Enquête conjointe du Commissariat à la protection de la vie privée du Canada et du Bureau du Commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique au sujet d’AggregateIQ Data Services Ltd.

Rapport de conclusions

Rapport de conclusions d’enquête en vertu de la LPRPDE n^o 2019-004

Le 26 novembre 2019

---

Message des commissaires

Les travaux d’AggregateIQ Data Services Ltd. (AIQ) pour des campagnes politiques de grande envergure aux États-Unis et au Royaume-Uni suscitent de l’intérêt à l’échelle nationale et internationale. Notre enquête sur les activités d’AIQ montre comment les pratiques relatives aux données numériques d’entreprises internationales comme AIQ, quand elles sont mises en œuvre dans plusieurs territoires de compétence, entraînent des répercussions importantes en matière de protection des renseignements personnels pour les entreprises, les organismes de réglementation et, surtout, les citoyens dans le monde entier.

Au fur et à mesure que notre présence numérique s’accroît, il devient de plus en plus impératif que les activités des entreprises technologiques qui sont actives au-delà des frontières respectent les obligations en matière de protection des renseignements personnels dans tous les territoires de compétence où elles exercent leurs activités. Cela vaut particulièrement pour le traitement des renseignements sensibles, comme ceux qui pourraient révéler des opinions politiques et des croyances personnelles, tel qu’il est décrit dans ce rapport d’enquête.

Le public a en général le sentiment qu’il existe des règles régissant la collecte, l’utilisation et la communication des renseignements personnels. Les citoyens s’attendent à ce que ces règles les protègent – ainsi que leurs données. Toutefois, des questions se posent lorsque les renseignements personnels sont utilisés dans un monde numérique réellement sans frontière : quelles sont les règles qui s’appliquent en matière de protection des renseignements personnels, qui les fait respecter, et comment? Une organisation dans le monde pourrait recueillir et utiliser les renseignements de diverses personnes, ou une organisation locale pourrait les recueillir mais les utiliser dans un autre territoire de compétence. Dans les deux cas, quelles sont les règles qui s’appliquent, et comment?

Cela est évidemment plus qu’une simple question théorique. Les entreprises canadiennes exercent leurs activités de plus en plus au-delà des frontières provinciales et nationales afin de trouver des marchés et des occasions d’affaires. Le commerce électronique a considérablement contribué à cette expansion des marchés. L’augmentation exponentielle de la collecte et du traitement des renseignements personnels fait partie intégrante de cette évolution.

AIQ illustre bien cette situation. Cette entreprise de la Colombie-Britannique se spécialise dans la prestation de services liés aux données pour des campagnes politiques et compte des clients dans de nombreux territoires de compétence. Elle travaille avec des clients dans le monde entier, notamment en Colombie-Britannique, dans d’autres régions du Canada, aux États-Unis et au Royaume-Uni, et utilise et communique les renseignements personnels des citoyens de ces territoires. Le caractère mondial de ses activités commerciales s’explique aussi par le fait que nous ne sommes pas les seuls organismes de réglementation de la protection de la vie privée à examiner ses activités relatives au référendum de 2016 sur l’appartenance du Royaume-Uni à l’Union européenne – le référendum sur le Brexit. En effet, la commissaire à l’information du Royaume-Uni et des comités parlementaires au Royaume-Uni et au Canada ont examiné les activités d’AIQ liées au référendum sur le Brexit.

Notre rapport souligne qu’une organisation doit s’assurer qu’elle comprend et qu’elle s’acquitte de ses responsabilités légales au Canada, même lorsqu’elle exerce également des activités dans d’autres territoires de compétence. C’est ce à quoi le public s’attend. C’est aussi ce à quoi nous nous attendons en tant qu’organismes de réglementation.

Les organismes de réglementation de la protection de la vie privée communiquent ensemble et collaborent de plus en plus pour s’assurer que les pratiques touchant la protection des renseignements personnels dans plusieurs territoires de compétence sont surveillées et examinées de manière appropriée.

C’est dans cet esprit que les deux commissariats ont déterminé, conformément aux lois canadiennes, si AIQ a pris les mesures nécessaires pour s’assurer qu’elle avait le pouvoir juridique d’utiliser et de communiquer des renseignements sur les électeurs du Royaume-Uni comme elle l’a fait.

Nous avons conclu que ce n’était pas le cas dans le cadre de certains des travaux de l’entreprise liés au référendum sur le Brexit.

Nous sommes arrivés à la même conclusion au sujet de ses travaux à l’appui d’une campagne politique aux États-Unis. Il est de notoriété publique (et nous avons conclu) qu’AIQ a utilisé des renseignements de profils psychographiques tirés des données de Facebook obtenues par Cambridge Analytica et SCL Elections, au moyen d’une application tierce, de millions d’Américains.

Même si les renseignements ont été recueillis dans un autre territoire de compétence, que ce soit au Royaume-Uni ou aux États-Unis, AIQ est toujours tenue de s’acquitter de ses obligations liées au traitement de ces renseignements au Canada, en vertu des lois canadiennes.

Cette enquête conjointe, la deuxième effectuée cette année par les deux commissariats, est une nouvelle illustration de la réalité collaborative de l’application des lois sur la protection des renseignements personnels. Cela est vrai non seulement entre les deux commissariats, mais aussi entre les organismes de réglementation de la protection de la vie privée à l’échelle mondiale. Bien que les lois dans le monde sur la protection des renseignements personnels ne soient pas identiques – et elles ne le seront jamais –, elles sont généralement enracinées dans des principes communs relatifs à l’équité dans le traitement de l’information qui, comme cela était pertinent dans ce cas-ci, accordent une grande importance au consentement en pleine connaissance de cause des personnes, que ce soit à la collecte, à l’utilisation ou à la communication de leurs renseignements personnels et à la protection de ces renseignements.

Par conséquent, les organismes de réglementation collaboreront de plus en plus à l’échelle nationale et internationale pour s’assurer que le droit à la vie privée des personnes, y compris ceux relatifs au consentement et aux mesures de sécurité, sont respectés d’un territoire de compétence à l’autre; ce que nous examinons dans ce cas-ci. Les deux commissariats se sont engagés à faire leur part pour relever ce défi.

Rapport sommaire

Le présent rapport porte sur la conformité d’AggregateIQ Data Services Ltd. (AIQ) à la loi intitulée Personal Information Protection Act (PIPA) et à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) en ce qui concerne la collecte, l’utilisation et la communication de renseignements personnels par cette entreprise dans la prestation de services à diverses campagnes politiques au Royaume-Uni, aux États-Unis et ici au Canada.

Il s’agit du point culminant d’une enquête conjointe menée par le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique et le Commissariat à la protection de la vie privée du Canada.

Les conclusions et les recommandations formulées dans ce rapport portent sur deux questions. La première est la conformité d’AIQ aux exigences liées au consentement dans la PIPA et la LPRPDE relatives à la collecte, à l’utilisation et à la communication de renseignements personnels. La deuxième est la conformité de ces activités aux critères de protection des données énoncés dans chacune de ces lois.

La PIPA et la LPRPDE permettent aux organisations de traiter des renseignements personnels pour le compte d’autres organisations en se fondant sur le consentement donné par une personne lorsque ses renseignements ont été recueillis pour la première fois. Cela crée une obligation pour les organisations qui fournissent ces services de faire preuve de diligence raisonnable pour déterminer si le consentement a effectivement été obtenu pour qu’elles utilisent les renseignements personnels comme elles le font.

L’enquête a permis de conclure que pour certaines campagnes, AIQ était au fait des fins pour lesquelles les personnes avaient consenti à l’utilisation de leurs renseignements personnels, et que l’utilisation de ces données par l’entreprise semblait être harmonisée avec ces fins. Cependant, pour la plupart des campagnes, d’après l’enquête : i) le consentement invoqué par AIQ n’a pas abordé tous les travaux qu’elle a accomplis; ou ii) AIQ ne savait pas comment les personnes avaient consenti, ou si elles avaient consenti, à l’utilisation de leurs renseignements personnels.

Nous avons examiné les services qu’AIQ a fournis à deux campagnes à l’occasion du référendum de 2016 sur l’appartenance du Royaume-Uni à l’Union européenne (le Brexit). L’enquête a permis de conclure que l’utilisation par AIQ de numéros de téléphone pour envoyer des messages SMS pour la campagne BeLeave était autorisée en raison du consentement fourni par les personnes qui ont donné leurs renseignements à cette campagne. Toutefois, on ne peut pas en dire autant pour les travaux d’AIQ pour le compte de Vote Leave.

En ce qui a trait aux travaux d’AIQ pour cette campagne, il est ressorti de l’enquête que le consentement invoqué par l’entreprise pour justifier ses activités n’était pas satisfaisant aux termes des lois sur la protection des renseignements personnels du Canada ou de la Colombie-Britannique pour certaines des façons dont elle a traité les renseignements personnels des partisans de Vote Leave. Plus précisément, l’enquête a permis de conclure qu’il n’y avait pas un consentement satisfaisant qui visait la communication de renseignements personnels d’AIQ à Facebook afin de diffuser de la publicité aux personnes concernées (au moyen « d’auditoires personnalisés ») ou d’analyser les traits et caractéristiques de celles-ci dans le but de localiser et de cibler des personnes similaires (au moyen de « d’auditoires semblables »).

L’enquête a également permis d’examiner les travaux accomplis par AIQ pour diverses campagnes américaines par l’entremise de sa relation contractuelle avec SCL Elections. Cela comprend les travaux entrepris pour un comité d’action politique, une campagne pour la primaire présidentielle et diverses campagnes à l’occasion des élections de mi-mandat de 2014. L’enquête a permis de conclure que les renseignements personnels qu’AIQ a reçus et utilisés proviennent de sources disparates. Cela comprend les profils psychographiques établis à partir des renseignements personnels que Facebook a communiqués à M. Aleksandr Kogan, puis à Cambridge Analytica.

