Enquête conjointe du Commissariat à la protection de la vie privée du Canada et du Bureau du Commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique au sujet de Facebook, Inc.

Rapport de conclusions

Conclusions en vertu de la LPRPDE n^o 2019-002

Le 25 avril 2019

---

Aperçu

En mars 2018, à la suite d’une plainte, le Commissariat à la protection de la vie privée du Canada (le « Commissariat » ou « le CPVP ») a ouvert une enquête sur Facebook, Inc. (« Facebook ») en ce qui concerne la conformité de cette entreprise à la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») dans la foulée des révélations de la communication, par Facebook, des renseignements personnels de certains de ses utilisateurs à une application tierce (l’« application TYDL »), renseignements que des tiers ont par la suite utilisés pour envoyer des messages politiques ciblés. En avril 2018, le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique (le « CIPVP de la Colombie-Britannique ») s’est joint au processus et les deux organisations ont poursuivi l’enquête ensemble^{Note de bas de page 1}.

L’enquête a porté sur trois sujets généraux visés par la LPRPDE et la Personal Information Protection Act (« PIPA ») de la Colombie-Britannique : i) le consentement des utilisateurs, autant ceux qui ont installé une application que leurs amis, dont les renseignements ont été communiqués par Facebook à des applications, et en particulier à l’application TYDL; ii) les mesures de sécurité contre l’accès et l’utilisation non autorisés par des applications; et iii) la responsabilité quant aux renseignements sous le contrôle de Facebook.

Afin d’entreprendre une enquête impartiale des faits, nous avons demandé à Facebook de nous fournir des renseignements et de nous présenter ses observations. Nous constatons avec déception qu’un grand nombre de nos questions sont restées sans réponse ou n’ont pas reçu de réponse satisfaisante (c’est-à-dire que les réponses étaient incomplètes ou insuffisantes).

D’après les éléments de preuve recueillis au cours de l’enquête, nous pouvons résumer ainsi nos constatations:

1. Facebook n’a pas obtenu le consentement valable des utilisateurs-installateurs. Facebook a compté sur les applications pour obtenir le consentement des utilisateurs aux fins de ses communications aux applications en question, mais Facebook n’a pas été en mesure de prouver : a) que l’application TYDL avait obtenu le consentement valable des utilisateurs pour ses propres fins, y compris possiblement, les fins politiques; ou b) que Facebook a fait des efforts raisonnables, notamment en examinant les communications au sujet de la confidentialité, pour s’assurer que l’application TYDL, et les applications en général, obtenaient le consentement valable des utilisateurs.
2. Facebook n’a pas non plus obtenu le consentement valable des amis des utilisateurs-installateurs. Facebook a eu recours, dans ses communications au sujet de la confidentialité, à un langage trop général et contradictoire qui était manifestement insuffisant pour permettre un consentement valable. Ces dispositions ont été présentées aux utilisateurs, généralement au moment de l’inscription, et avaient trait aux communications pouvant se produire des années plus tard, au profit d’applications inconnues et à des fins inconnues. Facebook a également compté déraisonnablement sur les installateurs-utilisateurs pour obtenir un consentement au nom de chacun de leurs amis, parfois par centaines, afin de communiquer les renseignements de ces amis à une application, même si les amis en question n’étaient pas au courant de la communication.
3. Les mesures de sécurité prévues par Facebook étaient insuffisantes pour protéger les renseignements des utilisateurs. Facebook s’est fiée aux modalités des ententes conclues avec les applications pour prévenir l’accès non autorisé aux renseignements des utilisateurs et a ensuite mis en place une surveillance superficielle et essentiellement réactive (et donc inefficace) pour veiller au respect de ces modalités. En outre, Facebook n’a pas pu prouver qu’elle avait pris des mesures d’application en ce qui concerne le non-respect de ces
4. Facebook a enfreint le principe de responsabilité quant aux renseignements d’utilisateurs dont elle a la gestion. Facebook n’a pas pris la responsabilité d’appliquer concrètement les mesures de protection de la vie privée pour ses utilisateurs. Elle a renoncé à sa responsabilité quant aux renseignements personnels dont elle a la gestion, transférant de fait cette responsabilité de façon presque exclusive aux utilisateurs et aux applications. Facebook a continué de se fonder sur un libellé de consentement trop général et sur des mécanismes de consentement qui n’étaient pas appuyés par une mise en œuvre concrète. Ses mesures de sécurité concernant la confidentialité, de même que la mise en œuvre de ces mesures de sécurité, étaient superficielles et n’ont pas protégé comme il se doit les renseignements personnels des utilisateurs. Les mesures constituaient a donné lieu à un cadre de protection sans portée réelle.

Ces manquements sont extrêmement graves à la lumière du fait qu’en 2009, lors d’une enquête sur Facebook, le Commissariat avait déjà constaté des infractions liées à l’obtention d’un consentement trop général et non éclairé pour les communications de renseignements personnels à des applications tierces, ainsi qu’à l’insuffisance de la surveillance pour prévenir l’accès non autorisé par ces applications. Nous estimons que si Facebook avait mis en œuvre les recommandations formulées par le Commissariat de façon réelle et efficace et non de façon mécanique et superficielle, elle aurait évité ou considérablement atténué le risque d’accès et d’utilisation non autorisés des renseignements personnels des Canadiens par des applications tierces.

Compte tenu de nos conclusions dans ce rapport, nous avons formulé plusieurs recommandations, afin de permettre à Facebook de se conformer à la LPRPDE et la PIPA, et de garantir qu’elle s’engage en permanence à faire respecter, à l’avenir, les lois canadiennes relatives à la protection des renseignements personnels. Nous sommes déçus que Facebook ait rejeté d’emblée, ou ait refusé, de mettre en œuvre nos recommandations d’une manière que nous jugeons acceptables. Il s’agit là d’un constat très inquiétant étant donné les engagements publics pris par Facebook à collaborer avec les organismes de réglementation et à remédier à l’« abus de confiance » découlant de ces événements.

Nous sommes d’avis que le risque demeure élevé de voir les des renseignements personnels des Canadiens communiqués à des applications et être utilisés sans que les utilisateurs y aient consenti ou s’y attendent.

