La Cour d’appel fédérale considère que les politiques de confidentialité longues et complexes de Facebook ne permettaient pas d’obtenir un consentement valable

Dans sa récente décision, Canada (Commissaire à la protection de la vie privée) c. Facebook, Inc., 2024 FCA 140, la Cour d’appel fédérale a exploré, défini et expliqué deux exigences de la Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch. 5 (LPRPDE) à l’effet desquelles les organisations doivent : 1) obtenir un consentement valable pour recueillir, utiliser ou divulguer des renseignements personnels et 2) protéger les renseignements recueillis.

Étant donné que ces exigences sont communes à toutes les lois canadiennes sur la protection des renseignements personnels dans le secteur privé, les motifs de ce jugement important sont pertinents pour toutes les organisations qui traitent des renseignements personnels au Canada.

Aperçu

Avant de recueillir, d’utiliser ou de distribuer des données sur les utilisateurs, les organisations doivent obtenir leur consentement. Afin de garantir un consentement valable, il est essentiel d’évaluer la clarté et la concision des politiques de confidentialité et de veiller à ce qu’elles soient formulées de manière suffisamment simple et compréhensible pour une personne raisonnable.

La notion de « personne raisonnable », utilisée pour déterminer la validité d’un consentement, est un concept abstrait et objectif, une sorte de point de référence créé par le système judiciaire. Par conséquent, les preuves subjectives et les preuves d’expert ne sont pas pertinentes dans le cadre d’un litige. Le consentement valable doit plutôt être examiné du point de vue de la compréhension qu’a une personne raisonnable de la politique sur la protection des renseignements personnels. Cependant, la Cour critique ce type de politique de manière générale, ce qui constitue une reconnaissance judiciaire de la réalité des internautes d’aujourd’hui. Elle reconnaît que personne n’a le temps ni le désir de lire un pavé juste pour lire un article ou s’inscrire à un service en ligne. Les organisations devraient plutôt réfléchir à des façons de présenter les éléments clés de leurs politiques de confidentialité d’une manière claire, concise et directe.

La Cour a rappelé que, bien que la LPRPDE exige un équilibre entre les intérêts des parties, il ne s’agit pas d’un équilibre entre deux droits opposés, mais bien entre le droit d’une personne au respect de sa vie privée et le besoin d’une société de recueillir et de traiter des renseignements personnels.

Ajoutons que gérer vos propres politiques de confidentialité pourrait ne pas suffire. Les organisations qui autorisent des tiers à recueillir des renseignements personnels sur leur plateforme en ligne doivent prendre des mesures raisonnables pour s’assurer qu’ils respectent leurs engagements de confidentialité.

Contexte

Cette affaire fait suite à une enquête menée par le Commissariat à la protection de la vie privée du Canada sur Facebook. L’enquête a conclu que Facebook avait enfreint la LPRPDE entre 2013 et 2015. Le Commissariat a enquêté sur des allégations selon lesquelles une application tierce – thisisyourdigitallife (TYDL) – récupérait des données d’utilisateurs de Facebook et les vendait à Cambridge Analytica, laquelle les exploitait pour créer des publicités partisanes ciblées pour la campagne présidentielle américaine de 2016.

À l’époque, une personne qui voulait créer un compte Facebook devait accepter les conditions d’utilisation et était informée que ce faisant, elle était réputée avoir lu et accepté la politique de confidentialité; les conditions d’utilisation (environ 4 500 mots) et la politique de confidentialité (environ 9 100 mots) étaient accessibles par deux liens se trouvant au-dessus du bouton d’inscription. Facebook proposait aussi un service d’assistance à ce sujet et permettait de gérer les paramètres de confidentialité, notamment en contrôlant l’accès des applications tierces.

À ce moment, des applications tierces étaient intégrées à la plateforme. Les utilisateurs pouvaient installer des applications variées, comme des jeux, des questionnaires de personnalité et des lecteurs de musique. En 2013, ces applications pouvaient collecter des renseignements non seulement sur les personnes qui les avaient installées, mais aussi sur leurs amis Facebook. Le consentement de ces derniers n’était donc pas requis. Tout au long de la période concernée, Facebook interdisait expressément aux applications tierces de vendre les données des utilisateurs obtenues par l’intermédiaire de la plateforme.

