Le 13 avril 2023, la Cour fédérale a rendu sa décision dans la poursuite intentée par le Commissariat à la protection de la vie privée du Canada (le « CPVP ») contre Facebook Inc. (« Facebook »)[1]. La cause porte sur les obligations de Facebook en matière de protection des données des applications tierces. Elle oriente également l’interprétation du terme « consentement » sous le régime de la loi canadienne régissant la protection des renseignements personnels dans le secteur privé, et plus particulièrement ce qui est entendu par consentement valable lorsque des applications tierces recueillent des renseignements personnels par l’entremise de médias sociaux. La Cour a rejeté la demande du CPVP et a donné gain de cause à Facebook, ce qui pourrait avoir une incidence importante sur l’interprétation du « consentement valable » en cette ère numérique
L’enquête conjointe sur Facebook
La procédure devant la Cour fédérale découle d’une plainte reçue par le CPVP en mars 2018, qui soulevait des préoccupations concernant la communication par Facebook de renseignements à une application tierce nommée « thisisyourdigitallife » (« TYDL »), sans consentement valable. TYDL est une application lancée par un professeur de Cambridge sur la plateforme Facebook, qui permet aux utilisateurs de remplir un « questionnaire de personnalité » à propos d’eux-mêmes et de leurs amis. TYDL a eu accès aux renseignements contenus dans le profil Facebook de toutes les personnes qui ont installé l’application, ainsi qu’aux informations concernant leurs amis Facebook.
Le CPVP et le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique (le « CIPVP de la Colombie-Britannique ») ont mené une enquête conjointe afin de déterminer si les actions de Facebook constituaient une violation de la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») et de la Personal Information Protection Act de la Colombie-Britannique (« PIPA »).
Le 25 avril 2019, le CPVP et le CIPVP de la Colombie-Britannique ont publié leur rapport concluant que Facebook n’a pas obtenu de consentement valable de la part des utilisateurs de l’application et de leurs amis Facebook lors du partage des informations avec TYDL. Ils ont également constaté que Facebook n’avait pas adéquatement protégé les renseignements personnels des utilisateurs[2]. Les renseignements recueillis par TYDL ont ensuite été vendus à des tiers, notamment à Cambridge Analytica, le cabinet de conseil reconnu pour avoir transmis des messages ciblés au cours des campagnes politiques américaines[3]. Facebook a estimé que les 272 installations de TYDL ont conduit à la possible communication des renseignements personnels concernant plus de 600 000 Canadiens[4].
La procédure engagée devant la Cour fédérale
Toutefois, la législation actuelle en matière de protection de la vie privée ne permet pas au CPVP de rendre des ordonnances et d’imposer des sanctions. En vertu des articles 14 et 15 de la LPRPDE, le CPVP peut, dans certaines circonstances, demander une audience devant la Cour fédérale du Canada pour tout point soulevé dans le rapport d’enquête du commissaire[5]. C’est en application de ces dispositions que le CPVP a déposé une demande auprès de la Cour fédérale du Canada afin qu’elle valide sa décision et rende des ordonnances à l’encontre de Facebook. Il s’agit d’une audience de novo, ce qui signifie que même si le rapport de conclusions peut être présenté en preuve, il n’y a pas lieu de faire preuve de déférence à son égard[6].
La Cour fédérale s’est penchée sur les questions suivantes : 1) Facebook a-t-elle enfreint la LPRPDE en omettant d’obtenir un consentement valable? 2) Facebook a-t-elle omis de protéger suffisamment les renseignements concernant ses utilisateurs? et 3) si Facebook a enfreint la LPRPDE, est-elle protégée par le principe de la préclusion résultant d’une déclaration ou de l’erreur provoquée par l’enquête de 2008-2009 du CPVP au sujet de Facebook, dans laquelle le CPVP avait approuvé les processus de Facebook?
Le CPVP n’est pas parvenu à prouver qu’il y avait eu manquement à l’obligation d’obtenir des consentements valables
La Cour fédérale a estimé que le CPVP n’avait pas prouvé que Facebook avait omis d’obtenir des consentements valables pour la collecte des renseignements personnels[7]. Plus particulièrement, la Cour fédérale a déploré le fait que le CPVP ne s’est pas prévalu des larges pouvoirs que lui confère l’article 12.1 de la LPRPDE pour contraindre Facebook à produire des éléments de preuve. Le CPVP a déclaré qu’il n’avait pas exercé ces pouvoirs parce que Facebook ne s’y serait pas conformée. Toutefois, la Cour fédérale a estimé qu’il appartient au CPVP d’établir le manquement à la LPRPDE sur la foi de la preuve, et que toute hypothèse et déduction ne permettaient pas de s’acquitter de cette obligation en l’absence de preuves matérielles[8]. La Cour fédérale a notamment déclaré qu’elle disposait « de bien peu de preuve »[9].
