Avis de mise en œuvre sur la protection des renseignements personnels 2024-01: Publicité numérique

1. Date d’entrée en vigueur

Le présent Avis de mise en œuvre entre en vigueur le 18 janvier 2024.

2. Autorisations et pouvoirs

Le présent Avis de mise en œuvre est émis en vertu de l’alinéa 71(1)d) de la Loi sur la protection des renseignements personnels.

3. Objectif

Le présent Avis de mise en œuvre fournit des orientations aux institutions fédérales sur la manière de protéger les renseignements personnels des personnes lorsqu’elles achètent de la publicité à placer sur des plateformes numériques. Le présent Avis vise à :

  • fournir une vue d’ensemble des pratiques du gouvernement du Canada en matière de publicité numérique;
  • informer les institutions des implications de la publicité numérique sur la protection des renseignements personnels;
  • favoriser le respect de la Loi sur la protection des renseignements personnels et de la politique connexe qui l’accompagne;
  • fournir des conseils pour atténuer les risques liés à la protection des renseignements personnels et protéger la vie privée des individus;
  • fournir le protocole de protection des renseignements personnels de Services publics et Approvisionnement Canada (SPAC) à l’agence de coordination (voir l’annexe A).

Voir l’annexe B pour la définition des termes utilisés dans le présent Avis de mise en œuvre.

4. Contexte

4.1 Publicité numérique au sein du gouvernement du Canada

La publicité du gouvernement du Canada (GC) sur des plateformes numériques tierces est un prolongement de la présence du gouvernement sur Internet. Les plateformes numériques sont des espaces en ligne où les producteurs et les utilisateurs de biens, de services et de contenus peuvent échanger des renseignements. Le GC achète des espaces publicitaires sur ces plateformes numériques afin de diffuser des publicités ciblées en fonction du destinataire visant à :

  • promouvoir les programmes et services du GC;
  • diriger les personnes à un site Web du GC pour obtenir des renseignements supplémentaires.

Les plateformes numériques utilisent couramment des données et des renseignements personnels pour personnaliser l’expérience du public. Cette personnalisation est rendue possible par la segmentation, une pratique marketing visant à fournir un contenu adapté au profil démographique, à la région, aux centres d’intérêt ou au comportement en ligne du public. Cette approche permet de veiller à ce que le public pour lequel l’information est la plus pertinente la reçoive au moment et à l’endroit appropriés. Les fournisseurs ou les entrepreneurs utilisés pour la publicité numérique du GC recueillent des renseignements sur le public (également appelé destinataire de la publicité, utilisateur, visiteur ou personne) et utilisent ces renseignements pour mieux cibler les campagnes publicitaires. Le GC paie les fournisseurs de médias lorsqu’une publicité est diffusée ou fait l’objet d’un clic. Ces mesures et ces sources de données peuvent être saisies par l’entremise d’outils d’analyse Web ou de serveurs publicitaires afin de mesurer le rendement d’une campagne. Il est très important d’obtenir un décompte précis des impressions, des vues et des clics pour :

  • mesurer le rendement des campagnes publicitaires;
  • le placement de publicités;
  • la gestion des budgets;
  • garantir une utilisation efficace et responsable des fonds publics.

Une combinaison de méthodes de publicité numérique peut être utilisée pour cibler une audience. Le ciblage d’audience segmente tous les destinataires potentiels de la publicité en groupes précis sur la base de leur groupe démographique, de leur situation géographique, de leurs centres d’intérêt et de leur comportement en ligne. Ces renseignements, qui peuvent inclure des renseignements personnels, sont ensuite collectés par la plateforme publicitaire et utilisés pour adapter les publicités aux groupes les plus susceptibles d’y réagir. Les méthodes de publicité numérique, y compris le ciblage comportemental, le ciblage contextuel, le ciblage de première partie et le géociblage, comportent différents niveaux de risque pour la protection des renseignements personnels, comme l’indique en détail l’annexe C.

Conformément aux procédures obligatoires énoncées dans l’annexe B de la Directive sur la gestion des communications, lorsqu’elles entreprennent des activités publicitaires, les institutions doivent consulter la direction des communications de leur ministère afin de veiller à ce que les produits et les activités de communications, y compris les initiatives publicitaires, soient conformes aux plans ministériels. En outre :

Indépendamment des tiers impliqués, le GC est le guardien responsable ultime de tous les renseignements recueillis ou traités en son nom. Par conséquent, en plus de respecter la Loi sur la protection des renseignements personnels et son ensemble de politiques connexes, les renseignements personnels, comme tous les renseignements traités par le GC, doivent être gérés comme un actif stratégique conformément à ce qui suit :

Tout renseignement contenant des éléments de renseignement personnel ou considéré comme tel doit être géré conformément à la Loi sur la protection des renseignements personnels et aux instruments de politique de protection des renseignements personnels du GC, qui régissent la manière dont les renseignements personnels sont recueillis, utilisés ou divulgués. Voir la section Orientation du présent Avis de mise en œuvre pour des recommandations sur la manière d’atténuer les risques pour la confidentialité associés au traitement des renseignements personnels dans un contexte de publicité numérique.

