Fiches des enjeux liés au Budget principal des dépenses 2023-2024

Comparution devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI) du 25 octobre 2023

---

Enquête sur TikTok

Principaux messages

• Le Commissariat à la protection de la vie privée du Canada, de concert avec les autorités de protection des renseignements personnels du Québec, de la Colombie-Britannique et de l’Alberta, continue de progresser dans l’enquête conjointe sur TikTok et aspire à conclure l’affaire d’ici mars 2024.
• Tout en continuant d’établir si un consentement valable est obtenu par TikTok avant la collecte, l’utilisation et la communication de renseignements personnels, nous examinons en outre actuellement si les pratiques de TikTok associées aux renseignements personnels des enfants et des jeunes sont appropriées.
• Il s’agit d’une question qui revêt une importance particulière étant donné qu’une part notable des utilisateurs de TikTok sont parmi les plus jeunes. Protéger la vie privée des enfants est une priorité du Commissariat.

Contexte

• En collaborant avec ses homologues provinciaux, le Commissariat est en mesure de tirer parti de ses ressources limitées et de ses capacités distinctes et de mettre en commun les pratiques exemplaires et forces relatives afin d’appliquer de manière plus efficace les lois sur la protection de la vie privée dans l’ensemble des provinces et des territoires.
• (Caviardé)
• Le Commissariat à la protection de la vie privée du Canada a pris acte des récentes conclusions du commissariat irlandais à la protection des données, qui a imposé une amende de 345 millions d’euros à TikTok, et du bureau du commissaire à l’information du Royaume-Uni, qui a infligé à TikTok une amende de 12,7 millions de livres sterling, toutes deux sur la question de la vie privée des enfants.
• Les renseignements des enfants sont particulièrement sensibles, nécessitent une attention bien précise et requièrent des mesures accrues de protection des renseignements personnels. S’il n’est pas réaliste d’attendre des adultes qu’ils comprennent les formulaires de consentement et les règles complexes en matière de protection de la vie privée et en assument la responsabilité, il est tout simplement inacceptable d’imposer un tel fardeau aux enfants.

Préparé par : Secteur de la conformité

---

TikTok – Conclusions d’enquêtes d’autres autorités de protection des données et de la vie privée

Principaux messages

• En 2023, les autorités de protection des données et de la vie privée du Royaume-Uni et de l’Irlande ont déposé leurs constatations et imposé des amendes à TikTok, en mettant l’accent sur la vie privée des enfants. L’autorité de protection des données et de la vie privée française a également imposé une amende à TikTok en lien avec une infraction au règlement sur le consentement relatif aux témoins.
• En ce qui concerne les autres mesures réglementaires, une entente a été conclue en 2019 avec la Federal Trade Commission concernant des violations alléguées de la Children’s Online Privacy Protection Act (COPPA) des États-Unis et, en 2020, l’organisme de réglementation des télécommunications de la Corée du Sud a infligé une amende en raison de violations liées à la vie privée des enfants et au transfert de données à l’étranger.

