Photo by Con Karampelas on Unsplash

Le Commissaire lance la pierre à Facebook : l’action en Cour fédérale suivra

L’affaire Cambridge Analytica continue de faire mal à Facebook. Cette semaine, la société avertissait ses investisseurs qu’elle mettait de trois à cinq milliards de dollars de côté en prévision de l’amende qu’elle s’attend à recevoir aux États-Unis, suite à son défaut de se conformer à une entente de 2011 visant à protéger les renseignements des Américains.

Bien que le montant puisse sembler important, rappelons que Facebook déclarait des revenus de plus de 50 milliards en 2018. L’ampleur de l’amende envisagée par le gouvernement américain s’avère donc toute relative…

Plus près de nous, le commissaire à la protection de la vie privée du Canada déclarait cette semaine que la société Facebook a complètement failli à ses obligations dans cette affaire. Le Commissariat publiait hier un communiqué intitulé Facebook refuse de remédier à des lacunes graves en matière de protection de la vie privée malgré s’être excusée publiquement d’avoir commis un «abus de confiance». Oui, vraiment! Ce rapport condamne publiquement la société Facebook pour une série de choses ayant en commun la totale réticence apparente de la société à réellement protéger l’information des Canadiens. Ce n’est pas moi qui le dis, c’est le fonctionnaire chargé de protéger nos données! Par exemple:

«Bien qu’elle ait publiquement reconnu avoir commis un « important abus de confiance » dans l’affaire Cambridge-Analytica, Facebook conteste les conclusions de l’enquête menée par le Commissariat à la protection de la vie privée du Canada et le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique. L’entreprise refuse aussi de mettre en place les recommandations pour remédier aux infractions commises. (…)

Le refus de Facebook d’assumer ses responsabilités en ce qui concerne la protection de la vie privée est très troublant compte tenu, entre autres, de la quantité de renseignements personnels sensibles que lui ont confiés ses utilisateurs », déclare le commissaire Therrien. « Le cadre de protection de la vie privée de l’entreprise était une coquille vide et ses politiques de confidentialité étaient vagues. Par conséquent, les usagers ne bénéficiaient pas d’une protection réelle de leur vie privée.»

Comme on s’en souviendra, l’application « This is Your Digital Life » distribuée par un partenaire de Facebook (et son utilisation par 300 000 usagers) avait ouvert une brèche quant aux renseignements personnels de plus de 50 millions de personnes, dont des centaines de milliers de Canadiens. Après de nombreuses plaintes à ce sujet, le Commissariat à la protection de la vie privée du Canada (le «Commissariat») avait ouvert une enquête dont il nous livrait récemment les résultats. Selon lui, les fautes de Facebook dans ce dossier comprennent :

Accès non autorisé

Le caractère superficiel et l’inefficacité des régimes de consentement et de protection de Facebook ont permis à une application tierce d’accéder sans autorisation aux renseignements personnels de millions d’utilisateurs. Certains de ces renseignements ont par la suite été utilisés à des fins politiques.

Absence de consentement valable pour les « amis des amis »

Facebook n’a pas obtenu le consentement valable des utilisateurs qui ont installé l’application et des « amis » de ces utilisateurs, dont les renseignements ont également été communiqués par l’entreprise.

Absence de mécanisme de surveillance des pratiques de protection de la vie privée des applications

Facebook n’a pas exercé une bonne surveillance des pratiques de protection de la vie privée des applications sur sa plateforme. Elle a compté sur des modalités contractuelles conclues avec les applications pour protéger les utilisateurs contre un accès non autorisé à leurs renseignements, mais son approche de surveillance de la conformité à ces modalités était complètement inadéquate.

Absence généralisée de responsabilité quant aux renseignements personnels

Un des principes de base des lois sur la protection des renseignements personnels est que les organisations sont responsables des renseignements personnels dont elles ont la garde. Facebook a plutôt tenté de transférer cette responsabilité aux applications sur sa plateforme ainsi qu’aux utilisateurs eux-mêmes.

Les lacunes relevées par l’enquête sont particulièrement préoccupantes compte tenu du fait qu’une enquête sur Facebook menée par le Commissariat en 2009 a également révélé que l’entreprise a contrevenu à la loi en demandant un consentement trop général et non éclairé en ce qui concerne la communication de renseignements personnels à des applications tierces, de même qu’en n’effectuant pas la surveillance requise pour assurer une protection contre l’accès non autorisé par ces applications.

Si Facebook avait mis en œuvre efficacement les recommandations découlant de l’enquête de 2009, les risques qu’une application tierce puisse avoir accès aux renseignements personnels des Canadiens et les utiliser auraient été évités ou considérablement atténués.

Le refus par Facebook de donner suite aux recommandations des commissaires signifie que les Canadiens risquent fort de voir leurs renseignements personnels utilisés à des fins auxquelles ils n’ont pas consenti et de subir un éventuel préjudice.

Compte tenu de l’ampleur et de la gravité des problèmes relevés, les commissaires ont voulu mettre en place des mesures pour garantir que l’entreprise respecte à l’avenir ses responsabilités et ses autres obligations en matière de protection de la vie privée.

Toutefois, Facebook a refusé de se soumettre volontairement à des audits de ses politiques de protection de la vie privée au cours des cinq prochaines années.

Le Commissaire s’offusque aussi du fait que l’organisation puisse «rejeter les conclusions juridiques du Commissariat comme si elles n’étaient que de simples opinions». Devant son impuissance face au géant qu’est devenu Facebook, le Commissaire répète pour la Xième fois que son organisme devrait détenir des pouvoirs passablement plus étendus, notamment celui de rendre des ordonnances. Ce n’est pas du tout le cas pour l’instant, faisant un peu de notre Commissariat ce que plusieurs décrivent comme un épouvantail… que les oiseaux ont appris à ignorer.

En attendant, on annonce qu’il y aura un recours en Cour fédérale contre Facebook, afin d’exiger qu’une ordonnance soit rendue pour obliger le réseau social à se conformer à nos lois en matière de renseignements personnels.