4.2 Agence de coordination

Les institutions soumises à la Politique sur les communications et l’image de marque achètent de la publicité numérique soit directement auprès des fournisseurs de médias, soit indirectement par l’intermédiaire de l’agence de coordination. La plupart des placements dans les médias du GC sont effectués par l’intermédiaire de l’agence de coordination, un fournisseur du secteur privé sous contrat avec la direction des communications et des achats de publicité de SPAC. Les activités de l’agence de coordination sont gérées par la Direction des services de publicité de SPAC. L’agence de coordination est chargé de fournir des services de planification et de stratégie média, d’achat d’espace, de placement et de diffusion des annonces, de vérification des annonces, d’établissement de rapports et de réconciliation afin d’appuyer un large éventail d’initiatives publicitaires. L’agence de coordination utilise les renseignements et les capacités de ciblage offertes par les plateformes numériques pour contribuer à l’achat d’espaces publicitaires et cibler les publicités du GC vers des publics précis, sur la base de stratégies et de plans médiatiques approuvés par les différentes institutions du GC.

L’agence de coordination sous-traite la publicité numérique du GC à des fournisseurs tiers, dont les suivants :

  • Fournisseurs de médias : diffuseurs qui vendent des espaces publicitaires, par exemple des sites Web, des plateformes de médias sociaux et des plateformes de moteurs de recherche.
  • Plateformes de technologie publicitaire : fournisseurs qui procurent les plateformes de technologie de l’information nécessaires pour permettre l’achat d’espaces publicitaires, la diffusion et le suivi des annonces, la vérification des unités achetées et de la visibilité, la protection contre l’impression frauduleuse et la fraude aux clics, en plus de garantir la sécurité de la marque. Ces plateformes comprennent les serveurs publicitaires, les plateformes axées sur la demande et la technologie de vérification des publicités.
  • Fournisseurs de données : fournisseurs qui vendent des renseignements agrégées et dépersonnalisées sur des audiences pour le placement en temps réel d’annonces publicitaires (sur la base d’algorithmes programmés, ce qui est également connu sous le nom de placement média programmatique).

Veuillez prendre note que les fournisseurs et les entrepreneurs de l’agence de coordination utilisés pour la publicité numérique du GC recueillent des renseignements agrégésNote de bas de page 1 et dépersonnalisésNote de bas de page 2 auprès des personnes afin de proposer des publicités ciblées.

L’agence de coordination est responsable de :

  • vérifier tous les fournisseurs tiers avec lesquels elle travaille en sous-traitance;
  • veiller à ce que les fournisseurs tiers se conforment à toutes les législations pertinentes en matière de protection des renseignements personnels, notamment en informant les personnes ciblées par la publicité du GC de la manière dont leurs données personnelles (le cas échéant) seront traitées.

C’est pourquoi SPAC et l’agence de coordination ont établi un protocole de protection des renseignements personnels qui décrit la manière dont les renseignements personnels seront traités pour garantir leur protection tout au long de la campagne (voir l’annexe A). Ensemble, ils ont également élaboré un cadre de mesures pour déterminer les paramètres et les sources des renseignements qui seront recueilli. L’agence de coordination doit également créer un tableau de bord des résultats qui regroupe et convertit les renseignements recueillis dans des formats conviviaux. Ce tableau de bord permettra aux institutions du GC d’accéder à l’état d’avancement de leurs campagnes et d’en faire le suivi.

4.3 Achat direct

Une partie du placement média du GC est acheté directement par les institutions plutôt que par l’intermédiaire de l’agence de coordination. Pour les campagnes médiatiques d’un montant inférieur ou égal à 25 000 $, les responsables de la communication des institutions soumises à la Politique sur les communications et l’image de marque et à ses instruments politiques ont la possibilité d’acheter des espaces ou temps publicitaires directement auprès des fournisseurs de médias. Les institutions énumérées dans les annexes I, I.1 et II de la Loi sur la gestion des finances publiques qui achètent de l’espace ou temps publicitaire directement auprès des fournisseurs de médias ne peuvent pas acheter de conseils stratégiques, de planification média, d’hébergement publicitaire ou de développement créatif, car seul SPAC dispose du pouvoir de mener ces activités contractuelles (voir Achat de publicité de moins de 25 000 $).

5. Orientation

Le GC doit protéger les renseignements personnels des personnes conformément à la Loi sur la protection des renseignements personnels. Par conséquent, lorsqu’elles achètent de la publicité numérique, directement ou indirectement, les institutions du GC doivent veiller à ce que les contrats auxquels elles sont parties respectent les exigences énoncées dans la Loi sur la protection des renseignements personnels et dans les politiques et directives connexes.