Contexte

• En avril 2023, le bureau du commissaire à l’information du Royaume-Uni a conclu que TikTok avait enfreint le Règlement général sur la protection des données (RGPD) de l’Union européenne (UE) en : (1) traitant des données d’enfants trop jeunes pour donner leur consentement, (2) ne fournissant pas aux utilisateurs de l’information facile à comprendre et (3) ne traitant pas les données des utilisateurs de manière légale, équitable ou transparente. Une amende de 12,7 millions de livres sterling a été imposée.
• En septembre 2023, le commissariat irlandais à la protection des données a conclu que TikTok avait enfreint le RGPD de l’UE en : (1) rendant publics par défaut les profils d’enfants, (2) autorisant la fonction « jumelage familial » des comptes par des non-parents/tuteurs (non vérifiés), (3) manquant de transparence avec les enfants utilisateurs et (4) employant des « pièges à utilisateurs » incitant les utilisateurs à choisir des options intrusives en matière de vie privée. Il a donné 3 mois à TikTok pour se conformer à la loi et lui a infligé une amende de 345 millions d’euros.
• En juillet 2021, l’autorité de protection des données et de la vie privée néerlandaise a annoncé que TikTok avait enfreint le RGPD de l’UE en omettant d’offrir un énoncé de confidentialité en néerlandais aux utilisateurs néerlandais (y compris les enfants) et a imposé une amende de 750 000 euros. L’autorité de protection des données et de la vie privée néerlandaise a confié l’enquête à son homologue irlandaise après le déménagement du siège de TikTok en Irlande.
• En février 2019, la Federal Trade Commission a fait savoir que TikTok (alors connu sous le nom de Musical.ly) avait accepté de verser 5,7 millions de dollars dans le cadre d’un règlement de violations alléguées de la COPPA.
• En juillet 2020, la commission des communications de la Corée du Sud a annoncé que TikTok avait enfreint les lois locales sur les télécommunications en traitant de manière inadéquate les renseignements personnels de ses utilisateurs et imposé une amende de 186 millions de wons.
• En janvier 2023, la Commission nationale de l’informatique et des libertés de la France a fait savoir que TikTok avait enfreint la loi française sur la protection des données en raison de ses flux de consentement en matière de témoins, qui permettaient aux utilisateurs d’accepter plus facilement que de refuser le suivi, et a infligé une amende de cinq millions d’euros.

Préparé par : Services juridiques

---

Blocage de l’utilisation de TikTok sur les appareils du gouvernement du Canada

Principaux messages

• Cinq jours après l’annonce de l’enquête du Commissariat à la protection de la vie privée du Canada (CPVP) sur TikTok le 23 février 2023, le gouvernement du Canada a interdit l’utilisation de l’application sur tous les appareils fournis par le gouvernement en évoquant des préoccupations au chapitre de la protection de la vie privée et de la sécurité.
• Le CPVP n’a pas été consulté expressément sur l’interdiction de l’application TikTok sur les appareils gouvernementaux; il s’agit d’une décision prise par la dirigeante principale de l’information du Canada selon laquelle l’application pose un niveau inacceptable de risque pour la vie privée et la sécurité.
• Aux termes de la politique, TikTok doit être supprimé des appareils fournis par le gouvernement et l’application doit être bloquée afin qu’elle ne puisse plus être installée à l’avenir.

Contexte

• Le Commissariat à la protection de la vie privée du Canada doit respecter la Politique sur les services et le numérique du gouvernement et donc imposer l’interdiction. Par conséquent, le Commissariat a supprimé et bloqué l’application TikTok de ses appareils comme l’exige la politique.
• L’utilisation de l’application sur les appareils gouvernementaux a été interdite par d’autres administrations, y compris toutes les provinces canadiennes, la Grande-Bretagne, la France, l’Australie, le gouvernement fédéral des États-Unis et de nombreux États.
• Selon la Politique sur la protection de la vie privée du gouvernement, les institutions doivent aviser le Commissariat de toute initiative prévue pouvant avoir une incidence sur la vie privée des Canadiennes et des Canadiens. Le Commissariat consulte régulièrement le Secrétariat du Conseil du Trésor (SCT) sur les questions liées aux politiques de protection de la vie privée, mais en fin de compte, comme pour l’ensemble des initiatives, des politiques et des programmes, la décision définitive sur les mesures à prendre revient à l’institution.
• Le SCT et le Bureau de la dirigeante principale de l’information consultent régulièrement le Commissariat sur les conséquences globales des services numériques; des réunions de niveau opérationnel sont tenues mensuellement et je rencontre aussi régulièrement la dirigeante principale de l’information, Mme Luelo. La question précise n’a pas été abordée dans le cadre de ces réunions.

