La publicité comportementale en ligne (PLC) « is more successful than standard run of network advertising, creating greater utility for consumers and clear appeal for advertisers » selon Howard Beales, professeur associé à la George Washington School of Business. La PLC permet donc aux fournisseurs de services sans frais de financer leurs services grâce à des revenus publicitaires en collectant « un nombre considérable de renseignements personnels : historique web, termes recherchés, achats en ligne, adresse IP2, etc » sur les utilisateurs afin de dresser le profil des internautes par des techniques et algorithmes automatisés « qui peuvent même identifier certains mots glissés dans la correspondance des consommateurs ».
Dans un rapport réalisé par Option consommateurs et présenté au Bureau de la consommation d’Industrie Canada, l’association « estime que les entreprises qui offrent des services en ligne sans frais – dont Google, Facebook, Microsoft et Yahoo – portent atteinte à la vie privée des consommateurs » et demande à ces compagnies de davantage respecter la vie privée des utilisateurs. Par l’analyse d’une dizaine de politiques d’importants fournisseurs de services sans frais sur Internet, la tenue de groupe de discussions et une recherche juridique, le rapport tente de répondre à plusieurs questions, notamment celle de l’adaptation du droit canadien aux enjeux de la divulgation des renseignements personnels dans la PCL.
Selon le rapport d’Option consommateurs, on note une divergence entre la Loi sur la protection des renseignements personnels et les documents électroniques qui prévoit qu’un renseignement personnel est « [t]out renseignement concernant un individu identifiable » alors que la plupart des politiques étudiées dans le rapport donnent
« une interprétation très étroite de ce qui peut permettre d’identifier une personne, en regroupant exclusivement dans ces données les informations telles que votre nom ou votre adresse, pouvant être utilisées pour vos contacter ou vous identifier ».
Ceci entraîne donc d’autres incongruités entre les pratiques des services sans frais et les obligations prévues par les lois canadiennes puisque « ces définitions permissives » ne limitent pas la collecte de renseignements personnels utilisée pour la PLC. « Tous les clics de l’internaute sont pistés » et les engagements à limiter le traitement des renseignements personnels se font rares dans les différentes politiques. L’obligation légale du principe 4.2.2 de l’Annexe 1 de la LPRPDE qui prévoit que « l’organisation ne doit recueillir que les renseignements nécessaires aux fins mentionnées » n’est manifestement pas respectée par les organismes qui collectent « une quantité presque illimitée de données ». Éloise Gratton, rappelle que « [i]n case of doubt, personal information is deemed to be nonnecessary » Les pratiques des fournisseurs de services gratuits violent également l’article 37 du C.c.Q. qui prévoit que « [t]oute personne qui constitue un dossier sur une autre personne doit avoir un intérêt sérieux et légitime à le faire ».
Le rapport se penche également sur la problématique du consentement à l’utilisation par des publicitaires de leurs renseignements personnels lors de l’utilisation de services sans frais en ligne et conclut que « le consentement qu’elles obtiennent est le plus souvent enfoui dans des politiques de confidentialité vagues ». De nombreux fournisseurs de services sans frais ne respecteraient donc pas les principes 4.3 et suivants de la LPRPDE sur les obligations à respecter en matière de consentement.
Au Québec, la Loi sur les renseignements personnels dans le secteur privé spécifie à l’article 9 que :
« Nul ne peut refuser d’acquiescer à une demande de bien ou de service ni à une demande relative à un emploi à cause du refus de la personne qui formule la demande de lui fournir un renseignement personnel sauf dans l’une ou l’autre des circonstances suivantes:
1° la collecte est nécessaire à la conclusion ou à l’exécution du contrat;
2° la collecte est autorisée par la loi;
3° il y a des motifs raisonnables de croire qu’une telle demande n’est pas licite. »
Le rapport d’Option consommateurs permet de constater que de nombreux fournisseurs de services en ligne ne respectent pas l’article 9 en exigeant des utilisateurs des renseignements personnels pour pouvoir accéder aux services.
