Les autorités de protection de la vie privée du Canada publient une résolution sur les mécanismes de conception trompeuse
Les autorités de protection de la vie privée du Canada publient une résolution sur les mécanismes de conception trompeuse
Plus tôt cette année, le Commissariat à la protection de la vie privée du Canada (« CPVP ») s’est joint à 25 autres autorités chargées de l’application des lois sur la protection de la vie privée du monde entier pour effectuer un ratissage des sites Web et des applications mobiles (ensemble, les « Plateformes ») concernant l’utilisation des mécanismes de conception trompeuse (le « Ratissage »).
Le CPVP a par la suite publié un rapport résumant les conclusions de son Ratissage (le « Rapport »)[1]. Notamment, sur les 145 Plateformes qu’il a examinées, 99 % contenaient apparemment au moins un indicateur de conception trompeuse.
Le 13 novembre 2024, les autorités de protection de la vie privée du Canada ont publié une résolution conjointe pour lutter contre ce qu’elles considèrent comme « le recours croissant à des mécanismes de conception trompeuse […] qui portent atteinte au droit à la vie privée » (la « Résolution »)[2]. La Résolution demande aux organisations des secteurs public et privé d’éviter l’utilisation de mécanismes de conception trompeuse et de veiller à ce que les utilisateurs puissent prendre des décisions éclairées en matière de protection de la vie privée.
En quoi consistent les mécanismes de conception trompeuse?
Le CPVP définit les mécanismes de conception trompeuse comme des mécanismes couramment utilisés sur les Plateformes dans le but d’influencer, de manipuler ou de contraindre les utilisateurs à prendre des décisions en matière de protection de la vie privée qui ne sont pas dans leur intérêt. Plus précisément, ces mécanismes peuvent empêcher les utilisateurs de prendre des décisions pleinement éclairées sur la collecte, l’utilisation et la communication de leurs renseignements personnels et les amener à renoncer à leurs droits en la matière dans une mesure plus grande qu’ils ne le souhaiteraient.
Le Rapport porte sur les cinq catégories suivantes de mécanismes de conception trompeuse :
- Interférence d’interface. Ces éléments de conception peuvent détourner l’attention des utilisateurs, les embrouiller ou influencer autrement leur perception et leur compréhension de leurs options en matière de protection de la vie privée. Par exemple, une «fausse hiérarchie » met l’accent sur certains éléments visuels et en escamote d’autres pour diriger les utilisateurs vers des options qui protègent le moins la vie privée. La « présélection » se produit lorsque l’option la plus attentatoire à la vie privée est présélectionnée par défaut, dans l’espoir que bon nombre des utilisateurs se contenteront d’accepter les choix présélectionnés, par facilité. Enfin, la « manipulation émotionnelle » est une pratique qui exploite un langage à connotation émotionnelle pour pousser les utilisateurs à se tourner vers les options liées à la protection de la vie privée privilégiées par l’organisation.
- Harcèlement. Ces éléments de conception incitent constamment les utilisateurs à prendre des mesures précises susceptibles de porter atteinte à leurs intérêts en matière de protection de la vie privée. Le CVPC perçoit le harcèlement comme une tentative de la part des organisations d’irriter les utilisateurs au point de faire ce qu’ils ne feraient pas normalement, comme ouvrir un compte, passer d’un site Web à une plateforme d’application mobile ou permettre autrement la collecte d’un plus grand nombre de leurs renseignements personnels.
- Ces éléments de conception ajoutent des étapes supplémentaires inutiles entre les utilisateurs et leurs objectifs en matière de protection de la vie privée, ce qui pourrait les frustrer et les empêcher de faire les choix voulus en matière de protection de la vie privée. C’est ce qu’on appelle la « lassitude du clic », c’est-à-dire qu’une personne doit cliquer un nombre déraisonnable de fois pour atteindre un objectif, comme fermer son compte.
- Action forcée. Ces éléments de conception obligent les utilisateurs à divulguer plus de renseignements personnels qu’il n’est nécessaire pour fournir le service de la Plateforme, par exemple en offrant seulement l’option « Tout accepter » sur une bannière de témoins, plutôt que de fournir également l’option de rejeter les témoins non essentiels.