Contexte et portée du rapport

1. Le 19 mars 2018, le Commissariat à la protection de la vie privée du Canada (le « Commissariat » ou « le CPVP ») a reçu une plainte concernant la conformité de Facebook, Inc. (« Facebook ») à la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »). La plaignante s’inquiétait du fait que Cambridge Analytica ait eu accès aux données privées de millions d’utilisateurs de Facebook sans leur consentement, et que ces données aient été utilisées pour réaliser une modélisation psychographique à des fins politiques.
2. Plus précisément, la plaignante a demandé que le Commissariat se penche plus largement sur la conformité de Facebook à la LPRPDE afin de s’assurer que les renseignements des utilisateurs canadiens de Facebook ne sont pas compromis et que Facebook prend des mesures adéquates pour protéger, à l’avenir, les données privées des Canadiens.
3. Le 23 mars 2018, le Commissariat a informé Facebook de la plainte et a signalé à Facebook qu’une enquête serait ouverte sur les allégations selon lesquelles Facebook aurait autorisé notamment Cambridge Analytica à accéder de manière inappropriée aux renseignements provenant d’utilisateurs de facebook.com, à leur insu et sans leur consentement, et que Facebook ne disposait pas de mesures de sécurité suffisantes pour empêcher cet accès, en plus de l’utilisation inappropriée ultérieure des renseignements personnels des utilisateurs de facebook.com.
4. Comme nous l’exposons ci-dessous, cet accès a été obtenu en passant par une application tierce de Facebook, appelée « thisisyourdigitallife » (l’« application TYDL » ou l’« application »).
5. Le Commissariat et le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique (le « CIPVP de la Colombie-Britannique ») ont enquêté cette affaire ensemble.
6. Notre analyse porte sur la période au cours de laquelle l’application TYDL était active, c’est-à-dire entre novembre 2013 et décembre 2015 (la « période visée »). Toutefois, l’analyse et les constatations présentées ci-dessous tiennent également compte des constatations formulées par le Commissariat à l’issue de son enquête menée sur Facebook en 2009.
7. L’enquête et le Rapport de conclusions (le présent « rapport ») du Commissariat et du CIPVP de la C.-B. portent sur les obligations de Facebook qui découlent de la LPRPDE et de la Personal Information Protection Act (« PIPA »). Le présent rapport n’examine pas autrement les pratiques de l’application TYDL elle-même ou de toute autre organisation ou personne mentionnée dans le présent rapport. Il ne tire pas non plus de conclusions quant à leurs activités ou obligations ou à celles d’autres parties en ce qui concerne la LPRPDE et la PIPA.

Méthodologie

8. Au cours de l’enquête, nous avons examiné des renseignements provenant de sources diverses, y compris des sources ouvertes, les déclarations que nous ont faites Facebook et d’autres parties, les entrevues avec des tiers, les témoignages et les transcriptions d’audiences publiques, l’analyse technique, la recherche universitaire, les rapports préparés par d’autres organismes de réglementation (y compris le commissariat à l’information du Royaume-Uni), ainsi que les éléments de preuve et les rapports fournis par les comités parlementaires au Canada et à l’étranger.
9. Afin de garantir que Facebook ait la possibilité d’expliquer sa position, nous lui avons demandé plusieurs fois de fournir des renseignements sur une base volontaire. Nous sommes déçus de constater que Facebook a dépassé à répétition les dates d’échéance pour répondre volontairement à nos demandes et a fourni des réponses incomplètes ou insuffisantes à plusieurs de nos questions, dont certaines restent sans réponse.
10. Nous avons eu une rencontre avec Facebook le 14 décembre 2018 au cours de laquelle nous avons présenté les éléments qui nous préoccupent et entrepris une discussion en vue d’une résolution. Après avoir pris connaissance des observations supplémentaires de Facebook, nous avons alors envoyé un rapport d’enquête préliminaire à Facebook le 7 février 2019, dans lequel étaient exposées et expliquées les raisons de nos conclusions préliminaires et avons formulé cinq recommandations, dans le but de permettre à Facebook de se conformer à la LPRPDE et à la PIPA. Le 4 mars 2019, Facebook a fourni sa réponse à ce rapport. Au cours des trois semaines suivantes, nous avons poursuivi nos discussions avec Facebook afin d’exposer de manière plus détaillée nos recommandations. Le 27 mars 2019, Facebook a présenté à notre bureau sa réponse à nos recommandations, qui n’abordait pas adéquatement ces dernières. Nous avons considéré toutes les observations de Facebook et les avons reflétées, si approprié, dans le présent rapport.

« Plate-forme » de Facebook et applications tierces

11. L’information fournie dans la présente section est fondée sur les déclarations que Facebook nous a faites au cours de cette enquête et des précédentes.
12. Depuis novembre 2007, Facebook met à la disposition de tiers une plate-forme (la « plate-forme ») qui leur permet d’intégrer leurs produits et services à Facebook. Les tiers peuvent notamment afficher dans l’environnement Facebook des applications comme des jeux, des questionnaires, des horoscopes et des petites annonces, et utiliser la fonction « Connexion avec Facebook » dans des applications et des sites Web externes, comme des services de suivi de l’activité physique ou des services de diffusion de films et de musique en continu. En 2018, plus de 40 millions d’applications et de sites étaient intégrés à Facebook^{Note de bas de page 2}.
13. Un des éléments centraux de la plate-forme est l’interface de programmation d’applications « Graph » (« API Graph »), grâce à laquelle les développeurs d’applications tierces peuvent lire les données provenant de Facebook et écrire des données dans Facebook.
14. Au cours de la période visée, il y a eu deux versions de l’API Graph : « Graph v1 », puis « Graph v2 ». L’annonce du passage de Graph v1 à Graph v2 a eu lieu le 30 avril 2014. Le changement s’est fait immédiatement pour les applications lancées après l’annonce, mais les applications qui existaient déjà (comme l’application TYDL) ont eu jusqu’à mai 2015 pour s’y préparer.
15. Avec Graph v1, les développeurs d’applications pouvaient demander l’autorisation d’accéder aux renseignements des utilisateurs d’une application, mais également aux renseignements des amis de ces utilisateurs. Avec Graph v2, la plupart des applications ne pouvaient plus demander d’autorisation concernant les amis d’un utilisateur d’application, et l’API Graph ne leur permettait donc pas d’obtenir ces renseignements. Facebook a indiqué qu’elle continuait d’approuver certaines applications, y compris celles d’organisations telles que Netflix, Microsoft, Spotify et la Banque Royale du Canada (RBC)^{Note de bas de page 3} et qu’il leur était permis d’accéder à diverses fonctions, notamment l’accès aux données des utilisateurs, en dehors de Graph v2.
16. Le passage à Graph v2 a également compris la mise en place d’un programme de contrôle d’applications que Facebook appelle « App Review ». Au titre de ce programme, les applications qui souhaitent obtenir davantage que les « renseignements de base » que Facebook communique par défaut (c.-à-d. le profil public de l’utilisateur, son adresse électronique et la liste de ses amis qui ont déjà utilisé l’application) doivent d’abord être examinées par Facebook en fonction des politiques de celle-ci. Ce n’est qu’une fois l’approbation donnée que l’application pourra demander aux utilisateurs l’autorisation de recevoir les renseignements personnels recherchés.
17. Facebook a affirmé avoir reçu, du 30 avril 2014 au 2 avril 2018, dans le cadre du programme App Review, 590 827 demandes de développeurs d’applications souhaitant d’obtenir davantage que les renseignements fournis par défaut. Parmi ces demandes, 299 175 ont été rejetées en totalité (c.-à-d. que la demande du développeur d’applications a été refusée), 28 305 ont été partiellement rejetées (c.-à-d. qu’une partie des autorisations demandées par le développeur ont été acceptées, et une partie a été refusée) et 263 347 ont été approuvées (c.-à-d. qu’on a permis au développeur de demander aux utilisateurs de son application l’autorisation de recevoir les renseignements).