De plus, en discutant de l’obtention d’un consentement valable, le juge Manson a demandé si Facebook avait « déployé des efforts raisonnables pour s’assurer que les utilisateurs de Facebook et les amis Facebook de ces utilisateurs avaient été informés des fins pour lesquelles les renseignements les concernant seraient utilisés par les applications tierces » [10]. Il a ajouté que le manque de preuves rendait difficile l’évaluation du caractère raisonnable du consentement valable « dans un domaine où la norme de raisonnabilité et les attentes des utilisateurs dépendent autant du contexte et sont en constante évolution »[11]. Ce commentaire a des répercussions sur le consentement valable en vertu de la LPRPDE. En particulier, il suggère qu’à mesure que la technologie évolue, les droits des personnes concernant la protection de leurs données peuvent changer.
Facebook a-t-elle protégé suffisamment les renseignements concernant ses utilisateurs?
Le juge Manson n’a pas accepté l’argument du CPVP selon lequel Facebook a omis de protéger les renseignements personnels concernant ses utilisateurs[12]. Même si le juge Manson a convenu avec le CPVP que Facebook était tenue de protéger les données de ses utilisateurs, il n’a pas admis que Facebook était obligée de continuer à les protéger une fois que les utilisateurs avaient accepté de télécharger et d’utiliser l’application TYDL[13]. La Cour fédérale a donné raison à Facebook sur le fait qu’elle n’était plus tenue de protéger les données des personnes une fois que ces renseignements étaient entre les mains de l’application et non de Facebook.
Approbation du CPVP en 2008-2009
Le modèle d’autorisation de partage de données granulaires de Facebook exigeait des développeurs d’applications qu’ils affichent un écran d’installation indiquant les catégories de renseignements reçus par l’application et qu’ils fournissent un lien menant à une politique de confidentialité. Facebook a fait valoir que le CPVP avait approuvé son modèle d’autorisation de partage de données granulaires lors de son enquête de 2008-2009, citant cette approbation comme argument de défense contre toute violation alléguée de la LPRPDE.
La Cour fédérale n’a pas examiné ce point, car Facebook n’a pas été jugé coupable de violation de la LPRPDE. Toutefois, il sera intéressant de voir si l’approbation des processus par le CPVP pourra être invoquée à l’avenir comme argument de défense contre toute infraction à la LPRPDE, compte tenu de l’évolution des mesures de protection des renseignements personnels et des réformes en matière de protection de la vie privée.
Prochaines étapes : Projet de loi C-27 et portrait de la protection des renseignements personnels au Canada
Une réforme majeure de la LPRPDE est en cours. Le projet de loi C-27 vise l’adoption de trois nouvelles lois. Deux des trois lois, la Loi sur la protection de la vie privée des consommateurs (la « LPVPC ») et la Loi sur le Tribunal de la protection des renseignements personnels et des données (la « LTPRPD ») ont déjà été proposées dans le projet de loi C-11. Leur objectif consiste, d’une part, à établir un nouveau régime d’application de la loi afin d’imposer aux entreprises des règles plus strictes en matière de protection des renseignements personnels et d’accorder des pouvoirs accrus au commissaire à la protection de la vie privée et, d’autre part, de mettre en place un nouveau tribunal chargé de traiter les plaintes en matière de protection de la vie privée[14]. Par ailleurs, le projet de loi C-27 introduit la Loi sur l’intelligence artificielle et les données (la « LIAD »), une première tentative de réglementer de l’intelligence artificielle de la part du gouvernement fédéral.
Le projet de loi C-27 s’inspire du Règlement général sur la protection des données de l’Union européenne. S’il est adopté, ce projet de loi classera les lois canadiennes parmi les plus punitives des pays du G7 en matière de protection des renseignements personnels[15]. En effet, de nouveaux pouvoirs seront conférés au CPVP, un tribunal spécialisé sera mis en place et chargé du traitement des plaintes, et un droit privé d’action plus étendu sera accordé en cas de violation de la vie privée.