En 2014, le réseau social a modifié ses politiques pour restreindre la collecte de données uniquement aux personnes ayant installé l’application, et exclure leurs amis, sous réserve d’exceptions limitées. Facebook exigeait que les applications ne collectent que les données strictement nécessaires à leur bon fonctionnement. De plus, elles ne pouvaient utiliser les données des amis de leurs utilisateurs que pour améliorer l’expérience utilisateur. Toutefois, la plateforme a accordé un délai de grâce d’un an aux applications existantes avant d’appliquer ces changements.

TYDL était l’une de ces applications tierces, lancée en 2013. Des utilisateurs de Facebook s’inscrivaient à TYDL – qui se présentait comme une application de questionnaires de personnalité – et acceptaient sa politique de confidentialité. En violation des politiques de Facebook, cette application tierce a téléchargé toutes les données de ses utilisateurs et de leurs amis Facebook et les a vendues à Cambridge Analytica, qui les a ensuite exploitées pour créer des publicités politiques partisanes. Après que Facebook a imposé ses changements de politique en 2014, TYDL a demandé un accès élargi aux renseignements des utilisateurs. Facebook le lui a refusé, mais a pris peu d’autres mesures.

Le Commissariat à la protection de la vie privée a fini par recevoir des plaintes à ce sujet et a lancé une enquête sur la conformité de Facebook à la LPRPDE. Il a conclu que l’entreprise avait enfreint la LPRPDE à deux égards puisqu’elle : 1) n’avait pas obtenu le consentement valable des utilisateurs de TYDL (ni de leurs amis) pour la divulgation de leurs renseignements à des applications tierces et 2) ne disposait pas de mesures de sécurité adéquates pour veiller à la confidentialité des données. À la suite de cette enquête, le Commissariat a entamé en 2020 une procédure devant la Cour fédérale.

Décision du tribunal inférieur : La Cour fédérale estime que le Commissariat n’a pas réussi à prouver le bien-fondé de la cause

Avant que la Cour d’appel fédérale ne casse la décision de la Cour fédérale, cette dernière avait initialement rejeté la demande du Commissariat : Canada (Commissaire à la protection de la vie privée) c. Facebook, Inc., 2023 CF 533. La Cour fédérale avait statué en faveur de Facebook au motif que le commissaire ne s’était pas acquitté du fardeau de la preuve sur les deux critères.

Pour parvenir à sa conclusion sur le consentement valable, la Cour fédérale s’est appuyée sur le fait que le commissaire ne s’est pas prévalu de ses larges pouvoirs pour contraindre Facebook à produire des éléments de preuve. Elle a noté que le commissaire n’avait pas exigé de preuves de la part de Facebook, qu’il n’avait pas fourni de preuves d’expert sur ce que Facebook aurait pu faire différemment ni aucune preuve subjective des utilisateurs de Facebook quant à leurs attentes de confidentialité. La Cour fédérale a indiqué qu’en l’absence de ces preuves, les affirmations du commissaire n’étaient que des spéculations et des déductions.

En arrivant à sa conclusion sur les mesures de protection, la Cour fédérale a estimé qu’une atteinte à la protection des données (dans le cas présent, la collecte et l’utilisation non autorisées de renseignements personnels par des applications tierces) n’équivaut pas à des mesures de protection inadéquates. En outre, la Cour fédérale a déclaré que l’obligation de Facebook de protéger les données s’arrêtait au moment de leur transmission aux applications tierces. Enfin, même si des obligations de protection subsistaient après la divulgation à des tiers, la Cour fédérale a estimé que le commissaire, faute de preuves subjectives et d’experts, ne pouvait pas prouver que les mesures de protection de Facebook étaient inadéquates.