Enquête sur Facebook menée par le CPVP en 2009

18. En 2009, le CPVP a mené une enquête sur Facebook, examinant entre autres les communications de renseignements à des applications tierces sur la plate-forme^{Note de bas de page 4}. Dans ses conclusions, le CPVP a fait état de ses préoccupations quant à l’ampleur des communications et à l’absence de consentement éclairé quant aux communications, à la fois pour les utilisateurs qui ont installé les applications et pour leurs amis. À cette époque, le CPVP avait recommandé que Facebook mette en œuvre des mesures relativement aux applications tierces :
    1. pour limiter l’accès des développeurs d’applications aux renseignements des utilisateurs qui ne sont pas nécessaires au fonctionnement de l’application;
    2. par lesquelles, dans chaque cas, les utilisateurs seraient informés des renseignements qu’une application requiert et des fins y afférentes;
    3. par lesquelles, dans chaque cas, on cherche à obtenir le consentement exprès des utilisateurs à ce que les développeurs aient accès à ces renseignements;
    4. interdisant toute communication de renseignements personnels des utilisateurs qui n’ajoutent pas eux-mêmes une application.
19. Le 16 juillet 2009, le CPVP a publié son rapport définitif, dans lequel il indiquait que Facebook refusait de mettre en œuvre ces mesures. Selon le rapport définitif, Facebook : i) n’a pas obtenu le consentement valable de ses utilisateurs (y compris celui des amis des utilisateurs d’applications) pour communiquer leurs renseignements et ii) disposait de mesures de sécurité inadéquates pour s’assurer que les développeurs d’applications respectaient les politiques de Facebook.
20. Le 17 août 2009, Facebook a écrit au CPVP et a déclaré [traduction] « vouloir, comme le CPVP, garantir le respect de la confidentialité des données des utilisateurs en ce qui concerne l’utilisation d’applications tierces et s’assurer, plus précisément, que les développeurs d’applications agissent de manière responsable quant à ces données ». Facebook a affirmé avoir [traduction] « attentivement étudié la meilleure façon de répondre aux préoccupations du CPVP tout en tenant compte des attentes des utilisateurs dans le contexte des réseaux sociaux ». Facebook a proposé de répondre aux préoccupations du CPVP en mettant en place un modèle de « permissions » pour les applications tierces. L’entreprise s’est engagée à prendre les mesures suivantes :
    1. Modifier l’API Graph de façon à [traduction] « empêcher les applications d’avoir accès à des renseignements sans le consentement explicite des utilisateurs pour chaque catégorie de renseignements personnels visée ». Ce consentement serait demandé au moyen d’une boîte de dialogue affichée lors de l’installation de l’application.
    2. S’assurer que la boîte de dialogue susmentionnée comprend un [traduction] « lien pratique menant à un énoncé rédigé en langage simple et clair par le développeur de l’application afin d’expliquer à quoi serviront les renseignements auxquels il accède ».
    3. Mettre en place des limites techniques pour s’assurer que les applications accèdent uniquement aux renseignements personnels pour lesquels l’accès a été demandé, et pour permettre aux utilisateurs de choisir quelles données sont communiquées à chaque application (étant entendu que si une application a besoin de certains renseignements pour fonctionner, l’utilisateur en sera informé et son consentement explicite serait obtenu pour chaque élément requis).
    4. Mettre des mécanismes à la disposition des utilisateurs pour bloquer les applications ou pour changer les renseignements auxquels une application pourrait avoir accès en supprimant l’application et en l’autorisant de nouveau (c.-à-d. en la réinstallant).
    5. Surveiller le respect des obligations contractuelles par les développeurs d’applications tierces. L’entreprise a déclaré qu’elle [traduction] « continuerait de surveiller les applications pour repérer toute infraction aux politiques sur les données décrites dans la Déclaration des droits et responsabilités de Facebook et dans les lignes directrices de la plate-forme de Facebook »; [traduction] « continuerait d’effectuer des examens trimestriels proactifs des applications les plus utilisées sur la plate-forme et de procéder à des “vérifications ponctuelles” de toute application potentiellement problématique utilisant la plate-forme »; et, [traduction] « si elle constate qu’une application a enfreint les politiques de Facebook, examinerait (s’il y a lieu) les autres applications de ce développeur ou mènerait des vérifications ponctuelles sur des applications ou catégories d’applications semblables pour vérifier si des problèmes ou infractions semblables ont eu lieu. Bien évidemment, les applications qui ne respectent pas ces politiques seraient, s’il y a lieu, désactivées ».
    6. Communiquer davantage de renseignements à l’intention des utilisateurs au sujet du modèle de permissions.
21. À la lumière de ces engagements, à l’époque, le CPVP n’a pas donné suite à la recommandation d’interdire totalement la communication de renseignements concernant les amis d’un utilisateur.
22. Toutefois, il convient de noter qu’avant l’enquête du CPVP en 2009, et avant les engagements subséquents de Facebook (qui ont été mis en œuvre en 2010), les développeurs d’applications tierces pouvaient obtenir par défaut presque tous les renseignements concernant un utilisateur et ses amis, et ce, sans informer les utilisateurs des renseignements qui étaient obtenus. Le modèle de [traduction] « permissions » décrit par Facebook était donc, en supposant qu’il soit correctement mis en œuvre, une première étape importante en vue d’offrir aux utilisateurs de Facebook des mesures parfaitement élémentaires de protection de la vie privée.

L’application « thisisyourdigitallife »

