Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Comparution devant le Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique au sujet de l’Enquête conjointe sur Facebook par le commissaire à la protection de la vie privée du Canada et le commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique

Le 7 mai 2019
Ottawa (Ontario)

Déclaration de Daniel Therrien,
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)

Je vous remercie de me donner l’occasion de parler devant le Comité des conclusions de l’enquête que le Commissariat a réalisée en collaboration avec nos homologues de la Colombie-Britannique sur Facebook et l’affaire Cambridge Analytica.

Nous avons constaté que Facebook a enfreint le droit sur la protection des renseignements personnels à plus d’un titre, notamment ce qui suit :

  • le défaut d’obtenir le consentement valable des utilisateurs à l’égard de la communication de leurs renseignements personnels à des applications tierces;
  • la communication des renseignements personnels d’amis des utilisateurs qui ont installé des applications, sans que ces personnes en soient averties ou aient donné leur consentement valable;
  • le défaut de prendre des mesures de sécurité adéquates pour offrir une protection contre l’accès non autorisé aux renseignements personnels, leur utilisation ou leur communication;
  • le défaut d’assumer ses responsabilités  quant aux renseignements personnels dont elle a la garde.

En ce qui concerne ce dernier point, Facebook a enfreint le principe de la responsabilité en tentant de transférer ses obligations en matière de protection des renseignements personnels aux applications sur sa plate-forme ainsi qu’aux utilisateurs eux-mêmes.

En fait, l’entreprise a même contesté le fait qu’elle communiquait des renseignements personnels à des applications tierces. Elle a préféré définir ses activités comme une mise en disponibilité de renseignements personnels pour des applications, à la demande des utilisateurs de Facebook.

La définition juridique de la relation entre Facebook et les applications tierces est un enjeu fondamental que nous traiterons dans la demande que nous déposerons devant la Cour fédérale.

Le risque est élevé pour les Canadiens qui utilisent Facebook de voir leurs renseignements personnels utilisés à des fins qui leur sont inconnues ou pour lesquelles ils n’ont pas consenti et qui peuvent être contraires à leurs intérêts ou à leurs attentes.

Les préjudices peuvent être très réels, notamment le ciblage politique et la surveillance.

Ce n’est pas la première fois que nous enquêtons sur Facebook et des applications tierces.

Dans une enquête datant de 2009, le Commissariat a dressé des conclusions très semblables, à savoir que les conditions d’utilisation de Facebook étaient trop vagues pour permettre de donner un consentement valable et que les mesures de sécurité étaient inadéquates pour protéger les renseignements personnels des utilisateurs.

À l’époque, Facebook s’était engagée à corriger ses pratiques en améliorant la formulation de ses politiques et en élaborant un cadre en matière de protection de la vie privée permettant de régir la communication de ces derniers à des applications.

Notre enquête de 2019 permet de conclure que, si l’entreprise a pris certaines mesures pour améliorer ses politiques et ses pratiques, ces mesures n'offraient pas une protection réelle de la vie privée. En résumé, le cadre de protection de la vie privée que Facebook avait promis est une coquille vide.

Au vu de l’ampleur et de la gravité des problèmes que nous avons repérés lors de notre enquête de 2019, nous avons transmis à l’entreprise plusieurs recommandations visant à lui permettre de se conformer au droit canadien.

Nous lui avons aussi demandé de se soumettre volontairement à des audits de ses politiques et de ses pratiques de confidentialité pendant les cinq prochaines années, pour veiller à ce que l’entreprise respecte à l’avenir son obligation d’agir de façon responsable.

Facebook n’a même pas reconnu qu’elle enfreint la loi et elle a refusé de mettre en place nos recommandations.

La contradiction frappante entre les promesses publiques faites par Facebook de mieux protéger la vie privée de ses utilisateurs et son refus de régler les problèmes graves que nous avons relevés ‒ ou même de reconnaître qu’elle a contrevenu à la loi ‒ est extrêmement troublante.

Nous préparons actuellement notre demande devant la Cour fédérale, en vue d’obtenir une ordonnance exécutoire qui contraindrait Facebook à corriger ses pratiques.

Le processus devant la Cour sera long et coûteux. Notre enquête a duré un an et il pourrait s’écouler un an de plus avant que l’affaire ne soit entendue par la Cour.

Cette affaire est un exemple parfait des raisons pour lesquelles il est nécessaire d’améliorer le droit fédéral en matière de protection des renseignements personnels. Elle nous enseigne aussi une leçon importante sur la voie que le gouvernement devrait emprunter et sur celles qu’il devrait éviter, alors même qu’il réfléchit sur les façons de modifier la loi au vu des consultations nationales sur le numérique et les données, ainsi que des recommandations formulées par votre Comité et d’autres instances.

Le gouvernement a déclaré que les plates-formes des médias sociaux doivent rendre des comptes sur leur comportement.

En vertu de Loi sur la protection des renseignements personnels et les documents électroniques, les organisations sont tenues par la loi d'agir de façon responsable. Toutefois, la législation fondée sur les principes est très permissive et accorde aux entreprises une grande latitude en ce qui concerne l’utilisation des renseignements personnels.

Notre enquête permet de démontrer le véritable manque de responsabilisation de Facebook et la faiblesse de la Loi sur la protection des renseignements personnels et les documents électroniques à cet égard. Les Canadiens ne peuvent manifestement pas compter exclusivement sur les entreprises pour gérer leurs renseignements de façon responsable. Il ne suffit pas de demander aux entreprises d’être à la hauteur de leurs responsabilités.

Les Canadiens ont besoin de lois modernes et fondées sur les droits, qui les protégeront lorsque des organisations négligeront de le faire. Le respect de ce droit doit être imposé par un organisme de réglementation, indépendant de l’industrie et du gouvernement, qui soit doté de pouvoirs suffisants pour veiller à la conformité.

Comme ce Comité l’a reconnu, je devrais être investi du pouvoir d’émettre des ordonnances exécutoires à l’encontre des organismes et de leur imposer des sanctions pécuniaires afin de les encourager à respecter la loi. Toutefois, même des sanctions pécuniaires importantes pourraient s’avérer insuffisantes.

Pour assurer le respect du principe de responsabilité, la loi devrait autoriser le Commissariat , à enquêter de façon proactive sur les pratiques des organisations. Un tel pouvoir existe au Royaume-Uni et dans plusieurs autres pays.

Nous vivons dans un monde d’analyse des données, d’intelligence artificielle et d’Internet des objets, aux modèles d’entreprise obscurs et aux flux de données complexes. Il est peu probable que les personnes déposent des plaintes si elles ne connaissent pas les pratiques qui peuvent leur nuire.

Par conséquent, il est important que l’organisme de réglementation puisse inspecter de façon proactive les pratiques des organisations. Il ne suffit pas qu’une organisation déclare assumer ses responsabilités – elle doit être en mesure de le prouver.

Le principe de responsabilité de la loi actuelle constitue une mesure de sécurité importante. Toutefois, comme il transparaît clairement dans cette affaire, cela ne suffit pas pour protéger les Canadiens contre les pratiques d’entreprises qui agissent de façon irresponsable.

Une réforme de la loi ne devrait pas reposer exclusivement sur une solution de responsabilisation.

La loi devrait exiger une responsabilisation démontrable qui s’apparenterait à une reddition de compte.

La loi actuelle a illustré les limites de la conformité volontaire.

Le gouvernement a le devoir d’agir pour protéger les Canadiens contre les dangers en ligne et de préserver la confiance et la vie privée dans le monde du numérique.

Je vous remercie. Je répondrai volontiers à vos questions.

Date de modification :