TÉMOINS DE CONNEXION (COOKIES) ET TECHNOLOGIES SIMILAIRES DANS LA PROVINCE DU QUÉBEC
Témoins de connexion (cookies) et technologies similaires dans la province de Québec
Caroline Jonnaert and Élisabeth Lesage-Bigras[1]
ROBIC, S.E.N.C.R.L
Avocats, agents de brevets et de marques de commerce
La version anglaise de cet article a été publiée à titre de « Guidance Note » sur la plateforme One Trust Data Guidance en décembre 2021.
1. LOIS APPLICABLES
1.1. Principale législation et projets de loi
Il n’existe pas de législation portant spécifiquement sur les témoins de connexion au Québec. Par conséquent, les témoins de connexion sont réglementés dans cette province par : (i) la loi Anti-pourriel ; et (ii) les lois sur la protection des renseignements personnels (collectivement, les « Lois applicables »).
- Loi anti-pourriel
La Loi canadienne anti-pourriel[1] (la « LCAP ») est actuellement la seule loi qui mentionne ou régit expressément l’utilisation des témoins de connexion et autres technologies similaires.
- Lois sur la protection de la vie privée
Dans la province de Québec, la principale[2] législation responsable de la protection des données dans le secteur privé est la Loi sur la protection des renseignements personnels dans le secteur privé[3] (la « Loi »). La Loi s’applique à la collecte, à l’utilisation et à la communication de renseignements personnels dans la province par toute personne qui exploite une entreprise. La Loi est jugée « essentiellement similaire » à la loi fédérale, la Loi sur la protection des renseignements personnels et les documents électroniques[4] (« LPRPDE »), qui s’applique aux organisations du secteur privé au niveau fédéral[5], mais aussi lorsque les renseignements personnels sont divulgués au-delà des frontières provinciales ou internationales[6]. Il convient de noter que le Projet de loi 64[7], une importante réforme législative, a été adopté dans la province de Québec le 22 septembre 2021. Le Projet de loi 64 modifiera de façon substantielle le régime de protection des renseignements personnels régissant les secteurs privé et public. Le présent article a été rédigé en tenant compte des changements qui seront introduits par cette réforme législative en ce qui concerne l’utilisation des témoins de connexion dans le secteur privé.
Jusqu’à présent, la jurisprudence n’a pas eu à déterminer si les témoins de connexion se qualifient de « renseignements personnels » et sont assujettis aux lois sur la protection des renseignements personnels. En revanche, les autorités en charge de l’application de ces lois ont publié des lignes directrices dans lesquelles elles abordent le sujet. Spécifiquement, le Commissariat à la protection de la vie privée du Canada (le « CPVP ») a publié la « Position de principe sur la publicité comportementale en ligne »[8] qui prévoit que le CPVP considérera généralement que les renseignements recueillis à des fins de publicité comportementale sont des « renseignements personnels »[9]. De manière analogue, la Commission d’accès à l’information du Québec (la « CAI ») prévoit que les entreprises qui utilisent des systèmes de profilage et de publicité ciblée sur Internet sont assujetties à la Loi[10]. Il convient également de noter que, sans préciser si les témoins de connexion constituent des « renseignements personnels », le Projet de loi 64 contient une disposition spécifique sur le « profilage »[11] et les témoins, tel qu’expliqué plus loin.
1.2. Lignes directrices des autorités
Au Québec, l’autorité chargée de veiller à l’application de la Loi est la CAI. La CAI a publié en 2013 un guide intitulé « Le profilage et la publicité ciblée »[12], qui porte plus particulièrement sur le profilage et la publicité ciblée. Bien que le sujet de ces lignes directrices soit pertinent aux fins du présent article, il n’offre pas d’informations spécifiques sur la façon de réglementer l’utilisation des témoins de connexion ou autres technologies similaires, et vise davantage à informer le public sur le marketing direct et la publicité ciblée.
Le régime législatif du Québec est complété par des lignes directrices fédérales émanant : (i) du CPVP en ce qui concerne la LPRPDE[13] ; et (ii) du Conseil de la radiodiffusion et des télécommunications canadiennes (le « CRTC ») en ce qui concerne la LCAP[14].
1.3. Jurisprudence
Il n’existe actuellement aucune jurisprudence pertinente portant sur les témoins de connexion et les technologies similaires au Canada, y compris dans la province de Québec.