23. L’information fournie dans la présente section découle des déclarations que nous a faites Facebook, des témoignages publics d’autres personnes, y compris M. Aleksandr Kogan et le PDG de SCL, Alexander Nix. L’annexe B donne une version plus détaillée de l’information résumée ci-après.
24. En novembre 2013, M. Kogan, professeur-chercheur à l’Université de Cambridge, a lancé une application sur la plate-forme Facebook. L’application portait différents noms, notamment l’« application TYDL ». L’application TYDL invitait ses utilisateurs à remplir un test de personnalité, dont les réponses étaient analysées de concert avec les renseignements communiqués par Facebook via les autorisations de l’application TYDL, dans la mesure permise par ses autorisations. L’application TYDL a fait valoir à Facebook que les résultats de l’analyse serviraient à mener de la [traduction] « recherche universitaire ». En guise de récompense, les utilisateurs de l’application TYDL (les « utilisateurs-installateurs ») recevaient une somme nominale par le biais d’un service d’Amazon appelé « Mechanical Turk » et une firme de sondage, Qualtrics.
25. Compte tenu de la date, l’application TYDL a été lancée sur la plate-forme Facebook avec la version Graph v1. L’application TYDL a donc pu demander aux utilisateurs-installateurs de permettre la communication de renseignements allant au-delà des renseignements de profil de base, et ce, sans passer par le programme App Review qui a été lancé en avril 2014. Plus précisément, lors de l’accès par un utilisateur-installateur, l’application TYDL, au moyen de la boîte de dialogue d’installation de Facebook, demandait à celui-ci l’autorisation de communiquer non seulement ses propres renseignements, mais aussi ceux de ses « amis » (les « utilisateurs touchés »). Avec ces renseignements, M. Kogan établissait des profils de personnalité et les pointages connexes liés aux renseignements et aux profils Facebook des utilisateurs.
26. Tout au long de sa présence sur la plate-forme, grâce à l’API Graph, et conformément à son modèle de permissions, Facebook a communiqué les renseignements suivants à l’application TYDL sur les « utilisateurs-installateurs » :
    • des données sur le profil « public »^{Note de bas de page 5} (nom, sexe, identifiant Facebook, photo de profil, photos de couverture et réseaux auxquels l’utilisateur appartient);
    • la date de naissance;
    • la ville de résidence (si elle figure dans la section « À propos » du profil de l’utilisateur);
    • les pages « aimées » par l’utilisateur;
    • la liste d’« amis ».
27. Pour un sous-ensemble d’utilisateurs-installateurs, Facebook a également communiqué les publications et les messages « privés » des utilisateurs à l’application TYDL, si les utilisateurs-installateurs concernés avaient donné les autorisations nécessaires à l’application TYDL. Facebook affirme que seuls les messages des utilisateurs-installateurs ont été communiqués, et non ceux des utilisateurs touchés. En outre, pour cinq utilisateurs-installateurs associés à M. Kogan, l’application TYDL a reçu l’adresse électronique et les photos des utilisateurs-installateurs.
28. Facebook a communiqué les renseignements suivants à l’application TYDL au sujet des utilisateurs touchés, si ces derniers n’avaient pas désactivé la plate-forme de façon proactive, n’avaient pas décidé de façon proactive de ne pas partager de renseignements avec les applications utilisées par leurs amis et n’avaient pas partagé les renseignements avec « tout le monde » ou avec leurs « amis » seulement^{Note de bas de page 6} :
    • des données sur le profil « public » (nom, sexe, identifiant Facebook, photo de profil, photos de couverture et réseaux auxquels l’utilisateur appartient);
    • la date de naissance;
    • la ville de résidence (si elle figure dans la section « À propos » du profil de l’utilisateur);
    • les pages « aimées » par l’utilisateur.
29. Le 6 mai 2014, une semaine après l’annonce par Facebook du lancement de Graph v2 et d’App Review, M. Kogan a demandé à Facebook de lui donner un accès permanent aux renseignements qui étaient disponibles à l’application TYDL avec la version Graph v1, en plus des permissions étendues suivantes : date de naissance, ville natale, ville de résidence, études, religion, opinions politiques, situation amoureuse, mentions « J’aime », intérêts, photos, événements, activités physiques pratiquées, livres et publications lus, musique écoutée, nouvelles consultées, lieux visités, fil de nouvelles, fils de messagerie et publications affichées des utilisateurs qui avaient installé l’application TYDL. Selon Facebook, dans le cadre de sa demande, M. Kogan a indiqué à Facebook que les résultats de l’analyse devaient être utilisés dans le contexte de la « recherche universitaire » et a décrit l’application TYDL comme suit :

    [TRADUCTION] « Il s’agit d’une application de recherche utilisée par des psychologues. Les autorisations demandées permettent à l’équipe de recherche d’obtenir de l’information sur un ensemble varié de comportements sociaux qu’ont les utilisateurs. Cette application est utilisée dans des études au cours desquelles nous établissons des liens entre les caractéristiques psychologiques et les comportements (habituellement évalués à l’aide de questionnaires) et les données sur le comportement numérique, à savoir les renseignements de Facebook. Nous avons l’intention d’utiliser ces données pour mieux comprendre de quelle façon les mégadonnées peuvent être utilisées pour tirer de nouveaux enseignements quant au bien-être des gens, à leurs traits de caractère et à d’autres attributs psychologiques. » [Caractères gras ajoutés par Facebook.]

30. Le 7 mai 2014, Facebook a répondu à M. Kogan rejetant sa demande au motif que l’application TYDL n’avait pas besoin des données demandées pour fonctionner. Plus précisément, Facebook a écrit :

    [TRADUCTION] « Votre application n’utilise pas les données obtenues grâce à cette autorisation pour améliorer l’expérience liée à l’application. Veuillez consulter les documents sur la manière d’utiliser les autorisations en vue de créer une expérience liée à l’application de qualité supérieure et unique pour l’utilisateur. » [Caractères gras ajoutés par Facebook.]

    Facebook a fait valoir ce qui suit devant nous :

    [TRADUCTION] « En résumé, la demande de M. Kogan a été rejetée parce que l’application TYDL demandait plus de données que ce qui lui était nécessaire pour fonctionner et n’avait pas besoin d’utiliser ces données pour améliorer l’expérience liée à l’application de l’utilisateur. »

31. Le 26 juillet 2014, M. Kogan a fourni une nouvelle description de l’application TYDL à Facebook, supprimant la déclaration selon laquelle il n’utiliserait pas les données recueillies à des fins commerciales.
32. Selon Facebook, en mai 2015, l’application TYDL a cessé de recevoir des renseignements sur les utilisateurs touchés.
33. Le 11 décembre 2015, le journal The Guardian a publié un article affirmant que Cambridge Analytica (une filiale de SCL Elections Ltd., membre du groupe d’entreprises SCL, collectivement « SCL ») a utilisé les données que lui aurait fournies M. Kogan (et provenant prétendument de Facebook) pour cibler des électeurs lors de la course à l’investiture du parti républicain pour l’élection présidentielle des États-Unis.
34. Seulement à la suite de la publication de cet article, 19 mois après avoir rejeté la demande de l’application TYDL visant à élargir les autorisations (qui comprenait les autorisations auxquelles l’application TYDL avait déjà accès) et 7 mois après avoir fait passer l’application TYDL à Graph v2, Facebook a désactivé celle-ci de sa plate-forme. Facebook a aussi communiqué avec M. Kogan et Cambridge Analytica pour demander qu’ils suppriment toute donnée recueillie auprès des utilisateurs de Facebook ou tirée de données d’utilisateurs de Facebook. Facebook a aussi demandé une attestation de la suppression des données.
35. En 2016 et en 2017, Facebook a obtenu une confirmation et une attestation des diverses parties concernées que l’information, et ses dérivés, que Facebook avait communiquée à l’application TYDL avait été supprimée^{Note de bas de page 7}.
36. En mars 2018, le journal The Guardian a publié un article et une entrevue avec Christopher Wylie détaillant l’utilisation par Cambridge Analytica et SCL Elections des données tirées des renseignements des utilisateurs de Facebook (les utilisateurs-installateurs et les utilisateurs touchés) communiqués par Facebook à M. Kogan. Des listes de personnes fondées sur certaines caractéristiques ont ensuite été utilisées pour cibler des messages politiques destinés à des groupes très précis selon ces profils psychologiques (y compris en créant des « auditoires personnalisés » aux fins de publicités ciblées sur Facebook)^{Note de bas de page 8}.
37. Pendant qu’elle était sur la plate-forme, l’application TYDL a été ajoutée par environ 300 000 utilisateurs-installateurs à travers le monde, dont 272 ont été reconnus comme se trouvant au Canada. Facebook indique que cela a mené à la communication potentielle de renseignements personnels d’environ 87 000 000 utilisateurs touchés dans le monde, dont 622 000 utilisateurs au Canada^{Note de bas de page 9}.
38. La SCL (la société mère de Cambridge Analytica) a calqué les profils psychologiques, et certaines données brutes de Facebook, d’environ 30 000 000 d’utilisateurs américains de Facebook. Ces renseignements ont été transférés par M. Kogan à SCL. SCL a utilisé ces profils, conjointement avec d’autres données personnelles obtenues auprès d’autres sources pour créer des profils de personnes très détaillés, riches et multidimensionnels et pour cibler des personnes à l’aide de messages politiques directs afin d’appuyer les diverses campagnes de leurs clients^{Note de bas de page 10}.
39. Selon les dirigeants de l’entreprise d’analyse canadienne AggregateIQ Data Services Ltd. (« AggregateIQ »), et d’autres personnes témoignant devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique et devant le Digital, Culture, Media and Sport Committee (comité sur le numérique, la culture, les médias et le sport) du Royaume-Uni, SCL fournissait des listes de personnes (selon les profils psychologiques modélisés de M. Kogan et SCL) à cibler aux fins de publicité politique par AggregateIQ. Ce système a été mis en œuvre et appuyé au moyen de l’utilisation d’autres outils de Facebook, y compris la création d’« auditoires personnalisés », un outil conçu pour que les entreprises créent un auditoire d’utilisateurs pouvant être ciblés aux fins de marketing et de publicité sur Facebook^{Note de bas de page 11}.
40. AggregateIQ et son rôle dans tout cela font l’objet d’une enquête commune distincte menée par le Commissariat et le CIPVP de la Colombie-Britannique.

