Le 9 septembre 2024, la Cour d’appel fédérale (la « CAF ») a rendu sa décision dans Canada (Privacy Commissioner) c Facebook, Inc., 2024 CAF 140 (en anglais seulement), qui portait sur l’incident Cambridge Analytica entourant l’élection présidentielle américaine de 2016. Dans cette décision, la CAF a infirmé la décision de la Cour fédérale et a conclu qu’il y avait eu violation de la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »). La décision offre des indications supplémentaires sur ce qui constitue une « protection appropriée » des renseignements personnels à l’ère numérique et, surtout, clarifie la définition de « consentement valable » ainsi que le contexte permettant d’évaluer le consentement.
Contexte
Le Commissariat à la protection de la vie privée du Canada (le « CPVP ») a publié son rapport de conclusions sur l’affaire Cambridge Analytica le 25 avril 2019. Une application tierce exploitée sur la plateforme Facebook, « thisisyourdigitallife » (« TYDL »), avait recueilli des renseignements personnels auprès des utilisateurs de l’application et de leurs « amis », et les avait utilisés pour transmettre des messages politiques ciblés. Le CPVP a conclu que Facebook n’avait pas obtenu de consentement valable ni n’avait mis en place des mesures de sécurité adéquates pour protéger les renseignements personnels. Il a ensuite demandé à la Cour fédérale de trancher la question en vertu de l’alinéa 15a) de la LPRPDE.
La Cour fédérale a rejeté la demande, concluant que le CPVP n’avait pas suffisamment démontré l’absence de consentement valable quant à la collecte, à l’utilisation et à la communication de renseignements personnels, ou à la protection inadéquate des renseignements personnels (2023 CF 533). Le CPVP a interjeté appel de cette décision et a obtenu gain de cause.
Résumé de la décision de la CAF et points à retenir
La décision de la Cour d’appel fédérale (« CAF ») précise que la validité du consentement et les mesures de protection des renseignements personnels doivent être évaluées selon la perspective d’une « personne raisonnable » en vertu de la LPRPDE (para 60-63). La CAF rejette l’approche de la Cour fédérale qui abordait le consentement d’un point de vue subjectif et qui nécessitait la preuve d’un expert. Par conséquent, la CAF tient compte du contexte général, sans recourir à des experts ou à des preuves subjectives, pour évaluer l’obtention d’un consentement valable ou le caractère adéquat des mesures de sécurité des renseignements personnels, notamment :
- Les caractéristiques démographiques des utilisateurs et la nature des renseignements personnels.
- La façon dont les utilisateurs interagissent avec l’organisation, y compris les interfaces logicielles.
- La présence d’un contrat d’adhésion.
- La clarté et la longueur du contrat, ses modalités et la politique de confidentialité de l’organisation.
- Les paramètres de confidentialité par défaut.
Fait important, la CAF souligne que les énoncés contenus dans de longues politiques de confidentialité ont une portée limitée quant à l’obtention d’un consentement valable de la part des personnes concernées. Compte tenu de la décision de la CAF, les organisations devraient examiner les avis et les énoncés qu’elles transmettent aux personnes concernées, qu’ils soient sous forme électronique ou autre, pour s’assurer qu’ils sous-tendent l’obtention d’un consentement valable, indépendamment du contenu de leur politique de confidentialité.
Méthode d’interprétation de la LPRPDE
La CAF note que la LPRPDE établit un équilibre entre les droits des particuliers en ce qui a trait à leurs renseignements personnels et les besoins des organisations à l’égard de leur collecte, de leur utilisation et de leur communication. Notamment, elle souligne que les organisations n’ont elles-mêmes pas le droit de recueillir, d’utiliser et de communiquer des renseignements personnels. Dans ce contexte, la CAF semble sous-entendre que, en cas de conflit, les droits des personnes physiques l’emportent sur les besoins des organisations.
Consentement – Approche centrée sur la personne concernée
La CAF conclut que la LPRPDE établit un « double test de raisonnabilité » à l’article 4.3.2, qui exige (i) que les organisations « [fassent] un effort raisonnable pour s’assurer que la personne [soit] informée des fins auxquelles les renseignements seront utilisés » et (ii) que « les fins [soient] énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués » pour que le consentement soit valable (para 71). De plus, la CAF souligne que le consentement valable s’évalue en fonction de la norme objective de la personne raisonnable, qu’il incombe à la Cour de définir l’attente objective et raisonnable pour les fins d’un consentement valable, et que les juges ont la [traduction][1] « responsabilité de déterminer le point de vue de la personne raisonnable, qui est à la fois fictive, mais néanmoins éclairée par son expérience quotidienne » (para 70). La Cour explique également que « [l]a question de savoir si le consentement est valable tient compte de tous les facteurs contextuels pertinents : les caractéristiques démographiques des utilisateurs, la nature des renseignements, la façon dont l’utilisateur et le détenteur des renseignements interagissent, si le contrat en cause est un contrat d’adhésion, la clarté et la longueur du contrat, ses modalités et la nature des paramètres de confidentialité par défaut » (para 124). Dans ce contexte, la CAF conclut que Facebook n’a pas atteint ce seuil.
Dans sa décision, la CAF détermine qu’une « personne raisonnable » n’aurait pas compris que ses renseignements personnels seraient communiqués à un tiers en vue de leur utilisation dans le cadre de publicités politiques, et que les énoncés contenus dans de longues conditions de service et dans des politiques de confidentialité ne favorisent pas l’obtention d’un consentement valable. De plus, la CAF note les commentaires publics d’un dirigeant de Facebook (para 89), ainsi que la connaissance de « signaux d’alerte » concernant les violations des politiques par des applications tierces (para 95), pour souligner que Facebook n’a pas « fait d’effort raisonnable pour s’assurer que la personne [soit] informée des fins auxquelles les renseignements seront utilisés », comme le prévoit l’article 4.3.2. de la LPRPDE.
Obligation de protection
La CAF conclut également que l’obligation de la LPRPDE de protéger adéquatement les renseignements personnels peut inclure l’obligation, pour les opérateurs de plateformes numériques, de réglementer la conduite des tiers qui recueillent, utilisent et communiquent des renseignements personnels provenant de ces plateformes.
En l’espèce, la CAF conclut que l’inaction à l’égard des applications tierces signifiait que les renseignements personnels n’étaient pas « suffisamment protégés » avant leur communication et que « le défaut de surveiller et d’obliger les applications tierces à respecter les politiques de l’organisation en matière de protection des renseignements personnels sur la plateforme » signifiait que les renseignements personnels n’étaient pas adéquatement protégés (para 118).
Conclusion
Les principaux points à retenir de la décision de la CAF sont que les organisations ne pourront pas se fier uniquement à leur politique de confidentialité pour obtenir un consentement valable et que les dispositions contractuelles ne suffisent pas à elles seules à assurer la protection adéquate des renseignements personnels. Conjuguée à une éventuelle réforme fédérale de la protection des renseignements personnels, aux mémoires présentés au Parlement par le CPVP et à ses lignes directrices précédentes sur le consentement, la décision de la CAF met en évidence une évolution dans le paysage canadien de la protection des renseignements personnels. Elle suggère une application plus stricte des exigences de la LPRPDE en matière de consentement, ainsi que des énoncés plus structurés et explicites pour obtenir un consentement véritablement valable.