Appel : La Cour d’appel fédérale casse la décision de la Cour fédérale et conclut à une violation de la LPRPDE

La Cour d’appel fédérale a annulé la décision de la Cour fédérale, concluant que Facebook avait effectivement enfreint la LPRPDE en n’obtenant pas le consentement valable de ses utilisateurs pour recueillir, utiliser ou divulguer leurs renseignements et en ne protégeant pas suffisamment les renseignements recueillis.

A. L’analyse du consentement valable

i) Le consentement valable de l’utilisateur raisonnable des médias sociaux est évalué selon une norme objective.

Comme toutes les lois canadiennes sur la protection des renseignements personnels dans le secteur privé, la LPRPDE exige que toute personne soit informée de la collecte, de l’utilisation et de la communication de ses renseignements personnels, et y consente au préalable. Le consentement n’est valable que si une personne raisonnable est en mesure de comprendre la nature, l’objet et les conséquences de l’utilisation ou de la communication de ce type de renseignements. Une fois qu’une organisation a recueilli des données personnelles, elle doit les protéger en mettant en œuvre des mesures de sécurité appropriées.

La Cour d’appel fédérale a statué que la LPRPDE, aux articles 3, 4.3 et 6.1, impose un critère objectif pour déterminer la validité d’un consentement. La Cour s’est donc demandé si une personne raisonnable comprendrait ce à quoi elle consent (c’est-à-dire les conditions d’utilisation ou de communications des renseignements la concernant).

Pour ce qui est de l’obligation d’obtenir un consentement valable, la Cour a estimé que la LPRPDE imposait deux critères distincts pour évaluer le caractère raisonnable :

1. Une organisation doit faire des efforts raisonnables pour obtenir un consentement valable;
2. Une personne raisonnable doit être en mesure de comprendre comment les renseignements qui la concernent peuvent être utilisés par l’organisation.

La Cour a estimé que si le deuxième critère n’était pas respecté, le premier ne pourrait jamais l’être. Elle a aussi expliqué que [TRADUCTION] « si une personne raisonnable ne comprend pas ce à quoi elle consent, aucun effort raisonnable de la part d’une entreprise ne peut changer cette conclusion ». En l’espèce, la Cour s’est contentée d’examiner le deuxième critère.

ii) Les preuves subjectives ne sont pas pertinentes pour évaluer la validité du consentement.

La Cour d’appel fédérale a estimé que la Cour fédérale avait commis une erreur en considérant les preuves subjectives comme essentielles pour déterminer si un utilisateur avait donné un consentement valable. Pour que le consentement soit considéré comme valable, il doit être examiné du point de vue de la personne raisonnable, un « modèle abstrait défini par l’autorité judiciaire ». La Cour a rappelé que la personne raisonnable n’existe pas; ce concept représente un observateur extérieur, détaché et bien informé, qui examine la situation dans son ensemble. Les preuves subjectives – telles que des témoignages d’utilisateurs qui pensaient avoir donné un consentement valable – ne sont pas pertinentes pour déterminer les attentes de la personne raisonnable.

iii) Les témoignages d’experts ne sont pas non plus pertinents pour déterminer la validité du consentement.

Les tribunaux entendent parfois des témoignages d’experts lorsqu’ils dressent le profil de la personne raisonnable. Par exemple, le témoignage d’un médecin spécialiste peut s’avérer nécessaire pour éclairer le tribunal sur la conduite qu’un médecin raisonnable aurait adoptée dans des circonstances similaires, étant donné la complexité des questions médicales. Dans le cas présent, toutefois, étant donné que la personne raisonnable est un utilisateur de médias sociaux – représentant une large portion de la société –, les avis d’experts ne sont d’aucune aide. Un utilisateur n’est pas nécessairement un « expert » du réseau social.

Dans ces circonstances, les preuves d’experts et les preuves subjectives n’auraient pas dû être exigées. La Cour d’appel fédérale a jugé que la Cour fédérale avait eu tort de les exiger du commissaire pour démontrer que le consentement valable n’avait pas été obtenu.

iv) Énoncé d’objet : une organisation n’a pas de « droit » d’accès aux données.