Incidence sur les Canadiens

41. Comme l’indique le paragraphe 37, les renseignements de quelque 622 000 utilisateurs au Canada, y compris des utilisateurs en Colombie-Britannique, ont été communiqués par Facebook à l’application TYDL comme ils étaient « amis » avec les utilisateurs-installateurs.
42. Le tableau ci-dessous présente une répartition des utilisateurs-installateurs et des utilisateurs touchés canadiens par province :

    Répartition des utilisateurs-installateurs et des utilisateurs touchés canadiens par province

    Province/territoire	Utilisateurs-installateurs	Utilisateurs touchés
    Colombie-Britannique	33	92 208
    Alberta	42	80 895
    Saskatchewan	4	20 509
    Manitoba	7	27 445
    Ontario	142	299 793
    Québec	35	78 157
    Nouveau-Brunswick	4	17 633
    Nouvelle-Écosse	5	21 537
    Île-du-Prince-Édouard	0	2 818
    Terre-Neuve-et-Labrador	3	9 861
    Yukon	0	647
    Territoires du Nord-Ouest	0	768
    Nunavut	1	300

Analyse et constatations

Section 1 – Compétence

43. Facebook affirme que le Commissariat et le CIPVP de la Colombie-Britannique n’ont pas compétence pour enquêter sur le sujet soulevé dans la plainte. En particulier, Facebook affirme qu’il n’y a aucun élément de preuve attestant que M. Kogan a fourni à Cambridge Analytica/SCL des données concernant les utilisateurs canadiens de Facebook et que les éléments de preuve disponibles montrent que M. Kogan n’a pas fourni à SCL des données concernant les utilisateurs de Facebook situés au Canada, mais seulement des données concernant les utilisateurs de Facebook situés aux États-Unis. Facebook affirme que, par conséquent, le sujet de la plainte n’a pas de lien avec le Canada
44. Même si la plainte a été présentée dans le contexte de préoccupations concernant l’accès aux renseignements personnels des utilisateurs de Facebook par Cambridge Analytica, tel qu’il est indiqué ci-dessus, la plainte demandait précisément un examen global de la conformité de Facebook à la LPRPDE pour s’assurer que les renseignements personnels des utilisateurs canadiens de Facebook n’ont pas été compromis et qu’ils sont bien protégés. De plus, nous avons informé Facebook que l’enquête permettrait d’examiner les allégations selon lesquelles Facebook a autorisé notamment Cambridge Analytica à accéder de manière inappropriée aux renseignements personnels des utilisateurs et qu’elle n’avait pas des mesures de sécurité suffisantes pour empêcher ces accès.
45. En ayant à l’esprit ce contexte et la portée de la plainte, l’enquête a examiné, en particulier, les communications par Facebook des renseignements personnels des utilisateurs canadiens à l’application TYDL. Les paragraphes 41 et 42 du présent rapport décrivent l’incidence de l’application TYDL sur les Canadiens et fournissent un tableau de statistiques sur le nombre d’installateurs-utilisateurs et d’utilisateurs touchés par province. De plus, comme nous l’avons indiqué tout au long de l’enquête et du rapport d’enquête préliminaire, l’enquête a examiné la communication par Facebook des renseignements personnels aux applications tierces en règle générale, laquelle comprenait des millions d’utilisateurs canadiens de Facebook. Par conséquent, nous sommes d’avis qu’il y a un lien clair et évident avec le Canada en ce qui concerne les questions soulevées dans la plainte et l’enquête.
46. La compétence du Commissariat ne dépend pas de la question étroite de savoir s’il peut prouver que les renseignements personnels des Canadiens avaient, en fin de compte, été communiqués à SCL. Quoi qu’il en soit, selon les déclarations faites par Facebook et des faits connus du cas, il n’existe aucune garantie que les renseignements personnels des Canadiens n’aient pas été communiqués à SCL.
47. Facebook affirme en outre que le CIPVP de la Colombie-Britannique n’a aucune compétence en la matière en vertu de l’article 3 de la PIPA. En ce qui concerne cette question, la PIPA s’applique aux activités de Facebook réalisées dans la province de la Colombie-Britannique, conformément au décret d’exclusion (DORS/2004-220)^{Note de bas de page 12}.

Section 2 – Consentement des utilisateurs-installateurs

48. Selon la LPRPDE, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir (article 4.3 de l’annexe 1 de la LPRPDE). Suivant le principe que la connaissance et le consentement sont tous deux nécessaires, l’article 4.3.2 prévoit que les organisations doivent faire un effort raisonnable pour s’assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Cette disposition indique également que, afin que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués (article 4.3.2 de l’annexe 1 de la LPRPDE). Toujours selon la LPRPDE, pour l’application de l’article 4.3 de l’annexe 1, le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti (article 6.1 de la LPRPDE^{Note de bas de page 13}). De même, selon l’article 10 de la PIPA), avant ou au moment de recueillir des renseignements personnels, une organisation doit communiquer à la personne les fins de la collecte des renseignements.
49. Tel qu’il est indiqué ci-dessus, pendant que l’application TYDL se trouvait sur la plate-forme, Facebook lui a communiqué les renseignements suivants au sujet des utilisateurs-installateurs au moyen de son modèle de permissions :
    • des données sur le profil « public » (nom, sexe, identifiant Facebook, photo de profil, photos de couverture et réseaux auxquels l’utilisateur appartient);
    • la date de naissance;
    • la ville de résidence (si elle figure dans la section « À propos » du profil de l’utilisateur);
    • les pages « aimées » par l’utilisateur;
    • la liste d’« amis ».
50. Pour les sous-ensembles d’utilisateurs-installateurs, Facebook a également communiqué l’adresse de courriel, les publications, les photos et les messages « privés » des utilisateurs. Facebook affirme que les photos et les adresses électroniques de moins de dix utilisateurs-installateurs, chacun d’entre eux étant associé à M. Kogan, ont été rendues accessibles à l’application TYDL. En ce qui concerne les « messages privés », M. Kogan a déclaré au Royaume-Uni qu’entre 1 000 à 2 000 personnes ont pris part aux études révélant des messages privés. Il a en outre témoigné que de tels messages n’étaient pas transmis à SCL.