En ce qui concerne les travaux d’AIQ pour le compte des campagnes américaines examinées dans le cadre de cette enquête, AIQ n’a pas cherché à déterminer s’il y avait un consentement qu’elle pouvait invoquer pour justifier son utilisation et sa communication des renseignements personnels.

Enfin, pour ce qui est des travaux d’AIQ pour des campagnes canadiennes, il est ressorti de l’enquête que, pour la plupart, AIQ était au fait de l’énoncé et du consentement obtenu par ses clients. Toutefois, dans certains cas, les fins de collecte de renseignements personnels communiquées aux personnes, ou celles que ces dernières pourraient raisonnablement présumer, ne comprenaient pas la publicité sur les médias sociaux et l’analytique.

La deuxième question examinée dans le cadre de l’enquête visait à vérifier si AIQ a pris des mesures de sécurité raisonnables pour protéger les renseignements personnels sous sa garde ou sous son contrôle. Cet aspect de l’enquête a été soulevé en réponse à une atteinte à la protection des données qu’AIQ a signalée au Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique. L’atteinte concernait un accès non autorisé à un référentiel dans GitLab non sécurisé qui contient un grand nombre de renseignements personnels, comme il est décrit dans ce rapport, ainsi que des clés de chiffrement et des justificatifs de connexion qui ont mis dans un état de vulnérabilité accrue les renseignements personnels de plus de 35 millions de personnes. L’enquête a permis de déterminer qu’AIQ a omis de prendre des mesures de sécurité raisonnables pour s’assurer que les renseignements personnels sous son contrôle étaient protégés contre la communication ou l’accès non autorisé.

L’enquête a donné lieu à une série de recommandations formulées par les deux commissariats, notamment qu’AIQ prenne des mesures raisonnables pour veiller à ce que le consentement obtenu par un tiers, consentement qu’elle invoque pour justifier la collecte, l’utilisation et la communication de renseignements personnels qu’elle fait pour le compte de ses clients, soit satisfaisant aux termes de la PIPA ou de la LPRPDE, selon le cas. Ces mesures devraient comprendre des mesures contractuelles et d’autres mesures, comme l’examen du libellé du consentement utilisé par le client. AIQ devrait s’assurer qu’il y a un consentement explicite, au lieu d’un consentement implicite, lorsque les renseignements sont sensibles, comme c’est le cas avec les opinions politiques. En ce qui a trait à la sécurité, nous recommandons à AIQ d’adopter et de maintenir des mesures de sécurité raisonnables pour protéger les renseignements personnels et de supprimer les renseignements personnels qui ne sont plus nécessaires à des fins commerciales ou juridiques.

Au cours de l’enquête, AIQ a pris des mesures pour remédier à son atteinte à la sécurité. AIQ a accepté de mettre en œuvre les recommandations des commissariats.

1 Contexte et méthodologie

Contexte

1. Le présent rapport examine la conformité d’AggregateIQ Data Services Ltd. (AIQ) à la Personal Information Protection Act (PIPA) et à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) en ce qui concerne certaines collectes, utilisations et communications de renseignements personnels au nom d’autres organisations afin de fournir des services ciblés de publicité, de traitement de données et de gestion de bases de données lors de campagnes politiques. Plus précisément, ce rapport vise à déterminer si AIQ a respecté ses obligations juridiques en matière de consentement et de protection des renseignements personnels.
2. AIQ est une organisation commerciale qui fournit des logiciels destinés aux élections et aux campagnes, au développement de sites Web et aux services de publicité numériques. Elle a été constituée en société en Colombie-Britannique le 19 novembre 2013 et elle est située à Victoria (Colombie-Britannique).
3. L’enquête a été lancée à la suite des inquiétudes exprimées par les médias et par la commissaire à l’information du Royaume-Uni concernant la collecte de renseignements personnels de citoyens britanniques par AIQ dans le cadre de la prestation de services aux campagnes du référendum de 2016 sur l’appartenance du Royaume-Uni à l’Union européenne (Brexit).
4. On a ensuite signalé qu’AIQ était liée à : i) Cambridge Analytica et à sa société mère, SCL Elections Ltd (SCL), ainsi qu’à ii) la réception et à l’utilisation non autorisées possibles de données initialement obtenues de Facebook. Les deux commissariats ont enquêté conjointement sur la communication par Facebook de renseignements personnels à des applications tierces, dont au moins une application ayant obtenu des renseignements et les ayant communiqués par la suite à SCL^{Note de bas de page 1}.
5. Les commissaires à la protection de la vie privée de la Colombie-Britannique et du Canada, convaincus qu’il existait des motifs raisonnables d’enquêter sur cette affaire, ont chacun ouvert une enquête en vertu des alinéas 36(1)a) de la PIPA et 11(2) de la LPRPDE, respectivement. En avril 2018, le Commissariat à l’information et à la protection de la vie privée (CIPVP) de la Colombie-Britannique et le Commissariat à la protection de la vie privée (CPVP) du Canada ont décidé de faire enquête conjointement.

Méthodologie

6. Le CIPVP de la Colombie-Britannique et le CPVP ont recherché des documents liés à la collecte, à l’utilisation ou à la communication par AIQ de renseignements personnels dans le cadre de la prestation de services à divers clients, y compris SCL, les campagnes du Brexit et des campagnes ou partis politiques canadiens. Après avoir examiné les documents produits, les enquêteurs des deux commissariats ont interrogé sous serment les directeurs d’AIQ. Ils se sont également rendus au bureau d’AIQ, où des analystes en technologie de l’information ont procédé à une analyse scientifique des dispositifs pour trouver d’autres documents liés à l’enquête, et ont obtenu des copies des applications logicielles et des documents pertinents.
7. Outre les éléments de preuve recueillis lors de la visite du site et lors des dépositions verbales des directeurs de l’organisation, l’enquête s’est appuyée sur les témoignages publics d’AIQ et d’autres personnes devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes, ainsi que le Digital, Cultural, Media & Sport Select Committee (comité spécial sur le numérique, la culture, les médias et le sport) du Royaume-Uni.
8. L’enquête et les conclusions portent principalement sur les obligations juridiques d’AIQ aux termes de la PIPA et de la LPRPDE. Le présent rapport exclut l’examen des pratiques des clients d’AIQ ou de toute autre organisation ou personne mentionnée dans ce rapport, ni ne tire de conclusion sur les activités ou les obligations juridiques de ces tiers en application de la PIPA ou de la LPRPDE.

2 Lois

9. La PIPA et la LPRPDE régissent la collecte, l’utilisation et la communication de renseignements personnels par les organisations, tel qu’il est décrit ci-dessous. Leurs règles sont conformes aux pratiques équitables de traitement de l’information reconnues internationalement.

2.1 PIPA et LPRPDE

10. Le paragraphe 3(1) de la PIPA indique que celle-ci s’applique à toutes les organisations et définit de façon générale le terme « organisation » comme incluant une personne, une association non constituée en personne morale, un syndicat, une fiducie ou une organisation à but non lucratif.
11. La LPRPDE s’applique à toute organisation relativement aux renseignements personnels qu’elle recueille, utilise ou communique dans le cadre de ses activités commerciales. Le paragraphe 2(1) de la LPRPDE définit le terme « organisation » de façon à englober les notions d’association, de partenariat, de personne et de syndicat.

Consentement

12. L’article 6 de la PIPA et le principe 4.3 de l’annexe 1 de la LPRPDE énoncent chacun une obligation générale selon laquelle une organisation ne doit recueillir, utiliser ou communiquer des renseignements personnels que lorsque la personne concernée y a consenti. La PIPA et la LPRPDE contiennent toutes deux des exceptions à l’exigence générale d’obtenir le consentement, qui permettent dans certains cas la collecte, l’utilisation et la communication de renseignements personnels sans consentement.
13. Selon le principe 4.3 de la LPRPDE, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir. Le principe 4.3.2 précise qu’une organisation doit faire un effort raisonnable pour s’assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon à ce que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués. De plus, l’article 6.1 stipule que le consentement n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti.
14. Le principe 4.3.4 prévoit, entre autres, que la forme du consentement que l’organisation cherche à obtenir peut varier selon les circonstances et la nature des renseignements. Pour déterminer la forme que prendra le consentement, les organisations doivent tenir compte de la sensibilité des renseignements et du fait que tous les renseignements peuvent devenir sensibles suivant le contexte. Le principe 4.3.5 énonce, en partie, que lors de l’obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes. Le principe 4.3.6 de la LPRPDE énonce également que, en général, une organisation devrait chercher à obtenir un consentement explicite si les renseignements sont susceptibles d’être considérés comme sensibles. Lorsque les renseignements sont moins sensibles, un consentement implicite serait normalement jugé suffisant.
15. Selon la PIPA, une organisation doit également obtenir un consentement valable en s’assurant au préalable que les personnes savent de quelle manière elle compte recueillir, utiliser ou communiquer les renseignements personnels. Le consentement explicite est obtenu lorsque la personne reçoit un avis et accepte de fournir ses renseignements aux fins décrites dans l’avis. La PIPA autorise également le consentement tacite ou implicite lorsqu’un individu communique des renseignements dans un but évident et qu’il est pertinent que l’individu fournisse ces renseignements dans ces circonstances. De telles circonstances n’incluent généralement pas les situations dans lesquelles l’organisation cherche à obtenir des renseignements personnels sensibles.
16. La PIPA traite d’un certain nombre de circonstances dans lesquelles une organisation peut recueillir, utiliser ou communiquer des renseignements personnels sans consentement. Cependant, la loi envisage aussi précisément les circonstances dans lesquelles une organisation travaille pour le compte d’une autre organisation. Tel qu’il est indiqué ci dessous, ces dispositions reposent uniquement sur le consentement obtenu par l’organisation initiale.
17. Le paragraphe 12(2) de la PIPA définit les cas dans lesquels une organisation ou un fournisseur de services peut recueillir des renseignements personnels auprès d’une autre organisation ou en son nom, sans le consentement de la personne concernée. Cette pratique est autorisée lorsque l’autre organisation a obtenu son consentement, et lorsque les renseignements personnels sont recueillis par le fournisseur de services à des fins qui correspondent à ce consentement et pour la prestation de services à l’autre organisation.
18. De même, le paragraphe 15(2) de la PIPA autorise une organisation à utiliser des renseignements personnels pour le compte d’une autre organisation, à la seule fin pour laquelle la première organisation a reçu le consentement au moment de la collecte des renseignements personnels auprès de la personne.
19. De plus, le paragraphe 18(2) de la PIPA autorise la communication à une autre organisation lorsque la personne a consenti à la collecte des renseignements par l’organisation d’origine et que la communication a le même objectif que celui pour lequel les renseignements ont initialement été recueillis.
20. La LPRPDE ne contient pas d’exceptions relatives au consentement équivalentes à celles de la PIPA susmentionnées, pas plus qu’elle n’établit des exceptions précises relatives au consentement visant une organisation travaillant pour le compte d’une autre organisation (en tant que fournisseur de services, par exemple). Toutefois, dans des cas antérieurs, le CPVP a admis qu’en vertu de la LPRPDE, une organisation peut compter sur le consentement obtenu par une autre partie pour recueillir et utiliser des renseignements personnels. Ce faisant, cependant, le CPVP estime et conclut que l’organisation doit prendre des mesures raisonnables pour s’assurer que l’obligation de consentement est remplie, en s’assurant que l’utilisation et la communication des renseignements se font conformément au consentement des personnes concernées.

