La Cour d’appel fédérale précise les obligations des réseaux sociaux en matière d’obtention du consentement et de mesures de sécurité

Par Jessie McKinnon, avocate

Dans la décision Privacy Commissioner of Canada c. Facebook, Inc, 2024 FCA 140, la Cour d’appel fédérale (la « CAF ») clarifie les obligations des réseaux sociaux en matière d’obtention du consentement et de mesures de sécurité appropriées en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques, LC 2000, c. 5 (la « LPRPDE »). Le présent billet ne se veut pas un résumé exhaustif de la décision, mais vise à mettre en lumière certains apprentissages que l’on peut en retirer.

Contexte

Il importe tout de même d’établir le contexte dans lequel cette décision de la CAF est survenue. Le Commissaire à la protection de la vie privée du Canada (le « CPVPC ») a enquêté sur les pratiques en matière de protection de la vie privée de Facebook, Inc. (devenue Meta Platforms Inc.) (« Facebook »), plus particulièrement en lien avec l’application tierce « thisisyourdigitallife » (« TYDL »), disponible sur la plateforme de Facebook, et la vente subséquente par cette tierce partie de renseignements personnels des utilisateurs de l’application ainsi que de leurs amis à Cambridge Analytica Ltd. à des fins politiques entre novembre 2013 et décembre 2015. Le CPVPC a intenté un recours contre Facebook devant la Cour fédérale en février 2020 alléguant que Facebook avait contrevenu à la LPRPDE. La Cour fédérale a rejeté le recours du CPVPC au motif que celui-ci n’avait pas fait la preuve que Facebook a fait défaut d’obtenir le consentement éclairé des individus visés, ni que Facebook a fait défaut de protéger adéquatement les renseignements de ceux-ci.

Décision

La CAF n’est pas du même avis que la Cour fédérale. Contrairement à la Cour fédérale, la CAF considère que l’analyse pour déterminer si un consentement est valable en vertu de la LPRPDE se fait en fonction de la personne raisonnable – qui représente une norme fictive et objective – et qu’ainsi, une analyse subjective n’a pas lieu d’être :

[60] Subjective evidence does not play a role in an analysis focused on the perspective of the reasonable person.

[61] The meaningful consent clauses of PIPEDA, along with PIPEDA’s purpose, pivot on the perspective of the reasonable person. Section 6.1 of PIPEDA protects an organization’s collection, use, or disclosure of information only to the extent that a reasonable person would consider appropriate in the circumstances. Clause 4.3.2 of PIPEDA asks whether an individual could have “reasonably underst[ood]” how their information would be used or disclosed. (See also section 3 and clause 4.3.5 of PIPEDA). 

Sans toutefois nier que la cour peut bénéficier de preuves concernant les circonstances entourant une affaire, la CAF considère que la cour ne requiert pas non plus de preuve d’expert pour déterminer la norme de la personne raisonnable.

La CAF clarifie également le test de la clause 4.3.2 de l’Annexe 1 à la LPRPDE, notant qu’autant les efforts d’une organisation pour obtenir un consentement valable que la forme sous laquelle le consentement est demandé doivent être raisonnables. Ces deux étapes sont cumulatives. Même si les efforts d’une organisation sont raisonnables, si la façon dont le consentement est recherché est déraisonnable ou s’il n’est pas raisonnable de croire qu’une personne raisonnable aurait compris ce à quoi elle consent, on ne peut pas conclure à un consentement valable. Cette conclusion est soutenue par l’art. 6.1 de la LPRPDE, qui stipule que la validité du consentement repose sur la compréhension de l’individu de la nature, des fins et des conséquences de ce à quoi il consent.

En l’espèce, la CAF conclut que ni les utilisateurs d’applications tierces, ni leurs amis n’ont donné de consentement valable. La seule façon dont les amis des utilisateurs avaient connaissance des pratiques de Facebook en matière de partage avec des tierces parties était par l’entremise de la politique de confidentialité, qui n’abordait pas l’extraction de données (data scrapping) qui prenait lieu en l’espèce. On en comprend que le langage d’une politique de confidentialité doit être suffisamment spécifique et conforme aux pratiques de l’organisation. Dans ce cas-ci, la CAF le considérait trop général pour être valable.

La CAF considère que les utilisateurs de l’application TYDL n’ont pas non plus pu donner un consentement valable. À cette fin, elle conclut notamment que l’acceptation automatique de la politique de confidentialité par l’acceptation des conditions d’utilisation ne constitue pas un consentement valable, notant à l’occasion la longueur de ces documents (9 100 mots et 4 500 mots respectivement).

La CAF rappelle également que les conditions d’utilisation et politiques d’un réseau social sont des contrats d’adhésion, qui ne laisse qu’un choix pour accéder au réseau social : les accepter toutes.

La CAF conclut donc qu’il ne suffit pas qu’il y ait une disposition applicable enfouie quelque part dans les conditions d’utilisation pour obtenir un consentement valable. La question est plus contextuelle. On doit prendre en considération le profil démographique des utilisateurs, la nature des renseignements visés, la manière dont l’utilisateur et le détenteur des renseignements interagissent, si le contrat est d’adhésion, la clarté et la longueur du contrat et la nature des paramètres de confidentialité par défaut.

Concernant la sécurité des renseignements personnels, la CAF considère qu’un utilisateur raisonnable s’attendrait à ce qu’un réseau social de cette envergure ait des mesures robustes en place afin de prévenir les mauvais acteurs de faussement représenter leurs propres pratiques et d’accéder aux renseignements d’individus sous de faux prétextes. Même si une organisation peut se fier sur le consentement obtenu par une tierce partie pour communiquer des renseignements personnels, elle devrait tout de même prendre des mesures raisonnables pour s’assurer que le consentement obtenu par une tierce partie est valable.

Finalement, notons ce passage de la CAF qui rappelle que la LPRPDE n’octroie pas aux organisations de droit inhérent aux renseignements personnels :

[121] I note in passing that the Federal Court referred to an organization’s “right to reasonably collect, use or disclose personal information” (at para. 50, emphasis added). However, PIPEDA’s purpose, as set out in section 3, refers to an individual’s right of privacy, and an organization’s need to collect, use or disclose personal information. An organization has no inherent right to data, and its need must be measured against the nature of the organization itself. This distinction between the “rights” which are vested in the individual, and an organization’s “need” is an important conceptual foundation in the application of PIPEDA.

Découvrez cette décision de la Cour d’appel fédérale dans l’affaire Privacy Commissioner of Canada v. Facebook, Inc., 2024 FCA 140. Pour une analyse approfondie et des détails supplémentaires, consultez SOQUIJ.

Découvrez d’autres analyses en matière de protection des données :

• Chronique du CTI – L’invalidation du bouclier de protection des données UE-États-Unis (Privacy Shield) en bref
• Obsolescence programmée et droit à la réparation: de nouvelles protections pour le consommateur québécois
• Homsy c. Google, 2023 QCCA 1220 : Fardeau de preuve d’une action collective pour la collection de données biométriques faciales faite sans consentement