Dans le contexte de la publicité numérique, les renseignements personnels ne doivent être utilisés qu’à des fins de publicité ciblée non discriminatoire et à des fins non administratives (tels que, mais sans s’y limiter, la recherche, les statistiques, l’audit, l’évaluation et, dans certains cas, les objectifs budgétaires et financiers). En outre, lorsqu’il est question de renseignements personnels, les institutions doivent prendre des mesures pour garantir que les entités agissant en leur nom le fassent en toute légalité et fournissent les protections appropriées en matière de confidentialité pour permettre au GC de satisfaire à ses exigences légales et politiques.Note de bas de page 3 Pour protéger les renseignements personnels des personnes et inspirer la confiance, les institutions doivent prendre en compte les implications de la publicité numérique sur la confidentialité et mettre en œuvre les mesures appropriées pour atténuer les risques en la matière.

5.1 Protocole relatif à la protection des renseignements personnels

Comme indiqué à la sous-section 4.2.5 de la Politique sur la protection de la vie privée, les institutions sont tenues d’établir un protocole relatif à la protection des renseignements personnels pour la collecte, l’utilisation et la divulgation non administratives de renseignements personnels. Un protocole relatif à la protection des renseignements personnels décrit les procédures proportionnées visant à protéger la confidentialité conformément à la Loi sur la protection des renseignements personnels. Les institutions peuvent démontrer leur conformité de deux manières :

  1. Lorsqu’elles établissent des contrats de publicité numérique par l’intermédiaire de SPAC, elles doivent soit utiliser le protocole relatif à la protection des renseignements personnels existant de SPAC, soit établir leur propre protocole directement avec l’agence de coordination;
  2. Lorsqu’elles établissent des contrats directement avec des fournisseurs tiers pour l’achat de publicité numérique, elles doivent élaborer un protocole relatif à la protection des renseignements personnels distinct. Dans ce cas, les institutions peuvent choisir de baser leur protocole sur celui de SPAC (annexe A). Note de bas de page 4

Lors de l’élaboration d’un protocole relatif à la protection des renseignements personnels, il est vivement recommandé aux institutions d’inclure les mesures supplémentaires et les pratiques exemplaires suivantes, dérivées de l’annexe E : la Norme sur la protection de la vie privée en matière de Web analytique de la Directive sur les pratiques relatives à la protection de la vie privée, afin de renforcer la protection des renseignements personnels :

  • limiter la collecte à des renseignements dépersonnalisés et agrégés, dans la mesure du possible;
  • s’abstenir d’utiliser un géociblage précis et n’utiliser un géociblage large que lorsqu’aucune autre méthode de publicité numérique ne permet d’obtenir l’effet désiré, et dépersonnaliser toute adresse protocole Internet (IP) dans ce cas;
  • limiter l’utilisation du ciblage comportemental en raison de sa dépendance à l’égard des témoins internes de troisième niveau; en cas d’utilisation, confirmer que les plateformes numériques demandent le consentement valable de l’audience (y compris par un consentement implicite assorti d’une option de retrait) avant l’utilisation, la collecte et la divulgation de tout renseignement personnel;
  • utiliser tout renseignement personnel recueillis uniquement à des fins non administratives, tels que, mais sans s’y limiter, la recherche, les statistiques, l’audit, l’évaluation et, dans certains cas, les objectifs budgétaires et financiers;
  • conserver les renseignements personnels (s’ils ont été recueillis) uniquement à des fins de campagnes de publicité numérique et les supprimer immédiatement après leur dernière utilisation pertinente;
  • s’abstenir de recueillir, d’utiliser et de divulguer des renseignements personnels sensibles, y compris des renseignements financiers, biométriques ou relatifs à la santé;
  • s’abstenir de cibler et de suivre intentionnellement les enfants.

5.2 Contrats

Les institutions doivent solliciter et évaluer les offres conformément aux exigences énoncées au paragraphe 4.5 de la Directive sur la gestion de l’approvisionnement. Avant de conclure un contrat avec un tiers, les institutions sont encouragées à évaluer les fournisseurs afin de veiller à ce qu’ils disposent de l’infrastructure technique, des garanties de sécurité et des stratégies de gouvernance des données nécessaires afin d’appuyer une campagne de publicité numérique du GC comprenant une collecte de renseignements personnels. Les fonctionnaires qui travaillent dans les domaines de la protection des renseignements personnels, de l’approvisionnement, de la sécurité et des technologies de l’information peuvent participer à cet exercice, au besoin.

Pour garantir la protection des renseignements personnels et limiter le risque d’atteinte à la confidentialité, les institutions du GC doivent veiller à ce que les contrats conclus avec des fournisseurs de services ou de données tiers décrivent clairement les mesures prises pour protéger les renseignements personnels conformément aux exigences suivantes :

Ces mesures comprennent l’obligation :

  • de signaler immédiatement les atteintes à la vie privée à l’institution gouvernementale;
  • de contenir et d’atténuer les atteintes à la vie privée, si elles se produisent.

La Trousse d’outils pour la gestion des atteintes à la vie privée fournit des conseils sur la manière de préparer, de gérer et d’atténuer les atteintes à la vie privée. Pour obtenir de plus amples renseignements sur les contrats, veuillez suivre les conseils du Document d’orientation : Prise en compte de la protection des renseignements personnels avant de conclure un marché.

