Vincent Gautrais

Cassandre Legault

Le 9 septembre 2024, la Cour d’appel fédérale (« CAF ») a infirmé la décision de la Cour fédérale et a tranché en faveur du Commissaire à la protection de la vie privée du Canada (« CPVP ») dans une affaire mettant en cause la conformité de Facebook Inc. (aujourd’hui Meta Platforms) (« Facebook ») à la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDÉ »).

Dans la décision Canada (Privacy Commissioner) v. Facebook, Inc., la CAF a conclu que les pratiques de Facebook entre 2013 et 2015 ont contrevenu aux exigences de la LPRPDÉ en matière de consentement et de mesures de sécurité.

Bref survol du contexte

En mars 2018, le CPVP a amorcé une enquête en réponse à des plaintes concernant l’accès par la société britannique Cambridge Analytica aux renseignements personnels de millions d’utilisateurs de Facebook à leur insu et sans leur consentement. Ces renseignements personnels avaient été obtenus par le biais de l’application tierce « thisisyourdigitallife » (« TYDL »), puis utilisés à des fins de ciblage politique dans le cadre de l’élection présidentielle américaine de 2016.

·      Rapport d’enquête du CPVP

Dans son rapport d’enquête daté du 25 avril 2019, le CPVP a conclu que Facebook (1) n’avait pas obtenu le consentement valable de ses utilisateurs à la communication de leurs renseignements personnels à des applications tierces et (2) n’avait pas protégé adéquatement ces renseignements contre un accès et une utilisation non autorisée par les applications concernées, contrairement aux exigences de la LPRPDÉ.

Suite à un refus de Facebook de mettre en œuvre les recommandations formulées dans ce rapport, le CPVP a présenté, le 6 février 2020, une demande d’audience à la Cour fédérale en vertu de l’article 15 a) de la LPRPDÉ.

Il convient de noter que ce n’était pas la première fois que Facebook refusait la mise en œuvre de recommandations formulées par le CPVP. Des recommandations relatives au consentement et à l’implantation de mesures de sécurité adéquates avaient déjà été émises suite à une enquête menée en 2009 sur les pratiques de l’organisation.

·      Décision de la Cour fédérale

Dans une décision rendue le 13 avril 2023, la Cour fédérale a tranché en faveur de Facebook, rejetant l’intégralité de la demande du CPVP.

Parmi les motifs soulevés, la Cour a jugé que le CPVP ne s’était pas acquitté du fardeau de la preuve lui incombant, à savoir de prouver que Facebook n’avait pas obtenu un consentement valable à la communication des renseignements personnels de ses utilisateurs.

Sur la question des mesures de sécurité, la Cour a conclu que les obligations de protection en vertu de la LPRPDÉ ne s’appliquent qu’aux renseignements personnels sous le contrôle d’une organisation. Dans le contexte de Facebook, ces obligations avaient donc pris fin une fois que les renseignements avaient été communiqués aux applications tierces concernées. Dans tous les cas, le CPVP n’avait pas fourni de preuves suffisantes permettant de démontrer que les accords contractuels et les politiques de Facebook ne constituent pas des mesures de sécurité adéquates.

Points à retenir

Dans une décision unanime, la CAF a infirmé la décision de la Cour fédérale en concluant que les pratiques de Facebook entre 2013 et 2015 violaient les principes 3 et 7, de même que l’article 6.1 de la LPRPDÉ, en matière de consentement et de mesures de sécurité.

·      Sur la question du consentement valable

La LPRPDÉ impose aux organisations qui y sont assujetties d’obtenir un consentement valable à la collecte, l’utilisation et la communication de renseignements personnels. Pour qu’un consentement soit valable, il doit satisfaire au double test de raisonnabilité de l’article 4.3.2 de l’annexe 1 de la LPRPDÉ, qui exige que les efforts de l’organisation et la forme sous laquelle le consentement est demandé soient raisonnables.

