Last week, Privacy Commissioner Philippe Dufresne released a report detailing home improvement giant Home Depot selling private customer data to Meta, owners of Facebook and Instagram, without the consent or knowledge of customers. The information that was shared included customer details from e-receipts, namely encoded email addresses and in-store purchase information. While it can be legal to share that type of information with other companies, it requires that users actively consent to information sharing, under the Personal Information Protection and Electronic Documents Act (PIPEDA).
This was not done. Home Depot told the Privacy Commissioner that it believed it received implied consent from users, as their privacy statement on their website states they “use de-identified information for internal business purposes, such as marketing, customer service, and business analytics.” Dufresne advised that this was insufficient as a form of consent from customers, and when pressed, Home Depot doubled down, stating they did not notify customers at check-out due to “consent fatigue.”
This follows other recent stories of companies either selling personal data or not doing enough to protect it once it’s in their hands or tracking individuals without their consent. Some may recall that Tim Hortons was also rebuked by the Privacy Commissioner this summer due to their app tracking and recording customer’s movements, even when the app wasn’t running.
In either case, punishment for these companies exists somewhere between negligible and nonexistent. Home Depot is now required to cease providing Meta with customer data until it starts implementing systems to receive direct consent. Tim Hortons had to delete customer location data gathered by the app and establish and maintain a privacy management program. No fines, no other punishment, as long as those companies agree to strengthen their privacy policies.
User data is big business for tech companies. Many tech companies, including Meta, Twitter, YouTube, and others, provide their services for no monetary compensation, but instead collect user data to then monetize, in addition to traditional revenue streams like advertising. People have an expectation that if they sign up for a service that uses their data for one purpose, that the data they provide isn’t being sold or provided to other companies.
Digital privacy and data protection aren’t new concepts in the grand scheme of things. Facebook and YouTube have existed for almost 20 years, and even email became a normal part of our everyday lives for a decade before that. But neither the current Liberal government nor the former Conservative government has done anything significant to protect user data from the type of practices that Home Depot and Tim Hortons have done with customer data. While PIPIDA and Canada’s Anti-Spam Legislation (CASL) are starting points, companies clearly aren’t too worried about whether they breach these acts because there’s little penalty for doing so.
Canadians are justifiably concerned for their privacy, security and consumer rights. It’s time we create a Canadian Digital Bill of Rights that protects people’s data. This should include boosting the powers of the Privacy Commissioner to enforce orders and levy fines and penalties to ensure compliance by large companies for potential data breaches. It’s not enough to take corporations at their word when they say “this won’t happen again,” we need to ensure that they protect any personal data they receive with the utmost care, or face actual, serious consequences. Only when the threat of playing fast and loose with people’s personal data results in hurting a corporation’s bottom line will they start taking data protection seriously.
Digital safety and privacy need to be placed above the profits of companies. Canadians deserve to be comfortable in the knowledge that their data is only being used in ways in which they have already agreed to.
Les données personnelles des Canadiens doivent être protégées
La semaine dernière, le commissaire à la protection de la vie privée, Philippe Dufresne, a publié un rapport détaillant comment le géant de la rénovation Home Depot avait vendu les renseignements personnels de ses clients à Meta, société propriétaire de Facebook et d’Instagram, sans leur consentement et à leur insu. Les données transmises comprenaient des détails sur les clients provenant de reçus électroniques, à savoir des adresses électroniques codées et des informations sur les achats en magasin. S’il peut être légitime de transmettre ce genre d’information à d’autres entreprises, cela nécessite néanmoins le consentement actif des utilisateurs, conformément à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
Ce n’était pas le cas. Home Depot a indiqué au commissaire à la protection de la vie privée qu’elle croyait avoir le consentement tacite des utilisateurs, puisque la déclaration de confidentialité affichée sur son site Web explique que l’entreprise utilise des « renseignements dépersonnalisés à des fins commerciales internes, notamment dans le cadre des activités du Marketing, du Service à la clientèle et de l’Analyse commerciale ». M. Dufresne a conclu que ces explications étaient insuffisantes pour obtenir le consentement des clients. Home Depot a toutefois invoqué une « lassitude du consentement » pour justifier le fait qu’elle n’informait pas les clients de cette pratique au passage à la caisse.
Cette décision fait suite à d’autres cas récents d’entreprises qui vendent des données personnelles, négligent de les protéger une fois qu’elles les ont en leur possession ou suivent des personnes sans leur consentement. Vous vous souviendrez peut-être que Tim Hortons a également été réprimandé par le commissaire à la protection de la vie privée cet été, parce que son application suivait et enregistrait les mouvements des clients, même lorsqu’elle n’était pas en cours d’exécution.
Dans les deux cas, les sanctions infligées à ces entreprises sont négligeables, voire inexistantes. Home Depot doit maintenant s’abstenir de fournir à Meta les données de ses clients, et ce, jusqu’à ce qu’elle ait mis en place des systèmes permettant d’obtenir un consentement direct. Tim Hortons a dû supprimer les données de localisation des clients recueillies par l’application, ainsi qu’établir et maintenir un programme de gestion de la vie privée. Pas d’amende, pas d’autre sanction, tant que ces entreprises acceptent de renforcer leurs politiques de protection de la vie privée.
La confidentialité numérique et la protection des données ne sont pas des concepts nouveaux dans le grand ordre des choses. Facebook et YouTube sont là depuis près de 20 ans, et les courriels sont devenus monnaie courante une bonne décennie plus tôt. Mais ni le gouvernement libéral actuel ni l’ancien gouvernement conservateur n’ont fait quoi que ce soit de notable pour protéger les données des utilisateurs contre le type de pratiques employées par Home Depot et Tim Hortons. Bien que la LPRPDE et la Loi canadienne anti-pourriel (LCAS) offrent un point de départ, de toute évidence, les entreprises ne s’inquiètent pas trop de savoir si elles enfreignent ces lois, car les sanctions sont minimes.
Les Canadiens s’inquiètent à juste titre pour leur vie privée, leur sécurité et leurs droits de consommateurs. Il est temps de créer une Charte canadienne du numérique qui protège les données des gens. Il faudrait notamment renforcer les pouvoirs du commissaire à la protection de la vie privée, pour qu’il puisse faire respecter les ordonnances et imposer des amendes et des pénalités aux grandes entreprises en cas de violation potentielle des données. Il ne suffit pas de prendre les entreprises au mot lorsqu’elles affirment que « cela ne se reproduira plus ». Nous devons veiller à ce qu’elles protègent les données personnelles qu’elles reçoivent avec le plus grand soin, sous peine de subir des conséquences réelles et graves. Tant que l’utilisation abusive des données personnelles n’aura pas porté atteinte à leurs résultats financiers, les entreprises ne prendront pas la protection des données au sérieux.
La sécurité numérique et la vie privée doivent l’emporter sur les profits des entreprises. Les Canadiens méritent d’avoir la certitude que leurs données ne sont utilisées qu’aux fins auxquelles ils ont consenti.
Submit News Tip
