Home Depot a partagé des données clients avec Meta pendant des années sans consentement : Commissaire à la protection de la vie privée

0

OTTAWA — Home Depot a illégalement partagé les données personnelles de ses clients avec la société mère de Facebook, Meta, à leur insu et sans leur consentement pendant des années, a révélé jeudi le commissaire fédéral à la protection de la vie privée.

«Lorsque les clients ont été invités à fournir leur adresse e-mail, ils n’ont jamais été informés que leurs informations seraient partagées avec Meta par Home Depot, ni comment elles pourraient être utilisées par l’une ou l’autre société. Cette information aurait été importante pour la décision d’un client d’obtenir ou non un reçu électronique », a déclaré le commissaire Philippe Dufresne dans un communiqué.

À partir de 2018, chaque fois qu’un client fournissait à Home Depot son adresse e-mail afin de recevoir un reçu électronique (e-reçu), l’entreprise de matériel le transmettait ensuite, ainsi que des détails sur les achats en magasin du client, à Meta.

C’est parce que Home Depot a utilisé un outil Meta appelé « Conversions hors ligne » qui permettait aux entreprises de lier les achats aux publicités qu’elles affichaient sur le compte Facebook d’un individu pour évaluer leur efficacité.

Bien qu’une grande partie des informations fournies à Meta soient «de haut niveau», le commissaire a déclaré qu’elles étaient suffisantes pour permettre à l’entreprise de déduire des informations spécifiques sur les clients de Home Depot et de Facebook.

« Bien que les détails des achats en magasin d’une personne n’aient peut-être pas été sensibles dans le contexte de Home Depot, ils pourraient être très sensibles dans d’autres contextes de vente au détail, où ils révèlent, par exemple, des informations sur la santé ou la sexualité d’un individu », lit-on. le rapport.

Ce que l’entreprise aurait dû faire, c’est dire expressément aux clients qu’en s’inscrivant pour recevoir un reçu électronique, certaines de leurs données seraient envoyées à Meta.

Le commissaire n’a pas pu dire combien de Canadiens ont été pris dans l’accord de partage de données de Home Depot avec Meta depuis 2018, mais a noté que c’était « beaucoup ». Il a également déclaré qu’il croyait que des outils similaires étaient «largement utilisés» par les entreprises canadiennes.

Il a lancé l’enquête lorsqu’un client a déposé une plainte après avoir découvert que Meta disposait de données sur ses achats chez Home Depot alors qu’il fermait son compte Facebook.

Home Depot a mis fin à la pratique en octobre 2022 au cours de l’enquête.

Mais ce n’est qu’après que Home Depot s’est disputé avec le commissaire au cours de l’enquête qu’il avait obtenu le consentement « implicite » de ses clients pour partager les données avec Meta en raison de clauses dans sa déclaration de confidentialité qui stipulaient que l’entreprise « peut partager des informations à des fins commerciales… avec des tiers. »

La société a fait valoir que les clients auraient pu en savoir plus en allant de manière proactive lire la déclaration de confidentialité de Home Depot.

Il a également fait valoir que les gens souffraient de « fatigue du consentement » pour justifier de ne pas informer les clients de l’accord avec Meta.

Mais Dufresne a rejeté tous ces arguments dans son rapport.

« Le modèle de consentement de Home Depot oblige les clients à rechercher de manière proactive ces politiques en ligne ou à demander une copie imprimée à un associé du magasin. Cela ne signifie en aucun cas que Home Depot fait des «efforts raisonnables»… pour s’assurer que les clients sont informés des fins pour lesquelles leurs informations seront utilisées et divulguées », lit-on dans son rapport.

Lors d’une conférence de presse jeudi, Dufresne a déclaré que son enquête se voulait un avertissement aux autres entreprises.

« Ce rapport rappelle à toutes les entreprises, alors qu’elles cherchent de plus en plus à fournir des services en ligne et à vous offrir des reçus électroniques, qu’elles doivent être claires et transparentes sur la manière et la raison pour lesquelles elles demandent des informations personnelles sur les consommateurs, et qu’elles doivent obtenir des informations significatives. consentement de leurs consommateurs avant de partager ces informations avec des tiers », a-t-il déclaré.

Dans un communiqué, le directeur des communications d’entreprise de Home Depot Canada, Paul Berto, a confirmé que l’entreprise avait cessé d’utiliser l’outil de conversion hors ligne de Meta après que le commissaire eut fait part de ses inquiétudes au cours de son enquête.

Il a également insisté sur le fait que l’outil ne partageait que des informations « non sensibles » telles que « le département dans lequel un achat a été effectué ».

« Nous apprécions et respectons la vie privée de nos clients et nous nous engageons à collecter et utiliser les informations de manière responsable. Nous continuerons de travailler en étroite collaboration avec le Commissariat à la protection de la vie privée du Canada », a déclaré Berto dans un communiqué.

Source link-46