Sur cette question de la raisonnabilité, la décision de la CAF rappelle qu’il incombe aux tribunaux de « définir une attente objective et raisonnable de consentement valable » [notre traduction] (décision de la CAF, par. 70). En fondant principalement sa décision sur l’absence de preuves subjectives et d’experts, la Cour fédérale a donc erré dans son analyse. À cet égard, la CAF souligne que la preuve subjective, qui vise les perceptions, opinions et expériences personnelles des individus, ne joue aucun rôle dans une analyse axée sur la norme de la personne raisonnable (décision de la CAF, par. 60). Un tribunal ne pourrait attribuer arbitrairement le statut de personne raisonnable à une personne venant témoigner, par exemple, de son point de vue sur ses attentes en matière de vie privée ou de sa compréhension d’une politique de confidentialité (décision de la CAF, par. 63). En ce sens, la Cour fédérale avait tort de se baser sur des spéculations concernant ce que les utilisateurs pouvaient comprendre ou non des politiques de Facebook plutôt que sur une analyse objective des documents concernés.

En outre, la CAF a jugé que la capacité de la personne concernée de comprendre ce à quoi elle consent constitue un critère déterminant, qui prévaut sur les efforts déployés par une organisation. Autrement dit, « si une personne raisonnable n’a pas compris ce à quoi elle a consenti, aucun effort raisonnable de la part de l’organisation ne peut changer cette conclusion » [notre traduction] (décision de la CAF, par. 72).

En l’espèce, il a été établi que Facebook n’a pas obtenu le consentement valable des utilisateurs d’applications tierces et de leurs amis à la communication de leurs renseignements personnels pendant la période concernée.

Consentement des utilisateurs d’applications tierces

Dans sa décision, la CAF a statué que Facebook n’avait pas suffisamment informé les utilisateurs d’applications tierces des risques afférents à l’utilisation de ces applications. Bien que les conditions d’utilisation et la politique de confidentialité de Facebook décrivent les types de renseignements personnels collectés ainsi que leur utilisation, la compréhension des utilisateurs était altérée par la densité et la complexité de ces documents. En d’autres termes, il était impossible pour une personne raisonnable de comprendre qu’en téléchargeant une application tierce, elle consentait au risque que cette application collecte ses renseignements personnels ainsi que ceux de ses amis afin de les utiliser d’une manière contraire aux politiques internes de Facebook.

De plus, les dispositions sur lesquelles Facebook s’appuyait pour obtenir le consentement des utilisateurs d’applications tierces à la communication de leurs renseignements personnels se trouvaient dans la politique de confidentialité, laquelle était incorporée par référence dans les conditions d’utilisation de l’organisation. En acceptant les conditions d’utilisation, les utilisateurs étaient considérés comme ayant consenti à la politique de confidentialité, sans qu’un accord explicite et distinct ait été obtenu. Le consentement donné ne correspondait donc pas, de l’avis de la CAF, au consentement actif, positif et ciblé qu’exige la LPRPDÉ.

Consentement des amis des utilisateurs d’applications tierces

En ce qui concerne les amis des utilisateurs d’applications tierces, la CAF a également conclu en l’absence de consentement valable. En l’espèce, seuls les utilisateurs d’applications tierces étaient en mesure de consulter les politiques de confidentialité de ces applications. Ainsi, les amis de ces utilisateurs n’avaient pas la possibilité de prendre connaissance des fins pour lesquelles leurs renseignements seraient utilisés par l’application concernée ni de prendre une décision éclairée quant à l’acceptation ou non de cette utilisation. Puisque les amis des utilisateurs d’applications tierces n’ont pas consenti directement au traitement de leurs renseignements personnels par ces applications, le consentement obtenu ne peut être considéré comme valable au regard des exigences de la LPRPDÉ.

·      Sur la question des mesures de sécurité

La LPRPDÉ prévoit, en son septième principe, une obligation pour les organisations de mettre en œuvre des mesures de sécurité propres au degré de sensibilité des renseignements personnels dont elles assurent le traitement. Ces mesures de sécurité doivent permettre de protéger les renseignements contre la perte, le vol ou tout accès, communication, copie, utilisation ou modification non autorisée (LPRPDÉ, article 4.7 de l’annexe 1).

