Les questions liées à la vie privée des consommateurs présentent un risque croissant pour les entreprises. Les résultats de Facebook et Twitter au deuxième trimestre, publiés la semaine dernière, révèlent que les deux sociétés ont perdu un nombre important d’utilisateurs actifs en raison de problèmes liés à la vie privée et à la protection des données. Le cours de leur action respective a chuté d’environ 20 %, ce qui représente une perte de valeur combinée d’environ 125 milliards de dollars (119 milliards pour Facebook et 6 milliards pour Twitter). Ce risque était, jusqu’à maintenant, relativement hypothétique pour les entreprises, malgré l’apparition de nouveaux écueils sur le plan juridique et de la vie privée ces dernières années.
- Renforcement des pouvoirs d’application du CPVPC
La loi fédérale sur la protection des données (la Loi sur la protection des renseignements personnels et les documents électroniques ou « LPRPDE ») fonctionne selon le modèle de l’ombudsman, soit un système fondé sur les plaintes. Elle permet aux particuliers de porter plainte auprès du Commissariat à la protection de la vie privée du Canada (« CPVPC »). Lorsque le CPVPC reçoit une plainte, il détermine si elle relève de sa compétence puis, le cas échéant, procède à une enquête et formule des recommandations non contraignantes. Même si la LPRPDE ne permet pas pour le moment d’imposer des amendes, les choses s’apprêtent à changer.
De nouvelles dispositions rendant obligatoires la déclaration des atteintes à la sécurité et la tenue de registres entrent en vigueur le 1er novembre 2018 au Canada. Les organisations qui enfreignent ces dispositions encourent des amendes pouvant atteindre 100 000 $. Pour en savoir plus sur les obligations concernant les atteintes à la sécurité et la conformité, reportez-vous à notre bulletin d’avril 2018.
En outre, dans son rapport annuel 2016-2017, le CPVPC recommandait la modification du modèle d’ombudsman et le renforcement des pouvoirs d’application de la loi. Le 28 février 2018, le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (le « Comité ETHI») a présenté à la Chambre des communes son rapport sur l’examen de la LPRPDE, intitulé Vers la protection de la vie privée dès la conception. Le Comité ETHI a recommandé de modifier la LPRPDE afin de renforcer les pouvoirs d’application du CPVPC, notamment le pouvoir de rendre des ordonnances et d’imposer des amendes en cas de non-respect, ainsi que des pouvoirs étendus en matière d’audit, y compris celui de choisir les plaintes sur lesquelles enquêter. La LPRPDE devrait donc être modifiée à brève échéance pour donner effet à ces recommandations. La récente entrée en vigueur du règlement européen sur la protection des données pourrait accélérer le processus.
- Évaluation de la LPRPDE à l’aune du RGPD
Le nouveau règlement de l’Union européenne le Règlement général sur la protection des données (« RGPD »), entré en vigueur le 25 mai 2018 – établit des obligations rigoureuses et prévoit des mesures d’application sévères, notamment des amendes pouvant atteindre 20 M € ou, si ce chiffre est plus élevé, 4 % du chiffre d’affaires annuel mondial de l’organisation.
Aux termes du RGPD, il est interdit aux organisations qui exercent leurs activités dans l’UE de transférer des données personnelles vers un pays non membre dont les lois assurent une protection insuffisante. L’UE devra ainsi évaluer si la LPRPDE (et d’autres lois sur la protection des données) offre une protection adéquate à l’aune du RGPD. Le Comité ETHI a fait plusieurs suggestions visant à renforcer la LPRPDE pour qu’elle soit considérée comme « adéquate » selon le RGPD. Le gouvernement du Canada a récemment publié sa lettre de réponse, dans laquelle il soutient les recommandations du Comité ETHI concernant l’harmonisation de la LPRPDE avec certaines dispositions du RGPD. Le gouvernement discute actuellement de la circulation transfrontalière des données et de l’interopérabilité des régimes de protection de la vie privée avec des nations et des institutions de l’UE. En outre, des responsables gouvernementaux collaborent avec la Commission européenne afin de déterminer les exigences à respecter pour assurer la conformité du Canada au RGPD. Comme l’évaluation de l’UE devrait avoir lieu en 2020, on peut s’attendre à ce que la LPRPDE soit harmonisée au RGPD dans un délai relativement court.
- Actions collectives pour atteinte à la vie privée
Sur le plan des dommages pécuniaires, la principale menace pour les organisations qui enfreignent une loi sur la protection des données est la perspective d’une action collective pour atteinte à la vie privée. On compte actuellement au Canada plus de 60 actions de ce type en instance ou récemment certifiées. Bien qu’aucune n’ait encore été jugée sur le fond, certaines ont mené à d’importants règlements. Par exemple, le Recours collectif pour atteinte à la vie privée concernant le programme canadien de prêts d’études s’est récemment conclu par un règlement de 17 500 000 $.
