Prestataires de services
Si vous vous êtes identifié comme prestataire de services, cela signifie que le service que vous offrez vous donne accès à toutes ou presque toutes les adresses URL auxquelles ont accédé vos utilisateurs et que dans le cadre de vos activités en tant que prestataire, vous recueillez et utilisez les données des clients à des fins de publicité ciblée par centres d’intérêt en ligne. Par exemple, vous offrez un service d’accès à Internet ou une application logicielle de bureau telle que des navigateurs ou des barres d’outils Web.
Apparaît ci-après une explication détaillée de chacune des exigences visant les prestataires de services :
1. Assurer la transparence
Vous devez afficher sur votre site Web un avis sur vos pratiques de collecte de données. Cet avis doit être clair, explicite et bien visible et doit décrire ce qui suit :
Les types de données recueillies en ligne à des fins de publicité ciblée par centres d’intérêt, y compris tout renseignement personnel;
L’utilisation des données, y compris si elles seront divulguées à une autre entité à des fins de publicité ciblée par centres d’intérêt en ligne;
Un mécanisme facile à utiliser pour exercer son choix quant à la collecte et à l’utilisation des données à des fins de publicité ciblée par centres d’intérêt en ligne ou quant à la divulgation de ces données à une autre entité aux mêmes fins, et
Le fait que l’entreprise adhère aux principes du programme.
2. Offrir le choix
Les prestataires de services qui recueillent, utilisent ou divulguent des données à des fins de publicité ciblée par centres d’intérêt en ligne doivent offrir aux consommateurs la possibilité d’exercer leur choix quant à la collecte et à l’utilisation de données aux fins de ce type de publicité et quant à la divulgation de ces données à une autre entité aux mêmes fins.
3. Assurer la sécurité des données
Vous devez maintenir des mesures de protection physiques, électroniques et administratives appropriées pour protéger les données recueillies et utilisées à des fins de publicité ciblée par centres d’intérêt en ligne. Vous devez conserver les données qui sont recueillies et utilisées à des fins de publicité ciblée par centres d’intérêt en ligne uniquement le temps de répondre à un besoin commercial légitime ou tel que requis par la loi.
Sont identifiées dans les principes les quatre mesures supplémentaires suivantes que vous devrez adopter pour la collecte et l’utilisation de données lorsque vous faites de la PCL :
Modifier les renseignements permettant d’identifier une personne ou un identificateur unique ou les rendre anonymes ou aléatoires (par exemple, par le « hachage » ou en les assortissant de valeurs aléatoires) pour empêcher que les renseignements ne soient reconstitués dans leur forme originale.
Divulguer les circonstances dans lesquelles les renseignements qui sont recueillis et utilisés à des fins de publicité ciblée par centres d’intérêt en ligne font l’objet d’un tel procédé.
Prendre des mesures raisonnables pour protéger la nature non-identifiable des renseignements, si ceux-ci sont transmis à une autre entité. Par exemple, ne pas divulguer l’algorithme utilisé pour rendre les renseignements anonymes ou aléatoires. De plus, obtenir une garantie par écrit que l’entité ne tentera pas de reconstituer les renseignements et que ces derniers seront utilisés seulement à des fins de PCL (ou à d’autres fins précisées aux internautes). Cette garantie est satisfaisante lorsque l’entité à qui sont divulgés ces renseignements ne dispose pas d’un droit indépendant sous forme d’un contrat écrit lui permettant de les utiliser à ses propres fins.
Prendre des mesures raisonnables visant à s’assurer qu’une entité qui obtient des renseignements rendus anonymes veillera à son tour à ce que toute autre entité à qui ces renseignements sont divulgués accepte les restrictions et conditions énoncées dans le présent paragraphe. Cette obligation est également réputée satisfaite lorsque l’entité à qui sont divulgués ces renseignements ne dispose pas d’un droit indépendant lui permettant d’utiliser les renseignements à ses propres fins en vertu d’un contrat écrit.
4. S’abstenir de recueillir de l’information sensible
Les entreprises ne doivent pas recueillir de renseignements personnels à des fins de publicité ciblée par centres d’intérêt en ligne auprès d’enfants qu’elles savent, dans les faits, avoir moins de 13 ans ou sur des sites qui s’adressent principalement à des enfants de moins de 13 ans ou encore, faire autrement de la publicité ciblée par centres d’intérêt en ligne auprès d’enfants qu’elles savent avoir moins de 13 ans, à moins que cette collecte et autre traitement de renseignements personnels ne soient conformes aux lois canadiennes régissant la protection de la vie privée.
Les entreprises ne doivent pas recueillir, utiliser ou divulguer de renseignements personnels sensibles à des fins de publicité ciblée par centres d’intérêt en ligne sans consentement, tel que requis par les lois canadiennes régissant la protection de la vie privée et conformément à ces dernières.
Remarque sur les propriétaires de sites et les tiers
Si votre entreprise agit également à titre de propriétaire du site en vertu des principes et héberge de la publicité ciblée par centres d’intérêt en ligne sur son site Web ou si elle fait également de la publicité ciblée par centres d’intérêt en ligne sur les sites Web d’un autre propriétaire de site en ayant recours à un réseau publicitaire ou à une entreprise de données (un Tiers), les principes peuvent imposer à vos activités d’autres exigences.