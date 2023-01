Le magasin de rénovation Home Depot a partagé les détails de reçus électroniques avec Meta, la société mère de Facebook, à l'insu des clients ou sans leur consentement, conclut le commissaire à la protection de la vie privée du Canada.

Dans un rapport publié jeudi, le commissaire Philippe Dufresne indique que les données partagées par Home Depot comprenaient notamment des adresses électroniques chiffrées de clients et des renseignements sur leurs achats en magasin.

L'enquête du commissaire a révélé que les informations transmises à Meta étaient utilisées pour déterminer si un client avait un compte Facebook. Si c'était le cas, Meta comparait ce que le client avait acheté chez Home Depot aux publicités sur Facebook, afin de mesurer leur efficacité.



Meta a également pu utiliser les informations sur les clients à ses propres fins commerciales, «y compris le profilage des utilisateurs et le ciblage publicitaire, sans lien avec Home Depot», a constaté le commissaire.

L'enquête a ainsi permis d'apprendre que «depuis au moins 2018», Home Depot recueillait les adresses électroniques de clients, lors de leur passage à la caisse, afin de leur envoyer un reçu électronique.

Dans un communiqué, le commissaire Dufresne estime qu'il est peu probable que les clients de Home Depot s'attendaient à ce que leur information personnelle soit ainsi communiquée à une plateforme de médias sociaux tiers, simplement parce qu'ils avaient opté à la caisse pour un reçu électronique.

«Lorsqu'on demandait aux clients de fournir leur adresse électronique [à la caisse], on ne leur disait jamais que leurs renseignements seraient communiqués à Meta et on ne leur fournissait pas d'information sur la façon dont Meta ou Home Depot utiliserait leurs renseignements», a résumé le commissaire Dufresne. «Cette information aurait été d'une grande importance dans la décision des clients de demander ou non un reçu électronique.»

M. Dufresne rappelle aux entreprises qu'elles doivent obtenir le consentement valide des clients au moment de la vente avant de s'adonner à ce type d'activité commerciale.

«Les entreprises qui cherchent de plus en plus à offrir des services en ligne doivent porter une attention particulière à toute utilisation des renseignements personnels qu'elles recueillent, car il pourrait être nécessaire d'obtenir un consentement supplémentaire», a expliqué le commissaire Dufresne.

«Consentement tacite»

Pour sa défense, Home Depot a déclaré au commissaire qu'il s'appuyait sur le «consentement tacite» et que sa déclaration de confidentialité, disponible sur son site Web et en version imprimée sur demande dans les points de vente au détail, expliquait de manière adéquate l'utilisation des informations par l'entreprise. Le détaillant a également cité la politique de confidentialité de Facebook.

Le commissaire a rejeté les arguments de Home Depot, affirmant que les documents invoqués relativement au consentement n'étaient pas accessibles sur-le-champ au passage à la caisse -- et que les clients n'avaient aucune raison de chercher à en prendre connaissance.

«Les explications offertes dans les politiques de l'entreprise étaient insuffisantes pour obtenir un consentement valable», conclut le commissaire Dufresne.

Il a recommandé que jusqu'à ce que Home Depot soit en mesure de mettre en place des mesures pour assurer un consentement valide, le détaillant devrait cesser de divulguer à Meta les renseignements personnels des clients qui demandent un reçu électronique à la caisse.

Le commissaire indique que Home Depot a pleinement collaboré à l'enquête, a accepté de donner suite aux recommandations du Commissariat. Home Depot a par ailleurs cessé en octobre de partager avec Meta des informations sur les clients, ajoute le commissaire.