Les tribunaux canadiens, y compris la Cour d’appel fédérale¹, se sont à maintes reprises appuyés sur cette clause de la LPRPDE (art. 3) pour rappeler que cette loi vise à concilier deux intérêts concurrents, mais d’importance quasi égale : le droit des gens à la protection de leur vie privée et la nécessité pour les organisations de collecter, d’utiliser et de communiquer des renseignements personnels.

En l’espèce, la Cour d’appel fédérale s’est écartée de cette jurisprudence et a recadré l’interprétation souvent citée de l’énoncé d’objet. L’équilibre approprié dans l’analyse du consentement valable se situe entre le droit à la vie privée d’une personne et le besoin d’information d’une organisation.

Cette affirmation claire de primauté du droit à la vie privée sur les simples besoins des entreprises va dans le même sens que la position actuelle du Commissaire à la protection de la vie privée, qui considère la vie privée comme un droit fondamental.² Cette tendance est également reflétée dans le projet de loi C-27 sur la Loi sur la protection de la vie privée des consommateurs, qui propose d’inscrire formellement la vie privée comme un droit fondamental dans la législation fédérale.³

Cette clarification de la Cour revêt une importance particulière; dans le contexte parfois flou du droit de la protection de la vie privée, elle devrait constituer un point de repère essentiel pour les organisations.

B. Aucun consentement valable obtenu

i) La Cour fédérale a commis des erreurs importantes qui ont teinté son analyse.

Avant de se pencher elle-même sur la validité du consentement, la Cour d’appel fédérale a conclu que la Cour fédérale avait commis des erreurs importantes, notamment en fondant sa décision sur l’absence perçue de preuves d’experts et de preuves subjectives. La Cour d’appel a précisé que la preuve pertinente provenait des facteurs connexes, y compris les conditions d’utilisation et les politiques de confidentialité et les faits entourant la divulgation de données. Elle a estimé que ces éléments de preuve étaient suffisants pour examiner correctement la question du consentement valable de manière objective.

Par ailleurs, la Cour fédérale n’a pas examiné séparément les deux groupes concernés : les utilisateurs de Facebook ayant installé TYDL et les amis Facebook de ceux-ci. Étant donné que ce qui constitue un consentement valable change en fonction des circonstances, la Cour d’appel fédérale a estimé que les circonstances de l’espèce exigeaient que la Cour fédérale examine séparément chacun de ces deux groupes.

ii) Aucun consentement valable obtenu de la part des amis des utilisateurs de TYDL

La Cour d’appel fédérale a estimé que les amis Facebook n’avaient pas donné de consentement, encore moins de consentement valable, étant donné qu’ils n’ont jamais pris connaissance de la politique de confidentialité de TYDL. Bien que les amis aient consenti aux conditions d’utilisation et à la politique de confidentialité de Facebook, qui stipule que Facebook peut partager leurs renseignements avec des applications tierces, la Cour a estimé que cette politique était trop large et trop vague et qu’elle n’envisageait pas la possibilité d’une collecte massive de données, telle que celle effectuée par TYDL.

iii) Aucun consentement valable obtenu de la part des utilisateurs de TYDL

Tout d’abord, la Cour d’appel fédérale a estimé que les conditions d’utilisation et la politique de confidentialité de Facebook ne suffisaient pas à obtenir un consentement valable. Voici les quatre motifs invoqués :

1. La Cour a estimé que les conditions d’utilisation et la politique de confidentialité étaient trop longues. La clarté apparente d’un document peut être compromise par sa longueur excessive et l’emploi d’un langage technique.
2. La Cour a rappelé des propos hors cour faits devant le Sénat américain, selon lesquels vraisemblablement peu d’utilisateurs lisaient ces politiques.
3. Pour consulter la politique de confidentialité en question, il fallait cliquer sur un lien hypertexte dans les conditions d’utilisation, déjà peu consultées; il était donc encore moins probable que les utilisateurs en prennent connaissance.
4. Ces politiques étaient des contrats d’adhésion, ce qui signifie que les utilisateurs n’avaient pas la possibilité d’en négocier les modalités. La Cour a qualifié ces contrats de « choix par défaut », soulignant qu’ils ne permettent pas aux utilisateurs d’exercer un choix actif et éclairé, indispensable à un consentement valable.