En plus des exigences énumérées ci-dessus, les institutions sont encouragées à inclure les clauses appropriées dans les contrats de publicité numérique, de manière à :

  • interdire aux fournisseurs de communiquer tout renseignement personnel recueilli à des filiales, des sociétés mères, des plateformes de médias sociaux ou d’autres entités, à moins que d’autres accords ou contrats ne prévoient d’autres dispositions; n’en disposent autrement;
  • empêcher les fournisseurs de récupérer des renseignements accessibles au public en ligne;Note de bas de page 5
  • empêcher les fournisseurs d’utiliser des méthodes de suivi qui ne tiennent pas compte des décisions de consentement des personnes et qui sont difficiles à contrôler;
  • permettre des vérifications régulières et des examens réguliers pour garantir que les fournisseurs respectent leurs obligations contractuelles.

5.3 Dépersonnalisation

La dépersonnalisation et l’agrégation des renseignements peuvent réduire la probabilité et l’impact des atteintes à la vie privée. Ces mécanismes sont donc recommandés pour les activités de publicité numérique. Bien que la dépersonnalisation et l’agrégation soient des outils d’atténuation importants, elles comportent un risque résiduel de repersonnalisation et nécessitent une protection appropriée et proportionnée des renseignements personnels. Le risque de repersonnalisation augmente lorsque les critères de ciblage (par exemple l’âge ou la ville) conduisent à un public restreint, au sein duquel les personnes peuvent être identifiées. Note de bas de page 6 C’est pourquoi il est recommandé de ne pas faire correspondre inutilement des éléments d’information (tels que la localisation) avec d’autres identifiants ou jeux de données. Comme pratique exemplaire, les institutions, ou les contractants agissant en leur nom, devraient effectuer une analyse des risques avant d’utiliser toute technique susceptible d’augmenter le risque de repersonnalisation. En outre, les institutions doivent veiller à ce que des plans et des procédures soient mis en place en cas de risque accru de repersonnalisation. Les renseignements dépersonnalisés et agrégés ne doivent pas être repersonnalisés intentionnellement sans raison valable et légale. Pour des considérations supplémentaires concernant la dépersonnalisation, voir L’Avis de mise en œuvre de la protection des renseignements personnels 2023-01 : Dépersonnalisation.

5.4 Collecte

Dans le contexte de la publicité numérique, la collecte de renseignements personnels porte généralement atteinte à la vie privée, car il se peut que le public cible ne soit pas invité à donner son consentement à la collecte et qu’il ne soit pas conscient de son objectif. Les fournisseurs tiers sont soumis à la législation sur la protection des renseignements personnels du secteur privé qui exige, dans la plupart des cas, le consentement du public pour la collecte de renseignements personnels. Conformément à l’article 4 de la Loi sur la protection des renseignements personnels, les institutions gouvernementales ne peuvent collecter des renseignements personnels que s’ils sont directement liés à un programme ou à une activité de l’institution. Les personnes doivent être informées de l’objectif de la collecte et, sauf exception prévue à l’article 7 ou 8 de la Loi sur la protection des renseignements personnels, les institutions doivent obtenir le consentement des personnes concernées pour utiliser et divulguer leurs données personnelles. Par conséquent, lorsqu’elles font appel à un service ou à un fournisseur de données tiers, les institutions doivent s’assurer d’avoir obtenu les renseignements personnels qu’ils fournissent de manière légitime et légale.

5.5 Divulgation

Les renseignements personnels ne peuvent être divulgués par une institution du GC que si les personnes auprès desquelles ils ont été recueillis y consentent ou si les conditions énumérées à l’article 8(2) de la Loi sur la protection des renseignements personnels sont remplies. Selon les paragraphes 4.2.23 à 4.2.27 de la Directive sur les pratiques relatives à la protection de la vie privée, les divulgations de renseignements personnels entre institutions fédérales doivent faire l’objet d’un accord d’échange de renseignements. Avant de conclure un accord d’échange de renseignements, les institutions du GC doivent s’interroger sur l’objectif et la nécessité de la communication de renseignements personnels. Il est fortement recommandé de consulter les responsables de la protection des renseignements personnels avant toute divulgation de renseignements personnels recueillis à des fins de publicité numérique.

6. Application

Le présent Avis de mise en œuvre s’applique aux institutions gouvernementales, telles que définies à l’article 3 de la Loi sur la protection des renseignements personnels, qui sont assujetties à la Politique sur les communications et l’image de marque et à ses instruments politiques sous-jacents. Ces institutions doivent consulter leurs services juridiques, leurs bureaux de protection des renseignements personnels ainsi que leurs directions des communications afin de veiller à ce que leurs pratiques en matière de publicité numérique soient conformes à la Loi sur la protection des renseignements personnels, à l’ensemble des politiques qui l’accompagnent et à tout plan ministériel existant.

Les sociétés d’État mères et leurs filiales en propriété exclusive qui ne figurent pas dans les annexes I, I.1 et II de la Loi sur la gestion des finances publiques ne sont pas assujetties à la Politique sur les communications et l’image de marque et à ses instruments sous-jacents. Quoi qu’il en soit, les orientations contenues dans le présent Avis de mise en œuvre constituent un ensemble de pratiques exemplaires.