2. DÉFINITIONS
Il n’y a pas de définition de « témoins de connexion » ou de technologies similaires dans les textes de loi s’y rapportant (y compris dans le Projet de loi 64), et la jurisprudence n’a pas encore interprété ce concept. Cependant, les « témoins de connexion » s’entendent généralement de petits éléments de texte qui sont placés sur un ordinateur, un appareil mobile, une tablette ou un autre appareil, lors de l’utilisation d’un navigateur pour visiter un service en ligne[1]. Ils sont activés par l’opérateur d’un site web et peuvent être définis par cet opérateur (les « témoins propriétaires ») ou par un tiers (les « témoins tiers »). Les témoins sont généralement classés selon leurs fonctions, à savoir :
- Les témoins de connexion dits « essentiels » sont indispensables pour qu’un site web soit opérationnel ; ils comprennent notamment les témoins de session qui permettent aux individus de rester connectés lorsqu’ils naviguent sur le site web ;
- Les témoins de connexion dits « non essentiels » ne sont pas nécessaires au bon fonctionnement du site web ; ils comprennent notamment les témoins de fonctionnalité, de performance et de ciblage.
Selon leurs fonctions et des données qu’ils recueillent, les témoins de connexion peuvent être soumis à des exigences légales spécifiques, notamment en matière de consentement et de transparence.
3. CONSENTEMENT ET POLITIQUE EN MATIÈRE DE TÉMOINS DE CONNEXION
3.1 Consentement
Il n’existe pas de directives claires sur le consentement à l’utilisation de témoins de connexion dans la province de Québec. Toutefois, à la lumière des Lois applicables, y compris les lignes directrices pertinentes, la forme de consentement que les entreprises devront obtenir variera vraisemblablement en fonction du type de témoins dont il est question.
- Loi anti-pourriel
En vertu de la LCAP, une personne est réputée avoir consenti à l’installation d’un témoin de connexion si son comportement est tel qu’il est raisonnable de croire qu’elle y consent[16]. À cet égard, le CRTC prévoit que « si la personne désactive les témoins de connexion dans son navigateur, vous ne seriez pas réputé avoir le consentement d’implanter des témoins de connexion »[17]. Il n’existe cependant aucune indication claire sur la conduite qui serait considérée comme « raisonnable » pour présumer du consentement.
- Lois sur la protection des renseignements personnels
De manière générale, les lois sur la protection des renseignements personnels exigent un consentement pour collecter, utiliser et divulguer des renseignements personnels. En fonction de certains facteurs, tels que la sensibilité des renseignements concernés, ce consentement peut être exprès ou implicite. À cet égard, le CPVP considère que le consentement implicite pour les témoins de suivi et de ciblage n’est valable que pour certains cas spécifiques[18]. Il n’existe pas de lignes directrices similaires dans la province de Québec. Cependant, la Loi prévoit des exigences générales pour qu’un consentement soit valide, et le Projet de loi 64 comporte des dispositions spécifiques à l’utilisation de témoins de connexion et de technologies similaires.
Plus particulièrement, la Loi prévoit que le consentement doit être « manifeste, libre, éclairé et être donné à des fins spécifiques »[19]. La CAI a reconnu que ce consentement peut être explicite ou implicite selon les circonstances[20]. Le Projet de loi 64 ouvre la porte au consentement implicite pour certains témoins de connexion. En effet, selon le projet de loi, les paramètres des produits ou services technologiques doivent assurer par défaut le plus haut niveau de confidentialité aux utilisateurs ; or, cette exigence ne s’applique pas aux témoins de connexion[21]. Le projet de loi prévoit par ailleurs que toute fonction d’identification, de localisation ou de profilage doit être désactivée par défaut, ce qui signifie que les personnes doivent pouvoir consentir à ces fonctions par le biais d’un mécanisme d’acceptation. Ainsi, les témoins de connexion qui n’incluent pas de fonctions d’identification, de localisation ou de profilage (par exemple, les témoins de connexion dits « essentiels ») sont probablement exemptés de l’obligation de consentement. Néanmoins, puisque ces amendements viennent tout juste d’être adoptés par le gouvernement, ils demeurent encore sujets à interprétation.
3.2 Politique en matière de témoins
Les Lois applicables sur le sujet n’exigent pas spécifiquement que les entreprises adoptent une politique en matière de témoins de connexion. Toutefois, sur la base de l’obligation générale de transparence prévue par les lois sur la protection des renseignements personnels[22], les entreprises sont tenues de divulguer des informations spécifiques sur l’utilisation des renseignements personnels qu’elles collectent.