Mesures de sécurité

21. L’article 34 de la PIPA exige qu’une organisation protège les renseignements personnels sous sa garde ou sous son contrôle en prenant des mesures de sécurité raisonnables pour empêcher l’accès, la collecte, l’utilisation, la communication, la copie, la modification ou la destruction non autorisés, ou prévenir tout risque similaire.
22. Selon le principe 4.7 de la LPRPDE, les renseignements personnels doivent être protégés par des mesures de sécurité correspondant à leur degré de sensibilité. Selon le principe 4.7.1, les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées.

3 Enjeux

23. Les enjeux soulevés dans la présente enquête sont les suivants :
    1. Quels renseignements personnels AIQ a-t-elle recueillis, utilisés et communiqués pour le compte de ses clients?
    2. AIQ respectait-elle les exigences relatives au consentement pour la collecte, l’utilisation ou la communication de renseignements personnels?
    3. AIQ a-t-elle pris des mesures de sécurité raisonnables afin de protéger les renseignements personnels sous sa garde ou sous son contrôle?

4 Enquête et constatations

Enjeu 1 : Quels renseignements personnels AIQ a-t-elle recueillis, utilisés et communiqués pour le compte de ses clients?

24. Ce rapport porte sur la collecte, l’utilisation et la communication de renseignements personnels par AIQ en lien avec des travaux effectués pour le compte des clients suivants : i) SCL, en ce qui concerne les campagnes politiques américaines; ii) les campagnes du Brexit; et iii) diverses campagnes politiques provinciales ou municipales au Canada, dont plusieurs en Colombie-Britannique.

4.1 SCL Elections et Cambridge Analytica

25. De 2014 à 2016, AIQ a collaboré avec SCL Elections Ltd. (SCL) à différentes campagnes politiques aux États-Unis, notamment lors de nombreuses élections de mi-mandat en 2014, d’un comité d’action politique et d’une campagne pour la primaire présidentielle.
26. De manière générale, AIQ a fourni à SCL des services classés selon les catégories suivantes : le développement de logiciels, la gestion et le traitement de bases de données, et la publicité numérique.
27. En ce qui concerne le développement de logiciels, AIQ a déclaré qu’elle avait été chargée de mettre au point et de fournir un outil d’aide à la campagne sous forme d’outil de gestion des relations avec la clientèle (GRC), que SCL pourrait utiliser dans les campagnes de ses clients. L’outil de GRC, connu sous le nom de « Ripon », permettait à l’utilisateur de visualiser les profils des personnes générés avec les données détenues par SCL. Ripon était également un outil d’aide à la sollicitation de suffrages qui permettait à un utilisateur de planifier des itinéraires en vue d’une campagne de porte-à-porte, de recevoir des points de discussion ou des questions à poser (par exemple, lors de rencontres porte-à-porte ou d’appels téléphoniques), ou de mettre à jour des profils dans Ripon lorsque des partisans (ou des opposants au candidat) étaient identifiés.
28. En ce qui concerne la gestion et le traitement de bases de données ainsi que la publicité numérique, AIQ a utilisé les renseignements personnels qui lui ont été fournis par SCL (et, dans au moins un cas, directement de Cambridge Analytica) dans le but d’effectuer les opérations suivantes pour le compte de SCL : i) verser les renseignements dans Ripon; ii) mettre à l’essai les fonctionnalités de Ripon; iii) fournir un soutien de produit à SCL; iv) cerner et ventiler les gens dans des ensembles de données pour des campagnes précises; v) diffuser de la publicité numérique ciblée et vi) rendre compte des résultats des campagnes de publicité.
29. Pour alimenter l’outil de GRC, AIQ a reçu une quantité importante de renseignements personnels de nombreuses sources variées. Ces renseignements comprenaient l’information à la disposition de tous les partis politiques et candidats aux États-Unis, comme les coordonnées (généralement incluses dans une liste électorale ou un registre), et des renseignements que les partis politiques conservent généralement sur leurs adhérents (par exemple, l’historique des dons, la date de naissance et l’adresse électronique).
30. AIQ a également reçu des renseignements personnels provenant de divers fournisseurs de données, y compris ceux visant des clients politiques. Ces données comprenaient des renseignements tels que les abonnements à des magazines, les adhésions à des associations, les revenus présumés, l’accession à la propriété, la propriété de véhicules et d’autres renseignements sur les consommateurs et les comportements, y compris, sans s’y limiter : la possession d’armes à feu, l’état matrimonial et la situation familiale, la religion et l’origine ethnique. AIQ a également reçu les notes et les profils psychographiques de millions d’électeurs américains, lesquels étaient tirés, au moins en partie, des données d’utilisateurs de Facebook recueillies par Aleksandr Kogan^{Note de bas de page 2}. Ce dernier utilisait les données pour catégoriser les électeurs à l’aide du modèle « OCEAN » lequel recensait les traits de personnalité^{Note de bas de page 3}. AIQ a affirmé qu’elle n’a jamais reçu les données brutes des utilisateurs de Facebook recueillies par Kogan. Toutefois, la découverte de documents pendant notre enquête démontre qu’AIQ avait été mise au courant que SCL utilisait des données recueillies par Kogan. Les documents ont aussi démontré qu’AIQ était tout à fait consciente que l’entreprise utilisait les notes des électeurs tirées du modèle « OCEAN ».
31. Au cours de l’enquête, AIQ a fait valoir que les renseignements utilisés étaient, selon son expérience, semblables aux types de renseignements sur les personnes que détiennent les partis politiques américains, et que ceux-ci peuvent facilement être achetés auprès de fournisseurs de données situés aux États-Unis.
32. Ripon permettait la segmentation des personnes en groupes restreints en fonction des caractéristiques psychographiques, sociodémographiques et autres caractéristiques. Il a permis à SCL de générer des listes de personnes ayant des caractéristiques précises et des coordonnées connexes pour des campagnes publicitaires très ciblées.
33. Dans certains cas, en se fondant sur les critères fournis par SCL, AIQ a également exécuté des requêtes dans Ripon pour le compte de SCL afin de créer ces listes de destinataires des publicités ciblées.
34. Avec les noms et les adresses électroniques fournis par SCL, ou générés par des requêtes exécutées pour le compte de SCL, AIQ créait des publicités ciblées sur Facebook par les moyens suivants : i) en utilisant la fonctionnalité d’« auditoire personnalisé », qui permet à un annonceur de diffuser une annonce aux utilisateurs de Facebook qui font partie de l’« auditoire personnalisé » qui ont été réunis par Facebook; et ii) en utilisant la fonctionnalité d’« auditoire similaire », qui permet à un annonceur de cibler les personnes qui, selon Facebook, sont « similaires » à des personnes déjà ciblées par l’annonceur. Dans le dernier cas, cela se fait au moyen des renseignements que Facebook recueille sur ses utilisateurs et leurs amis, y compris les gens déjà ciblés au moyen d’un auditoire personnalisé.
35. AIQ a également vérifié le succès relatif de chaque publicité par rapport au public cible auquel elle était destinée, sur la base des renseignements regroupés fournis par Facebook, et en a rendu compte à SCL. Plus particulièrement, AIQ a affirmé que Facebook ne lui avait pas fourni de données sur les personnes précises ayant cliqué sur une publicité. Facebook a plutôt fourni des données regroupées, notamment le nombre d’impressions et de clics générés par une annonce et la proportion de l’auditoire personnalisé que Facebook avait réussi à trouver parmi ses utilisateurs.
36. AIQ a déclaré ne pas avoir demandé de consentement ni obtenu l’assurance de SCL que ce consentement avait été obtenu des personnes dont AIQ avait recueilli, utilisé ou communiqué les renseignements personnels. AIQ a déclaré qu’elle ne pensait pas que le consentement était requis, car elle croyait comprendre que les lois américaines sur la protection des renseignements personnels n’exigeaient pas ce consentement et que les types de renseignements recueillis et utilisés pouvaient facilement être achetés aux États-Unis.
37. Nous notons que les contrats d’AIQ avec SCL comportaient bien une disposition générale selon laquelle [traduction] « les parties […] se sont conformées et continueront de se conformer aux dispositions de toutes les lois applicables […] relatives à la collecte, au traitement, à la communication et au transfert de données à caractère personnel ».
38. Enfin, nous faisons remarquer qu’AIQ s’est engagée aussi contractuellement à :

    [traduction] L’intégration sociale. Se connecter à Facebook ou à LinkedIn pour recueillir des renseignements sur les amis et les contacts des bénévoles et offrir aux bénévoles des messages à publier dans leurs profils.