Préparé par : Direction des services-conseils au gouvernement

---

Enquête sur TikTok – Recours collectifs

Principaux messages

• L’annonce de l’enquête du CPVP sur TikTok en février 2023 précisait qu’elle « s’inscrit dans la foulée de recours collectifs, désormais réglés, aux États-Unis et au Canada ».
• Il était question de deux affaires.
  • Le recours collectif aux États-Unis prétendait que TikTok avait subrepticement recueilli des renseignements personnels des utilisateurs, y compris des données biométriques, et en avait tiré profit.
  • Le recours collectif canadien faisait valoir que TikTok avait porté atteinte à la vie privée des utilisateurs, notamment en ce qui concerne le consentement des utilisateurs mineurs.

Contexte

• Aux États-Unis, plusieurs poursuites fédérales contre TikTok ont été regroupées en un recours collectif devant le District Court fédéral du district nord de l’Illinois en 2020. L’action en justice comprenait un groupe national et un sous-groupe de l’État de l’Illinois.
• Le groupe national faisait valoir que, sans le consentement des utilisateurs, TikTok avait recueilli des renseignements personnels (p. ex. des données biométriques), communiqué des renseignements personnels liés aux vidéos à Facebook et à Google et enfreint les lois sur la protection des consommateurs.
  • Le sous-groupe de l’Illinois prétendait notamment que TikTok avait recueilli les renseignements biométriques des utilisateurs sans leur consentement et les avait vendus à des tiers.
• Un règlement a été approuvé en mars 2022, TikTok acceptant, entre autres, de verser 92 millions de dollars américains aux membres du recours collectif.
• Au Canada, deux recours collectifs contre TikTok ont été autorisés ensemble aux fins de règlement par la Cour suprême de la Colombie-Britannique. Les membres du groupe étaient des utilisateurs de TikTok au Canada, avec un sous-groupe d’utilisateurs mineurs.
• Selon les allégations des membres du groupe, TikTok aurait recueilli, utilisé et vendu à des tiers les renseignements personnels des utilisateurs sans leur consentement. Le sous-groupe faisait également valoir que TikTok n’avait pas obtenu le consentement des parents concernant les mineurs.
• Un règlement a été approuvé en février 2022, dans lequel TikTok a accepté de verser deux millions de dollars canadiens sous forme de dons à une fondation juridique de la Colombie-Britannique et à des organismes de bienfaisance pour les enfants.
• TikTok n’a admis aucun acte répréhensible dans l’un ou l’autre des accords de règlement.

Préparé par : Services juridiques

---

Enquête sur l’affaire Clearview AI

Principaux messages

• L’entreprise Clearview AI établie aux États-Unis crée et tient à jour une banque de données de plus de 20 milliards d’images faciales prélevées dans Internet. Les titulaires de compte, principalement des organismes d’application de la loi, peuvent effectuer des recherches dans cette base de données pour établir une correspondance entre des images faciales au moyen de la technologie de reconnaissance faciale.
• En 2020, le CPVP et ses homologues au Québec, en Colombie-Britannique et en Alberta ont enquêté sur Clearview AI et constaté que l’entreprise n’avait pas obtenu le consentement pour procéder à l’extraction de données sur Internet et que ses fins visées étaient inappropriées, car elles plaçaient effectivement les personnes dans un état de surveillance constante.
• Les homologues du Commissariat ont rendu des ordonnances, un pouvoir dont celui-ci ne dispose pas, obligeant Clearview à cesser la collecte et à supprimer les renseignements concernant les Canadiennes et les Canadiens. De telles affaires sont toujours devant les tribunaux.
• À la suite de l’enquête, en 2021, le CPVP a présenté au Parlement un rapport spécial sur l’utilisation par la Gendarmerie royale du Canada (GRC) de la technologie de Clearview AI. Le CPVP a conclu que la GRC a contrevenu à la Loi sur la protection des renseignements personnels puisqu’une institution ne peut recueillir des renseignements personnels auprès d’un tiers si ce dernier les a recueillis de façon illégale, un principe qui a depuis été intégré à l’orientation du SCT aux institutions fédérales.