Plus particulièrement, la Loi stipule que les entreprises sont tenues d’informer les personnes concernées, avant ou au moment de la collecte, des mentions suivantes : (i) l’objet et les finalités de la collecte ; (ii) l’utilisation prévue ; (iii) les catégories de personnes au sein de l’entreprise qui auront accès à leurs renseignements personnels ; et (iv) le lieu où seront conservés leurs renseignements personnels, ainsi que (v) leur droit d’accès et de rectification[23]. En sus de ce qui précède, le Projet de loi 64 impose davantage de transparence[24], notamment en ce qui concerne les « technologies de suivi » ou autres technologies permettant aux personnes concernées d’être identifiées, localisées ou de faire l’objet d’un profilage (comme c’est souvent le cas avec les témoins de connexion et autres technologies similaires). Plus précisément, la Loi amendée exigera que les personnes soient informées : (i) du recours à ces technologies par l’entreprise ; et (ii) des moyens utilisés pour activer ces fonctions[25]. Il convient également de noter qu’à partir du 22 septembre 2023, les entreprises seront tenues de publier ces informations sur leur site Internet ou de les rendre disponibles par tout autre moyen approprié[26].
4. TÉMOINS DE CONNEXION ET TIERS
4.1 Accès par des tiers
Les entreprises sont responsables des renseignements personnels en leur possession, y compris lorsque ces renseignements ont été transférés à une tierce partie.
4.2 Témoins tiers
Les Lois applicables ne donnent aucune directive sur les témoins de connexion tiers, y compris sur la façon d’obtenir le consentement à leur utilisation. Cependant, le CPVP a exprimé des inquiétudes quant à l’utilisation de ces témoins, car ils « impliquent des tiers inconnus et s’exécutent à votre insu ou sans votre consentement»[27].
5. CONSERVATION DES TÉMOINS DE CONNEXION
Les Lois applicables ne traitent pas spécifiquement de la conservation des témoins de connexion. En revanche, les lois sur la protection des renseignements personnels imposent généralement des limites à la durée de conservation des renseignements personnels. Par exemple, la LPRPDE exige que la collecte, l’utilisation et la divulgation des renseignements personnels soient limitées à la mesure où elles sont consenties et nécessaires pour atteindre les fins énoncées dans le consentement. De même, la Loi prévoit que les renseignements personnels peuvent être conservés aussi longtemps que les fins convenues ne sont pas encore atteintes[28]. Une fois que les renseignements personnels ne sont plus nécessaires à l’atteinte des fins énoncées, ils doivent être détruits ou anonymisés, sous réserve des exemptions prévues par la Loi. Il est également important de noter que le Projet de loi 64 impose l’adoption d’une politique sur la conservation des renseignements personnels et la publication d’informations détaillées sur les pratiques des entreprises, en termes clairs et simples, sur leur site Internet[29].
6. AUTRES
La question des « murs de témoins » n’est pas abordée précisément par les Lois applicables, et les tribunaux canadiens n’ont pas encore traité cette question. Toutefois, les lois sur la protection des renseignements personnels applicables dans la province de Québec interdisent à une entreprise de bloquer l’accès à ses services si les personnes ne consentent pas à la collecte de leurs renseignements personnels[30].
Le CPVP a également publié des guides sur l’utilisation de témoins de connexion spécifiques, à savoir les témoins zombies, les super témoins, les témoins tiers qui s’apparentent à des témoins propriétaires, les empreintes digitales d’appareils et d’autres techniques qui ne peuvent pas être contrôlées par les utilisateurs[31]. Selon le CPVP, ces techniques ne devraient pas être autorisées, car les utilisateurs ne peuvent pas les refuser.
7. PÉNALITÉS
Les sanctions en cas de non-respect des lois sur la protection des renseignements personnels varient et peuvent inclure des amendes, des ordonnances ainsi que des dommages réputationnels. Par exemple, la Loi prévoit actuellement qu’un premier contrevenant sera contraint de payer une amende allant de 1 000 à 10 000 dollars pour avoir enfreint la Loi[32]. En cas de récidive, cette même personne sera passible d’une amende allant de 10 000 à 20 000 dollars[33]. Cependant, à partir du 22 septembre 2023, de nouvelles sanctions et de pénalités entreront en vigueur. Plus précisément, le Projet de loi 64 ajoutera des sanctions administratives en sus des sanctions pénales mentionnées précédemment, augmentera considérablement le montant des amendes et fera une distinction entre les infractions commises par des particuliers et celles commises par des entreprises.
© CIPS, 2021.
Caroline Jonnaert est avocate et agente de marques de commerce chez ROBIC S.E.N.C.R.L, un cabinet multidisciplinaire d’avocats, d’agents de brevets et de marques de commerce.
Élisabeth Lesage-Bigras est avocate chez ROBIC S.E.N.C.R.L, un cabinet multidisciplinaire d’avocats, d’agents de brevets et de marques de commerce. Les auteures souhaitent remercier Valmi Dufour-Lussier pour sa contribution à cet article.