Les observations de Facebook concernant le consentement des utilisateurs-installateurs

51. Facebook affirme avoir obtenu le consentement des utilisateurs-installateurs pour rendre certains de leurs renseignements personnels accessibles à l’application TYDL (et, par ailleurs, à toute application tierce installée par les utilisateurs) conformément au principe du consentement, s’appuyant sur son [traduction] « processus de notification et de consentement ». Cela comprend une combinaison : i) des pratiques de traitement des renseignements personnels généraux de Facebook, telles qu’elles sont définies dans ses politiques publiques; ii) de [traduction] l’« autorisation de partage de données granulaires », des options intégrées aux fins de contrôle par l’utilisateur et de l’information relative à ce contrôle^{Note de bas de page 14}; iii) de ressources éducatives pour les utilisateurs à consulter au cours du processus d’inscription et après, y compris sa visite virtuelle (pour les nouveaux utilisateurs)^{Note de bas de page 15} et [traduction] « Vérification de la confidentialité » (pour les utilisateurs existants); iv) de communications aux utilisateurs-installateurs par l’application TYDL lors de son installation.
52. D’abord, Facebook affirme que tous les utilisateurs de Facebook doivent accepter les conditions d’utilisation lorsqu’ils créent leur compte. Ces conditions d’utilisations ont été établies dans deux politiques publiques alors intitulées Déclaration des droits et responsabilités et Politique d’utilisation des données.
53. En novembre 2013, lorsque l’application TYDL a été lancée, la Déclaration des droits et responsabilités se lisait en partie comme suit :

    « Lorsque vous [utilisateur] utilisez une application, celle-ci est susceptible de solliciter votre autorisation afin de pouvoir accéder à vos contenus et informations ainsi qu’à ceux que d’autres personnes ont partagés avec vous. Nous [Facebook] requérons des applications qu’elles respectent la confidentialité de vos données, et c’est l’accord que vous donnez à une application qui détermine dans quelle mesure celle-ci est libre d’utiliser, de conserver et de transférer ces contenus et informations. (Pour obtenir plus d’informations au sujet de la Plate-forme et apprendre notamment de quelle manière vous pouvez contrôler les types d’informations pouvant être partagés avec d’autres personnes par le biais des applications, nous vous invitons à consulter notre Politique d’utilisation des données et la page de la plate-forme.) [Nous soulignons.]

54. En novembre 2013, la Politique d’utilisation des données se lisait en partie comme suit :

    « Contrôle des informations qui sont communiquées aux applications

    [...] Lorsque vous vous connectez à un jeu, une application ou un site web (parfois appelés « applications » ou « apps »), par exemple en accédant à un jeu, en vous connectant à un site web à l’aide de votre compte Facebook ou en ajoutant une application à votre journal, nous leur communiquons vos informations de base (parfois appelées « profil public »), qui incluent votre identifiant et vos informations publiques. Nous leur communiquons également les identifiants de vos amis (parfois regroupés sous le terme « liste de vos amis ») comme faisant partie de vos informations générales.

    Votre liste d’amis permet à l’application de rendre votre expérience plus sociale, car elle vous permet de trouver vos amis qui utilisent cette application. Votre identifiant permet à l’application de personnaliser votre expérience, car elle peut relier votre compte sur cette application à votre compte Facebook et accéder à vos informations de base, qui incluent vos informations publiques et la liste de vos amis. Il s’agit des informations que vous avez choisi de rendre publiques, ainsi que des informations qui sont toujours publiques. Si l’application a besoin d’informations supplémentaires, telles que vos actualités, photos ou mentions J’aime, elle doit vous demander une autorisation spécifique.

    Le paramètre « Applications » vous permet de contrôler les applications que vous utilisez. Vous pouvez voir les autorisations que vous avez accordées à ces applications, la dernière fois qu’une application a accédé à vos informations, et le public sur Facebook qui peut voir les actualités sur votre journal et l’activité que l’application publie en votre nom. Vous pouvez également supprimer les applications que vous ne souhaitez plus utiliser ou désactiver toutes les applications de la plate-forme. Si vous désactivez toutes les applications de la plate-forme, votre identifiant n’est plus transmis aux applications, même si vos amis utilisent ces applications. En revanche, vous n’êtes plus en mesure d’utiliser les jeux, les applications ou les sites web via Facebook. […]

    Parfois, une console de jeu, un téléphone portable ou tout autre dispositif peut demander l’autorisation de partager des informations spécifiques avec les jeux et les applications que vous utilisez sur ce dispositif. Si vous consentez à cette demande, ces applications ne peuvent pas accéder à d’autres informations sans autorisation spécifique préalable de votre part ou de celle de vos amis. »

    [...] Vous avez toujours la possibilité de supprimer des applications installées à l’aide de vos paramètres Applications^{Note de bas de page 16}.