Dans sa décision, la CAF a conclu que Facebook a manqué à son obligation en matière de protection des renseignements personnels, en permettant à un grand nombre d’applications d’accéder à sa plateforme sans pour autant exercer une supervision adéquate. En l’espèce, Facebook avait omis d’examiner les politiques de confidentialité des applications tierces, malgré le fait que ces applications avaient accès aux renseignements personnels des utilisateurs et de leurs amis. À cet égard, la décision de la CAF nous permet de comprendre que la diligence dans la gestion des processus internes visant à garantir le respect des engagements de confidentialité d’une organisation constitue une mesure de sécurité pouvant être insuffisante en vertu du principe 7 de la LPRPDÉ. Les organisations ne peuvent compter sur la bonne foi des tiers avec qui elles contractent pour assurer le respect de leurs normes de confidentialité. Une approche proactive, incluant des mécanismes de contrôle et de surveillance, est nécessaire pour assurer la conformité contractuelle des tiers.

La CAF a également jugé que Facebook ne peut se soustraire à son obligation de protection des renseignements personnels en invoquant l’impossibilité pratique de lire et de vérifier toutes les politiques de confidentialité des applications tierces. En effet, le volume d’applications ayant accès à la plateforme résulte des décisions commerciales de Facebook, qui en retire des bénéfices financiers. Puisque Facebook a choisi d’inviter un grand nombre d’applications sur sa plateforme sans en assurer la supervision nécessaire, l’organisation ne peut se soustraire à ses obligations légales en invoquant une impossibilité de s’y conformer.

Conclusion

Pour l’ensemble des raisons précitées, la CAF a accueilli l’appel et a reconnu que Facebook avait violé les dispositions de la LPRPDÉ en matière de consentement et de mesures de sécurité.

En tenant compte des amendes ayant déjà été infligées à Facebook dans d’autres juridictions, la CAF a laissé la porte ouverte à un règlement consensuel en accordant aux parties un délai de 90 jours pour parvenir à un accord sur des mesures correctives. À défaut d’accord avant l’expiration du délai accordé, des soumissions supplémentaires seront requises pour déterminer les mesures à mettre en place.

La décision de la CAF souligne la nécessité pour les organisations d’adopter des mesures proactives, transparentes et rigoureuses pour protéger les renseignements personnels, en particulier dans le cadre de la collecte massive de renseignements. Elle suscite toutefois des préoccupations d’envergure quant à l’efficacité du cadre législatif actuel. En dépit de la reconnaissance des manquements de Facebook, l’absence d’amendes immédiates ou de sanctions punitives soulève des doutes quant à la capacité de la LPRPDÉ à assurer une réelle conformité des organisations.

Plus largement, cette décision offre un éclairage important sur la problématique grandissante de la lassitude du consentement. Les utilisateurs, constamment sollicités pour donner leur accord à des politiques de confidentialité complexes et peu compréhensibles, en viennent à les accepter sans réellement prendre connaissance des implications y étant afférentes, ce qui affaiblit l’efficacité des mécanismes de protection des renseignements personnels. À cet égard, Mark Zuckerberg avait lui-même reconnu, devant le Sénat américain, que Facebook ne s’attend pas à ce que tous ses utilisateurs lisent et comprennent entièrement les conditions d’utilisation ou la politique de confidentialité de l’organisation. Zuckerberg avait alors supposé que la plupart des gens ne lisent probablement pas ces documents (décision de la CAF, par. 89).

À la lumière de la décision de la CAF, les organisations devraient s’assurer que leur politique de confidentialité est simple, en utilisant un langage clair et accessible et en évitant les documents trop longs et complexes. Le simple déploiement d’efforts n’est pas suffisant. Pour que le consentement soit valable, les informations fournies à la personne concernée doivent lui permettre de savoir à quoi elle consent et ce que cela implique. Les organisations devraient également assurer l’évaluation régulière des politiques de confidentialité et des mesures de sécurité des tiers ayant accès aux renseignements personnels de leurs clients ou utilisateurs.

 

Ce contenu a été mis à jour le 18 septembre 2024 à 0 h 16 min.