Le récent recours en justice intenté par le Commissariat à la protection de la vie privée du Canada (le Commissariat) fera la lumière sur la volonté de la Cour fédérale de faire appliquer la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et de surveiller le respect de cette loi. Le 6 février, le Commissariat a déposé un avis de demande (la demande) en Cour fédérale en vue d’obtenir une déclaration selon laquelle Facebook a contrevenu à la LPRPDE et à diverses ordonnances et qui l’obligerait à s’y conformer1.
Enquête conjointe sur les pratiques de protection des renseignements personnels de Facebook
En mars 2018, à la suite d’une plainte, le Commissariat a ouvert une enquête conjointe sur les pratiques de Facebook en matière de protection des renseignements personnels avec le commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique. L’enquête visait plus particulièrement la communication, par Facebook, des renseignements personnels de ses utilisateurs à une application tierce connue sous le nom de « thisisyourdigitallife » (l’application TYDL), qui est liée au scandale largement médiatisé de Cambridge Analytica portant sur le microciblage des électeurs dans le cadre de différentes campagnes électorales, dont l’élection présidentielle américaine de 2016 et le référendum sur le Brexit.
En avril 2019, le Commissariat a publié ses conclusions de l’enquête conjointe2, qui révélaient que Facebook n’avait pas obtenu le consentement valable de ses utilisateurs et de leurs amis avant de partager leurs renseignements personnels avec l’application TYDL, que les mesures de sécurité prévues par Facebook étaient insuffisantes pour protéger les renseignements des utilisateurs et que Facebook n’assumait pas la responsabilité des renseignements personnels d’utilisateurs dont elle avait la gestion.
Le Commissariat a indiqué que, pendant l’enquête, les pratiques précises et établies de Facebook en matière de traitement des renseignements personnels n’avaient pas suffi à le convaincre que celle-ci respectait la LPRPDE. Facebook a contesté les conclusions du rapport d’enquête et a refusé d’en mettre en œuvre les recommandations. Par conséquent, le Commissariat conclut dans sa demande à la Cour fédérale que tant que Facebook n’aura pas revu ses pratiques, il y aura un risque constant que les renseignements personnels des Canadiens soient communiqués ou utilisés d’une manière que l’utilisateur ne connaît pas ou à laquelle il ne s’attend pas.
L’avis de demande du Commissariat en Cour fédérale
La demande, déposée en vertu de l’article 15 de la LPRPDE, vise à obtenir de la Cour :
- une déclaration selon laquelle Facebook a enfreint la LPRPDE en communiquant les renseignements personnels des utilisateurs sans d’abord obtenir leur consentement valable;
- une ordonnance exigeant que Facebook mette en place des mesures efficaces, précises et facilement accessibles pour obtenir le consentement valable de tous les utilisateurs et s’assurer de le conserver;
- une ordonnance exigeant que Facebook précise les modifications techniques à apporter à ses pratiques afin de se conformer à la LPRPDE et retourne devant la Cour afin que ces mesures soient précisées dans une ordonnance officielle;
- une ordonnance pour que la Cour conserve un pouvoir de surveillance continu pour le contrôle et l’exécution des mesures de conformité qu’elle a ordonnées;
- une ordonnance interdisant à Facebook de continuer à recueillir, à utiliser et à communiquer les renseignements personnels des utilisateurs d’une manière qui contrevient à la LPRPDE; et
- une ordonnance exigeant que Facebook publie un avis public énonçant toute mesure prise ou envisagée pour revoir ses pratiques contrevenant à la LPRPDE.
La demande exigera la tenue d’une audience de novo, ce qui signifie que la Cour entendra l’affaire comme s’il s’agissait d’une toute nouvelle audience au lieu de procéder simplement à un examen du rapport d’enquête du Commissariat. En conséquence, le Commissariat non seulement aura le fardeau d’établir que Facebook n’a pas respecté la LPRPDE, mais devra prouver à la Cour que les mesures de redressement demandées sont nécessaires pour s’assurer que Facebook respecte la LPRPDE. Facebook a déjà déclaré publiquement qu’elle était impatiente de défendre les nombreuses améliorations en matière de protection des renseignements apportées à sa plateforme de réseautage social.
Conclusion
En supposant que la Cour en vienne à la conclusion que Facebook ne respecte pas la LPRPDE, les mesures qu’elle ordonnera pour en assurer le respect susciteront un intérêt particulier pour les organisations régies par la LPRPDE. En effet, comme il existe peu de précédents de cette nature et qu’aucun de ceux-ci ne vise une société aussi importante et connue, cette affaire démontrera la volonté de la Cour de se pencher sur ce type de dossiers et d’intervenir en ordonnant que des modifications soient apportées aux aspects juridiques et techniques des pratiques en matière de protection des renseignements personnels d’une entreprise. Notons que pour le Commissariat, le peu de pouvoirs d’application de la loi dont il dispose en vertu de la LPRPDE agit comme un obstacle à l’exercice de son rôle de supervision qui lui permettrait de contraindre les entreprises à se conformer à la LPRPDE.
En outre, puisque le Commissariat demande à la Cour d’assumer un pouvoir de surveillance continu pour le contrôle et l’exécution de ses ordonnances, cette affaire clarifiera si la Cour sera disposée à assumer ces fonctions extraordinaires dans des causes futures puisque les tribunaux hésitent souvent à demeurer responsables de programmes de conformité et de surveillance.
Cette demande arrive à un moment intéressant dans le contexte de la protection des renseignements personnels au Canada. On s’attend à des modifications législatives de la LPRPDE par suite de la lettre de mandat envoyée par le cabinet du premier ministre au ministre de l’Innovation, des Sciences et de l’Industrie en janvier, qui présentait un certain nombre de mesures devant être prises par le ministre en matière de protection des données et dont plusieurs prévoyaient de rehausser les pouvoirs d’application de la loi du Commissariat, y compris la capacité de rendre des ordonnances d’exécution et d’imposer des amendes pour non-respect3. De plus, partout au Canada, de nombreuses actions collectives contre Facebook sont déposées en ce qui concerne le partage des renseignements de ses utilisateurs avec des tiers, sans avoir été autorisées à ce jour.