Le présent Avis ne s’applique pas à la Banque du Canada.

7. Références et ressources

7.1 Législation

7.2 Instruments politiques connexes du Secrétariat du Conseil du Trésor

7.3 Autres publications

8. Demandes de renseignements

Les membres du public peuvent communiquer avec le Secrétariat du Conseil du Trésor du Canada pour obtenir des renseignements sur le présent Avis de mise en œuvre.

Les employés des institutions fédérales peuvent communiquer avec leur coordonnateur (coordonnatrice) de l’accès à l’information et des renseignements personnels (AIPRP) pour obtenir des renseignements sur le présent Avis de mise en œuvre.

Les coordonnateurs (coordonnatrices) de l’AIPRP peuvent communiquer avec la Division de la vie privée et des données responsables du Secrétariat du Conseil du Trésor du Canada, à l’adresse ippd-dpiprp@tbs-sct.gc.ca, pour obtenir des renseignements sur le présent Avis de mise en œuvre.

Annexe A : Protocole relatif à la protection des renseignements personnels de SPAC avec l’agence de coordination

Les lignes directrices suivantes tiennent compte de la compréhension actuelle et des règles de fonctionnement établies avec l’agence de coordination, y compris en ce qui a trait aux types de pratiques publicitaires qui devraient ou ne devraient pas être utilisés. Ces derniers seront réexaminés et mis à jour en fonction de l’évolution de l’environnement médiatique et des pratiques du GC en matière de publicité numérique.

La nature d’Internet est telle que les plateformes numériques recueillent automatiquement certains renseignements auprès des destinataires des publicités. Il peut s’agir, entre autres, de l’adresse IP d’un utilisateur, du numéro d’identification de l’appareil, du pays, de la région et de la ville. L’adresse IP, en soi, n’identifie pas une personne; cependant, elle peut être associée à une personne identifiable dont l’ordinateur utilise cette adresse à un moment donné et peut donc, en particulier lorsqu’elle est combinée à d’autres données recueillies par les plateformes numériques, constituer un renseignement personnel au sens de l’article 3 de la Loi sur la protection des renseignements personnels. C’est pourquoi le GC considère l’adresse IP comme un renseignement personnel en toutes circonstances. Cette interprétation peut différer de celle d’autres lois sur la protection des renseignements personnels, notamment la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Dans le cadre de ce protocole, la signification des « renseignements personnels » est basée sur l’interprétation du GC.

L’agence de coordination doit veiller à ce que tous les fournisseurs tiers associés aux opérations de publicité numérique du GC disposent d’avis de confidentialité clairs, significatifs et bien visibles, qui fournissent suffisamment de détails pour permettre à toute personne ou organisation qui fait appel à leurs services ou qui interagit avec eux de comprendre ce qui suit :

  • quels renseignements personnels sont recueillis et comment ils sont utilisés;
  • les droits des personnes et les choix qui leur sont offerts en ce qui concerne la collecte et le traitement de leurs renseignements personnels;
  • si et comment les renseignements personnels recueillis sont communiqués ou transmis à des tiers;
  • la durée de conservation des renseignements personnels et la méthode d’élimination;
  • les mesures prises pour protéger les renseignements personnels des personnes.

Collecte de données

Les institutions du GC et l’agence de coordination recueillent des données sur les destinataires des publicités du GC auprès d’autres fournisseurs tiers opérant selon leurs propres conditions de service et politiques de confidentialité, sous réserve de la LPRPDE et/ou d’autres lois relatives à la protection des renseignements personnels. Seules des données agrégées et dépersonnalisées sont recueillies, et elles sont strictement utilisées à des fins non administratives (statistiques, audit et évaluation).

Les fournisseurs de médias et les plateformes de technologie publicitaire sous-traitées par l’agence de coordination recueillent des données, y compris des renseignements personnels, auprès des destinataires des publicités du GC. Ces fournisseurs et plateformes fonctionnent selon leurs propres conditions de service et politiques de confidentialité, et sont assujettis à la LPRPDE et/ou à d’autres législations en matière de protection des renseignements personnels.

Aucune donnée, et donc aucun renseignement personnel, ne peuvent être recueillis auprès des destinataires des publicités du GC par l’agence de coordination ou tout autre fournisseur tiers sous-traité par l’agence de coordination, pour son propre usage, y compris pour établir des profils de publicité ou pour diffuser des publicités ciblées en fonction du destinataire, ces activités étant exclues de la portée de leur contrat avec le gouvernement fédéral.

Utilisation des données

Les capacités offertes par les plateformes numériques sont utilisées par l’agence de coordination pour cibler les publicités du GC vers des publics précis, sur la base de stratégies et de plans médiatiques approuvés par les institutions du GC. Ces plateformes sont publiques et ne sont pas hébergées sur les serveurs du GC. Toutes fonctionnent selon leurs propres conditions de service et politiques de confidentialité, et sont assujetties à la LPRPDE et/ou à d’autres législations en matière de protection des renseignements personnels. Les utilisateurs qui choisissent d’interagir avec elles le font librement et peuvent lire leurs conditions de service et leurs politiques de confidentialité, ainsi que celles des applications utilisées pour y accéder.

