Photo by Con Karampelas on Unsplash

Facebook traînée en Cour fédérale pour ses pratiques en matière de renseignements personnels

On apprenait hier que le commissaire à la protection de la vie privée du Canada demande à la Cour fédérale de déclarer formellement que Facebook a enfreint la loi canadienne sur la protection des renseignements personnels (la «LPRPDE», ou «PIPEDA» de son acronyme en anglais).

Selon le commissariat, Facebook a permis à un tiers d’accéder à des renseignements personnels d’utilisateurs, d’utiliser ces renseignements et de les communiquer à autrui, notamment à Cambridge Analytica. Nombre de Canadiens ont vu leurs données ainsi utilisées à mauvais escient. Puisque cela contrevient à la LPRPDE, on demande au tribunal de confirmer officiellement qu’il y a eu violation de la loi, un prérequis pour obliger Facebook à corriger le tir.

On se souviendra que Facebook avait refusé de mettre en œuvre les recommandations du commissariat, à la suite d’une plainte et d’une enquête à ce sujet. Face à ce refus de collaborer, ne reste qu’une chose à faire, compte tenu des limites que met la LPRPDE actuelle aux pouvoirs de notre commissariat: déposer des procédures officielles. Puisque le commissariat ne peut pas actuellement contraindre Facebook, il doit demander au tribunal de le faire, en obtenant une ordonnance exécutoire.

On demande ainsi à la Cour fédérale (je cite):

  • une déclaration selon laquelle Facebook a enfreint la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE);
  • une ordonnance exigeant que Facebook mette en place des mesures efficaces, précises et facilement accessibles pour obtenir le consentement valable de tous les utilisateurs et s’assurer de le conserver;
  • une ordonnance exigeant que Facebook précise les révisions et modifications techniques à apporter à ses pratiques afin de se conformer à la LPRPDE;
  • une ordonnance selon laquelle les parties assurent un suivi auprès de la Cour, ainsi qu’une ordonnance pour que la Cour conserve sa compétence concernant la surveillance et l’application continues de la loi;
  • une ordonnance interdisant à Facebook de continuer à recueillir, à utiliser et à communiquer les renseignements personnels des utilisateurs d’une manière qui contrevient à la LPRPDE;
  • une ordonnance exigeant que Facebook publie un avis énonçant toute mesure prise ou envisagée pour revoir ses pratiques contrevenant à la LPRPDE.

Dans l’état actuel de la loi, une telle demande en Cour fédérale, en vertu de l’art. 15 de la LPRPDE exige de (re)démontrer, preuves à l’appui, que Facebook ne s’est pas conformée à la loi. Facebook, elle, adopte la position qu’il n’existe aucune preuve que les données de Canadiens ont effectivement fait partie du lot de données dont on parle. C’est loin d’être gagné d’avance, disons.

Cette affaire constitue un bon exemple du besoin criant d’une réforme de nos lois en matière de renseignements personnels dont la force exécutoire demeure pour l’instant très faible… ou inexistante.