Renseignements personnels : la parabole Tim Hortons

Plusieurs reportages ces derniers jours ont révélé que l’application mobile de Tim Hortons était susceptible de recueillir et d'utiliser les données de vos déplacements quand vous faites tout autre chose que de commander un café et ce, sans que vous en ayez conscience.

Cette tendance à collecter toujours plus de données sur vos comportements et habitudes de consommation n’est évidemment pas nouvelle, mais elle s’est accélérée ces dernières années avec le développement effréné des technologies numériques et les stratégies marketing de plus en plus gloutonnes des entreprises. 

Penchez-vous au-dessus du puits numérique de vos données personnelles, vous constaterez rapidement qu’il est impossible d’en voir le fond.

J’ai lu et j’accepte… mais quoi? 

L’exemple de Tim Hortons laisse entrevoir un enjeu crucial : celui du consentement du consommateur. À quoi avez-vous consenti lorsque vous avez téléchargé et utilisé cette application? Que savez-vous des informations collectées sur vous, avec qui sont-elles partagées, peuvent-elles être corrélées avec d’autres données vous concernant ou encore, pouvez-vous supprimer ces renseignements aussi facilement que Tim Hortons les a collectés?

En préparant un dossier sur la gestion des données personnelles dans le cadre des programmes de fidélité – une enquête à paraître au mois de septembre dans Protégez-Vous –, je suis tombé sur ce rapport de la Commission d’accès à l’information du Québec (2016) dans lequel il est écrit noir sur blanc : «Il serait naïf de considérer que le fait de cocher une case de type "J’ai lu et j’accepte" ou "J’atteste avoir pris connaissance" signifie que les personnes concernées ont lu et compris les conditions d’utilisation ou la politique de confidentialité associées à un site Internet ou à un réseau social.»

Car, en effet, qui lit ce type de documentation avant de valider une transaction numérique ou de confirmer une inscription en ligne? Mais surtout que contiennent les politiques de confidentialité?

Outre l’utilisation d’un langage juridique obscur qui donne parfois l’impression de vouloir épuiser le consommateur, comme nous l’a expliqué Renaud Legoux, professeur au Département de marketing à HEC Montréal et spécialiste du comportement du consommateur, ces documents sont ainsi rédigés qu’ils permettent aux compagnies «de ne pas se limiter dans les utilisations futures qu’elles pourraient faire de vos données», précise encore M. Legoux.

Pénaliser mais pas seulement

Le problème au Canada et au Québec tient à une certaine obsolescence du cadre légal en matière de protection des données numériques. La Loi fédérale sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (RLRQ) ne sont plus au goût du jour et n’ont, de toute façon, jamais été suffisamment contraignantes pour répondre aux nouvelles réalités du monde numérique, affirment les juristes à qui nous avons parlé pour préparer notre dossier.

Tous ont d’ailleurs établi un parallèle avec le Règlement européen général sur la protection des données (RGPD), beaucoup plus restrictif en matière de données collectées et contraignant en ce qui concerne les pénalités auxquelles s’exposent les entreprises.

Ces dernières profitent donc de la situation pour mettre en œuvre des stratégies de cueillette volumineuse de données personnelles. Pensez seulement aux 11 millions de Canadiennes et de Canadiens membres du programme Air Miles, programme qui compte des centaines de partenaires! La quantité de données numériques que gère la compagnie Loyalty One (qui administre Air Miles) est simplement phénoménale.

Le projet de Loi 64 déposé au mois de juin par l’ex-ministre québécoise de la Justice, Sonia LeBel, est un pas dans la bonne direction car il prévoit notamment d’introduire des pénalités financières considérables (jusqu’à 25 millions de $) en cas d’infraction pénale et souhaite instaurer un «droit à l’effacement» (c'est-à-dire permettre à une personne de faire supprimer un renseignement détenu par une entreprise à son sujet) ou encore exiger des compagnies qu’«elles détruisent ou rendent anonymes les renseignements personnels lorsque les fins pour lesquelles ils ont été collectés sont atteintes».

Marketing numérique et anonymisation

Reste à savoir si les débats parlementaires sur le projet de Loi 64, prévus à l’automne, aborderont un enjeu souvent oublié : celui de la collecte de données pour des fins de marketing. 

On parle ici, notamment, des cookies et autres trackers qui scrutent votre comportement en ligne et recueillent des renseignements «anonymes» sur vous. Le problème, nous ont expliqué plusieurs spécialistes de l’analyse de données massives, c’est qu’il existe aujourd’hui mille et une façons de «réidentifier» des données anonymes. Stéphane Hamel, consultant spécialisé en cybermétrie, estime ainsi que «si le marketing numérique n’est pas bien couvert par la nouvelle Loi, elle manquera complètement le bateau».

Il y a donc urgence à renforcer l’arsenal législatif, à contraindre les entreprises à mieux protéger vos données personnelles mais également à sensibiliser les consommateurs afin qu’ils y réfléchissent à deux fois avant de commander... un cappuccino glacé sur l’application Tim Hortons.