    AIQ a affirmé ne pas avoir exécuté, en réalité, cette activité pour le compte de SCL. Nous n’avons trouvé aucune preuve permettant de corroborer ou de réfuter cette affirmation.

4.2 Campagnes du Brexit

39. Lors du référendum de 2016 sur l’appartenance du Royaume-Uni à l’Union européenne, AIQ a fourni des services de publicité ciblée, de développement de sites Web et de gestion de bases de données à diverses campagnes du Brexit militant pour la sortie de l’Union européenne : Vote Leave, BeLeave, Veterans for Britain et le Democratic Unionist Party. Les deux commissariats ont examiné les activités d’AIQ concernant deux de ces campagnes (Vote Leave et BeLeave), car les éléments de preuve semblent indiquer que les renseignements personnels n’ont pas été utilisés dans le cadre des services fournis par AIQ à Veterans for Britain ou au Democratic Unionist Party.

Vote Leave

Publicité ciblée

40. AIQ a commencé à travailler pour Vote Leave à la mi-avril 2016, offrant des services de publicité en ligne et d’administration de base de données. Pour faciliter le placement de la publicité, Vote Leave a fourni à AIQ des descriptions démographiques du type de personnes qui, selon elle, étaient susceptibles de voter en faveur du Brexit. Vote Leave a ensuite fourni à AIQ une liste de noms et d’adresses électroniques de personnes qui s’étaient inscrites comme partisans sur différents sites Web de Vote Leave.
41. AIQ a communiqué cette liste de noms et d’adresses électroniques à Facebook afin de cibler les publicités de Vote Leave à l’aide de l’outil « auditoire personnalisé » de Facebook décrit ci-dessus à la section 4.1.
42. AIQ a également communiqué ces renseignements à Facebook afin de faciliter l’élargissement de l’auditoire publicitaire de Vote Leave à l’aide de l’outil « auditoire similaire » de Facebook décrit ci-dessus à la section 4.1.
43. AIQ a utilisé Facebook pour mettre à l’essai les messages de Vote Leave en faisant de la publicité destinée à différents auditoires personnalisés et en mesurant le succès de ces messages, comme elle l’a fait pour SCL, tel qu’il est décrit ci-dessus à la section 4.1.
44. AIQ a également utilisé Google pour cibler des publicités à l’intention de groupes démographiques généraux. À notre connaissance, cette activité n’impliquait aucun renseignement personnel.

Administration des bases de données

45. AIQ a fourni d’autres services à Vote Leave selon les besoins, principalement pour organiser et « nettoyer »^{Note de bas de page 4} la base de données de Vote Leave. AIQ a expliqué que Vote Leave avait de la difficulté à utiliser sa base de données Voting Intention Collection System ou VICS (système de collecte des intentions de vote), dans laquelle l’organisation recueillait des renseignements personnels au sujet des électeurs provenant des autorités locales britanniques et de démarchage par téléphone et du porte-à-porte. AIQ a nettoyé la base de données VICS afin de corriger les renseignements personnels et la terminologie entrés ou mis en forme de manière incorrecte ou incohérente provenant de plusieurs sources de données.
46. Vote Leave a également utilisé NationBuilder^{Note de bas de page 5}, un service de gestion de la participation des électeurs, pour organiser et utiliser des renseignements personnels. AIQ a créé une interface de programmation d’application pour mettre à jour automatiquement la base de données NationBuilder de Vote Leave lorsqu’une personne saisissait des renseignements sur le site Web de Vote Leave. Une fois dans la base de données NationBuilder, les membres du personnel de campagne de Vote Leave étaient en mesure d’ajouter de temps à autre des renseignements et des points de données supplémentaires, notamment si la personne avait fait un don, quels étaient les problèmes qui la préoccupaient et si elle était susceptible de se proposer en tant que bénévole pour la campagne.
47. Lorsque Vote Leave recueillait les renseignements personnels fournis à AIQ (c’est-à-dire des noms et des adresses électroniques de personnes), son avis de confidentialité, accessible au moyen d’un lien au bas du site Web Vote Leave, permettant aux personnes de saisir leurs renseignements dans un formulaire, contenait l’énoncé suivant :

    [traduction]

    Quels renseignements recueillons-nous?

    Nous pouvons recueillir, stocker et utiliser deux types de données : les renseignements personnels et les informations de connexion.

    Les données personnelles sont tous les renseignements que vous fournissez qui vous permettent de participer à la campagne et comprennent votre nom, votre adresse, votre adresse électronique et votre code postal. Elles comprennent également des renseignements sur les dons que vous pourriez faire ou les actions de promotion auxquelles vous pourriez participer.

    Cela inclut les occasions auxquelles vous pourriez « suivre » ou « aimer » la campagne, ou lier autrement vos comptes de médias sociaux à la campagne au moyen d’un site Web tiers. Toute correspondance que vous envoyez électroniquement peut être conservée, telle que le contenu de vos messages électroniques, votre adresse électronique et notre réponse. Nous pouvons également conserver tous les renseignements que vous avez téléchargés ou publiés sur le site Web Vote Leave, tels que les photos de profil et les commentaires.

    L’information concernant vos ouvertures de session se rapporte aux renseignements relatifs à vos visites sur ce site et à toutes les actions que vous y effectuez. Cela inclut votre adresse IP, votre référent, la durée de la visite et le nombre de pages vues. Ces renseignements sont nécessaires au bon fonctionnement du site Web et nous permettent d’améliorer ses performances et ses fonctionnalités.

    Vote Leave utilise l’application Vote Leave pour Android et iPhone afin de permettre aux partisans de communiquer avec leurs contacts et amis au nom de Vote Leave. Si vous utilisez l’application, celle-ci sera exécutée sur votre appareil et recherchera parmi vos contacts des amis pouvant être intéressés à se joindre à la campagne de Vote Leave. L’application signalera les contacts susceptibles d’être des partisans à qui vous aimeriez peut-être envoyer un message vocal, un message texte ou un courriel d’invitation. À aucun moment vos listes de contacts ne seront envoyées à Vote Leave. [mise à jour le 30 mai 2016]

    Nous recueillons uniquement les renseignements dont nous avons besoin pour atteindre les objectifs définis lors de la collecte. Vous pouvez mettre ces renseignements à jour en tout temps.

    Comment utiliserons-nous vos données?

    Les renseignements que vous fournissez peuvent être utilisés pour :

    • vous tenir au courant de la campagne;
    • vous offrir des occasions de participer à nos activités;
    • répondre à vos questions;
    • traiter votre demande de bénévolat;
    • administrer les dossiers des partisans;
    • mener des activités de financement;
    • exploiter, entretenir et vous fournir les caractéristiques et les fonctionnalités de ce site Web.

    Vous pouvez choisir de ne plus recevoir cette information à tout moment.

    Vos données personnelles peuvent être communiquées au sein de la campagne (c’est-à-dire entre les sections locales, régionales et nationales de la campagne), ainsi qu’à des organisations et à des partenaires avec lesquels nous entretenons une relation stratégique dans le cadre de la campagne, ou qui travaillent pour notre campagne pour fournir des services en votre nom. C’est une pratique courante pour les campagnes politiques au Royaume-Uni. Dans tous les cas, ces organisations et partenaires ne recevront que le minimum de données personnelles dont ils ont besoin pour fournir les services que nous demandons. Ils sont tenus de protéger vos données conformément à nos politiques. Dans le cadre de cette communication, nous demandons à nos partenaires de ne jamais publier vos données personnelles sans votre consentement, et nous ne les transmettons pas aux partis politiques (les partenaires d’une campagne référendaire peuvent inclure des personnes qui travaillent autrement au sein de partis politiques connus, mais leurs partis n’ont pas accès à vos données).

    Vote Leave utilise la plateforme NationBuilder pour organiser notre communauté de partisans et de bénévoles. Vous pouvez en savoir plus sur cette entreprise, ses fonctionnalités et ses règles sur nationbuilder.com. Pour savoir comment le service NationBuilder utilise et protège vos renseignements, consultez nationbuilder.com/privacy et nationbuilder.com/confidentiality.

48. Au cours de l’enquête, AIQ a déclaré qu’elle estimait que le libellé relatif à la vie privée de Vote Leave était [traduction] « plutôt bon » et avait compris qu’il était suffisant pour respecter les normes de consentement du droit britannique. En effet, AIQ a déclaré sous serment travailler avec le responsable de la conformité et les avocats de Vote Leave pour garantir le consentement approprié en vue de la collecte et de l’utilisation des renseignements personnels dans le contexte de Vote Leave.