Sur la base de cette conclusion, la Cour a énoncé les facteurs pertinents suivants pour déterminer la validité du consentement en vertu de la LPRPDE :

1. la démographie des utilisateurs,
2. la nature des renseignements,
3. la manière dont l’utilisateur et le détenteur des renseignements interagissent,
4. si le contrat en question est un contrat d’adhésion,
5. la clarté et la durée du contrat,
6. les modalités du contrat,
7. la nature des paramètres de confidentialité par défaut,
8. la doctrine de l’iniquité,
9. l’inégalité du pouvoir de négociation entre les parties.

C. Les renseignements des utilisateurs n’ont pas été correctement protégés

La Cour d’appel fédérale a conclu à la violation de l’exigence de protection prévue à l’article 4.7 de la LPRPDE. La Cour d’appel a insisté sur le fait que, même si une organisation pouvait être victime d’une atteinte à la protection des données malgré le respect de ses obligations, en l’espèce, la divulgation non autorisée des renseignements personnels était attribuable aux choix de l’organisation concernant sa politique et la conception de sa plateforme.

La conclusion selon laquelle le principe de protection des renseignements a été enfreint par le défaut de surveiller et d’appliquer de manière adéquate les mesures de confidentialité des applications tierces pourrait avoir des répercussions importantes pour les organisations qui intègrent des services de tiers dans leurs activités. Par exemple, la loi 25 au Québec a conduit plusieurs organisations à mettre en place des bannières de témoins sur leurs sites Web, dont beaucoup renvoient aux politiques de confidentialité de fournisseurs tiers (p. ex., Adobe Analytics, Google Analytics, etc.). Doit-on comprendre que les tribunaux attendent des organisations qu’elles consacrent des ressources pour s’assurer que ces tiers respectent leurs propres engagements en matière de protection de la vie privée? Nous pensons que les médias sociaux présentent des caractéristiques uniques qui les distinguent des autres secteurs d’activité.

Points à retenir

Au-delà des spécificités des réseaux sociaux, cette décision comporte des leçons importantes pour toute organisation assujettie à la législation canadienne sur la protection de la vie privée dans le secteur privé

• Le droit à la vie privée est un droit fondamental qui prévaut sur l’intérêt des entreprises à collecter et à traiter des données personnelles. Recadrant l’objectif de la LPRPDE, cette décision aura des répercussions importantes sur la façon dont les zones grises de la loi seront appréhendées à l’avenir.
• Les preuves subjectives et les témoignages d’experts ne sont pas pertinents pour déterminer si une organisation a obtenu un consentement valable. Le consentement valable doit être examiné du point de vue d’une personne raisonnable.
• Pour obtenir un consentement valable, il faut formuler sa demande de manière assez claire et concise pour qu’une personne raisonnable la comprenne. Cette approche est conforme aux lignes directrices « Consentement : critères de validité » publiées en 2023 par la Commission d’accès à l’information du Québec, qui exigent qu’une demande de consentement soit « compréhensible » pour le public visé.
• La décision remet en question l’efficacité des politiques de confidentialité comme fondement d’un consentement valable. Il s’agit d’une reconnaissance judiciaire de la réalité des internautes. Les internautes ne vont pas s’attarder à lire un roman pour consulter un site ou s’inscrire à un service. Les organisations doivent en tenir compte dans leurs pratiques et trouver des moyens de présenter d’emblée les points essentiels de leurs politiques de confidentialité de façon claire, concise et accessible.
• Une politique de confidentialité est-elle vraiment un contrat d’adhésion, comme le suggère la Cour d’appel fédérale? Il ne faut pas tirer de conclusions hâtives. Par exemple, si la législation canadienne sur la protection des consommateurs s’étendait aux politiques de confidentialité, cela pourrait avoir une profonde incidence sur la façon dont elles peuvent être façonnées par les organisations.
• Les organisations autorisant la collecte de données personnelles par des tiers sur leurs plateformes numériques doivent s’assurer, par des mesures de sécurité appropriées, du respect de leurs engagements en matière de protection de la vie privée.