Contexte

• L’outil de Clearview AI fonctionne comme suit. Clearview :
  • « prélève » les images comportant des visages et les données connexes à partir de sources en ligne accessibles au public (y compris les médias sociaux), et stocke ces données dans sa base de données;
  • crée des identifiants biométriques (sous forme de représentations numériques) correspondant à chaque image;
  • permet aux utilisateurs de télécharger une image, qui est ensuite évaluée par rapport à ces identifiants biométriques et mise en correspondance avec les images de sa base de données;
  • fournit une liste de résultats, contenant toutes les images et métadonnées correspondantes. Si un utilisateur clique sur l’un de ces résultats, il est redirigé vers la page source de l’image.
• Après l’enquête, la GRC a mis en œuvre les recommandations du CPVP, en créant le Programme national d’intégration des technologies pour examiner, sous l’angle de la protection de la vie privée, les nouvelles technologies avant leur intégration.

Préparé par : Secteur de la conformité

---

Facebook/Cambridge Analytica

Principaux messages

• Les enjeux au cœur de l’affaire sont étroitement liés au droit fondamental à la vie privée des Canadiennes et des Canadiens et à leur capacité de participer en toute confiance à notre société numérique.
• Le CPVP a présenté sa demande en vertu de l’article 15 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) afin de protéger la vie privée des Canadiennes et des Canadiens.
• Le Commissariat porte en appel la décision de la Cour fédérale, car l’affaire soulève d’importantes questions quant à l’interprétation et à l’application des lois sur la protection des renseignements personnels au Canada et il serait utile d’obtenir des précisions à ce sujet de la part de la Cour d’appel fédérale.
• Puisque les tribunaux sont saisis de cette affaire, il n’y a aucun autre commentaire à communiquer.

Contexte

• En 2018, le Commissariat a reçu une plainte visant Facebook qui a été formulée dans le contexte des reportages dans les médias selon lesquels Cambridge Analytica avait eu accès aux renseignements personnels d’utilisateurs de Facebook, sans leur consentement, par l’intermédiaire d’une application tierce (TYDL).
• L’enquête conjointe du CPVP et du Commissariat à la protection de la vie privée de la Colombie-Britannique a établi que Facebook n’avait pas obtenu le consentement valable de ses utilisateurs avant de communiquer leurs renseignements personnels et qu’il n’avait pas mis en place des mesures de protection adéquates.
• Le Commissariat a déposé auprès de la Cour fédérale un avis de demande en vertu de l’article 15 de la LPRPDE en vue d’obtenir, notamment, une ordonnance obligeant Facebook à corriger ses pratiques afin de se conformer à la LPRPDE, car Facebook n’a pas accepté de donner suite aux recommandations du Commissariat.
• En avril 2020, Facebook a présenté une demande de contrôle judiciaire du processus d’enquête du Commissariat et du rapport de conclusions qui en a découlé.
• Le 13 avril 2023, la Cour fédérale a rejeté la demande de contrôle judiciaire déposée par Facebook. Elle a déterminé que le Commissariat n’avait pas manqué à ses obligations en matière d’équité procédurale et que l’enquête n’était pas hors délai. La décision n’a pas fait l’objet d’un appel.
• À la même date, la Cour a également rejeté la demande du CPVP en vertu de l’article 15, estimant qu’il n’y avait pas suffisamment de preuves pour conclure que Facebook avait omis de se conformer à la LPRPDE. Le Commissariat en a appelé de la décision le 12 mai.
• Les parties ont déposé leurs mémoires respectifs; une date d’audience sera fixée.

Préparé par : Services juridiques

---

Préoccupations relatives à la protection de la vie privée avec les médias sociaux

Principaux messages

• Les médias sociaux encouragent les personnes à communiquer des renseignements personnels en ligne. Les utilisateurs peuvent faire attention aux renseignements qu’ils partagent et régler leurs paramètres de confidentialité, mais les réseaux sociaux doivent s’acquitter de leurs obligations juridiques en vertu des lois sur la protection des renseignements personnels.
• Les renseignements communiqués sur les médias sociaux peuvent être accessibles à de nombreuses parties, qui peuvent les recueillir, les utiliser ou les extraire notamment pour faire le profilage, le suivi et la publicité ciblée, entre autres.
• Il devrait être possible d’utiliser les médias sociaux tout en conservant une attente raisonnable en matière de vie privée.
• Lors de l’examen de la question, il est important de se rappeler que les jeunes peuvent être touchés par les technologies différemment des adultes, qu’ils sont plus exposés aux problèmes liés à la protection de la vie privée et qu’ils ont donc besoin de protections spéciales.