BeLeave

49. AIQ a commencé à travailler pour BeLeave au début de juin 2016, en lui fournissant des services de publicité en ligne. BeLeave a fourni à AIQ les caractéristiques démographiques générales de son public cible pour que l’entreprise puisse mener à bien la campagne de publicité sur Internet de BeLeave. AIQ a déclaré que BeLeave ne lui fournissait aucun renseignement personnel et qu’AIQ ne recueillait ni n’utilisait aucun renseignement personnel pour fournir ces services (publicité numérique).
50. Il ressort clairement des documents soumis par AIQ aux commissariats que l’entreprise a utilisé les numéros de téléphone de particuliers fournis par la campagne BeLeave pour envoyer des messages textes de masse au nom de BeLeave, ce qui constitue une utilisation de renseignements personnels.
51. BeLeave a inclus un énoncé de confidentialité, accessible par un lien au bas de chaque page du site Web, où des renseignements personnels ont été sollicités (au moyen d’un formulaire sur le site Web dans lequel les personnes pouvaient choisir de saisir leurs renseignements). Voici une partie de l’énoncé de confidentialité :

    [traduction]

    Quels renseignements recueillons-nous?

    Nous pouvons recueillir, stocker et utiliser deux types de données : les données personnelles et les données comportementales. Les données personnelles se rapportent aux renseignements que vous nous avez fournis afin de participer à la campagne et comprennent votre nom, votre adresse, votre adresse électronique et votre code postal.

    Les données comportementales concernent les renseignements relatifs à votre visite sur ce site Web et aux actions que vous y effectuez. Elles incluent votre adresse IP, votre référent, la durée de votre visite et le nombre de pages vues. Ces renseignements sont essentiels au bon fonctionnement du site Web et nous permettent d’améliorer ses performances et ses fonctionnalités.

    Comment utiliserons-nous vos données?

    L’information que vous fournissez sera utilisée pour vous tenir au courant de notre campagne, en particulier pour vous offrir la possibilité de participer à nos activités. Vous pouvez choisir de ne plus recevoir cette information à tout moment.

    Il s’avère parfois avantageux pour nous de dévoiler certains renseignements à des organisations et à des partenaires avec lesquels nous entretenons des relations stratégiques ou qui effectuent du travail en lien avec notre campagne pour fournir des services en votre nom. Dans tous les cas, ces organisations et partenaires sont tenus de protéger vos données conformément à nos politiques.

    Vos détails personnels ne seront jamais publiés sur ce site, quoique nous pourrions juger leur communication nécessaire pour les besoins de la sécurité nationale, de l’application de la loi ou d’autres questions d’importance pour le public. Les questions d’importance pour le public comprennent, sans s’y limiter, la remise de pétitions et de signatures de campagnes à tout ministère pertinent.

4.3 Clients canadiens

52. AIQ a fourni un éventail de services à divers clients du secteur politique à l’échelle municipale et provinciale en Colombie-Britannique. De manière générale, ces services comprenaient le développement de sites Web, la conception de publicités numériques (y compris quelques campagnes de publicité ciblant des « auditoires personnalisés » et des « auditoires semblables »), le soutien ou l’administration d’outils de GRC (à savoir NationBuilder) et, dans au moins un cas, la mise à l’essai d’un outil de GRC exclusif pour un client.
53. En ce qui concerne le développement de sites Web, les services fournis par AIQ ont varié légèrement, passant de la création d’un portail de dons pour un client au développement complet d’une plateforme Web pour d’autres. Sur tous ces sites, qui étaient exploités par les campagnes, les visiteurs étaient invités à fournir leurs renseignements personnels (à savoir : nom, adresse électronique et code postal) et parfois leur information de paiement (afin de traiter les dons). Une fois soumis, ces renseignements allaient directement dans la base de données de la campagne (par exemple, NationBuilder).
54. À partir de là, les campagnes offraient les deux possibilités suivantes : i) exporter la base de données et la fournir à AIQ à des fins de publicité (lorsqu’AIQ fournissait aussi des services de publicité); ou ii) accorder à AIQ l’accès direct à la base de données afin de lui permettre de l’organiser et de la gérer, et finalement faire de la publicité en fonction des renseignements personnels recueillis lors des campagnes. AIQ aurait eu accès à divers types et catégories de renseignements personnels contenus dans les bases de données des clients. Cependant, contrairement au travail effectué par AIQ pour le compte de SCL, nous n’avons trouvé aucun élément permettant d’affirmer qu’AIQ : i) a utilisé d’autres éléments que les coordonnées et l’historique des dons; ou ii) a utilisé ces renseignements à des fins autres que l’envoi de messages (y compris des courriels) ou l’organisation de campagnes de publicité numériques au nom de la campagne concernée.
55. Nous avons examiné les sites Web de la campagne en question et le code qui y est associé. Dans tous les cas, le site Web comprenait un énoncé de confidentialité qui indiquait, de façon implicite ou explicite, que les renseignements personnels étaient utilisés afin que les personnes qui avaient fourni leurs renseignements personnels puissent se tenir au fait de la campagne, des occasions de bénévolat ou des événements associés à la campagne ou au candidat concerné.
56. Dans le cas du client auquel AIQ présentait un outil de GRC numérique exclusif, AIQ disposait de la liste interne des membres de son parti, laquelle aurait inclus des renseignements personnels tels que les coordonnées, l’historique des dons et d’autres renseignements.
57. L’enquête a aussi démontré qu’AIQ a fourni des services à un client canadien du secteur politique à l’extérieur de la Colombie-Britannique dans le cadre d’une course à la mairie à St-John’s (Terre-Neuve-et-Labrador). Ces services comprenaient la collecte et l’utilisation de renseignements personnels au nom du client et à la demande de celui-ci.
58. Dans le cadre de la campagne, AIQ a créé des sites Web, élaboré des publicités numériques, conçu des sondages téléphoniques à réponse vocale interactive (appels automatisés) et envoyé des messages électroniques de masse.
59. Par l’intermédiaire du site Web qu’AIQ a développé pour la campagne, les noms, les adresses électroniques et les codes postaux des personnes qui les ont fournis ont été recueillis au moyen d’un formulaire. La campagne a ensuite fourni ces renseignements à AIQ, qui les a utilisés pour envoyer des courriels aux personnes au nom de la campagne. AIQ a aussi lancé sur Facebook des publicités fondées sur des critères démographiques et géographiques, toujours au nom de la campagne. AIQ a fait valoir qu’elle n’avait pas utilisé les adresses électroniques afin de diffuser des publicités auprès des « auditoires personnalisés » sur Facebook, et nous n’avons découvert aucune preuve du contraire.
60. Enfin, AIQ a affirmé avoir aussi utilisé les numéros de téléphone recueillis dans l’annuaire téléphonique public (bottin) afin d’effectuer des sondages téléphoniques et de faire le suivi des répondants qui ont manifesté leur soutien, pour ensuite transmettre ces renseignements à la campagne.
61. AIQ nous a fourni le contenu du site Web de la course à la mairie, ainsi que le formulaire Web dans lequel les personnes ont saisi les renseignements qu’AIQ a finalement utilisés pour envoyer des courriels au nom de la campagne. Voici le libellé du formulaire Web : [traduction] « En soumettant ce formulaire, vous acceptez de recevoir des communications de [nom du candidat] en ce qui concerne la présente campagne, ainsi que les futures campagnes, y compris par courriel, message texte (SMS) et téléphone, à moins d’avis contraire de votre part, et vous convenez de l’utilisation de vos coordonnées dans le cadre de toutes nos campagnes, présentes comme futures. Vous pouvez vous désabonner en tout temps. »

Enjeu 2 : AIQ respectait-elle les exigences relatives au consentement pour la collecte, l’utilisation ou la communication de renseignements personnels?

62. L’enquête a révélé qu’AIQ a utilisé et/ou communiqué les renseignements personnels de personnes que ses clients lui ont fournis. Dans la prestation de divers services à ses clients, AIQ a notamment :
    1. utilisé les noms et les adresses électroniques de personnes que ses clients lui ont fournis et les a transmis à Facebook afin de : i) diffuser des publicités ciblées à ces personnes au moyen « d’auditoires personnalisés »; et ii) diffuser des publicités à d’autres utilisateurs de Facebook au moyen « d’auditoires semblables »;
    2. utilisé des renseignements personnels contenus dans les bases de données de ses clients afin de : i) verser ces renseignements dans un logiciel qu’elle avait mis au point pour ses clients; ii) mettre à l’essai la fonctionnalité de ce logiciel; iii) gérer des bases de données; et dans certains cas, iv) exécuter des requêtes afin de créer des listes de destinataires pour de la publicité ciblée;
    3. utilisé les noms, les adresses électroniques et les numéros de téléphone de personnes que ses clients lui ont fournis afin d’envoyer des courriels et des messages textes à des personnes au nom de ses clients.
63. En ce qui concerne les activités que nous avons examinées, AIQ n’a établi aucune relation directe avec les personnes dont elle a utilisé ou communiqué les renseignements personnels. Tous les renseignements personnels concernés ont plutôt été obtenus initialement par les clients d’AIQ ou par d’autres tiers au nom de ces clients. L’enquête n’a trouvé aucune preuve qu’AIQ a recueilli, utilisé ou communiqué les renseignements personnels en cause à d’autres fins que pour effectuer les activités susmentionnées au nom de ses clients.
64. Aux termes de la PIPA, le droit d’AIQ de recueillir, d’utiliser et de communiquer des renseignements personnels initialement recueillis par une autre organisation se limite aux seules fins énoncées par l’organisation initiale au moment où les renseignements ont été initialement recueillis auprès de la personne.
65. Comme il est mentionné ci-dessus, la LPRPDE ne définit pas d’exceptions précises quant au consentement pour les organisations qui recueillent, utilisent ou communiquent des renseignements personnels au nom d’un autre intervenant, aux fins visées par cet intervenant (par exemple, en tant que fournisseur ou exécuteur de services). La LPRPDE s’applique plutôt aux organisations qui recueillent, utilisent ou communiquent des renseignements personnels dans le cadre de leurs activités commerciales en général.
66. Nous sommes d’avis qu’AIQ peut s’appuyer sur le consentement obtenu par son client pour utiliser ou communiquer, au nom de ce client, des renseignements personnels que ce dernier lui a fournis. Toutefois, ce faisant, AIQ doit prendre des mesures raisonnables pour s’assurer que le consentement qu’elle invoque est conforme aux exigences de la PIPA et de la LPRPDE en matière de consentement.
67. Dans le cas présent, nous avons observé un éventail de pratiques en ce qui a trait au consentement, telles que les suivantes.

