Les risques liés au moissonnage du Web en Amérique du Nord : développements en réglementation et en litige

Vue d’ensemble

• Plus tôt cette année, des organismes de protection de la vie privée du Canada ont jugé que Clearview avait enfreint les lois sur la protection des renseignements personnels fédérale et provinciales en prélevant des images de personnes et en vendant des services de reconnaissance faciale à des organismes d’application de la loi. Des recours parallèles contre Clearview sont en cours au Canada et aux États-Unis.
• Pour la première fois, un tribunal canadien a octroyé des dommages-intérêts dans le cadre d’un recours collectif en protection de la vie privée concernant le moissonnage de données à partir de profils Instagram publics.
• Les tribunaux canadiens et américains commencent à rendre des jugements dans le cadre de recours fondés sur le droit contractuel et le droit d’auteur concernant l’utilisation de données prélevées par moissonnage sur des sites Web tiers, particulièrement entre des concurrents du secteur.
• Bien que le risque financier puisse être atténué au moyen d’indemnités contractuelles appropriées, les entreprises qui utilisent des données prélevées par moissonnage ne sont pas à l’abri des conséquences opérationnelles, réputationnelles et réglementaires, même si elles n’ont pas effectué la collecte de données initiale.

Qu’est-ce que le moissonnage du Web?

Le moissonnage du Web peut être effectué de diverses manières et à différentes échelles. Dans la plupart des cas, des logiciels sont utilisés pour accéder aux données pertinentes sur des sites Web ou des applications mobiles, les regrouper et les prélever de façon automatique. Les renseignements prélevés peuvent être facilement accessibles (p. ex. au moyen de moteurs de recherche) ou nécessiter un accès par l’intermédiaire d’un site Web en particulier. Dans certains cas, pour accéder à un site Web il faut d’abord en accepter les conditions d’utilisation.

Contexte : Clearview AI et les conclusions des organismes de protection de la vie privée

Clearview AI est une société américaine qui développe et vend des logiciels de reconnaissance faciale. Clearview utilisait le moissonnage du Web pour prélever des images de visages à partir de sources en ligne accessibles au public (tels que les médias sociaux) et conservait ces renseignements, ainsi que des mégadonnées et ses propres identifiants biométriques, dans une base de données. Les organismes d’application de la loi pouvaient utiliser les services de Clearview en téléchargeant l’image d’une personne et en obtenant une liste de résultats contenant toutes les images et mégadonnées correspondantes. Si un utilisateur clique sur l’un de ces résultats, il est redirigé vers la page source de l’image. Clearview a ainsi constitué une base de données de plus de trois milliards d’images de visages et d’identificateurs biométriques correspondants, y compris ceux d’un grand nombre de personnes au Canada, incluant des enfants.

Le 2 février 2021, le Commissariat à la protection de la vie privée du Canada (CPVP) et les commissariats à la protection de la vie privée provinciaux de l’Alberta, de la Colombie-Britannique et du Québec (collectivement, les Organismes de réglementation) ont publié leurs conclusions concernant la collecte, l’utilisation et la communication de renseignements personnels par Clearview au moyen de son dispositif de reconnaissance faciale. Les Organismes de réglementation ont jugé que Clearview a violé les lois fédérale et provinciales sur la protection des renseignements personnels, concluant que :

• Clearview a prélevé de façon massive et systématique des images de millions de personnes partout au Canada, y compris des enfants, parmi plus de 3 milliards d’images qui ont été prélevées dans le monde entier;
• Clearview a recueilli des renseignements biométriques extrêmement sensibles des Canadiens sans que ces derniers sachent que l’on recueille leur information ni qu’ils y consentent (et sans aucune exception applicable);
• La collecte, l’utilisation et la communication de renseignements personnels par Clearview était déraisonnable et « représente l’identification et la surveillance de masse de personnes par une entité privée dans le cadre d’une activité commerciale ».

Les Organismes de réglementation ont rejeté l’affirmation de Clearview selon laquelle, puisque les images dans sa base de données avaient été prélevées à partir de sources accessibles au public, Clearview n’avait pas besoin d’obtenir de consentement pour la collecte, l’utilisation et la communication de ces renseignements personnels. Les Organismes de réglementation ont aussi souligné que, même s’ils n’ont pas reçu de preuves directes à cet égard, s’il avait été prouvé que Clearview avait enfreint les conditions de service de certains sites Web, cela aurait également permis de conclure que ses actions étaient déraisonnables.

Le 14 décembre 2021, les commissariats à la protection de la vie privée provinciaux de l’Alberta, de la Colombie-Britannique et du Québec ont ordonné à Clearview de se conformer aux recommandations de cesser de recueillir et de communiquer des images, lesquelles avaient été formulées à l’issue de leur enquête conjointe avec le CPVP.