Contexte

• En octobre 2023, le Commissariat à la protection de la vie privée du Canada et ses homologues des provinces et des territoires ont publié une résolution pour mettre l’intérêt supérieur des jeunes à l’avant-plan, qui établit notamment des lignes directrices pour les organisations afin de s’assurer que les jeunes ne sont pas surveillés ou profilés sans justification, à leur insu ou sans leur consentement.
• En août 2023, le Commissariat a publié une déclaration commune sur l’extraction de données, qui décrit les risques relatifs à la vie privée, expose comment les entreprises de médias sociaux peuvent protéger les renseignements personnels et suggère des façons dont les utilisateurs peuvent se protéger.
• Aux termes de la Loi sur la protection des renseignements personnels, les entités fédérales peuvent recueillir des renseignements seulement s’ils ont un lien direct avec leurs programmes ou activités, que ces renseignements soient ou non accessibles au public. La LPRPDE permet aux organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels à l’insu de l’intéressé et sans son consentement que s’il s’agit d’un renseignement réglementaire auquel le public a accès. Les renseignements personnels publiés dans les sites des médias sociaux ne sont pas spécifiés par la réglementation en vigueur.

Préparé par : PRAP

---

Applicabilité de la LPRPDE aux renseignements personnels stockés à l’étranger

Principaux messages

• La LPRPDE peut encore s’appliquer aux renseignements personnels stockés sur des serveurs situés à l’extérieur du Canada dans certaines circonstances.
• La LPRPDE s’applique à la circulation transfrontalière des renseignements personnels qui entrent au Canada ou en sortent ou entre les provinces.
• Pour que la LPRPDE s’applique, un lien réel et substantiel avec le Canada doit exister en ce qui a trait à la collecte, à l’utilisation ou à la communication de renseignements personnels par une organisation.

Contexte

• Lorsqu’une enquête est en cours, les dispositions de la LPRPDE relatives à la confidentialité s’appliquent et il se peut qu’il ne soit pas possible de révéler publiquement certains aspects juridictionnels de l’affaire pendant la durée de l’enquête.
• Avant d’exercer sa compétence sur une affaire, le CPVP recherche des indicateurs établissant un « lien réel et substantiel avec le Canada », ce qui comprend une liste non exhaustive d’éléments définis par la jurisprudence au fil du temps.
• Il y a des décisions pertinentes des tribunaux sur le « lien réel et substantiel avec le Canada » applicables à la LPRPDE : (1) A.T. c. Globe24h.com, 2017 CF 114 aux paragraphes 50-64; (2) Lawson c. Accusearch inc. (C.F.), 2007 CF 125 aux paragraphes 38-51; (3) Facebook inc. c. Canada ((Commissaire à la protection de la vie privée), 2023 CF 534 au paragraphe 84.
• Une liste non exhaustive de facteurs énoncés dans la décision A.T. c. Globe24h pour établir un « lien réel et substantiel avec le Canada » : (1) l’emplacement du public cible du site Web, (2) la source du contenu du site Web, (3) l’emplacement de l’opérateur du site Web et (4) l’emplacement du serveur hôte.
• Une présence physique au Canada n’est pas nécessaire pour établir un « lien réel et substantiel » selon la Cour fédérale dans la décision A.T. c. Globe24h.
• Les renseignements personnels recueillis, utilisés (y compris stockés) ou communiqués à l’intérieur des frontières des provinces ayant adopté des lois réputées essentiellement similaires à la partie 1 de la LPRPDE (c.-à-d. Colombie-Britannique, Alberta et Québec) sont visés par les lois provinciales sur la protection de la vie privée, tandis que la LPRPDE s’applique au reste du Canada ou lorsqu’il y a circulation transfrontalière des données entre les provinces ou en direction/provenance d’un autre pays.

