(Ottawa) Home Depot a fourni des données personnelles de ses clients à Meta, société mère de Facebook, sans obtenir leur consentement au préalable. Le commissaire à la vie privée, Philippe Dufresne, a dénoncé cette pratique dans un rapport rendu public jeudi.

La chaîne américaine de bricolage a fourni les adresses courriel de sa clientèle recueillies par l’entremise des reçus électroniques. Elle utilisait la fonction « Conversions hors ligne » de Meta pour lui communiquer également des renseignements sur les achats effectués.

« Quand les gens se font demander “est-ce que vous voulez un reçu papier ou un reçu électronique”, il n’y a aucune raison de présumer que si on choisit le reçu électronique, on est en train de donner la permission pour partager nos données avec des tiers, mais que si on choisit un reçu papier ce n’est pas le cas », a-t-il expliqué en conférence de presse, la première depuis sa nomination en juin.

Les adresses électroniques étaient chiffrées, mais Meta était en mesure de déterminer si elles étaient associées à un compte Facebook pour les lier à une personne. Cette pratique avait cours depuis au moins 2018, selon le commissaire à la vie privée. Elle a cessé en octobre 2022 après son intervention.

Le commissaire n’était pas en mesure de dire combien de clients avaient été touchés, mais selon toute vraisemblance, il s’agit d’un nombre important.

Pas expliqué clairement

Home Depot a fait valoir qu’elle avait obtenu le « consentement tacite » de ses clients et que ceux-ci pouvaient toujours lire sa déclaration de confidentialité sur son site web ou la demander en magasin. Cet argument n’a pas convaincu le commissaire puisque la politique n’expliquait pas clairement que des renseignements allaient être transférés à Meta.

Si l’achat d’outils ou de fournitures pour la maison peut sembler anodin, il en est tout autrement pour d’autres types d’achats en pharmacie ou ailleurs.

« Un patio peut-être que ce n’est pas sensible, mais encore là si on achète d’autres types de produits qui peuvent révéler de l’information par rapport à la sexualité des gens, par rapport à certaines habitudes, par rapport à certains enjeux, on peut facilement imaginer certaines situations où nos achats peuvent identifier de l’information à propos de nous qui serait sensible », a fait valoir M. Dufresne.

Le ministre de l’Innovation, des Sciences et de l’Industrie, François-Philippe Champagne, a déposé en juin le projet de loi C-27 qui prévoit des amendes pouvant atteindre 25 millions pour les entreprises qui protègent mal les données personnelles de leurs clients. Il donnerait également de nouveaux pouvoirs au commissaire à la vie privée. Le projet de loi a passé l’étape de la deuxième lecture à la Chambre des communes et doit être étudié en comité parlementaire.

Le commissaire a dit souhaiter « que ça progresse au Parlement ». Il espère que le projet de loi lui permettra de créer une culture de la vie privée sans avoir à sévir fréquemment avec des amendes.

C’est la deuxième fois que le gouvernement de Justin Trudeau tente de faire adopter un projet de loi pour mieux protéger la vie privée des consommateurs. Le premier avait déjà été déposé en 2020, mais il est mort au feuilleton après le déclenchement de la plus récente campagne électorale fédérale.