Vous planifiez rénover votre cuisine. Évidemment, vous consulterez plusieurs sites Web de vente de céramique à la recherche de la perle rare. C’est en navigant sur d’autres sites Web que vous remarquez une publicité récurrente. Coïncidence? Bien sûr que non, il s’agit de publicité comportementale.
Il existe plusieurs façons de faire de la publicité comportementale, mais le fonctionnement de base reste le même, indépendamment de la régie publicitaire utilisée. La plateforme sur laquelle vous diffusez vos annonces, par exemple Google AdSense ou Facebook, fournit à l’annonceur un code que ce dernier placera sur son site. Par la suite, l’utilisateur qui a visité votre site sera ciblé, sur le réseau d’annonce de la plateforme, grâce aux fichiers témoins de son navigateur généralement pour une période de 30 jours.
Un véritable consentement?
En 2011, le Commissariat à la protection de la vie privée du Canada (ci-après CPVPC) publiait des lignes directrices pour baliser la publicité comportementale en accord avec la Loi sur la protection des renseignements personnels et les documents électroniques (ci-après LPRPDE). En somme, on y précise qu’«une entreprise ne peut recueillir plus de renseignements personnels qu’elle n’en a besoin. […] Les renseignements recueillis et utilisés se limitent, dans la mesure du possible, aux renseignements non sensibles.» L’article 2 de la LPRPDE définit un renseignement personnel en ces termes : «[T]out renseignement concernant un individu identifiable, à l’exclusion du nom et du titre d’un employé d’une organisation et des adresses et numéro de téléphone de son lieu de travail.» Au niveau de la sensibilité d’un renseignement, celle-ci dépend du contexte, la LPRPDE précise que :
Pour déterminer la forme que prendra le consentement, les organisations doivent tenir compte de la sensibilité des renseignements. Si certains renseignements sont presque toujours considérés comme sensibles, par exemple les dossiers médicaux et le revenu, tous les renseignements peuvent devenir sensibles suivant le contexte. ( annexe 1, art.4.3.4,)
Au sujet du consentement, la LPRPDE dispose, à son article 4.3.6 de l’annexe 1, que«l’organisation devrait chercher à obtenir un consentement explicite si les renseignements sont susceptibles d’être considérés comme sensibles. Lorsque les renseignements sont moins sensibles, un consentement implicite serait normalement jugé suffisant.»
Sur la plupart des sites observés, le consentement à la publicité comportementale est implicite par l’acceptation de la politique de confidentialité du site Web (rarement visitée systématiquement). Les lignes directrices émises par le CPVPC indiquent que les personnes devraient pouvoir retirer leur consentement en tout temps. Or, cela peut s’avérer difficile dans le cas du remarketing dont le ciblage sera déterminé par les fichiers témoins installés sur le site, sans filtrage possible pour l’annonceur.
Quand la paranoïa s’installe…
Depuis quelques mois, il est possible sur Facebook de créer des audiences personnalisées sur la base de listes de courriel. C’est grâce à cette nouvelle fonctionnalité que Brian Swichkow a pu faire mauvaise blague à son colocataire, qui a fait le tour du Web. Il a créé une liste de remarketing dans Facebook avec comme seule base l’adresse courriel de son colocataire. Par la suite, il a créé une publicité qui s’adressait spécifiquement à lui, dont le contenu était très personnel, dans le but avoué de le rendre paranoïaque. Si l’histoire a bien fait rire au moment de sa sortie, elle soulève des questions au niveau de la protection de la vie privée. Comme nous l’avons vu, la LPRPDE ne précise pas la forme que doit prendre un renseignement pour être considéré comme personnel. Or, si l’adresse courriel ne suffit pas toujours pour identifier une personne, en couplant cette dernière à un profil sur Facebook ou d’autres données détenues par l’entreprise, il est possible d’obtenir des informations très précises. Ce type de déduction d’informations personnelles obtenue en croisant des renseignements à première vue insignifiants avec d’autres bases de données se situe dans une zone grise de la loi.
Et la loi anti-pourriel ?
Dans le cas de Facebook, la question du type de consentement donné par l’utilisateur pour l’utilisation de son adresse courriel à d’autres fins que l’envoi d’une communication par courriel pourrait se poser. Selon le site combattrelepourriel.gc.ca, destiné à informer la population et les entreprises sur Loi canadienne anti-pourriel (ci-après LCAP), le consentement donné pourrait s’étendre à tous les messages électroniques commerciaux, tel que définis par la LCAP:
En général, le consentement ne s’applique pas à un seul bien ou service. Si vous avez obtenu le consentement d’une personne pour lui envoyer des messages électroniques commerciaux, que ce consentement soit exprès ou tacite, ce consentement s’applique généralement à tout message que vous expédierez, à moins que vous n’ayez reçu le consentement exprès qu’à l’égard de certains types particuliers de messages.
On ne contreviendrait donc pas à la LCAP en envoyant un message commercial à un utilisateur sur les médias sociaux si celui-ci a donné son consentement à recevoir des messages électroniques commerciaux. Pour celui qui n’a pas donné son consentement, encore faut-il qu’il soit en mesure de faire le lien entre le message reçu et la nature des renseignements utilisés pour le cibler… De plus, ce dernier devra porter plainte pour que des mesures soient prises contre l’annonceur.
Enfin, si les entreprises comme Google et Facebook sont en mesure d’offrir gratuitement au public des services en ligne aussi développés, c’est avant tout parce qu’ils ont des revenus publicitaires. Dans la situation actuelle, l’utilisateur qui ne souhaite pas partager ses renseignements personnels n’a d’autre choix que d’abstenir d’utiliser ce type de services ou de gérer avec soin les paramètres de son navigateur, par exemple avec certains types d’extensions. Alors que les tactiques de marketing évoluent rapidement grâce aux avancées technologiques, il semble qu’il sera toujours difficile de balancer le droit à la vie privée et les besoins commerciaux des entreprises pour rester concurrentielles.