Home Depot n’a pas respecté la loi sur la confidentialité lorsqu’il a partagé les données de réception des e-mails avec Meta, selon le commissaire à la protection de la vie privée

Home Depot Canada n’a pas respecté la loi fédérale lorsqu’il a partagé des données provenant de reçus de courriels avec le géant des médias sociaux Meta sans le consentement de ses clients, a déclaré jeudi le commissaire à la protection de la vie privée du Canada, après la publication. L’enquête de son bureau a également servi à avertir d’autres entreprises qui pourraient être utilisant des pratiques similaires.

Le commissaire Philippe Dufresne a déclaré que Home Depot considère le choix des clients de recevoir un reçu par e-mail, plutôt qu’une copie papier, comme un “consentement implicite” à partager leurs données avec un tiers.

“Cette pratique est incompatible avec la loi sur la protection de la vie privée et doit cesser”, a déclaré M. Dufresne lors d’une conférence de presse à Ottawa, ajoutant que “toutes les organisations” ayant une telle pratique doivent se conformer à la loi.

Depuis 2018, Home Depot utilise un outil de Meta, propriétaire de Facebook, qui mesure l’impact des publicités Facebook sur les résultats réels, tels que les habitudes d’achat. Après l’enquête de l’OPC, Home Depot a accepté de cesser de l’utiliser.

Le Commissariat à la protection de la vie privée du Canada, ou CPVP, a commencé son enquête à la suite d’une plainte d’un particulier, alléguant que les pratiques de Home Depot contrevenaient à la Loi sur la protection des renseignements personnels et les documents électroniques, la loi fédérale qui régit la vie privée dans le secteur privé. Sa plainte a été jugée fondée.

Bien que l’OPC puisse formuler des conclusions et formuler des recommandations, il n’a pas le pouvoir d’imposer des amendes ou d’émettre des ordonnances. M. Dufresne a déclaré jeudi que bien que Home Depot coopère, “ce ne sera pas toujours ainsi”. Il a déclaré que son bureau se félicitait de l’élaboration du projet de loi C-27, qui concerne les lois fédérales sur la protection de la vie privée, notant la possibilité d’amendes imposées en vertu de la législation proposée.

L’outil utilisé par Home Depot est connu sous le nom de “conversions hors ligne”. Dans ce cas, lorsqu’un client opte pour un reçu par e-mail, un format codé de son e-mail est partagé avec Meta, ainsi que la grande catégorie de son achat, comme le bois, la quincaillerie ou la peinture. (Les e-mails codés ou « hachés » ne peuvent pas être lus par les utilisateurs de Facebook.)

Meta associe ensuite automatiquement l’e-mail codé au compte Facebook d’un client, s’il en a un, pour comparer ses achats en magasin avec les publicités qu’il a déjà vues sur Facebook, afin de mesurer l’efficacité de ces publicités.

Alors que Meta a fourni des rapports agrégés à Home Depot, la société de médias sociaux pourrait également utiliser les informations à ses propres fins commerciales, y compris la réalisation de publicités ciblées sans rapport avec la quincaillerie, a-t-il constaté d’OPC. À aucun moment du processus de réception Home Depot a-t-il modifié son accord de partage de données avec Meta, a déterminé l’OPC, selon un résumé de son enquête publié en ligne.

Meta a refusé de commenter cette histoire.

Paul Berto, un porte-parole de Home Depot Canada, a déclaré que la société “n’a pas l’intention de réintroduire l’outil pour le moment et prendra en compte les recommandations de l’OPC si cette décision change à l’avenir”.

Il a également déclaré que les informations partagées sur Meta étaient de nature “non sensible”.

M. Dufresne a déclaré que même si les matériaux que l’on achète dans un point de vente Home Depot peuvent ne pas être sensibles, le partage de données par l’entreprise avec Meta “enlève aux clients l’attente raisonnable” que le consentement soit nécessaire.

Matt Malone, professeur adjoint de droit à l’Université Thompson Rivers qui se concentre sur les questions de confidentialité, a déclaré que les entreprises qui se livrent à ce type de comportement devraient être punies, notant que les sanctions financières sont un excellent moyen d’obtenir du changement.

« Qu’est-ce que Home Depot a vraiment souffert dans cette situation ? Rien”, a-t-il dit.

Il a également déclaré que l’accent mis sur le consentement, en tant que médiateur pour déterminer si certaines données personnelles peuvent être collectées, est erroné, compte tenu de la complexité du partage des données.

“Il nous est impossible de vraiment consentir – ou de ne pas consentir – à des pratiques que nous ne comprenons que vaguement”, a-t-il déclaré. “Nous devons revenir à une époque où les publicités ne nous espionnent pas.”

Home Depot a fait valoir auprès de l’OPC qu’elle avait obtenu le consentement de ses clients par le biais de sa propre politique, ainsi que de la politique de confidentialité de Meta. M. Dufresne n’est pas d’accord avec cette évaluation.

Sharon Polsky, présidente du Conseil canadien de la protection de la vie privée et de l’accès et consultante de longue date en matière de protection de la vie privée, a déclaré qu’elle pense que ce type de partage de données se produit “presque 100%” du temps lorsque les Canadiens optent pour un reçu électronique.

Il a déclaré que si l’achat d’un morceau de bois 2×4 chez Home Depot ne représente pas des données sensibles, la même pratique de partage de données, dans un autre magasin, pourrait révéler des détails personnels sur la santé, la sexualité, la vie de famille ou l’alimentation.

“Il y a tellement de commodités technologiques de nos jours, elles sont commercialisées comme des commodités, et c’est tout », a déclaré Mme. Polonais. “Mais la commodité a un coût, et à mesure que nous en apprenons de plus en plus, le coût est notre vie privée.”