Le géociblage peut être utilisé par l’agence de coordination en fonction des objectifs d’une campagne publicitaire précise.

Le ciblage comportemental peut être utilisé par l’agence de coordination s’il n’est pas lié à la santé ni aux finances, et si un mécanisme d’exclusion clair, significatif et bien visible est fourni par les plateformes numériques, par exemple AdChoices.

Aucun reciblage ne peut être utilisé par l’agence de coordination.

Les autres techniques de ciblage susceptibles d’entraîner un risque d’identification, de réidentification ou de profilage doivent soit :

  • être appuyées par une analyse des risques démontrant que des mesures appropriées ont été prises pour protéger les renseignements personnels des personnes;
  • ne pas être utilisées par l’agence de coordination.

Parmi les exemples de ces techniques, citons les références croisées, l’exploration de données et la mise en correspondance de données provenant de sources multiples.

Lorsque la publicité est prévue dans des pays où des exigences autres que celles de la législation fédérale canadienne sur la protection des renseignements personnels s’appliquent, la conformité doit être vérifiée et documentée par l’agence de coordination, et la documentation connexe doit être fournie aux institutions du GC.

Divulgation et conservation des données

Aucune donnée recueillie par l’agence de coordination ou par d’autres fournisseurs tiers sous-traités par l’agence de coordination (tels que définis ci-dessus) ne peut être utilisée ou divulguée en dehors des conditions contractuelles de l’agence de coordination (c.-à-d. le contrat EP361-191751/001/CZ) (accessible uniquement sur le réseau du gouvernement du Canada).

Les données recueillies par l’agence de coordination doivent être conservées et éliminées conformément à l’article 1.2.1 du contrat EP361-191751/001/CZ (accessible uniquement sur le réseau du gouvernement du Canada).

Pertinence du contenu et ciblage précis

L’agence de coordination doit régulièrement examiner ses pratiques de ciblage pour y déceler tout facteur susceptible d’entraîner des risques pour la protection des renseignements personnels des institutions du GC et fournir des conseils et des recommandations, le cas échéant. Ces facteurs peuvent être associés, entre autres, aux éléments suivants :

Contenu

  • Les contenus liés à la santé et aux finances sont plus sensibles et doivent faire l’objet d’une attention particulière lors de la planification. L’agence de coordination doit s’abstenir d’utiliser le ciblage comportemental pour les campagnes incluant des contenus de cette nature.

Public cible

  • Le public cible peut également avoir une incidence sur la sensibilité du contenu, en particulier s’il comprend des membres de groupes vulnérables. Dans ce cas, l’agence de coordination doit faire preuve de prudence dans l’utilisation du ciblage comportemental.
  • Moins de personnes sont incluses dans un segment, plus la publicité est invasive :
    • Il n’y a pas de détermination claire de la densité qui serait considérée comme acceptable pour la publicité numérique du GC. Le niveau minimum de segmentation nécessaire doit être utilisé par l’agence de coordination pour cibler un public.
    • Lorsque la publicité risque d’être trop personnalisée ou intrusive, la segmentation doit être appuyée par une analyse des risques.

Exécution

  • L’exécution d’une campagne publicitaire ciblée pourrait paraître hautement « personnalisée » ou dépendre de pratiques invasives de collecte de données :
    • Le géoblocage et les autres méthodes de ciblage utilisant un rayon étroit doivent être utilisés avec prudence. Les situations qui présentent une densité imprévisible doivent être évitées, par exemple, après avoir visité un lieu précis dans le cadre d’un paramètre précis.
    • Les données extraites du Web (par exemple des plateformes de médias sociaux) pour établir le profil de personnes ou de groupes à leur insu peuvent nuire à la confiance du public dans les placements et les pratiques de publicité numérique du GC.

Annexe B : Définitions

accord d’échange de renseignements

Une entente écrite qui décrit les modalités sous lesquelles des renseignements personnels sont communiqués entre parties. Un accord d’échange de renseignements est généralement utilisé pour faciliter la communication de renseignements personnels d’une institution fédérale à une entité du secteur public extérieure à la Couronne. Un accord d’échange de renseignements peut être ou ne pas être juridiquement contraignant (voir la Directive sur les pratiques relatives à la protection de la vie privée).

