La Cour d’appel fédérale infirme la décision de la Cour fédérale et conclut au non-respect de la loi sur la protection des renseignements personnels par Facebook

Dans l’arrêt Commissaire à la protection de la vie privée c. Facebook Inc.¹, la Cour d’appel fédérale a infirmé une décision de la Cour fédérale de 2023, estimant que Facebook a enfreint la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), car elle n’avait pas obtenu le consentement valable des utilisateurs avant de communiquer leurs données à des tiers et n’avait pas protégé suffisamment les données avant leur communication.

Ce que vous devez savoir

• La Cour d’appel fédérale a souligné qu’un consentement valable en vertu de la LPRPDE repose sur le point de vue du consommateur raisonnable qui utilise le produit ou le service.
• Même si le contrat conclu par le consommateur prévoit son consentement aux pratiques en matière de données, la Cour suggère que le seul fait de consentir à une politique de confidentialité pourrait être insuffisant pour établir un « consentement valable » en vertu de la LPRPDE.
• Les intermédiaires qui communiquent des données à des tiers pourraient devoir prendre des mesures de protection à leur égard et confirmer la validité des consentements obtenus par les tiers, conformément aux attentes raisonnables de leurs clients. Par ailleurs, le gouvernement et les organismes de réglementation devront intégrer ces obligations au nouveau cadre sur le système bancaire ouvert, puisque les institutions financières n’auront aucun contrôle sur les destinataires des transferts de données ni sur les consentements.
• En raison de l’évolution constante de la technologie et des attentes en matière de vie privée, les entreprises auraient intérêt à tenir compte de la législation applicable et des directives réglementaires lorsqu’elles évaluent les risques liés à la transmission de données.

La décision

Contexte

L’affaire remonte à une enquête du Commissariat à la protection de la vie privée du Canada (CPVP) sur les pratiques de Facebook en matière de communication de données aux applications tierces. En 2007, Facebook a lancé l’outil « Platform », qui permettait aux tiers de créer des applications destinées aux utilisateurs de Facebook. La société a également permis aux tiers de recevoir les données des utilisateurs. Les premières versions de cette interface permettaient aux utilisateurs de consentir à la communication de leurs données et de celles de leurs amis sur Facebook.

Le CPVP a enquêté sur un incident concernant une application tierce appelée « thisisyourdigitallife » (TYDL). Se présentant sous forme de test de personnalité, l’application recueillait les données des utilisateurs et de leurs amis et les vendait à Cambridge Analytica. En 2019, le CPVP a conclu que Facebook a enfreint la LPRPDE, car elle n’avait pas obtenu de consentement valable à cet égard et n’avait pas suffisamment protégé les données recueillies.

À la suite de son enquête, le CPVP a intenté un recours devant la Cour fédérale. La Cour a rejeté la demande, invoquant l’absence de preuves suffisantes. Le CPVP a fait appel.

La Cour d’appel fédérale a infirmé la décision de la Cour fédérale, estimant que celle-ci avait commis une erreur dans son analyse juridique du consentement valable et de la protection des données. Elle a déclaré que les pratiques de Facebook étaient contraires à la LPRPDE et a ordonné aux parties de revenir devant la Cour dans un délai de 90 jours pour déterminer les mesures correctives appropriées.

Consentement valable

La Cour a examiné si Facebook avait obtenu un consentement valable des personnes qui utilisaient les applications tierces et de leurs amis. Elle a conclu que ce dernier groupe n’avait pas eu la possibilité de donner son consentement à la communication des données, car les politiques de confidentialité des tiers ne lui avaient pas été présentées au préalable. Même si la possibilité que les données des utilisateurs soient transmises à des tiers était mentionnée dans la Politique de confidentialité de Facebook, la Cour a estimé que cette politique était trop générale et ne fournissait que des exemples « banals » de ces pratiques². Par conséquent, Facebook ne pouvait pas s’appuyer sur ces dispositions pour prouver l’obtention d’un consentement valable.

En ce qui concerne les personnes qui utilisaient les applications tierces, la Cour a examiné les Conditions de service et la Politique de confidentialité de Facebook pour déterminer si ces documents constituaient un consentement valable. Selon elle, on pourrait concevoir qu’en lisant ces documents, les utilisateurs avaient pris connaissance des risques et y avaient consenti. Toutefois, la longueur et la complexité des documents, associées au fait que les dispositions liées à la communication de données se trouvaient dans la Politique de confidentialité qui était intégrée par renvoi dans les Conditions de service et n’exigeait donc pas un consentement distinct, ne constituaient pas le « type de consentement actif, positif et ciblé » envisagé par la LPRPDE³.

Par ailleurs, la Cour a conclu que les clauses de la Politique de confidentialité autorisant la communication des données sans restriction à des tiers qui pourraient être des auteurs malveillants doivent faire l’objet d’un examen aussi serré que les contrats d’adhésion⁴. En effet, selon la Cour, la nature du contrat permet d’interpréter les dispositions pertinentes de manière à en limiter les effets⁵. La pertinence de cette interprétation stricte établie par la Cour pourrait être remise en question dans le cas d’une politique (et non d’un contrat) liée à un service qui est fourni gratuitement et où les données constituent la principale valeur.

Étonnamment, la Cour critique Facebook à la fois pour la longueur et l’inaccessibilité de sa Politique de confidentialité et pour le fait qu’elle n’a pas mentionné aux utilisateurs que les applications tierces pourraient être des auteurs malveillants qui ne respecteraient pas les politiques de Facebook et les lois sur la protection des renseignements personnels⁶. La Cour ne semble pas faire cas de la contradiction entre ces deux points. 