1. SCL

68. Notre enquête a révélé qu’AIQ n’a pris aucune mesure, autre que de donner son accord à une clause contractuelle large obligeant les parties à se conformer aux lois sur la protection des données, pour s’assurer que SCL avait obtenu le consentement des personnes dont les renseignements personnels avaient été recueillis (auprès de SCL), utilisés ou communiqués par AIQ dans le cadre de son travail pour SCL. AIQ a affirmé qu’elle n’estimait pas avoir besoin de consentement, étant entendu que les lois américaines sur la protection des renseignements personnels n’exigeaient pas de consentement.
69. Au sujet du point susmentionné, nous soulignons qu’AIQ demeure assujettie aux exigences relatives au consentement pour ses pratiques de traitement des renseignements personnels conformément aux lois applicables du Canada ou de la Colombie-Britannique sur la protection des renseignements personnels, même lorsque ses clients sont situés dans un autre territoire de compétence.
70. Dans ces circonstances, nous nous serions attendus à ce qu’AIQ s’assure de l’existence d’un consentement adéquat en ce qui concerne la collecte, l’utilisation et la communication de renseignements personnels qu’elle assumait au nom de SCL. Il est particulièrement inquiétant qu’elle ne l’ait pas fait, étant donné que certains renseignements qu’elle a utilisés pour cibler des personnes étaient sensibles (par exemple, l’origine ethnique ou le profil psychographique), ce qui aurait exigé en général un consentement explicite.
71. Pour être clairs, nous n’avons pas constaté, dans cette section ou dans la section ci-dessous, que les clients étrangers d’AIQ devaient se conformer aux lois sur la protection des renseignements personnels du Canada et de la Colombie-Britannique. Les pratiques de ces organisations politiques ne feraient pas généralement partie du champ d’application de la PIPA et de la LPRPDE et, de toute façon, elles ne faisaient pas l’objet de cette enquête. Cela dit, dans la mesure où AIQ souhaitait s’en remettre au consentement obtenu par ces clients étrangers pour sa propre collecte, utilisation et communication des renseignements personnels pour leur compte, elle aurait dû s’assurer que ce consentement suffisait, à ses fins, en vertu de la loi sur la protection des renseignements personnels du Canada ou de la Colombie-Britannique, selon le cas.

2. Campagne de Vote Leave

72. En ce qui a trait à la campagne de Vote Leave, AIQ a recueilli les adresses électroniques et les noms des partisans de Vote Leave auprès de Vote Leave. Ces renseignements personnels avaient été initialement recueillis par Vote Leave, notamment au moyen de campagnes de publicité qui dirigeaient les gens vers le site Web de Vote Leave, sur lequel ils pouvaient fournir leurs renseignements personnels.
73. L’énoncé de confidentialité de Vote Leave définit les fins auxquelles elle a reçu le consentement afin de recueillir, d’utiliser et de communiquer les renseignements personnels des personnes. Nous notons que ce libellé n’expliquait pas que les renseignements personnels des utilisateurs recueillis au moyen du site Web seraient utilisés ou communiqués à Facebook pour diffuser de la publicité aux personnes sur Facebook et pour bâtir des « auditoires semblables », toujours par l’intermédiaire de Facebook. Par conséquent, à notre avis, cet énoncé de confidentialité n’était pas suffisant pour servir de fondement à AIQ pour établir qu’elle disposait d’un consentement valable en vertu de la PIPA et de la LPRPDE.
74. Il n’en reste pas moins que l’énoncé de confidentialité traite largement de la collecte et de l’utilisation de renseignements personnels en vue de faire participer les partisans à la campagne et de fournir des services en leur nom. La communication des renseignements personnels d’une personne à Facebook pour l’analytique de données, au moyen de la fonctionnalité « auditoires semblables », n’atteint pas l’un ou l’autre de ces objectifs et n’a aucun lien avec ceux-ci. Cette communication vise plutôt à permettre à Facebook de lier les partisans à leurs profils Facebook et à analyser ces profils pour localiser, cibler et persuader d’autres personnes similaires ou qui pensent de la même manière. Cela profite à Vote Leave et ne peut certainement pas être vu d’aucune manière comme l’exécution d’un service au nom de l’électeur dont les renseignements ont été traités.
75. Nous estimons également que la communication à Facebook des adresses électroniques de personnes (potentiellement avec d’autres coordonnées) aux fins de transmission de messages politiques à ces personnes est susceptible de révéler à Facebook leurs sensibilités ou affiliations politiques, ce qui représente des renseignements personnels sensibles.
76. AIQ a affirmé que Facebook est simplement une autre façon de communiquer avec les personnes, qui n’est pas sensiblement différente du courriel. Nous sommes respectueusement en désaccord. À notre avis, une personne qui a initialement fourni son adresse électronique dans le but d’être [traduction] « tenue au courant » ou d’avoir « l’occasion de participer » à une campagne peut s’attendre à être contactée par courriel. Toutefois, elle ne s’attendrait pas à ce que son adresse électronique soit utilisée et communiquée à une entreprise de médias sociaux pour diffuser de la publicité sur sa plateforme, ou toute autre raison inconnue. Autrement dit, l’utilisation et la communication de renseignements personnels à cette fin n’étaient pas précisées dans l’énoncé, et n’étaient pas évidentes aux yeux des personnes qui ont fourni leurs renseignements dans le cadre de la campagne.
77. Par conséquent, la PIPA et la LPRPDE confèrent à AIQ la responsabilité de s’assurer qu’elle s’appuyait sur un consentement explicite pour les travaux qu’elle exécutait au nom de Vote Leave. Toutefois, AIQ n’a pas démontré qu’elle avait cherché à obtenir cette confirmation auprès de Vote Leave. Il est ainsi évident que l’énoncé de confidentialité ne s’étendait pas à la majorité des travaux qu’AIQ effectuait dans le cadre de la campagne de Vote Leave.

3. Campagne BeLeave

78. L’énoncé de confidentialité de la campagne BeLeave ne mentionnait pas expressément l’envoi de masse de messages textes à l’aide de numéros de téléphone mobiles, comme AIQ l’a fait pour ce client. L’énoncé indique toutefois que les renseignements que les personnes ont soumis à propos d’elles-mêmes sur le site BeLeave seront utilisés pour que [traduction] « vous [la personne] soyez au courant de notre campagne, tout particulièrement en ce qui a trait aux occasions de participer à nos activités ». Étant donné que les utilisateurs ont fourni leur numéro de téléphone en vue de participer à la campagne, nous sommes d’avis qu’ils auraient raisonnablement pu s’attendre à être joints par message texte à cette fin.
79. En vertu de la PIPA, AIQ aurait été autorisée à utiliser les renseignements personnels reçus de BeLeave, à condition que les fins auxquelles les renseignements étaient utilisés soient les mêmes que celles indiquées par BeLeave aux personnes en question.
80. Aux termes de la LPRPDE, AIQ devait obtenir le consentement afin d’utiliser les renseignements personnels qu’elle a reçus de BeLeave. Si AIQ souhaitait s’en remettre au consentement obtenu par BeLeave pour ses pratiques pour le compte de ce client, elle aurait été tenue de prendre des mesures raisonnables pour s’assurer que ce consentement était éclairé et valable en vertu de la LPRPDE.
81. AIQ nous a indiqué qu’elle était au fait du consentement obtenu par BeLeave au moyen de son énoncé de confidentialité et qu’on l’avait assurée que ce consentement était suffisant. Nous n’avons trouvé aucun élément permettant d’affirmer qu’AIQ a utilisé des renseignements personnels à des fins autres que celles indiquées dans l’énoncé de confidentialité de BeLeave.