Adresse du protocole Internet (IP)

Étiquette numérique attribuée par le fournisseur de services Internet à chaque ordinateur. Il s’agit de la façon dont l’utilisateur de l’ordinateur communique sur Internet. Une adresse IP peut, dans certaines circonstances, être associée à un individu identifiable dont l’ordinateur utilise cette adresse à tout moment. Pour cette raison, le gouvernement du Canada considère l’adresse IP comme étant un renseignement personnel qui doit, dans tous les cas, être traité conformément aux exigences de la Loi sur la protection des renseignements personnels (voir la Directive sur les pratiques relatives à la protection de la vie privée).

atteinte à la vie privée

Création, collecte, usage, communication, conservation ou retrait inappropriée ou non autorisée de renseignements personnels ou accès inapproprié ou non autorisé aux renseignements personnels (voir la Politique sur la protection de la vie privée).

consentement

Accord éclairé et volontaire d’une personne relativement à la collecte indirecte ou à la communication, la conservation et les utilisations ultérieures de ses renseignements personnels recueillis à des fins autorisées par la loi (voir le Document d’orientation pour aider à préparer des Ententes d’échange de renseignements personnels).

données

Ensemble de valeurs liées à des sujets concernant des variables qualitatives ou quantitatives qui représente de façon officielle des faits, des statistiques ou des éléments d’information et qui est propice à la communication, à la réinterprétation ou au traitement (voir la Politique sur les services et le numérique).

fins administratives

Un usage de renseignements personnels concernant un particulier « dans le cadre d’une décision le touchant directement » (article 3 de la Loi sur la protection des renseignements personnels). Cela comprend tout usage de renseignements personnels afin de confirmer l’identité d’une personne (c.-à-d. à des fins d’authentification et de vérification) ainsi que de déterminer si celle‑ci est admissible aux programmes gouvernementaux (voir la Politique sur la protection de la vie privée).

fins non administratives

L’usage de renseignements personnels pour une fin qui n’est pas liée à un processus de prise de décision touchant directement la personne. Cela comprend l’usage de renseignements personnels à des fins de recherche, de statistique, de vérification et d’évaluation (voir la Politique sur la protection de la vie privée).

information

Connaissances saisies dans n’importe quel format, comme des faits, des événements, des choses, des processus ou des idées, qui peuvent être structurés ou non, y compris des concepts qui, dans un certain contexte, ont une signification particulière. L’information comprend les données (voir la Politique sur les services et le numérique).

protocole relatif à la protection des renseignements personnels

Un ensemble de procédures consignées à respecter lors de l’usage de renseignements personnels à des fins non administratives, y compris la recherche, les statistiques, la vérification et l’évaluation. Ces procédures visent à ce que le traitement des renseignements personnels de particuliers soit conforme aux principes de la Loi sur la protection des renseignements personnels (voir la Politique sur la protection de la vie privée).

publicité

Tout message diffusé au Canada ou à l’étranger, et payé par le gouvernement pour un placement dans des médias, y compris les journaux, la télévision, la radio, les salles de cinéma, l’affichage et tout autre média extérieur, les appareils mobiles, Internet et tout autre média numérique (voir la Politique sur les communications et l’image de marque).

renseignements agrégés

Renseignements personnels qui ont été modifiés pour supprimer les identifiants personnels directs et regroupés en un résumé pour l’analyse statistique. Les renseignements agrégés sont une forme de renseignements dépersonnalisés. Il s’agit d’une définition ad hoc. Comme ce terme n’est pas défini dans la législation ou la politique fédérale canadienne au moment de la rédaction du présent Avis de mise en œuvre, cette définition est utilisée uniquement aux fins du présent Avis de mise en œuvre.

renseignements dépersonnalisés

Renseignements personnels qui ont été modifiés dans le cadre d’un processus visant à supprimer ou à modifier les identifiants dans une mesure appropriée aux circonstances. Les renseignements dépersonnalisés comportent un risque résiduel de repersonnalisation (voir l’Avis de mise en œuvre de la protection des renseignements personnels 2023-01 : Dépersonnalisation).

renseignements personnels

Les renseignements, quels que soient leur forme et leur support, concernant un individu identifiable. Voir l’article 3 de la Loi sur la protection des renseignements personnels pour de plus amples détails.

renseignements personnels sensibles

Même si pratiquement tous les renseignements personnels peuvent être sensibles dans certains contextes (par exemple, la communication de l’adresse domiciliaire d’un individu peut l’exposer à des risques tant sur le plan personnel que professionnel), certaines catégories de renseignements personnels sont considérées comme étant sensibles pour la totalité ou la majorité des personnes. Parmi ces renseignements, mentionnons les renseignements médicaux, les renseignements financiers, les antécédents criminels, ou des identificateurs utilisés à grande échelle, comme le numéro d’assurance sociale ou d’autres renseignements dont la communication pourrait porter préjudice à la personne concernée (voir le Document d’orientation pour aider à préparer des Ententes d’échange de renseignements personnels).

témoins internes de première partie

Un témoin est un fichier de données envoyé par un serveur Web au navigateur Web qui se trouve sur l’ordinateur d’un visiteur et que le serveur Web utilise pour faire le suivi ou enregistrer les renseignements sur le visiteur. Un témoin interne (de premier niveau) est celui qui est créé par le site Web que le visiteur consulte (voir la Directive sur les pratiques relatives à la protection de la vie privée). Les utilisateurs acceptent les témoins internes de premier niveau lorsqu’ils naviguent sur le Web.

témoins internes de tierce partie

Témoins internes envoyés par un domaine différent du site Web que le visiteur est en train de consulter. Les témoins internes de tierce partie ne demandent pas de consentement pour recueillir des données. Il s’agit d’une définition ad hoc. Comme ce terme n’est pas défini dans la législation ou la politique fédérale canadienne au moment de la rédaction du présent Avis de mise en œuvre, cette définition est utilisée uniquement aux fins du présent Avis de mise en œuvre. Il est à noter que Google devrait cesser progressivement d’utiliser des témoins internes de tierce partie en 2024, ce qui modifiera le paysage de la publicité numérique.

traitement

Tout processus visant des renseignements personnels, y compris la collecte, la correction, la création, la modification, l’usage, la conservation, la communication et le retrait (voir la Directive sur les pratiques relatives à la protection de la vie privée).