Actions judiciaires additionnelles

En plus de cette enquête, Clearview ainsi que les organismes qui avaient utilisé ses services ont été visés par des poursuites liées au moissonnage du Web et au dispositif de reconnaissance faciale de Clearview, notamment :

• une enquête parallèle menée par le CPVP concluant que la GRC a enfreint la Loi sur la protection des renseignements personnels en utilisant les services de Clearview;
• un recours collectif proposé intenté contre Clearview au Canada;
• une poursuite intentée par le procureur général du Vermont en vertu de la loi sur la protection des consommateurs de l’État;
• un recours collectif en cours en Illinois intenté contre Clearview en vertu de la Biometric Information Privacy Act de cet État;
• L’organisme chargé de la protection des données de la Suède a conclu que l’autorité policière du pays avait illégalement traité des données personnelles en utilisant les services de Clearview;
• En novembre 2021, le Commissariat à l’information du Royaume-Uni a annoncé son intention provisoire d’imposer une amende potentielle d’un peu plus de 17 millions de livres sterling à Clearview. Le Commissariat a également délivré un avis provisoire ordonnant à Clearview de cesser tout traitement supplémentaire des données qu’elle détenait sur des personnes au R.-U. et de les supprimer, à la suite d’allégations de violations sérieuses des lois britanniques sur la protection des données¹.

Risques liés au moissonnage du Web    

Les entreprises qui songent à utiliser des données générées au moyen du moissonnage du Web devraient connaître les divers risques juridiques liés à cette technologie, y compris dans le cas où la collecte de données est effectuée par un fournisseur. Les risques juridiques découlent de deux caractéristiques répandues des programmes de moissonnage du Web. La première est la nature aveugle du moissonnage du Web. Les outils de moissonnage du Web extraient des renseignements sur Internet sans faire de distinction entre l’autorité compétente, le contenu de l’information, les protections juridiques applicables et les conditions d’utilisation des sites Web.

Le second facteur de risque est le fait que moissonnage du Web se fait à une très grande échelle. L’utilité de cette technique est proportionnelle à la quantité de renseignements extraits de l’Internet, mais chaque site Web visité augmente les risques en matière de protection des renseignements personnels, de droit contractuel et de droit d’auteur, et réduit la capacité de l’entreprise qui effectue le moissonnage de retrouver la source des données extraites. L’organisation qui utilise ces données s’expose donc à des risques réputationnels, réglementaires et juridiques accrus.

Risques liés à la protection de la vie privée

Les lois canadiennes sur la protection des renseignements personnels applicables au secteur privé exigent que les entreprises qui recueillent des renseignements personnels obtiennent le consentement des personnes concernées. Le moissonnage du Web est souvent une activité risquée car elle peut être menée sans consentement. L’organisation qui utilise ou communique des données personnelles ainsi obtenues peut engager sa responsabilité pour ne pas avoir obtenu de consentement. En outre, la collecte de renseignements personnels à grande échelle peut amener les organismes de protection de la vie privée à douter du caractère raisonnable de l’activité (une exigence légale), puisque l’organisation doit être capable de démontrer que les données personnelles sont nécessaires pour atteindre un objectif d’affaires légitime.

L’envergure et la nature automatique du moissonnage du Web peuvent aussi exposer les organisations à des risques accrus de recours collectif et de procédures réglementaires dans plusieurs territoires, même si l’organisation n’y exerce pas d’activités. Cela a été le cas dans l’affaire Clearview, où les organismes de protection de la vie privée canadiens ont déterminé que Clearview est assujettie aux lois canadiennes sur la protection des renseignements personnels, même si son siège social se trouve aux États-Unis. Les entreprises qui utilisent des données prélevées par moissonnage doivent évaluer les risques liés à la protection de la vie privée des divers pays où résident les personnes auxquelles ces données appartiennent, ainsi que les emplacements des sites Web sources et les règles énoncées dans les conditions d’utilisation de ces sites Web.

Notons également que les renseignements personnels publiés sur des sites Web accessibles au public sont souvent considérés comme des renseignements personnels en vertu des lois sur la protection des renseignements personnels. Même si on est tenté de penser qu’il s’agit de renseignements publics, l’exception prévue par la LPRPD (ainsi que le défunt projet de loi C-11) concernant les renseignements « auxquels le public a accès » est restreinte et n’inclut pas les renseignements accessibles au public sur Internet. En effet, les organismes de protection de la vie privée ont rejeté l’argument de Clearview selon lequel les renseignements qu’elle recueillait étaient accessibles au public.

Un tribunal de la Colombie-Britannique a récemment octroyé des dommages-intérêts en responsabilité de 10 $ par personne à un groupe d’utilisateurs d’Instagram canadiens dont les renseignements avaient été prélevés à partir de leurs profils publics par une société tierce à des fins de marketing. Compte tenu de la taille du groupe, les dommages-intérêts octroyés représentent un montant total de près de 25 millions de dollars, même s’il n’a pas été prouvé que les utilisateurs avaient subi un préjudice dépassant la simple violation de leurs droits de contrôler l’utilisation de leurs renseignements personnels².

