Le quincaillier américain Home Depot a été épinglé par le Commissaire à la vie privée du Canada pour avoir partagé avec Facebook des informations privées de leurs clients qui préféraient obtenir leur reçu par courriel.
• À lire aussi: Données personnelles: 390 M d'euros d'amende pour Meta
• À lire aussi: Apple annonce des outils pour mieux protéger les données de ses clients
L’enquête de l’organisme paragouvernemental dévoilée jeudi révèle que Home Depot recueillait puis envoyait les informations à Facebook depuis au moins 2018 «sans en informer les clients et sans obtenir leur consentement».
Les informations contenaient les détails des achats effectués en magasin, ce qui en retour permettait à Facebook et Home Depot d’évaluer l’efficacité de leurs publicités et de personnaliser l’offre publicitaire en fonction du profil de l’individu.
Même si le commissaire Philippe Dufresne reconnaît que «les renseignements [...] ne sont généralement pas des renseignements sensibles», ceux-ci peuvent toutefois contenir «de l’information sur la santé ou la sexualité d’une personne» selon des achats effectués ailleurs.
- Écoutez la chronique économique avec Yves Daoust, directeur de la section Argent du journal de Montréal et du Journal de Québec au micro de Richard Martineau sur QUB radio :
Pour le commissaire, «il est peu probable que les clients de Home Depot se soient attendus à ce que leur information personnelle soit communiquée à une plateforme de médias sociaux tiers, simplement parce qu’ils ont opté pour un reçu électronique».
- Écoutez l'entrevue de Mario Dumont avec Paul Laurier, ex-policier à la Sûreté du Québec et président de la firme de sécurité Vigiteck sur QUB radio :
La pratique arrêtée
N’ayant le pouvoir d’obliger quoi que ce soit, le commissaire avait recommandé à Home Depot de cesser le partage d’informations personnelles à Facebook, le temps de trouver un moyen d’obtenir le consentement éclairé des clients.
Home Depot s’était d’abord défendu pendant l’enquête d’avoir mis au clair les modalités aux clients désirant recevoir leur reçu par courriel.
Le commissaire a toutefois rejeté cette affirmation «puisque les documents invoqués relativement au consentement n’étaient pas accessibles sur-le-champ au passage à la caisse et que les clients n’auraient aucune raison de chercher à en prendre connaissance».
L’entreprise cotée en bourse a donc cessé cette pratique au Canada en octobre 2022, s’est félicité le commissaire. Il faudra qu’elle obtienne «le consentement explicite actif et valable» des clients si elle désire revenir à cette pratique, a-t-il déclaré en conférence de presse.
L’exemple de Home Depot sert d’«avertissement» aux autres entreprises. Dans un monde de plus en plus numérique, elle n’est probablement pas la seule à agir de cette façon, a lancé le commissaire.
Une pratique qui pourrait être répandue
À l’origine de ce rapport contre Home Depot se trouve une plainte d’un consommateur qui avait remarqué que Facebook possédait une liste contenant les achats effectués dans des magasins Home Depot.
C’est après que la compagnie a nié avoir partagé ses informations avec Facebook que l’individu a décidé de porter plainte au Commissariat.
Il pourrait bientôt y avoir un prix à payer pour agir de la sorte : le projet de loi C-27 du gouvernement fédéral prévoit plusieurs sanctions comme des pénalités pouvant aller jusqu’à 25 millions $ pour les entreprises qui protègent mal les informations privées de leurs clients.
Commentaires