Web analytique

La collecte, l’analyse, la mesure et le compte rendu des données sur l’achalandage des sites Web et les visites d’utilisateurs pour bien comprendre l’usage du Web et l’optimaliser (voir l’annexe E : Norme sur la protection de la vie privée en matière de Web analytique de la Directive sur les pratiques relatives à la protection de la vie privée).

Annexe C : Méthodes de publicité numérique

Géociblage et géoblocage

Le géociblage permet de cibler des publics avec des publicités pertinentes en fonction de leur situation géographique. Cette méthode utilise l’identification par radiofréquence (IRF), les codes postaux, les régions de tri d’acheminement, le Wi-Fi et les données du système mondial de localisation (GPS) pour déterminer l’emplacement d’un public et lui proposer des publicités en rapport avec les biens ou les services offerts à proximité. Le géociblage utilise les renseignements de localisation reçue des adresses du protocole Internet ou des tours de téléphonie mobile, en plus des comportements, intérêts ou données démographiques du public, pour adapter les publicités. La collecte de renseignements de localisation, associée à d’autres éléments de renseignements personnels, augmente la possibilité d’identifier ou de réidentifier les personnes, ce qui rend cette méthode plus intrusive pour la vie privée que d’autres méthodes de publicité numérique. À l’inverse, le géoblocage permet de cibler de larges publics en fonction de leur emplacement seulement. Comme le géoblocage dépend strictement de l’emplacement général (et d’aucun autre facteur), le risque d’identification des personnes est réduit.

Ciblage comportemental

Le ciblage comportemental utilise des témoins internes de tierce partie pour cibler des publics précis en fonction de leur historique de recherche et de leur comportement en ligne antérieur. Le ciblage comportemental étant basé sur l’historique et non sur l’activité en ligne actuelle, les renseignements recueillis pourraient être inexactes. En outre, cette méthode manque de transparence, car les témoins internes de tierce partie ne demandent pas de consentement pour recueillir des données. Le ciblage comportemental est donc susceptible de porter davantage atteinte à la vie privée que le ciblage de première partie ou le ciblage contextuel.

Ciblage de première partie

Le ciblage de première partie vise des publics précis en fonction de leur profil et de leur relation avec l’annonceur. Les sites Web utilisent les renseignements recueillis grâce à l’engagement direct de l’utilisateur dans une activité distincte de la publicité. Par exemple, lorsqu’un utilisateur se connecte à un compte, effectue un achat, répond à une enquête, suit un compte de média social, consent à des témoins de première partie ou s’inscrit à une liste de diffusion. Dans ce contexte, l’utilisateur consent à recevoir des renseignements de la part de l’annonceur. Les risques pour la vie privée associés au ciblage de première partie sont moindres que ceux liés au ciblage comportemental et au géociblage, car l’utilisateur est généralement conscient du ciblage et y consent dans une certaine mesure. Cela dit, toutes les plateformes numériques, qu’elles soient possédées par un gouvernement ou une entreprise, peuvent être vulnérables à des cyberattaques susceptibles d’entraîner des atteintes à la vie privée. Le risque inhérent d’atteinte à la vie privée demeure donc.

Ciblage contextuel

Le ciblage contextuel permet d’adresser à des publics précis des publicités pertinentes basées sur le contenu Web actuellement consulté. La publicité contextuelle ne repose pas sur des renseignements obtenus à partir de témoins. Elle établit plutôt un lien entre la publicité et le sujet de la page Web. Par exemple, un site Web de recettes affichera des publicités pour les ingrédients mentionnés dans la recette. Le ciblage contextuel ne recueille pas d’éléments de renseignements personnels et constitue donc la méthode de publicité numérique la moins intrusive pour la vie privée.

Reciblage

Le reciblage est une méthode de publicité numérique qui cible des publics précis avec des publicités pertinentes après un événement antérieur, par exemple une visite sur un site Web ou une page Web. Par exemple, si une personne visite une page Web, mais l’abandonne avant de cliquer sur un lien ou d’effectuer un achat, un témoin suivra silencieusement la personne lorsqu’elle naviguera dans d’autres contenus et lui proposera des publicités pour la page Web qu’elle a quittée afin de tenter de regagner son attention. En raison de l’atteinte à la vie privée que représente le reciblage, l’agence de coordination et les institutions fédérales n’utilisent pas cette méthode publicitaire.

Détails de la page

Date de modification :