Préparé par : Services juridiques

---

Extraction de données

Principaux messages

• La collecte de données est un autre terme utilisé pour désigner l’« extraction de données », c’est-à-dire l’extraction automatisée de données à partir de sites Web.
• Les renseignements personnels qui sont extraits peuvent être utilisés à diverses fins, par exemple en vue d’en tirer des profits en les réutilisant sur des sites Web, en les vendant à des auteurs malveillants ou en les destinant à la collecte de renseignements.
• Les entreprises de médias sociaux sont tenues de protéger les renseignements personnels contenus sur leurs plateformes.
• Dans la plupart des pays, des provinces ou des territoires, les renseignements personnels qui sont publics demeurent assujettis aux lois sur la protection des renseignements personnels.
• Les incidents d’extraction massive de données dans le cadre desquels des renseignements personnels sont recueillis peuvent constituer une atteinte à la vie privée qui doit être signalée aux autorités.

Contexte

• Les risques relatifs à la vie privée que pose la collecte ou l’extraction de données comprennent les cyberattaques ciblées, l’usurpation d’identité, le contrôle, le profilage et la surveillance des personnes, l’utilisation non autorisée à des fins politiques ou de collecte de renseignements ainsi que le marketing direct non sollicité ou les pourriels.
• Les entreprises de médias sociaux doivent mettre en œuvre des mesures de contrôle à couches multiples sur les plans technique et procédural afin d’atténuer les risques.
• Voici quelques mesures de contrôle possibles : limiter le nombre de visites par heure ou par jour d’un compte, prendre des mesures pour détecter les robots, par exemple en procédant à des tests CAPTCHA et en bloquant l’adresse IP ainsi que prendre les mesures juridiques qui s’imposent, comme envoyer des mises en demeure exigeant que l’extracteur cesse ses activités d’extraction et supprime tous les renseignements extraits.
• Les entreprises de médias sociaux devraient surveiller en permanence les nouveaux risques et les nouvelles menaces qui guettent les renseignements sur leur plateforme, que font peser des auteurs malveillants, et y réagir habilement.
• Cela dit, il est important de noter qu’aucune mesure de protection n’est efficace à 100 %, et les personnes doivent donc être conscientes que les renseignements personnels qu’elles publient en ligne pourraient être compromis.

Préparé par : Direction de l’analyse des technologies

---

Collecte de données dans les enquêtes du CPVP

Principaux messages

• Les outils de collecte de données permettent de recueillir de grandes quantités de renseignements personnels à partir de sources en ligne accessibles au public. La plupart de ces renseignements ne seront pas « accessibles au public » au sens de la LPRPDE et ne seront donc pas exemptés des exigences de consentement.
• Parallèlement, nous continuons à observer une croissance de la collecte de données à grande échelle, qui alimente des utilisations comme la reconnaissance faciale, par exemple, celle ayant fait l’objet d’une enquête dans l’affaire Clearview AI, et l’entraînement de solutions d’intelligence artificielle générative comme ChatGPT d’OpenAI, sur laquelle le Commissariat enquête actuellement conjointement avec l’Alberta, la Colombie-Britannique et le Québec.
• Compte tenu de cette situation, les entreprises doivent éviter la collecte systématique et déterminer de manière proactive quels renseignements accessibles au public peuvent être recueillis de manière licite.