Il est important de noter que la LPVPC confèrera des pouvoirs d’ordonnance au commissaire, qui pourra également recommander au Tribunal de la protection des données d’imposer des amendes pouvant aller jusqu’à 5 % du chiffre d’affaires de l’entreprise non conforme ou jusqu’à 25 millions de dollars, selon le plus élevé de ces deux montants[16] ainsi que des sanctions administratives pécuniaires pouvant aller jusqu’à 3 % du chiffre d’affaires ou 10 millions de dollars, selon le plus élevé de ces deux montants[17]. Si ce projet de loi est adopté, le CPVP n’aura pas à saisir la Cour fédérale pour l’émission d’ordonnances à l’encontre de Facebook.
La LTPRPD a pour objet la mise en place d’un nouveau tribunal de protection des renseignements personnels et des données, une première au Canada, qui sera chargé d’entendre les appels des décisions et ordonnances du CPVP et de déterminer si les sanctions recommandées par le commissaire sont appropriées[18]. Le tribunal sera soumis à une norme d’examen plus stricte que celle qui s’applique actuellement aux appels portés devant les tribunaux fédéraux en vertu de la LPRPDE.[19]
À la lumière des conclusions de la Cour fédérale dans cette cause, il sera intéressant d’observer quelles normes applicables à la preuve le CPVP et le Tribunal de la protection des données décideront d’appliquer comme sanction en cas de violation de la LPRPDE.
La LPVPC prévoit également de nouvelles exceptions relatives aux communications effectuées au su ou avec le consentement de la personne concernée. Plus particulièrement, le projet de loi C-27 permet de recueillir et d’utiliser les renseignements personnels d’une personne à son insu ou sans son consentement explicite si la collecte ou l’utilisation est faite en vue d’une activité dans laquelle l’entreprise a un « intérêt légitime ». Il sera intéressant d’observer le fonctionnement de cette exception dans un contexte d’utilisation d’applications de tiers sur les plateformes de médias sociaux[20].
Si le projet de loi C-27 avait déjà été adopté, les conséquences pour Facebook auraient probablement été très différentes. En effet, si l’exception relative à l’intérêt légitime était jugée non applicable, le régime renforcé d’application de la loi aurait permis au CPVP d’émettre des ordonnances et de recommander l’imposition d’amendes à Facebook, sans avoir recours à la Cour fédérale. Compte tenu de la réforme des lois en matière de protection des renseignements personnels, les entreprises doivent s’assurer de respecter les lois en vigueur et continuer à s’informer des initiatives à venir à cet égard.
Pour une meilleure compréhension de vos obligations et pour éviter les enjeux de responsabilité, n’hésitez pas à communiquer avec le groupe Cybersecurité de Miller Thomson.
[1] Canada (Commissaire à la protection de la vie privée) c. Facebook, Inc., 2023 CF 533.
[2] Enquête conjointe du Commissariat à la protection de la vie privée du Canada et du Bureau du Commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique au sujet de Facebook, Inc. Conclusions en vertu de la LPRPDE no 2019-002..
[3] Canada (Commissaire à la protection de la vie privée) c. Facebook, Inc., 2023 CF 533 paragr. 38.
[4] Ibid., paragr. 37.
[5] Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch. 5, art. 14 et art. 15.
[6] Ibid paragr. 49, citant Englander c. Telus Communications Inc, 2004 CAF 387 aux paragr. 47-48.
[7] Ibid., paragr. 78.
[8] Ibid., paragr. 71.
[9] Ibid., paragr. 70.
[10] Ibid., paragr. 62.
[11] Ibid., paragr. 70.
[12] Ibid., paragr. 85.
[13] Ibid., paragr. 90
[14] Projet de loi C-27, Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d’autres lois, Première session, quarante-quatrième législature, 2021 (le « projet de loi C-27 »).
[15] Gouvernement du Canada, « Loi sur la protection de la vie privée des consommateurs » (3 mars 2023), en ligne : Canada.ca https://ised-isde.canada.ca/site/innover-meilleur-canada/fr/loi-protection-vie-privee-consommateurs.
[16] Projet de loi C-27, art. 128.
[17] Ibid, art. 94 et 95(4).
[18] Ibid, Loi sur le Tribunal de la protection des renseignements personnels et des données, art. 16.
[19] Ibid, art. 103(2).
[20] Ibid, Loi sur la protection de la vie privée des consommateurs, art. 18(3).