Rôle d’intermédiaire

Facebook n’a pas vendu elle-même les données des utilisateurs, mais a plutôt agi comme intermédiaire entre l’utilisateur et l’application tierce. Toutefois, selon la Cour, l’utilisateur raisonnable s’attendrait à ce que Facebook ait mis en place des « mesures préventives solides » pour protéger ses données.

En ce qui concerne la mesure dans laquelle Facebook pouvait se fier aux tiers pour obtenir un consentement, la Cour a déclaré que les organisations doivent prendre des mesures raisonnables pour s’assurer que le consentement obtenu par le tiers est valable.

En l’espèce, Facebook aurait dû avertir ses utilisateurs que les applications tierces pouvaient être des acteurs malveillants qui ignoreraient les politiques de confidentialité de Facebook et les lois en vigueur. Nous ne savons pas si cette conclusion s’applique uniquement à Facebook ou si elle pourrait constituer une exigence pour d’autres organisations.

Mesures de protection

La Cour a également jugé que Facebook avait enfreint la LPRPDE en ne protégeant pas suffisamment les données des utilisateurs. Les applications tierces devaient signer une Politique de la plateforme et des Conditions de service pour avoir accès à la plateforme de Facebook et aux données des utilisateurs. Facebook leur demandait aussi de se doter d’une politique de confidentialité et de ne pas vendre ou acheter de données.

La conclusion de la Cour relativement à la protection des données repose sur les facteurs suivants : (i) Facebook n’avait pas examiné les politiques de confidentialité des tiers en se contentant de fournir aux utilisateurs des liens vers ces documents; (ii) Facebook n’est pas intervenue après des « signaux d’alarme », comme le fait que TYDL demande un accès continu aux données des utilisateurs dont elle n’avait pas besoin; (iii) lorsqu’elle a appris que TYDL vendait les données, Facebook n’a pas retiré l’application et n’en a pas informé les utilisateurs. 

Rôle du CPVP et des autres organismes de réglementation

Facebook a invoqué deux moyens de défense : l’erreur provoquée par une personne en autorité et la préclusion résultant d’une déclaration. En 2010, le CPVP avait formulé des recommandations à Facebook concernant ses pratiques en matière de consentement et Facebook s’y était conformée. Le CPVP a envoyé une lettre indiquant qu’il était satisfait de la conduite de Facebook et a incité la société à continuer à poursuivre ses efforts. Selon Facebook, on ne peut conclure qu’elle a enfreint la LPRPDE, puisqu’elle a respecté les recommandations du CPVP.

La Cour a rejeté ces deux moyens de défense, en soulignant la complexité de la relation entre le CPVP et les entreprises assujetties à la LPRPDE. Elle a mis en garde les agences publiques comme le CPVP contre des déclarations « générales et sans réserve » dans un contexte où la relation entre la technologie et la vie privée évolue rapidement. En l’espèce, étant donné que les instances visées par la LPRPDE sont des instances de novo, le rapport du CPVP ne fait l’objet d’aucune retenue judiciaire. Ce qui compte, c’est le respect de la LPRPDE et non des recommandations du CPVP.

Répercussions pour les entreprises

Interprétation stricte du consentement valable

La Cour a rappelé que le consentement en vertu de la LPRPDE n’est pas un consentement purement contractuel. Le fait que la personne signe le contrat ne constitue pas un consentement valable en lui-même – il faut tenir compte du contexte et du point de vue de la « personne raisonnable » qui donne son consentement.

De même, l’acceptation d’une politique de confidentialité pourrait ne pas suffire à constituer un consentement valable en vertu des lois applicables. Selon la situation, il pourrait être nécessaire d’attirer l’attention de la personne sur certains éléments (par exemple en mettant en évidence certaines clauses lors de l’obtention initiale du consentement ou en faisant des demandes de consentement ponctuelles plus tard).

Le fait que la Cour ait critiqué la complexité des politiques de confidentialité reflète une tendance plus large en faveur de l’utilisation d’un langage accessible pour obtenir le consentement (que ce soit dans une politique ou ailleurs). Toutefois, il ne faut pas pour autant omettre de décrire en détail des pratiques particulièrement sensibles.

Pour éviter que les politiques de confidentialité soient interprétées à la lumière du droit de la protection du consommateur, celles-ci devraient être présentées comme des guides sur les pratiques et la manière d’exercer des choix et des droits, plutôt que comme un contrat de consommation.

Obligations des intermédiaires

Cette affaire suggère que les intermédiaires – en l’occurrence, les plateformes qui permettent à des tiers de recueillir des renseignements personnels et de les communiquer à des quatrièmes parties – doivent jouer un rôle actif dans la protection des renseignements personnels. Ainsi, selon la Cour, les organisations doivent :

• confirmer la suffisance du consentement obtenu par les tiers auxquels elles transmettent des renseignements personnels;
• faire preuve de diligence lors de la communication de renseignements personnels à des tiers;
• informer les personnes des risques liés à la communication de renseignements personnels à des tiers.

Ces obligations pourraient s’appliquer particulièrement aux grandes plateformes numériques et aux entreprises du secteur de la publicité en ligne, alors que le secteur des soins de santé et de la technologie médicale sera moins touché, car les tiers y font généralement l’objet d’un contrôle rigoureux et le processus de transmission des données est plus transparent.

En ce qui concerne le secteur des services financiers au Canada, le gouvernement et les organismes de réglementation devront tenir compte de ce jugement lors de la conception et de la mise en œuvre du nouveau système bancaire ouvert (« les finances axées sur les clients »). Le cadre devrait répondre aux préoccupations de la Cour concernant la suffisance du consentement, le respect des obligations par les tiers et la transparence envers les consommateurs, puisque les institutions financières qui transmettent les données ne pourront pas y voir elles-mêmes.