55. Facebook soutient que les communications aux utilisateurs dans la Déclaration des droits et responsabilités et la Politique d’utilisation des données fournissent de l’information importante sur la manière dont Facebook communique des renseignements à des applications tierces et sur la manière dont les utilisateurs peuvent exercer un contrôle sur cette communication. Facebook soutient que tous les utilisateurs acceptent ces conditions d’utilisations lorsqu’ils créent un compte sur Facebook et en continuant d’en faire l’utilisation.
56. En plus du libellé sur la communication utilisé, Facebook affirme qu’elle a aussi fourni aux utilisateurs plusieurs moyens de contrôler les renseignements que Facebook rendrait accessibles à des applications tierces et que, dans tous les cas, les utilisateurs ayant installé des applications avaient reçu des communications supplémentaires sur l’application installée ainsi que des demandes d’autorisation supplémentaires au moment où ils ont ajouté l’application (si l’application souhaitait obtenir d’autres données que les « renseignements de base », les « renseignements publics » et la « liste d’amis »). Facebook soutient aussi qu’elle a fourni aux utilisateurs plusieurs mesures de contrôle pour désactiver les applications qu’ils avaient préalablement installées, et la capacité de désactiver complètement la plate-forme.
57. Facebook soutient qu’en 2013, lorsqu’un utilisateur installait une application, une boîte de dialogue précisant les renseignements que l’application demandait de façon détaillée leur était présentée. Facebook a fourni des exemples de saisies d’écran de ces boîtes de dialogue (pour les applications autres que l’application TYDL). Nous constatons que selon les saisies d’écran, les utilisateurs se seraient vu présenter de l’information précise, et non des choix, sur les renseignements demandés par l’application. Facebook soutient que les utilisateurs pouvaient choisir de ne pas installer l’application. Nous avons remarqué que la boîte de dialogue d’installation n’aurait pas décrit les fins auxquelles ces renseignements étaient demandés, comment ils seraient utilisés ou communiqués pour parvenir à ces fins ni les conséquences potentielles associées au fait de donner les autorisations demandées.
58. Pour les utilisateurs-installateurs, Facebook prétend que cette boîte de dialogue aurait indiqué que l’application TYDL recevrait les renseignements décrits dans les sections sur le contexte ci-dessus. Nous avons demandé à Facebook de nous fournir les saisies d’écran pertinentes de l’application TYDL, mais Facebook n’a pas été en mesure de les produire étant donné qu’à l’époque les communications étaient générées par le système et ne pourraient être produites de façon rétroactive pour une application qui n’est pas fonctionnelle depuis trois ans.
59. En 2014, la boîte de dialogue d’installation de l’application décrite ci-dessus a été modifiée, un modèle de permissions mis à jour ayant été mis en place pour permettre aux utilisateurs de [traduction] « désélectionner » certaines catégories de renseignements demandés par une application.
60. Facebook soutient que des paramètres et des contrôles semblables étaient accessibles en tout temps à partir de la page « Paramètres des applications » des utilisateurs.
61. Facebook soutient aussi que chaque application devait fournir un lien fonctionnel menant à une politique de confidentialité et que les utilisateurs étaient en mesure de voir ce lien dans la boîte de dialogue d’installation de l’application, la page « Paramètres des applications » et à partir de la page Facebook de l’application.
62. À deux reprises pendant que l’application TYDL elle était sur la plate-forme, Facebook lui a envoyé un avis selon lequel le robot Web automatisé de Facebook avait détecté que l’application n’offrait pas de lien fonctionnel menant à une politique de confidentialité, tel que cela est décrit dans les sections sur le contexte ci-dessus. Facebook a indiqué que, dans chacun des cas, l’application TYDL avait modifié l’adresse URL en moins d’une journée et que le message d’avertissement ne s’affichait plus. Nous avons demandé à Facebook de nous fournir une copie de la politique de confidentialité de l’application TYDL, mais, tout comme les saisies d’écran demandées, Facebook n’a pas été en mesure de la produire.
63. En fait, Facebook a confirmé qu’elle n’a jamais examiné la politique de confidentialité de l’application TYDL. Facebook a également confirmé qu’elle n’a jamais tenté de déterminer si l’application TYDL avait cherché de manière adéquate à obtenir un consentement pour accéder aux renseignements personnels des utilisateurs-installateurs. Facebook a fait valoir que, compte tenu du volume d’application sur sa plate-forme, il serait [traduction] « trop coûteux » d’examiner les politiques de confidentialité des applications tierces ou de s’assurer que ces applications décrivent adéquatement comment les renseignements des utilisateurs obtenus sur Facebook seront utilisés ou de nouveau communiqués.
64. Bien que Facebook n’ait pas été en mesure de produire une saisie d’écran de la description de l’application de TYDL qui aurait été présentée aux utilisateurs-installateurs, Facebook a bien produit une saisie d’écran, qui lui a été fournie par M. Kogan, indiquant que les utilisateurs-installateurs ont peut-être vu la courte déclaration suivante juste avant d’ajouter l’application TYDL à Facebook :

    [Traduction]

    « Merci de participer à notre étude! À ce stade, nous aimerions en savoir plus à votre sujet en téléchargeant certains renseignements à partir de votre profil Facebook. Nous allons télécharger des données démographiques comme vos mentions « J’aime », une liste de vos amis (qui sera automatiquement rendue anonyme), le fait que vos amis se connaissent ou non et certains de vos messages.

    Votre confidentialité et votre sécurité sont très importantes pour nous. Toutes vos données seront stockées de façon anonyme sur un serveur chiffré. Vos données seront utilisées uniquement à des fins de recherche pour nous aider à comprendre le mode de pensée et les comportements des gens. Nous ne communiquerons jamais vos données à des entreprises et lorsque nous présenterons vos données dans des projets de recherche, ce sera toujours sous forme regroupée.

    Pour nous communiquer vos données, vous devez d’abord entrer votre identifiant MTurk, puis simplement ouvrir une session ci-dessous et autoriser notre application à recueillir vos données. Cela ne prendra qu’un instant. »

65. Facebook affirme qu’avec le modèle d’autorisation de partage de données granulaires et les ressources éducatives supplémentaires décrites ci-dessus, Facebook a respecté ses engagements pris auprès du Commissariat en 2009, tel qu’ils sont décrits aux alinéas 20a) à d) et f), selon lequel il veillerait à ce que les utilisateurs d’applications soient adéquatement informés et puissent contrôler la manière dont Facebook communiquerait les renseignements à des applications tierces. Plus précisément, Facebook soutient que les autorisations de partage de données granulaires ont effectivement permis aux utilisateurs d’applications de limiter les renseignements que les applications obtiendraient par défaut^{Note de bas de page 17}, de bloquer des applications, de limiter (à l’aide de moyens techniques) les renseignements reçus par les applications et de faire en sorte que les utilisateurs reçoivent un lien menant à une politique de confidentialité de la part d’un développeur d’applications au cours du processus d’installation de l’application.
66. Facebook n’adhère pas au point de vue du Commissariat voulant que le partage de données dans le contexte de la plate-forme de Facebook constitue une communication par Facebook, affirmant qu’elle ne [traduction] « communique » pas les renseignements des utilisateurs à des applications tierces. Plutôt, Facebook avance qu’elle accorde un [traduction] « accès » à ces renseignements à l’application une fois que l’utilisateur a donné son consentement explicite au moyen de son modèle d’autorisation de partage de données granulaires.
67. Facebook soutient en outre, notamment, que l’application TYDL n’avait accès à aucune donnée sur l’utilisateur-installateur que l’utilisateur-installateur n’avait pas [traduction] « choisi » de communiquer à l’application TYDL.
68. Enfin, Facebook prétend qu’elle a simplement mis en œuvre les mesures que le Commissariat avait acceptées à l’issue de son enquête de 2009, et que le Commissariat avait indiqué à Facebook en 2010 que ces mesures étaient suffisantes pour se conformer à la LPRPDE. Nous abordons ce sujet aux paragraphes 83 et 84 de notre rapport.