Même si les organisations qui utilisent le moissonnage du Web ne prélèvent pas de renseignements personnels, elles risquent quand même d’enfreindre des clauses contractuelles ou le droit d’auteur.

Risques contractuels

En règle générale, les sites Web contiennent des conditions d’utilisation. Lorsqu’un utilisateur accède au site Web, il est considéré comme ayant accepté les conditions d’utilisation. Souvent, les conditions des sites Web interdisent expressément le moissonnage ou d’autres activités qu’un programme de moissonnage du Web pourrait effectuer. L’utilisation d’un outil de moissonnage du Web pourrait contrevenir à ces conditions et exposer l’utilisateur à une poursuite en violation de contrat. Les conditions d’utilisation peuvent aussi être défavorables à l’utilisateur. 

Le droit en matière de recours contractuels liés au moissonnage du Web se développe plus rapidement aux États-Unis qu’au Canada, même s’il n’a pas encore été établi. En septembre 2020, la cour d’appel des États-Unis pour le neuvième circuit (Court of Appeals for the Ninth Circuit) a maintenu la décision d’un tribunal inférieur d’accorder une injonction provisoire à HiQ Labs, un agrégateur de contenu, interdisant à LinkedIn de refuser l’accès de HiQ aux profils publics de ses utilisateurs dans l’affaire HiQ v. LinkedIn. Bien que le contrat d’utilisation de LinkedIn interdise le moissonnage du Web ou la reproduction des profils publics des utilisateurs, dans sa décision le tribunal a souligné que HiQ n’était plus liée par le contrat d’utilisation, puisque LinkedIn avait révoqué son statut d’utilisateur. L’une des questions en litige était de savoir si HiQ avait enfreint la Computer Fraud and Abuse Act (CFAA) en utilisant de robots informatiques pour prélever de l’information à partir des profils LinkedIn. La Cour d’appel a jugé que la CFAA n’interdisait pas le moissonnage du Web. LinkedIn a par la suite déposé une requête visant à obtenir un bref de certiorari auprès de la Cour suprême des États-Unis et celui-ci lui a été accordé. Le jugement de la Cour d’appel a été infirmé et l’affaire a été renvoyée pour réexamen à la lumière de la décision de la Cour suprême dans l’affaire Van Buren v. United States. Dans cette affaire, la Cour suprême n’avait pas tranché la question de savoir si la CFAA interdit l’accès non autorisé seulement en fonction d’une évaluation des restrictions technologiques ou en tenant également compte des limites énoncées dans les contrats ou les politiques.

Risques liés au droit d’auteur

Le moissonnage du Web peut également contrevenir au droit d’auteur. Ainsi, dans l’affaire Trader v. CarGurus³, la Cour supérieure de justice de l’Ontario a jugé que la défenderesse avait enfreint le droit d’auteur de la plaignante en utilisant le moissonnage du Web. La défenderesse faisait de l’agrégation de données à partir de sites Web de concessionnaires automobiles. Elle ignorait que parmi les images des voitures mises en vente se trouvaient des images prélevées sur le site Web de son concurrent. Étant donné que ces images avaient été prises par le photographe du concurrent, elles étaient protégées par le droit d’auteur. Le tribunal a donc déterminé que la défenderesse avait enfreint le droit d’auteur de son concurrent en prélevant les images et en les publiant sur son propre site Web.

Les affaires de moissonnage du Web aux États-Unis concernent principalement deux lois américaines : la Copyright Act of 1976 et la Digital Millennium Copyright Act of 1998. Il est à noter que le moissonnage du Web n’implique pas automatiquement la violation du droit d’auteur. Cela dépend principalement de la source des données : par exemple, les données extraites à partir de sites Web hébergeant du contenu généré par les utilisateurs (tels que des sites Web de médias sociaux) risquent moins de faire l’objet de recours en violation du droit d’auteur par le propriétaire du site Web.

Répercussions sur les entreprises et points à retenir

Les entreprises devraient évaluer attentivement les risques liés au moissonnage du Web, peu importe que cette technique soit utilisée à l’interne ou par un fournisseur.

Les entreprises devraient :

• adapter la collecte de données pour réduire les risques, par exemple en ciblant des sites précis qui contiennent les renseignements recherchés et qui relèvent des autorités appropriées;
• éliminer ou réduire la possibilité de prélever des renseignements à risque élevé tels que des renseignements personnels ou des renseignements personnels assujettis au droit d’auteur;
• examiner les conditions d’utilisation des sites Web pour déterminer si le moissonnage du Web est autorisé et négocier des ententes de partage de données avec les propriétaires des sites Web;
• examiner la possibilité que les propriétaires des sites Web s’opposent au moissonnage du Web et les recours auxquels ils pourraient avoir droit, le cas échéant;
• obtenir la confirmation de l’agrégateur de contenu ou du site Web source que la collecte de données est autorisée en vertu des lois applicables et demander une indemnité pour les allégations de collecte non autorisée.