[1] Loi visant à promouvoir l’efficacité et la capacité d’adaptation de l’économie canadienne par la réglementation de certaines pratiques qui découragent l’exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications, L.C. 2010, c. 23. (« LCAP »)
[2] D’autres législations contiennent des obligations en matière de protection de la vie privée dans la province de Québec, comme le Code civil du Québec, RLRQ c CCQ-1991.
[3] Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1 (la « Loi »).
[4] Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, c. 5.
[5] COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, « Lois provinciales qui peuvent s’appliquer au lieu de la LPRPDE », mai 2020, en ligne.
[6] Id.
[7] Projet de loi n°64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (« Projet de loi 64 »).
[8] COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, « Position de principe sur la publicité comportementale en ligne », décembre 2015, en ligne.
[9] « Adoptant une vision large et contextuelle de la définition de renseignements personnels, le [CPVP] estime qu’en général, l’information recueillie à des fins de PCL constitue des renseignements personnels, étant donné que le but de la collecte de renseignements est de créer des profils de personnes qui, à leur tour, permettent d’offrir des publicités ciblées, de puissants moyens disponibles pour recueillir et analyser les bits de données disparates et la possibilité bien réelle d’identifier les personnes concernées et du caractère potentiellement très personnalisé de la publicité en résultant.», id.
[10] CAI, « Le profilage et la publicité ciblée », octobre 2013, en ligne.
[11] Le terme « profilage » est défini comme « la collecte et de l’utilisation de renseignements personnels afin d’évaluer certaines caractéristiques d’une personne physique, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne.», article 8.1 de la Loi tel que modifié par le Projet de loi 64.
[12] CAI, « Le profilage et la publicité ciblée », octobre 2013, en ligne.
[13] Voir par exemple : COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, « Position de principe sur la publicité comportementale en ligne », décembre 2015, en ligne.
[14] Voir par exemple : CRTC, « Exigences de la Loi canadienne anti-pourriel concernant l’installation de programmes informatiques », septembre 2020, en ligne.
[15] Voir par exemple : COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, « Foire aux questions sur les témoins », mai 2011, en ligne.
[16] Articles 8 et 10(8) de la LCAP.
[17] CRTC, « Exigences de la Loi canadienne anti-pourriel concernant l’installation de programmes informatiques », septembre 2020, en ligne.
[18] En particulier : (i) les renseignements personnels doivent être démontrés comme étant non sensibles de par leur nature et leur contexte ; (ii) le partage de l’information doit être limité et bien défini quant à la nature des renseignements personnels à utiliser ou à divulguer et à l’étendue de l’utilisation ou de la divulgation prévue ; (iii) les objectifs de l’organisation doivent être limités et bien définis, et énoncés de manière claire et compréhensible ; (iv) en règle générale, les organisations devraient obtenir le consentement pour l’utilisation ou la communication au moment de la collecte ; et (v) l’organisation doit établir une procédure pratique pour refuser, ou retirer le consentement, à des objectifs secondaires. L’option de refus doit prendre effet immédiatement et avant toute utilisation ou communication de renseignements personnels pour les nouvelles fins proposées.
[19] Voir: COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, « Position de principe sur la publicité comportementale en ligne », décembre 2015, en ligne.
Article 14 de la loi
Le Projet de loi 64 impose des exigences supplémentaires pour qu’un consentement soit valide, par exemple lorsqu’il s’agit d’obtenir le consentement d’enfants âgés de quatorze ans ou moins ; voir : Article 14 de la loi tel que modifié par le Projet de loi 64.
[20] COMMISSION D’ACCÈS À L’INFORMATION DU QUÉBEC, “Rapport quinquennal 2016, Rétablir l’équilibre », septembre 2016, en ligne.
[21] Article 9.1 de la Loi tel que modifié par le Projet de loi 64.
[22] Voir : l’article 8 et l’article 8.2 de la Loi telle que modifiée par le Projet de loi 64 et le principe 8 de la LPRPDE.
[23] Articles 5 et 8 de la Loi.
[24] Voir : Article 8 de la Loi tel que modifié par le Projet de loi 64.
[25] Article 8.1 de la Loi tel que modifié par le Projet de loi 64.
[26] Articles 8 et 8.2 de la Loi, tels que modifiés par le Projet de loi 64.
[27] COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, « Les témoins et le suivi sur le Web », mai 2011, en ligne.
[28] Articles 4 et 5 de la Loi.
[29] Article 3.2 de la Loi tel que modifié par le Projet de loi 64.
[30] Article 14 de la Loi.
[31] COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, « Les témoins et le suivi sur le Web », mai 2011, en ligne.
[32] Article 91(1)1 de la Loi.
[33] Id.