- Langage inaccessible. Le CPVP considère que la publication de politiques de confidentialité ou de conditions d’utilisation trop techniques ou trop longues sur les Plateformes constitue un mécanisme de conception trompeuse. En fait, le Rapport indique qu’il s’agissait du type de mécanisme de conception trompeuse le plus courant observé pendant le Ratissage; il se produisait sur 96 % des propriétés numériques examinées par le CPVP. Selon le Rapport, le CPVP considère qu’une politique de confidentialité est trop longue si elle compte plus de 3 000 mots et trop complexe si elle est rédigée à un niveau de lecture supérieur à un niveau de 12ᵉ année d’après l’indice de lisibilité de Flesch.
Risques pour les entreprises
Selon la législation canadienne sur la protection de la vie privée dans le secteur privé, le principal fondement juridique de la collecte, de l’utilisation et de la communication des renseignements personnels est le consentement. Toutefois, la législation prévoit expressément que le consentement n’est pas valable s’il est obtenu au moyen de pratiques qui trompent les gens ou les induisent en erreur. L’utilisation de pratiques de conception trompeuse invalidera donc tout consentement obtenu à l’aide d’un mécanisme trompeur, ce qui signifie qu’il se peut qu’une entreprise n’ait plus de fondement juridique valable pour traiter les renseignements personnels collectés sur une Plateforme.
Le recours à des mécanismes de conception trompeuse peut également nuire aux relations des organisations avec leurs clients actuels ou éventuels, en entraînant la frustration des utilisateurs et un manque de confiance. Ainsi, le recours à de tels mécanismes peut avoir des répercussions négatives à long terme sur la marque et la réputation d’une organisation.
Enfin, les mécanismes de conception trompeuse peuvent également servir de fondement aux plaintes et/ou aux enquêtes des autorités de protection de la vie privée, et même aux recours individuels ou aux recours collectifs.
Attentes des autorités de protection de la vie privée du Canada
La Résolution énonce les attentes des autorités de protection de la vie privée du Canada à l’égard des organisations des secteurs public et privé en ce qui concerne leurs Plateformes, notamment :
- tenir compte du concept de protection de la vie privée dès la conception des Plateformes;
- s’il y a lieu, veiller à ce que l’intérêt supérieur des jeunes soit pris en compte dès l’étape de la conception;
- limiter la collecte de renseignements personnels à ce qui est nécessaire aux fins déterminées par l’organisation;
- promouvoir la transparence en utilisant un langage simple et clair;
- examiner et mettre à l’essai l’architecture de conception et la convivialité des Plateformes pour évaluer la prévalence des mécanismes de conception trompeuse;
- choisir des éléments de conception qui sont conformes aux lois sur la protection des renseignements personnels applicables, tiennent compte des intérêts des utilisateurs et ne génèrent pas chez eux de mauvaises habitudes ou de comportements négatifs.
Mesures que les entreprises doivent prendre
Les entreprises doivent s’assurer qu’elles ont un processus d’examen et d’approbation interne approprié pour la conception et la mise en œuvre de nouvelles Plateformes et pour les mises à jour des Plateformes existantes, afin de garantir qu’aucun mécanisme de conception trompeuse n’est utilisé. Dans le cadre de ce processus d’examen et d’approbation, la personne responsable de la conformité de l’organisation aux lois sur la protection de la vie privée, comme l’agent.e de la protection de la vie privée, devrait avoir la possibilité de formuler des commentaires.
Voici d’autres mesures que peuvent prendre les entreprises, en plus de suivre les mesures énoncées dans la Résolution.
- Mise à jour des politiques de confidentialité. Puisque le CPVP s’est montré insatisfait à l’égard de 96 % des politiques de confidentialité qu’il a examinées pendant le Ratissage, la mise à jour des politiques de confidentialité accessibles au public devrait être une priorité absolue. Les organisations doivent s’assurer que les politiques de confidentialité sont rédigées dans un langage simple, qu’elles comportent des phrases courtes et faciles à comprendre, qu’elles sont bien structurées et qu’elles sont faciles à consulter, par exemple par l’utilisation de titres appropriés et d’hyperliens vers différentes sections.