Les actions collectives doivent être fondées sur un droit à la protection de la vie privée d’origine législative précis ou sur une atteinte générale à la vie privée, des concepts absents de la LPRPDE (et des lois provinciales sur la protection des données similaires), mais qu’on retrouve toutefois dans certaines lois provinciales qui traitent de protection de la vie privée (comme le Code civil du Québec et la Privacy Act de la Colombie-Britannique). En 2012, dans la décision Jones v. Tsige, la Cour d’appel de l’Ontario a reconnu pour la première fois au Canda l’existence d’un nouveau délit d’ « intrusion dans la vie privée ». Ce délit favorise la viabilité des actions collectives pour atteinte à la vie privée, car il semble permettre les demandes d’indemnisation pour atteinte à la vie privée sans preuve de préjudice (notamment financier), sans égard aux circonstances individuelles des victimes.
La tendance des actions collectives pour atteinte à la vie privée ne semble pas près de s’estomper. Dans son rapport annuel 2016-2017, le CPVPC recommande au Parlement d’envisager la mise en place d’un droit d’action privé en cas d’infraction à la LPRPDE en remplacement du modèle actuel fondé sur les plaintes, au lieu de s’appuyer sur une longue période de développement du droit de la responsabilité délictuelle appliquée à la protection de la vie privée.
- Nouveau risque lié à la vie privée – chute de la capitalisation boursière
Les scandales liés à la protection de la vie privée et les atteintes à la sécurité ont toujours préoccupé les entreprises soucieuses de leur réputation. Jusqu’à tout récemment, la possibilité que ces scandales et atteintes se répercutent sur les résultats financiers et la capitalisation boursière des entreprises semblait relativement négligeable. Toutefois, les récentes inquiétudes entourant certains modèles d’affaires ont entraîné une perte de confiance chez les consommateurs et ont confirmé que les chutes de capitalisation boursière étaient désormais une réalité.
Par exemple, la croissance spectaculaire de Facebook a subi les contrecoups des récentes controverses entourant ses pratiques de modération et des scandales concernant la protection des données. D’ailleurs, ses résultats au deuxième trimestre de 2018, publiés la semaine dernière, révèlent une croissance des revenus et du nombre d’utilisateurs en deçà des prévisions de Wall Street. C’est la première fois en près de trois ans que les résultats trimestriels de la société n’ont pas dépassé les attentes. Sa capitalisation boursière a diminué d’environ 119 milliards de dollars après que son action eut perdu 19 % de sa valeur. Jamais encore une société cotée en bourse aux États-Unis n’avait vu sa valeur fondre de 100 milliards de dollars en une seule séance.
La perte de valeur historique de Facebook est survenue le lendemain de l’annonce de revenus inférieurs aux attentes au deuxième trimestre et d’un nombre décevant d’utilisateurs actifs quotidiens à l’échelle mondiale, un indicateur clé pour Facebook. La société s’attend également à un ralentissement de la croissance de son chiffre d’affaires au second semestre.
En outre, Twitter a annoncé la semaine dernière la perte d’un million d’utilisateurs mensuels au deuxième trimestre, et prédit que ce nombre devrait augmenter en raison de sa lutte contre les messages indésirables, les faux comptes et les propos malveillants. L’action a cédé 20 %, ce qui représente une perte de valeur de 6 milliards de dollars. La société s’attend à une nouvelle baisse du nombre d’utilisateurs mensuels attribuable à l’intensification de ses mesures pour nettoyer la plateforme, au resserrement des règles de protection de la vie privée en Europe et aux changements relatifs à l’utilisation du service par SMS.
Points à retenir pour les entreprises
Les entreprises doivent tenir compte de la protection de la vie privée et de la confiance des consommateurs dans l’analyse de leur modèle d’affaires et des risques qui s’y rattachent. En matière de gestion du risque, l’époque est révolue où la pire issue d’une plainte pour atteinte à la vie privée était d’être nommé dans un rapport non concluant du CPVPC.
Aujourd’hui, les entreprises s’exposent à une action collective si elles subissent une atteinte à la sécurité ou que les médias dévoilent des pratiques commerciales portant atteinte à la vie privée. À partir du 1er novembre 2018, les entreprises au Canada encourent également des amendes pouvant atteindre 100 000 $ si elles enfreignent les obligations de signalement, d’avis et de tenue de registre de la LPRPDE relativement aux atteintes à la sécurité. Le RGPD a relevé la barre pour le reste du monde, en instaurant des obligations rigoureuses et des mesures d’application sévères, notamment des amendes pouvant atteindre 20 M€ ou, si ce chiffre est plus élevé, 4 % du chiffre d’affaires annuel mondial de l’organisation. Le gouvernement du Canada a récemment affirmé qu’il souhaitait harmoniser la LPRPDE avec certaines dispositions du RGPD. On peut donc raisonnablement s’attendre à ce que la LPRPDE soit modifiée dans un délai relativement court afin de renforcer les pouvoirs d’application de la loi du CPVPC, notamment le pouvoir de rendre des ordonnances et d’imposer des amendes en cas de non-respect, ainsi que des pouvoirs étendus en matière d’audit.
Un nouveau risque pour les entreprises est la perte de valeur causée par des questions entourant la vie privée et la perte de confiance des consommateurs quant au traitement de leurs renseignements personnels. Ce risque, jusqu’à tout récemment hypothétique, devient réalité, comme l’illustre le récent recul boursier de certains géants des médias sociaux.