La Cour fédérale du Canada a rendu une décision le 14 avril 2023 dans l’affaire OPC c Facebook Inc., 2023 CF 533 [Facebook], rejetant la demande de la commissaire à la protection de la vie privée contre Facebook (maintenant Meta Platforms, Inc.) découlant de violations présumées de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Bien que le commissaire ait soutenu que la pratique de Facebook de partager les renseignements personnels des utilisateurs de Facebook avec une application tierce contrevenait aux lois canadiennes sur la protection de la vie privée, la Cour n’a pas été dissuadé, invoquant un manque de preuves à l’appui de ces allégations.
Le commissaire a présenté une demande à la Cour fédérale à la suite d’une enquête sur une plainte relative à la protection de la vie privée selon laquelle une application tierce connue sous le nom de « thisisyourdigitallife » (application TYDL) hébergée sur la plate-forme Facebook avait vendu des données d’utilisateur Facebook à une société de recherche britannique appelée Cambridge Analytica et à une société connexe, SCL Elections. Il a été largement rapporté que SCL aurait utilisé ces données pour aider ses clients à cibler les messages politiques des électeurs potentiels lors des primaires de l’élection présidentielle américaine de 2016.
Les retombées de l’affaire Cambridge Analytica ont entraîné l’imposition d’amendes à Facebook par des pays du monde entier, y compris les États-Unis1 , le Royaume-Uni,2 l’Italie3 et le Brésil. 4 L’application TYDL a permis d’accéder aux informations de profil des utilisateurs qui l’ont installée, ainsi qu’aux amis Facebook des utilisateurs installateurs, et aurait impliqué la collecte de données de plus de 600 000 Canadiens. En février 2020, le commissaire à la protection de la vie privée du Canada a tenté de faire respecter la conclusion de son bureau selon laquelle Facebook avait enfreint la LPRPDE en déposant une demande auprès de la Cour fédérale pour obtenir une ordonnance déclarant que Facebook contrevenait à la LPRPDE. 5
Bien que la Cour ait été saisie d’un certain nombre de questions juridiques, deux considérations clés étaient les plus pertinentes pour l’issue de l’affaire :
Le commissaire a affirmé que Facebook n’avait pas obtenu le consentement valable des utilisateurs avant de divulguer leurs informations à l’application TYDL. Il a soutenu que le fait que Facebook s’est fiée aux développeurs d’applications pour obtenir un consentement valable d’un tiers ne constituait pas un consentement valide en vertu de la LPRPDE. Facebook a affirmé que la responsabilité de la vente d’informations par l’application TYDL incombe au tiers et non à Facebook.
La Cour a statué qu’une organisation telle que Facebook peut effectivement s’appuyer sur le consentement d’un tiers, précisant toutefois qu’elle doit prendre des mesures raisonnables pour s’assurer que le tiers obtient un consentement valable. En fin de compte, la Cour a conclu qu’il existait un vide en matière de preuve et que le commissaire ne s’était pas acquitté de son fardeau sur cette question.
Avec l’affirmation du commissaire selon laquelle il y a eu omission de protéger adéquatement les renseignements des utilisateurs en violation de la LPRPDE, Facebook a fait valoir que ses obligations de protection cessent une fois qu’un utilisateur autorise Facebook à divulguer des renseignements à une application tierce. La Cour a accepté de citer le libellé précis de la loi et de la jurisprudence. Pour tirer cette conclusion, la Cour a expressément cité la différence entre le transfert de renseignements à un tiers fournisseur (auquel cas, l’organisation demeure responsable de l’omission du tiers de protéger) et la divulgation des renseignements à un tiers.
Référencement des dispositions de protection de la LPRPDE, la Cour a conclu qu’aucune de ces mesures de protection n’était liée à la protection des renseignements qui échappent au contrôle d’une organisation.
In rendant sa décision, la Cour a clairement indiqué que les conclusions du commissaire n’étaient pas dues à la déférence. Toutefois, s’il est adopté, le projet de loi C-27, la Loi de mise en œuvre de la Charte du numérique, modifierait considérablement le poids accordé aux conclusions d’un commissaire.
Bill C-27 abrogerait certaines parties de la LPRPDE et les remplacerait par trois nouvelles lois : la Loi sur la protection de la vie privée des consommateurs (LTPC), la Loi sur le Tribunal de la protection des renseignements personnels et des données (PIDPTA) et la Loi sur l’intelligence artificielle et les données (LCRA). Les modifications législatives proposées prévoient qu’une décision rendue par le commissaire doit faire l’objet d’une retenue.
En vertu de la LPPC, si le commissaire devait conclure qu’une organisation a contrevenu à certaines dispositions de la Loi, il est habilité à recommander une pénalité au Tribunal de la protection des renseignements personnels et des données , un tribunal administratif conçu pour imposer des pénalités pour les infractions à la LECL et, séparément, pour entendre les appels des décisions du commissaire. Pour déterminer s’il est approprié d’imposer une pénalité à une organisation, la LPPR exigerait que le Tribunal se fonde sur les conclusions énoncées dans la décision du commissaire. Ce n’est qu’en appel d’une décision du commissaire que le Tribunal est autorisé à substituer ses propres conclusions à celles du commissaire.
Further, contrairement à la LPRPDE en vertu de laquelle le commissaire n’a aucun pouvoir de rendre des ordonnances, en vertu de la LCEPC, le commissaire et le tribunal auraient chacun des pouvoirs de rendre des ordonnances. Toute décision rendue par le Tribunal concernant la non-conformité ou les pénalités à imposer (jusqu’à concurrence de trois pour cent des recettes mondiales brutes ou de 10 millions de dollars) pourrait faire l’objet d’une ordonnance de la Cour fédérale ou de toute cour supérieure aux fins d’application de la loi.
Bill C-27 représente donc un régime d’application entièrement nouveau pour les mêmes principes de protection de la vie privée qui sous-tendent à la fois la LPRPDE et la LRPC, et un tout nouveau niveau d’exposition aux pénalités en cas de non-conformité.
L’affaire Facebook est un rappel utile des obligations d’une organisation lorsqu’elle transfère des informations à des fournisseurs de services tiers. Dans de telles circonstances, l’organisation demeure responsable de la protection des renseignements transférés au tiers. Cela est différent d’un scénario où une organisation divulgue des renseignements à un tiers conformément au consentement obtenu de la personne concernée, ce qui entraîne la même responsabilité pour un défaut de protection.
The Bennett Jones Privacy & Data Protection group est disponible pour discuter de toutes les questions que vous pourriez avoir sur les obligations de votre organisation en matière de confidentialité.