- Examen des Plateformes existantes. Les entreprises devraient porter un regard neuf sur leurs Plateformes existantes en les examinant attentivement afin de déterminer si des mécanismes de conception trompeuse sont utilisés pour influencer les choix des utilisateurs en matière de protection de la vie privée. Les « sources d’irritation » courantes pour les mécanismes de conception trompeuse comprennent les bannières de témoins, les processus d’inscription et de suppression de comptes et les processus de paiement sur les plateformes de commerce électronique. En particulier, la Résolution encourage les organisations à prendre des mesures pour i) s’assurer que les paramètres des Plateformes sont réglés par défaut au plus haut niveau de protection; ii) présenter les options en matière de protection de la vie privée en utilisant un langage simple, uniforme et neutre; iii) rendre les paramètres de confidentialité facilement accessibles en tout temps (et non seulement lors de la première visite d’un utilisateur); iv) réduire le nombre de clics nécessaires pour se renseigner et faire des choix en matière de protection de la vie privée; et v) fournir des options de consentement en temps opportun, qui permettent aux utilisateurs de prendre des décisions en matière de protection de la vie privée au moment où elles sont pertinentes.
- Mise en œuvre de processus de vérification interne. Les entreprises devraient également envisager de concevoir et de mettre en œuvre des processus internes pour éviter d’introduire des mécanismes de conception trompeuse sur les futures Plateformes. Par exemple, les organisations peuvent élaborer une formation propre au rôle sur les façons de détecter et d’éviter les mécanismes de conception trompeuse et l’offrir régulièrement aux membres de l’organisation qui sont responsables de la conception des Plateformes, comme les membres de l’équipe de conception Web et de marketing. Les modèles d’évaluation des facteurs relatifs à la protection de la vie privée et d’autres listes de contrôle internes et outils de conformité peuvent également être mis à jour pour inclure des vérifications des mécanismes de conception trompeuse.
L’équipe du groupe Protection de la vie privée et des données de McMillan peut aider votre organisation à adopter les mesures ci-dessus. Nous vous invitons à communiquer avec votre représentant.e chez McMillan pour obtenir le soutien dont votre organisation a besoin en vue de respecter ces questions essentielles de conformité en matière de protection de la vie privée.
[1] Rapport sur le ratissage du Commissariat à la protection de la vie privée du Canada de 2024 : Mécanismes de conception trompeuse (9 juillet 2024).
[2] Repérer et atténuer les préjudices découlant des mécanismes de conception trompeuse relatifs à la protection de la vie privée, Résolution des commissaires fédéral, provinciaux et territoriaux à la protection de la vie privée et des ombuds responsables de la protection de la vie privée (publié le 13 novembre 2024).
Mise en garde
Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.
© McMillan S.E.N.C.R.L., s.r.l. 2024
Perspectives (5 Posts)Voir Plus
Considérations juridiques au Canada liées au « clonage de la voix »
Dans ce bulletin, nous examinons quelques causes d’action possible au Canada pour une personne victime de clonage de la voix.
Analyse des contrats de partenariat prévus par le projet de loi 62 sur les infrastructures publiques au Québec
Le projet de loi n° 62, Loi visant principalement à diversifier les stratégies d’acquisition des organismes publics et à leur offrir davantage d’agilité dans la réalisation de leurs projets d’infrastructure (« projet de loi 62 ») a été adopté en octobre 2024 par l’Assemblée nationale du Québec.
La réforme de la lutte contre le blanchiment d’argent et les sanctions au Canada deviennent sérieuses : ajout de joueurs, de règles et de renseignements à déclarer
La réforme de la lutte contre le blanchiment d’argent au Canada devient sérieuse : ajout de joueurs, de règles et de détails à déclarer.
Alerte à l’intention des conseillers : ce que les conseillers inscrits doivent savoir sur le règlement 93-101 sur la conduite commerciale en dérivés
Le Règlement 93-101 sur la conduite commerciale en dérivés crée un cadre exhaustif pour la conduite des courtiers et des conseillers sur le marché des dérivés de gré à gré.
Quoi de neuf dans les questions fréquemment posées : orientations récentes du bureau de la concurrence sur les modifications apportées à la Loi sur la concurrence du Canada
Commentaire sur les Questions fréquemment posées du Bureau de la concurrence décrivant la manière dont le Bureau appliquera les dispositions modifiées de la Loi sur la concurrence relatives aux fusions et aux comportements susceptibles d’examen.
Recevez des mises à jour directement dans votre boîte de réception. Vous pouvez vous désabonner en tout temps.