariat à la protection de la vie privée du Canada (CPVP) sur Home Depot du Canada Inc. (Home Dépôt). En participant au programme de conversions hors ligne de Meta Platforms Inc., il a été constaté que Home Depot partageait les détails des reçus électroniques – y compris les adresses e-mail codées et les informations d’achat en magasin – avec Meta, qui exploite la plate-forme de médias sociaux Facebook, à l’insu ou à l’insu. consentement des clients.

« Alors que les entreprises cherchent de plus en plus à fournir des services par voie électronique, elles doivent examiner attentivement toute utilisation consécutive de renseignements personnels, qui peut nécessiter un consentement supplémentaire », a déclaré le commissaire Philippe Dufresne.

« Dans ce cas, les clients de Home Depot ne s’attendaient probablement pas à ce que leurs informations personnelles soient partagées avec une plate-forme de médias sociaux tierce simplement parce qu’ils ont choisi un reçu électronique. Alors que le Canada célèbre la Semaine de la protection des données, c’est le moment idéal pour rappeler aux entreprises qu’elles doivent obtenir le consentement approprié au point de vente pour s’engager dans ce type d’activité commerciale.

L’enquête a révélé que Home Depot recueillait les adresses e-mail des clients aux caisses des magasins dans le but déclaré de fournir aux clients une copie électronique de leur reçu depuis au moins 2018. Cependant, l’enquête a révélé que pendant cette période, les adresses e-mail codées, ainsi que des détails de haut niveau sur les achats en magasin de chaque client ont également été envoyés à Meta.

Les informations envoyées à Meta sont utilisées pour vérifier si un client possède un compte Facebook. Si tel était le cas, Meta comparait les achats en magasin des utilisateurs aux publicités Home Depot envoyées à la plateforme pour mesurer et rendre compte de l’efficacité de ces publicités. Les conditions contractuelles de Meta Offline Conversion lui permettent également d’utiliser les informations sur les clients à ses propres fins commerciales, y compris le profilage des utilisateurs et la publicité ciblée, sans rapport avec Home Depot.

Chaque adresse e-mail que Home Depot partage avec Meta est codée afin que les utilisateurs de Facebook ne puissent pas la lire. Meta a utilisé un processus automatisé qui lui a permis de faire correspondre les adresses e-mail attachées aux comptes Facebook. Les adresses e-mail qui ne sont pas déjà associées à un compte Facebook ne peuvent pas être liées à des individus.

Bien que les détails des achats en magasin d’une personne puissent ne pas être sensibles dans le contexte de Home Depot, ils peuvent être très sensibles dans d’autres contextes de vente au détail, où ils révèlent, par exemple, des informations sur la santé ou la sexualité d’une personne.

Au cours de l’enquête, Home Depot a déclaré qu’il s’appuyait sur le consentement implicite et que sa déclaration de confidentialité, accessible via son site Web et imprimée sur demande dans les points de vente, expliquait suffisamment que l’entreprise utilisait “des informations anonymisées à des fins commerciales internes, telles que le marketing, service client et analyse commerciale” et qu’il “peut partager des informations à des fins commerciales”, y compris “avec des tiers”. Home Depot s’est également appuyé sur la déclaration de confidentialité de Facebook, qui explique le programme de conversions hors ligne.

Les OPC, cependant, a rejeté l’argument de Home Depot parce que les déclarations de confidentialité sur lesquelles Home Depot s’appuyait pour obtenir le consentement n’étaient pas facilement accessibles aux clients à la caisse et que les consommateurs n’avaient aucune raison de les rechercher. De plus, le OPC a constaté que la déclaration de confidentialité de Home Depot n’expliquait pas clairement la pratique en question.

« Les explications fournies dans ses politiques sont insuffisantes pour appuyer un consentement valable », a déclaré le commissaire Dufresne.

«Lorsque les clients ont été invités à fournir leur adresse e-mail, ils n’ont jamais été informés que leurs informations seraient partagées avec Meta de Home Depot, ni comment elles pourraient être utilisées par une autre entreprise. Ces informations seront importantes pour la décision d’un client d’obtenir ou non un reçu électronique.

La société a déclaré qu’elle n’avait pas informé les clients de son accord de partage d’informations avec Meta juste avant d’émettre des reçus électroniques en raison du risque “d’épuisement du consentement”.

« Les consommateurs ont besoin d’informations claires aux étapes clés de la transaction, leur permettant de prendre des décisions sur la manière dont leurs informations personnelles doivent être utilisées », a déclaré le commissaire Dufresne. “La lassitude du consentement n’est pas une raison valable pour ne pas obtenir un consentement significatif. De nombreux clients seront choqués, comme le plaignant l’était dans ce cas, d’apprendre que leurs informations personnelles ont été partagées avec un tiers comme Facebook à leur insu et sans leur consentement.

À la suite de l’enquête, le OPC Home Depot recommande que :

  • cesser de divulguer les informations personnelles des clients demandant des reçus électroniques à Meta jusqu’à ce qu’elle mette en œuvre des mesures pour garantir un consentement approprié ;
  • mettre en œuvre des mesures pour obtenir le consentement exprès et volontaire des clients avant de partager des informations avec Meta, s’il continue la pratique ; et
  • garantir un consentement significatif en fournissant aux clients qui demandent un reçu électronique des informations importantes sur son partage de méta-informations au point de vente, et en renforçant sa déclaration de confidentialité pour inclure une explication détaillée de ses pratiques et de la manière dont les clients peuvent retirer leur consentement.

Home Depot a pleinement coopéré tout au long de l’enquête et a accepté de mettre en œuvre les OPCrecommandations par. La société a cessé de partager des informations client avec Meta en octobre 2022.

Lectures complémentaires

Rapport de constatations : Enquête de conformité de Home Depot of Canada Inc. dans la LPRPDE

Coordonnées des médias

Commissariat à la protection de la vie privée du Canada
communications@priv.gc.ca

Published by monctondjs.com

Leave a Reply

Your email address will not be published. Required fields are marked *