4. Campagnes politiques canadiennes

82. AIQ a fourni des services à plusieurs organisations et campagnes politiques en Colombie-Britannique. Ces entités comprenaient notamment un parti provincial, certains candidats à l’élection provinciale de 2017, un candidat à la chefferie d’un parti provincial et des candidats aux élections municipales de 2018.
83. AIQ a précisé que son travail était autorisé par les lois sur la protection des renseignements personnels et a fourni plusieurs raisons à l’appui de cet argument. Elle a indiqué qu’elle utilisait les renseignements personnels conformément aux fins auxquelles les gens avaient initialement fourni ces renseignements personnels à ses clients. Elle a ajouté qu’elle invitait ses clients à aviser les personnes touchées par la collecte des renseignements personnels.
84. AIQ a aussi fourni à nos enquêteurs des exemples de pages Web de campagnes qu’elle a créées pour ses clients et qui incluaient une case à cocher pour le consentement ou un bouton sur lequel les personnes devaient cliquer pour signaler leur soutien à une campagne donnée. Les sites Web comprenaient aussi des politiques de confidentialité.
85. Les pages Web comprenaient des champs dans lesquels les gens pouvaient saisir leurs coordonnées et les soumettre à la campagne en utilisant les cases à cocher ou les boutons susmentionnés. Les cases à cocher ou les boutons étaient accompagnés de messages tels que [traduction] « comptez sur moi », « inscription », « participez à la campagne » ou « restez au courant ». Lorsqu’une personne fournissait volontairement son adresse électronique ou ses coordonnées à une campagne dans le but d’être informée des mises à jour ou communications relatives à celle-ci, AIQ pouvait s’appuyer sur leur consentement afin que la campagne communique avec eux par ces moyens. Toutefois, des explications supplémentaires seraient requises pour d’autres utilisations de ces mêmes renseignements.
86. Les politiques de confidentialité abordaient dans une certaine mesure l’utilisation des renseignements recueillis au moyen de sites Web de campagnes ou par d’autres moyens, mais elles n’abordaient pas le travail de publicité sur les médias sociaux effectué par AIQ; et celle-ci n’a pas fourni de preuve que les personnes ont donné leur consentement à la communication de leurs renseignements personnels aux fins de publicité en ligne ou d’analytique des données (au moyen « d’auditoires semblables »).
87. Le rapport du CIPVP de la Colombie-Britannique au sujet des partis politiques, qui a été publié en février 2019^{Note de bas de page 6}, a conclu que le fait de communiquer avec une personne sur une plateforme de médias sociaux en utilisant son adresse électronique, par exemple, exige que la personne ait autorisé expressément le parti politique à utiliser son adresse électronique à cette fin. Autrement dit, si une personne fournit son adresse électronique à une campagne, elle s’attend à recevoir des courriels de cette campagne. Cette même action n’est pas considérée comme un consentement donné aux campagnes pour qu’elles utilisent cette adresse électronique dans le but de retrouver des personnes sur les médias sociaux afin de leur diffuser des publicités.
88. En ce qui concerne les « auditoires semblables », le CIPVP de la Colombie-Britannique a également indiqué dans son rapport que la PIPA ne permet pas aux intervenants de communiquer les adresses électroniques de partisans, ou d’autres renseignements permettant d’identifier ces derniers, sur une plateforme de médias sociaux à des fins d’analyse des données ou de profilage sans avoir obtenu le consentement explicite de ces personnes.
89. AIQ n’a pas fourni d’autre preuve que les campagnes politiques pour lesquelles elle avait travaillé ont recueilli le consentement nécessaire au moyen d’autres méthodes. AIQ avait la responsabilité, du point de vue juridique, de prendre des mesures raisonnables afin de s’assurer que le consentement obtenu par un tiers, qu’il invoque pour son utilisation et sa communication des renseignements personnels en question, est adéquat.
90. AIQ a indiqué avoir invité ses clients à afficher sur leur site Web des énoncés de confidentialité clairs ainsi qu’à passer en revue leurs obligations en matière de confidentialité. Cela est peut-être vrai, mais AIQ demeurait tout de même tenue, du point de vue juridique, de vérifier que le consentement obtenu par un tiers, qu’elle invoquait, s’appliquait aux activités qu’elle a effectuées par la suite avec ces données.
91. En ce qui concerne le travail d’AIQ relativement à la course à la mairie à St-John’s (Terre-Neuve-et-Labrador), le CPVP remarque que le consentement n’aurait pas été requis pour la collecte, l’utilisation ou la communication des numéros de téléphone recueillis dans le bottin, étant donné que ces renseignements sont considérés comme accessibles au public^{Note de bas de page 7} en vertu de la LPRPDE.
92. Dans tous les cas, en ce qui concerne les coordonnées obtenues par la campagne par l’intermédiaire de son site Web, nous remarquons qu’AIQ était au fait du libellé utilisé par la campagne pour obtenir le consentement des personnes qui ont fourni leurs renseignements, puisque AIQ a créé le site Web.
93. Ce libellé comprenait un énoncé selon lequel [traduction] « [e]n soumettant ce formulaire, vous acceptez de recevoir des communications de [nom du candidat] en ce qui concerne la présente campagne, ainsi que les futures campagnes, y compris par courriel, message texte (SMS) et téléphone, à moins d’avis contraire de votre part, et vous convenez de l’utilisation de vos coordonnées dans le cadre de toutes nos campagnes, présentes comme futures. Vous pouvez vous désabonner en tout temps. » Cela abordait clairement les types d’activités qu’AIQ effectuait pour le compte de la campagne.

4.4 Constatations et recommandations

94. Constatations : Dans certains cas, notamment au chapitre des travaux d’AIQ pour la course à la mairie et la campagne BeLeave, AIQ était au fait que le libellé du consentement aurait pu être suffisant pour s’appliquer à son traitement des renseignements personnels au nom de ses clients. Dans d’autres cas, notamment au chapitre des travaux d’AIQ pour le compte de SCL, la campagne Vote Leave et les campagnes en Colombie-Britannique : i) soit AIQ n’a pris aucune mesure pour vérifier que le consentement approprié avait été obtenu afin qu’elle puisse l’invoquer, ii) soit AIQ a invoqué un consentement qui n’était pas suffisant pour s’appliquer à toutes ses activités. Par conséquent, nous estimons qu’AIQ ne s’est pas assurée d’obtenir un consentement adéquat pour la collecte, l’utilisation ou la communication de renseignements personnels, conformément aux exigences applicables de la PIPA et de la LPRPDE.
    
    

    Recommandations

    AIQ devrait prendre des mesures raisonnables afin de s’assurer que le consentement qu’elle invoque, qui sert de fondement à sa collecte, à son utilisation ou à sa communication des renseignements personnels pour le compte de ses clients, est conforme à la PIPA et à la LPRPDE, selon le cas.

    Ces mesures raisonnables devraient comprendre des mesures contractuelles, ainsi que d’autres mesures, comme l’examen du libellé du consentement utilisé par le client, pour vérifier que le consentement obtenu par le tiers et invoqué par AIQ expliquerait en effet de façon précise son utilisation et ses communications prévues.

    Si les renseignements personnels en question sont sensibles ou si la collecte, l’utilisation ou la communication de renseignements personnels dépassent toutes les attentes raisonnables de la personne, AIQ devrait s’assurer que le consentement licite a été obtenu pour ses fins. Les renseignements personnels sont souvent sensibles quand ils sont utilisés ou communiqués à des fins politiques, comme nous l’avons remarqué en ce qui concerne l’utilisation par AIQ des renseignements personnels dans la prestation de ses services à SCL et dans la communication des renseignements à Facebook pour SCL et Vote Leave.

Enjeu 3 : AIQ a-t-elle pris des mesures de sécurité raisonnables afin de protéger les renseignements personnels sous sa garde ou sous son contrôle?

95. AIQ a utilisé GitLab dans le cadre de son processus de développement de logiciel. GitLab est une application logicielle libre qui permet à plusieurs développeurs de logiciels de travailler de concert dans le but de développer le même code. Elle est souvent utilisée par les équipes de programmation qui mettent au point des applications logicielles de grande envergure ou complexes.
96. Le 20 mars 2018, un chercheur en cybersécurité aux États-Unis a découvert, sur GitLab, un vaste référentiel de données qui appartenait à AIQ (le référentiel). Dans le référentiel, il a découvert plus de 20 000 dossiers et 113 000 fichiers qu’il a téléchargés. Il nous a informés que le référentiel qu’il a téléchargé n’était pas protégé et qu’il contenait des clés de chiffrement et des justificatifs de connexion pour les bases de données des clients (les bases de données) auxquelles AIQ avait accès.
97. Les renseignements dans les bases de données comprenaient des renseignements personnels de plus de 35 millions de personnes se rapportant à un certain nombre de campagnes politiques partout dans le monde, comme au Royaume-Uni^{Note de bas de page 8} et en Colombie-Britannique, sans compter une campagne d’investiture en vue des élections pour la primaire présidentielle aux États-Unis.
98. Toutefois, le chercheur a affirmé que le référentiel en tant que tel ne contenait pas ces bases de données. Autrement dit, les données téléchargées à partir du référentiel auraient pu fournir le moyen d’accéder aux bases de données, qui étaient stockées ailleurs, car les données comprenaient un certain nombre de noms d’utilisateur, de mots de passe et de clés de chiffrement. Le chercheur en cybersécurité nous a aussi indiqué qu’il n’était pas allé plus loin et qu’il n’avait pas téléchargé les renseignements contenus dans les bases de données. AIQ a affirmé que d’autres mesures de sécurité auraient empêché cet accès.
99. Le chercheur a cependant remarqué que le référentiel qu’il a téléchargé contenait certains renseignements personnels résiduels. Ces dossiers comprenaient des sauvegardes stockées sur le site avec des renseignements sur les électeurs américains admissibles, comme le nom, l’adresse, le numéro de téléphone, le courriel, la date de naissance et, parfois, des renseignements permettant de déterminer si la personne avait des enfants.
100. Le référentiel compromis dans GitLab comprenait aussi des codes pour une application pouvant servir à cibler et à influencer les gens pendant les campagnes électorales, ainsi que pour une autre application visant à obtenir des renseignements à partir d’au moins un réseau social.
101. Le chercheur en cybersécurité a expliqué qu’il était en mesure de trouver le référentiel d’AIQ, car un employé de SCL avait laissé ouvert, sur son propre compte privé GitHub, un script de logiciel qui renvoyait au référentiel d’AIQ dans GitLab. Le chercheur a ensuite ouvert un compte GitLab gratuitement, pour lequel il n’a eu qu’à fournir une adresse électronique, et il a pu visualiser et télécharger certains des fichiers d’AIQ dans GitLab. AIQ prétend que le chercheur a également utilisé des outils logiciels pour contourner de manière illégale les contrôles de sécurité qui limitaient l’accès à certains projets d’AIQ, mais elle n’était pas en mesure de fournir des registres pour le justifier.
102. AIQ a affirmé qu’un journaliste l’avait avertie de l’atteinte à la sécurité des données. Le 26 mars 2018, le chercheur en cybersécurité a publié un reportage au sujet de la découverte du référentiel d’AIQ dans GitLab.
103. AIQ a affirmé sous serment que lorsqu’elle a été avisée de cette atteinte, elle a retiré l’accès au public à ces renseignements personnels. AIQ a aussi avisé le CIPVP de la Colombie-Britannique de cette atteinte potentielle le 25 mars 2018. Elle a lancé une enquête interne au sujet de l’atteinte et elle a informé le CIPVP de la Colombie-Britannique qu’à part le chercheur en cybersécurité, la seule personne non autorisée à avoir consulté ces renseignements était le journaliste susmentionné.
104. Au cours de l’enquête, AIQ a indiqué qu’elle a mis en place les mesures de sécurité suivantes afin d’empêcher qu’un événement semblable ne se reproduise :
     • Amélioration de la formation des employés afin qu’ils comprennent mieux la protection des données et tout particulièrement les pratiques exemplaires en matière de renseignements personnels.
     • Instauration de mesures de sécurité techniques et de procédures administratives qui garantissent qu’aucun renseignement personnel non nécessaire n’est sauvegardé accidentellement dans le référentiel de GitHub.
     • Vérifications constantes des projets en vigueur dans GitHub pour s’assurer qu’aucun renseignement personnel non nécessaire ne s’y trouve.
     • Nouvelle politique afin que tous les projets terminés soient vérifiés et supprimés du référentiel de GitHub dans le mois qui suit l’achèvement du projet. Si une copie de sauvegarde est requise, elle doit être stockée dans un endroit sécuritaire et inaccessible par Internet et ne doit contenir que des renseignements personnels très limités, comme les noms et les adresses des utilisateurs administratifs.
     • Nouvelles mesures de sécurité pour tous ses serveurs et le référentiel de Git (qu’elle a précisé aux deux commissariats).
105. L’article 34 de la PIPA exige que les organisations mettent en place des mesures de sécurité raisonnables afin de protéger les renseignements personnels sous leur garde ou leur contrôle. La LPRPDE établit des exigences similaires afin de protéger les renseignements personnels. Dans ce cas-ci, les défaillances des mesures de sécurité ont entraîné : i) l’atteinte à la sécurité des renseignements personnels, comme il est décrit au paragraphe 99 de ce rapport, et ii) une augmentation de la vulnérabilité des renseignements personnels, dont certains étaient sensibles, d’environ 35 millions de personnes dont les renseignements étaient contenus dans les bases de données des clients d’AIQ.
106. Ce manque de mesures de sécurité est une violation flagrante de la PIPA et de la LPRPDE.