Contexte

• Clearview affirme tenir une banque de données de reconnaissance faciale de plus de 20 milliards d’images extraites, soit 3 milliards de plus qu’au moment où le Commissariat a formulé ses conclusions en février 2021. L’enquête conjointe a révélé que l’extraction était inappropriée et, en tout état de cause, qu’elle n’était pas exemptée des exigences de consentement.
• Dans une affaire antérieure, le Commissariat a constaté que Profile Technologies ne pouvait pas invoquer l’exemption relative aux renseignements auxquels le public a accès concernant les renseignements de millions d’utilisateurs de Facebook que l’entreprise avait prélevés pour alimenter sa propre plateforme de médias sociaux.
• OpenAI déclare publiquement s’appuyer sur des renseignements, y compris « des renseignements accessibles au public qui sont librement et ouvertement disponibles sur Internet », pour entraîner les modèles qui alimentent ChatGPT. L’enquête du Commissariat visera à déterminer si une telle pratique est conforme à la LPRPDE.
• Dans son enquête de 2016 sur CompuFinder, le Commissariat a conclu que l’entreprise avait recueilli des adresses électroniques avant l’entrée en vigueur de la Loi canadienne anti-pourriel (LCAP), mais avait continué à les utiliser par la suite, sans le consentement requis, comme l’exige la disposition de la LCAP, le paragraphe 7.1(2) de la LPRPDE.

Préparé par : Secteur de la conformité

---

Déclaration commune sur l’extraction de données

Principaux messages

• Le CPVP et 11 autres autorités de protection de la vie privée du monde entier ont publié une déclaration commune en août exposant leurs attentes à l’égard des mesures de protection contre l’extraction illégale de données. La déclaration a également été envoyée à six grandes entreprises de médias sociaux pour leur permettre de présenter leurs commentaires à son sujet.
• Le CPVP est heureux que cinq de ces entreprises aient répondu aux commissariats en expliquant les mesures qu’elles ont mises en œuvre pour se conformer aux attentes.
• Les signataires ont discuté des réponses en début de semaine lors d’une réunion organisée dans le cadre de la conférence annuelle de l’Assemblée mondiale pour la protection de la vie privée. Le Commissariat assurera un suivi avec les entreprises afin de mieux comprendre leurs pratiques et de tirer les leçons de l’initiative.

Contexte

• La déclaration trouve son origine dans deux séances d’application à huis clos organisées par le Groupe de travail sur la coopération internationale en matière d’application de la loi (GTCIAL) pour discuter des enjeux mondiaux de protection de la vie privée découlant de l’extraction massive. Certains membres du GTCIAL ont décidé de poursuivre l’initiative conjointe.
• En fin de compte, 12 autorités de 6 continents ont signé ou publié la déclaration commune le 24 août 2023 : Commissariat à l’information de l’Australie, CPVP, Commissariat à l’information du Royaume-Uni, Commissariat à la protection de la vie privée et des données personnelles de Hong Kong, Datatilsynet de Norvège, commissaire à la protection des données et à la transparence de Suisse, Surintendance de l’industrie et du commerce de Colombie, Commissariat à la protection de la vie privée de la Nouvelle-Zélande, Bureau du commissaire à l’information de Jersey, Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel du Maroc, Agence pour l’accès à l’information publique de l’Argentine et Institut national pour la transparence, l’accès à l’information et la protection des données personnelles du Mexique.
• Au nom des signataires, le CPVP a également envoyé une lettre à Alphabet inc. (YouTube), ByteDance ltée (TikTok), Meta Platforms, inc. (Instagram, Facebook et Threads), Microsoft Corporation (LinkedIn), Sina Corp. (Weibo) et X Corp. (X, anciennement Twitter) pour leur demander d’expliquer comment leurs entreprises respectives se conforment ou ont l’intention de se conformer aux attentes décrites dans la déclaration. Cinq des six entreprises ont répondu (caviardé)
• Lors d’une réunion en marge de la conférence de l’Assemblée mondiale pour la protection de la vie privée le 17 octobre 2023, les signataires ont examiné les réponses des entreprises de médias sociaux et décidé d’organiser des réunions de suivi avec chacune d’elles afin d’obtenir plus de détails sur les questions en suspens. Les signataires comptent ensuite publier une déclaration publique finale sur les principales conclusions de l’engagement.

Préparé par : Secteur de la conformité