De plus, l’association de défense des consommateurs rappelle que le consentement des usagers n’est pas, dans bien des cas, un consentement libre et éclairé et que la mise « en œuvre de mécanismes efficaces pour informer et obtenir le consentement des consommateurs apparaît certes impératif pour atteindre une véritable conformité à la loi ». Sur la nature du consentement, le Commissariat à la protection de la vie privée du Canada s’est penché, dans le Rapport de conclusions sur l’utilisation par Google de renseignements sensibles sur l’état de santé aux fins de l’affichage de publicité ciblée, sur la façon d’obtenir le consentement et en est arrivé à la conclusion que
« [l]’organisation devrait chercher à obtenir un consentement explicite si les renseignements sont susceptibles d’être considérés comme sensibles. Lorsque les renseignements sont moins sensibles, un consentement implicite serait normalement jugé suffisant ».
Le retrait du consentement est explicitement prévu au principe 4.3.8 de l’Annexe 1 de la Loi sur la protection des renseignements personnels et les documents électroniques.
« Une personne peut retirer son consentement en tout temps, sous réserve de restrictions prévues par une loi ou un contrat et d’un préavis raisonnable. L’organisation doit informer la personne des conséquences d’un tel retrait. ».
Toutefois, les mécanismes de retrait de la PLC sont des formules « à la pièce […] qui exige de demander à chaque entreprise qui piste un internaute de cesser le suivi ». Cette formule ne permet donc pas à l’utilisateur moyen des services sans frais de retirer leur consentement facilement et rapidement. De plus, la renonciation au moment de la collecte est souvent impossible puisque le consentement à la collecte est le critère pour accéder au service. Cette ineffectivité du droit au retrait qui « se présente comme un mécanisme essentiel permettant de garantir les principes d’autonomie et d’autodétermination que soutient la logique du consentement informé » engendre donc la perte de l’autonomie du consommateur sur ses données.
Le contrat entre les consommateurs et les fournisseurs de service peut-il être qualifié comme un contrat à titre gratuit ? Dans l’arrêt St-Arnaud c. Facebook inc. de 2011, l’honorable Michel Déziel de la Cour Supérieure du Québec avait rejeté la demande d’autorisation de recours collectif du demandeur qui alléguait la violation de la Politique d’utilisation ainsi que l’utilisation inappropriée de renseignements personnels pour le motif que l’utilisation du service était gratuite. L’analyse d’Option consommateurs révèle toutefois
« qu’il y a bel et bien un coût pour les utilisateurs de services sans frais en ligne – même si celui-ci ne se matérialise pas en espèces sonnantes et trébuchantes. En effet, c’est seulement en échange de leurs renseignements personnels qu’on offre aux consommateurs l’accès à ces services ».
Il s’agit donc plus de réciprocité entre la divulgation de renseignements personnels en échange de l’obtention d’un service, ce qui s’éloigne du contrat à titre gratuit tel que définit dans le C.c.Q. à l’article 1381 :
« […]Le contrat à titre gratuit est celui par lequel l’une des parties s’oblige envers l’autre pour le bénéfice de celle-ci, sans retirer d’avantage en retour ».
Au final, le rapport d’Option consommateurs prévoit une série de recommandations telles que l’adoption de mécanismes simples pour le consentement à la collecte des renseignements personnels, l’augmentation du financement et pouvoirs des Commissariats à la protection de la vie privée canadiens, la publication de lignes directrices désignant les renseignements étant de nature sensible, une enquête sur la « conformité au principe de la nécessité de la collecte prévu à la Loi sur la protection des renseignements personnels et les documents électroniques » et une vigilance accrue de la part des consommateurs sur les renseignements personnels recueillis sur eux. Option consommateurs ne demande pas l’adoption de lois plus sévères mais propose plutôt de renforcer l’application des règles actuelles.