4.5 Constatations et recommandations

107. Constatations : AIQ n’a pas pris de mesures de sécurité raisonnables pour s’assurer que les renseignements personnels sous son contrôle étaient protégés contre l’accès ou la communication non autorisés, ce qui contrevient à l’article 34 de la PIPA et aux exigences similaires des principes 4.7 et 4.7.1 de l’annexe 1 de la LPRPDE qui visent à protéger les renseignements personnels. À notre avis, depuis la fuite, AIQ a remédié à ce problème en mettant en place des mesures de sécurité qui respectent les exigences de l’article 34 de la PIPA et du principe 4.7 de l’annexe 1 de la LPRPDE et qui réduisent fortement les probabilités qu’une fuite de renseignements personnels se reproduise. AIQ a aussi fourni aux deux commissariats une déclaration sous serment indiquant qu’elle a supprimé les renseignements personnels sous son contrôle, comme il est décrit dans la recommandation ci-dessous.
     
     

     Recommandations

     AIQ doit mettre en place et maintenir des mesures de sécurité raisonnables pour s’assurer que les renseignements personnels sous sa garde ou sous son contrôle sont protégés contre l’accès ou la communication non autorisés, comme l’exige l’article 34 de la PIPA et conformément aux exigences similaires du principe 4.7 de l’annexe 1 de la LPRPDE.

     Plus précisément, AIQ doit confirmer qu’elle a, au minimum, mis en place toutes les mesures correctives qu’elle a prévu de mettre en place, comme il est indiqué à la section 4 du présent rapport.

     AIQ doit supprimer tous les renseignements personnels sous sa garde ou sous son contrôle qui ne sont plus nécessaires à des fins juridiques ou commerciales comme l’exige l’article 35 de la PIPA et conformément aux exigences similaires du principe 4.5 de l’annexe 1 de la LPRPDE.

5 Conclusion

AIQ a travaillé pour des campagnes politiques partout dans le monde. Lorsque l’on prend en compte toutes les campagnes auxquelles elle a participé au cours des dernières années, on constate que ses travaux se sont étendus sur quatre continents et ont pris appui sur les renseignements personnels de dizaines de millions de personnes. Cela montre comment la technologie de l’information moderne peut permettre à une petite entreprise (essentiellement une PME ou petite et moyenne entreprise) de s’adonner à des activités dont les répercussions ont un effet d’entraînement à l’échelle mondiale en matière de protection de la vie privée.

Lorsqu’une organisation établie en Colombie-Britannique ou une autre entreprise canadienne travaille pour des clients qui se trouvent dans d’autres territoires de compétence, elle demeure assujettie aux lois canadiennes sur la protection des renseignements personnels. AIQ a démontré qu’elle avait une certaine connaissance des lois sur la protection des renseignements personnels lorsqu’elle a pris l’engagement contractuel avec ses clients d’observer toutes les lois applicables sur la protection des données. L’entreprise était également catégorique lorsqu’elle a dit au Digital, Culture, Media and Sport Committee (comité sur le numérique, la culture, les médias et le sport) du Royaume-Uni qu’elle a agi en tout temps dans le respect des lois sur la protection des renseignements personnels. Toutefois, d’après notre enquête, AIQ a souvent manqué à ses obligations, contrevenant en fin de compte à la fois à la PIPA et à la LPRPDE.

Lorsque l’entreprise a utilisé et communiqué à Facebook les renseignements personnels des partisans de Vote Leave afin d’analyser les caractéristiques de ces partisans (au moyen « d’auditoires semblables ») et d’envoyer des publicités ciblées sur les médias sociaux (au moyen d’auditoires personnalisés), elle est allée au-delà de la portée du consentement que la campagne Vote Leave avait obtenu pour utiliser ces renseignements.

Dans le même ordre d’idées, lorsque AIQ a recueilli des renseignements personnels auprès de SCL afin d’orienter le microciblage des électeurs aux États-Unis, elle a utilisé des renseignements personnels en provenance d’une multitude de sources sans avoir l’assurance que le consentement des intéressés avait été obtenu au préalable. En effet, AIQ a diffusé des annonces ciblées à des gens qui se trouvaient sur des listes de destinataires qui avaient été dressées, dans certaines circonstances, à l’aide de renseignements personnels potentiellement sensibles, comme l’origine ethnique, ou des profils psychographiques établis à partir des renseignements que Facebook a communiqués sans le consentement de ses utilisateurs.

Dans le cadre de son travail pour des campagnes canadiennes, AIQ était souvent au fait du consentement obtenu par ces clients, qu’elle invoquait à ses fins, mais ce consentement ne s’étendait pas toujours aux travaux qu’elle effectuait pour ces campagnes. Par exemple, des gens ont souvent saisi leurs renseignements personnels sur des sites Web pour montrer leur soutien à un candidat ou à des campagnes. Ce faisant, ils auraient consenti à recevoir des nouvelles et des renseignements sur la campagne en question. Toutefois, ce consentement n’allait pas jusqu’à permettre que ces renseignements soient communiqués à Facebook ou à d’autres plateformes de médias sociaux aux fins de diffusion de publicités ciblées ou pour trouver et cibler des personnes similaires au moyen de l’analytique.

AIQ a enfreint les lois sur la protection des renseignements personnels de la Colombie-Britannique et du Canada lorsqu’elle a omis de s’assurer qu’elle avait obtenu un consentement valable des personnes dont elle a recueilli, utilisé ou communiqué les renseignements personnels.

En outre, les mesures de sécurité insuffisantes d’AIQ ont permis l’accès sans autorisation aux renseignements d’électeurs américains, en plus de laisser les renseignements personnels d’environ 35 millions de personnes, dont certains étaient sensibles, dans un état de vulnérabilité accrue sur GitLab jusqu’à leur découverte par un chercheur en cybersécurité. Cette incapacité à protéger les renseignements personnels constitue également une infraction aux lois canadiennes relatives à la protection des renseignements personnels.

Les deux commissariats ont formulé certaines recommandations à AIQ (décrites dans ce rapport) dans le but d’amener AIQ à se conformer à la PIPA et à la LPRPDE. AIQ s’est engagée à mettre en œuvre ces recommandations. Les deux commissariats communiqueront avec AIQ dans environ six mois pour obtenir les preuves nécessaires démontrant que l’entreprise a bel et bien mis en œuvre les recommandations. Nous concluons donc que cette affaire est fondée et conditionnellement résolue.

De manière générale, les circonstances décrites dans le présent rapport ne sont pas propres à AIQ. Le recours au microciblage et à l’analytique pour cibler les électeurs, avec l’aide de tiers, a été signalé ailleurs, tant en Colombie-Britannique^{Note de bas de page 9} qu’à l’étranger^{Note de bas de page 10}. Ce genre de publicité est souvent fondé sur des renseignements reciblés et sensibles, et il peut comprendre des algorithmes qui sont opaques pour les personnes.

Aussi tentants et efficaces que ces outils puissent être, on ne doit pas les utiliser au détriment du droit à la vie privée des personnes. Ce droit en vertu duquel les organisations sont tenues, dans la plupart des cas, d’obtenir un consentement valable pour de telles activités, en expliquant adéquatement aux gens comment leurs renseignements personnels seront recueillis, utilisés ou communiqués.

Le 26 novembre 2019

ORIGINAL [sera] SIGNÉ PAR