Depuis l’annonce de Netflix concernant le partage de compte, nous voyons fleurir des vidéos sur les réseaux sociaux prétendant que la loi interdit de relever l’adresse IP au Canada, sauf que tout ceci est totalement faux.
La fin du partage de compte mis en place par Netflix provoque un raz de marée chez les utilisateurs. Pour rappel, Netflix vous demande de définir votre domicile qui sera relié à votre adresse IP. Sauf que plusieurs influenceurs y vont de leurs vidéos pour dénoncer le fait que Netflix relève les IP et que cette pratique serait interdite au Canada. Selon eux, la loi canadienne empêcherait la collecte des adresses IP, tandis qu’une photo d’un texte de loi vient agrémenter l’affirmation. Sauf que tout ceci est totalement faux, si le consentement est effectivement nécessaire pour que Netflix relève votre adresse IP, il existe des exceptions qui lui permettent même de relever votre adresse IP sans votre consentement.
@thetomjon ironic they rolled this out the same day as their show about romanticizing abusive relationships #netflix #canada #youareawebsitenotaservice #privacy @Netflix
Afin de savoir précisément ce que dit la loi, nous avons contacté Maître Erwan Jonchères, avocat associé chez Lex Start Avocats, spécialisé dans le droit des TI, blockchain et données personnelles, dont nous avons retranscrit les propos de notre conversation téléphonique:
Branchez-Vous : Que dit la loi sur la collecte d’IP au Québec et au Canada ?
Maître Erwan Jonchères : Une adresse IP est effectivement un renseignement personnel et c’est encadré par la loi sur le secteur privé et le secteur public et en tant que renseignement personnel on doit respecter la loi pour collecter ce type de renseignement. Une entreprise de type Netflix qui va collecter les informations personnelles d’un québécois doit l’informer de plusieurs éléments, notamment les fins pour lesquelles les éléments sont recueillis, les moyens par lesquels les renseignements sont recueillis, les droits d’accès et de modification prévus par la loi, et le droit de retirer son consentement à la communication et l’utilisation des renseignements recueillis, soit l’adresse IP. Si la collecte est effectuée pour le nom d’un tiers, il faut communiquer le nom de la personne pour qui la collecte a été faite et les catégories de tiers à qui on pourrait communiquer ces renseignements par la suite ainsi que la possibilité que ces noms soient utilisés à l’extérieur du Québec, on doit communiquer le nom de la personne collectée ainsi que celui des tiers selon l’utilisation de l’IP ensuite.
Mon sentiment est que Netflix va changer ses termes et conditions ainsi que sa politique de confidentialité si ce n’est déjà fait. À ce moment-là, ils vont demander à la personne qui s’abonne à Netflix d’accepter la collecte de son IP, mais toute personne tierce qui rejoint le compte rejoint en fait l’acceptation de la personne qui paie l’abonnement. Elle est donc elle-même soumise à ces termes et conditions et si elle n’est pas contente il lui suffit d’arrêter d’utiliser Netflix.
Branchez-Vous : Les abonnés peuvent-ils refuser la collecte d’IP?
Maître Erwan Jonchères : La personne n’aura pas vraiment le choix. D’autre part, lorsque l’on collecte des renseignements personnels par des moyens technologiques et c’est clairement ce qui va se passer pour la collecte des adresses IP, il faut publier sur son site internet la politique de confidentialité en termes clairs et simples et la diffuser pour que les individus dont on va collecter l’adresse IP puissent y avoir accès. Mon avis c’est que Netflix et j’en suis à 400% sûr, sont conformes par rapport à tout ça et je pense que les avocats de Netflix vont clairement expliciter que c’est une mesure pour éviter la fraude.
Il pourrait y avoir des exceptions pour les mineurs et les personnes diminuées, mais la personne qui souscrit au nom d’une autre sous tutelle endosse la responsabilité, mais une autre exception dans la loi concerne Netflix elle-même qui peut collecter les adresses IP afin de prévenir la fraude. Par contre, si on collecte une adresse IP afin de prévenir la fraude, on ne peut l’utiliser pour autre chose (NDR : exemple : pour la revente de données). Je serai Netflix, je le mettrai dans ma politique afin de prendre un consentement très large.
Branchez-Vous : Netflix peut donc relever les IP légalement et sans consentement à des fins de fraude ?
Maître Erwan Jonchères : Légalement, du fait qu’ils relèvent les adresses IP à des fins de fraude, ils ne sont même pas obligés de dire qu’ils relèvent les adresses IP dans leur politique de confidentialité.
Je dirais donc qu’ils ont le droit du moment qu’ils le mettent dans leur politique de confidentialité et le lient avec leurs termes et conditions. Ça, c’est la manière légale d’obtenir le consentement de la personne. Après il y a quelques exceptions au consentement qui permettent d’utiliser les données de manière personnelle sans que la personne concernée soit au courant en invoquant des relevés afin d’éviter la fraude.
Netflix va se référer aux articles 8 et 12 de la loi sur le consentement. L’article 8 relate le droit au consentement tandis que l’article 12 concerne la fraude et donc celui dont va se servir Netflix pour relever les adresses IP. Là, je parle du Québec, je peux citer la loi fédérale, mais elle est en train d’être changée.
En ce qui concerne la loi fédérale, le consentement concerne l’article 7, mais il y a les mêmes notions de consentement et les exceptions doivent être à peu près similaires, l’idée n’est pas de réinventer la roue avec chaque nouvelle loi.
Donc pour résumer, au Canada le consentement est quelque chose d’essentiel, mais dans le cadre précis de la collecte d’adresses IP afin de vérifier que vous n’êtes pas plusieurs sur le même service, ce qui constituerait une fraude, Netflix a parfaitement le droit de relever vos IP afin de prévenir la fraude. Par contre, Netflix n’a pas le droit de faire commerce de ces adresses ou de les céder à des tiers.
Pourquoi les influenceurs se trompent ?
Les influenceurs sont bien allés regarder les articles 7 ou 8 des lois sur la protection des renseignements personnels selon que l’on parle du fédéral ou du provincial, mais ils ont oublié qu’une loi peut être amandée par une autre, et que des exceptions à la loi existent. Pensant sûrement détenir quelque chose et amasser des vues, ils se sont précipités un peu trop vite devant leur caméra, mais n’ont pas fait le travail de vérification nécessaire.
Donc pour résumer, à des fins de fraude, Netflix peut parfaitement relever vos adresses IP sans votre consentement lorsque vous vous connectez à sa plateforme. Par contre, lors de la relève de données à titre de fraude, interdiction est faite à la société qui procède à ces relevés de commercialiser et partager ces données. Netflix a donc obligation de ne pas dévoiler vos données à un tiers, ni de les exploiter commercialement.