Analyse concernant le consentement des utilisateurs-installateurs

69. Pour les motifs qui suivent, nous sommes d’avis que Facebook n’a pas obtenu le consentement valable des utilisateurs-installateurs pour la communication de leurs renseignements à l’application TYDL.
70. À titre préliminaire, conformément aux conclusions que le Commissariat a tirées en 2009, nous sommes d’avis que si Facebook fournit l’accès à des renseignements dont elle a la gestion à des applications tierces au moyen de son API Graph, cela constitue une communication par Facebook. Par conséquent, aux termes de la LPRPDE, Facebook est tenue de s’assurer que les utilisateurs sont informés de cette communication et d’obtenir un consentement valide.
71. Afin que le consentement soit considéré comme étant valable, les organisations doivent informer les personnes de leurs pratiques en matière de confidentialité de manière claire, détaillée et compréhensible. La communication de ces renseignements devrait être indiquée en temps opportun, afin que les utilisateurs disposent d’une information et d’un contexte pertinents pour prendre une décision éclairée avant que leurs renseignements personnels ne soient recueillis, utilisés ou communiqués. Depuis juin 2015, la LPRPDE prévoit également que le consentement d’un intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’il comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti.
72. Facebook compte sur les applications pour obtenir un consentement de la part des utilisateurs-installateurs pour la communication de ces renseignements personnels d’utilisateurs à l’application. Au cours de la période visée, Facebook a soutenu qu’avant qu’une application soit installée, les utilisateurs-installateurs se seraient vu présenter une boîte de dialogue d’installation de l’application fournissant de l’information sur les catégories de renseignements qui seraient reçues en cas d’installation, ainsi qu’un lien menant à la politique de confidentialité pour l’application. Facebook affirme que cela aurait été le cas pour l’application TYDL.
73. Nous avons demandé à Facebook les saisies d’écran de l’installation de l’application TYDL pour établir l’information véritablement donnée aux utilisateurs-installateurs lorsqu’ils installaient l’application TYDL. Facebook n’a pas été en mesure de produire cette information. Au lieu de cela, elle a fourni une explication quant à son modèle de permissions et des exemples de renseignements fournis par d’autres applications sur la plate-forme qui sont, selon elle, généralement représentatifs.
74. Ces exemples représentatifs font état du fait que, lorsqu’une application nécessite certains renseignements d’un utilisateur comme condition d’installation, les écrans ne fournissent pas d’explications quant aux fins auxquelles ces renseignements ont été sollicités ni les conséquences potentielles qui pourraient découler de la communication de ces renseignements. Dans son modèle de permissions, Facebook a plutôt exigé que les applications comprennent un lien menant à une politique de confidentialité. Cependant, Facebook n’a également pas été en mesure de nous fournir une copie de la politique de confidentialité de l’application TYDL à laquelle les utilisateurs sont censés avoir eu accès pendant l’installation.
75. Nous remarquons que les saisies d’écran produites par Facebook des communications ayant possiblement été fournies par l’application TYDL aux utilisateurs-installateurs (au paragraphe 64, susmentionné) montrent que les renseignements étaient utilisés aux fins de recherche et qu’il n’y a aucune mention de toute autre utilisation.
76. Si la description des fins de l’application TYDL (voir le paragraphe 29, susmentionné) est une quelconque indication de l’information fournie aux utilisateurs-installateurs lorsqu’ils ont installé l’application, cette information n’aurait pas permis aux utilisateurs-installateurs de comprendre les fins potentiellement inquiétantes et inhabituelles pour lesquelles les renseignements personnels de bon nombre d’utilisateurs auraient ultimement été utilisés (c.-à-d. à des fins politiques). Facebook soutient qu’il n’existe aucune preuve qui confirme que des renseignements de Canadiens ont été utilisés à cette fin. Néanmoins, les utilisateurs canadiens étaient soumis aux mêmes conditions d’utilisation de Facebook, et au même modèle de permissions. Leurs renseignements personnels (et ceux de leurs amis) ont été communiqués à l’application TYDL (et autres tierces parties de façon générale) et analysés pour faire un profil psychosocial. Par conséquent, les Canadiens n’ont pas été informés que leurs renseignements personnels risquaient d’être utilisés à des fins de microciblage politique.
77. Au bout du compte, Facebook n’a pas été en mesure de nous communiquer aucun élément de preuve fiable relatif aux communications que les utilisateurs auraient vu pendant l’installation de l’application TYDL, ou selon lequel ces communications étaient en réalité suffisantes pour appuyer un consentement valable.
78. De plus, nous sommes d’avis que la portée du libellé de la Déclaration des droits et responsabilités et de la Politique d’utilisation des données aurait été trop large pour pouvoir servir de fondement à un consentement valable à la communication de renseignements personnels à l’application TYDL. Même si un utilisateur avait trouvé et lu le passage pertinent dans ces documents, qui comptent 4 500 et 9 100 mots respectivement, ces documents ne soulignaient pas les fins auxquelles Facebook aurait communiqué ses renseignements personnels à l’application TYDL ou les autres conséquences potentielles de ces communications.
79. Nous avons conclu par le passé que, dans certaines circonstances, les organisations peuvent compter sur le consentement obtenu par des organisations tierces. Toutefois, une organisation qui s’en remet à une tierce partie pour obtenir un consentement devrait prendre des mesures raisonnables pour s’assurer que la tierce partie obtient un consentement valable. Au bout du compte, une organisation qui se fie à un consentement obtenu par une tierce partie est tout de même tenue de s’acquitter de ses obligations aux termes de la Loi.
80. Nous constatons que Facebook contrôle la communication d’un volume énorme de renseignements potentiellement sensibles sur des centaines de millions d’utilisateurs à des millions d’applications. Le degré de sophistication des organisations qui recueillent des renseignements personnels par l’intermédiaire de ces applications, et la façon dont elles communiquent leurs pratiques de protection de ces renseignements aux utilisateurs varient considérablement. Dans ce contexte, Facebook : i) utilise une politique standard selon laquelle les applications doivent fournir un lien vers une politique de confidentialité qui indique aux utilisateurs les données qu’elles vont utiliser et comment elles comptent les utiliser; et ii) vérifie uniquement que le lien est fonctionnel. À notre avis, cela n’est pas suffisant pour garantir que ses utilisateurs ont accordé un consentement valable.
81. Plus précisément, nous estimons qu’en se fiant à un lien menant vers la politique de confidentialité de l’application sans jamais vérifier que ce lien mène effectivement vers une politique de confidentialité expliquant les fins auxquelles les renseignements personnels de l’utilisateur seront utilisés, Facebook ne fait pas un effort raisonnable pour s’assurer que les utilisateurs reçoivent l’information dont ils ont besoin pour appuyer un consentement valable.
82. Par conséquent, à notre avis, Facebook n’a pas démontré qu’elle obtient un consentement valable pour la communication de renseignements aux applications^{Note de bas de page 18}.
83. Enfin, nous n’acceptons pas l’affirmation de Facebook selon laquelle elle respectait les engagements dont elle avait convenu avec le Commissariat à la suite de notre enquête de 2009. En 2009-2010, le Commissariat a consenti à un cadre ou une approche générale selon laquelle Facebook pourrait obtenir un consentement auprès des utilisateurs qui installent une application tierce par l’intermédiaire de son modèle de permissions. La mise à l’essai subséquente de ce modèle par le Commissariat a confirmé que, mécaniquement, le modèle de permissions : i) fournissait uniquement à une application l’accès à des catégories de renseignements qui ont été précisées à l’utilisateur, et seulement une fois que celui-ci a cliqué sur « autorisé »; et ii) nécessitait que l’application affiche un lien (lequel était supposé mener vers la politique de confidentialité de l’application).
84. Cependant, tel qu’il est expliqué en détail ci-dessus, le Commissariat estime que Facebook n’a pas mis ce modèle en œuvre d’une façon qui garantit l’obtention d’un consentement valable. Plus précisément, Facebook n’a pas vérifié que le [traduction] « lien fonctionnel » qui s’affichait pendant l’installation menait vers un document qui expliquait les pratiques de confidentialité de l’application ni que ces explications étaient suffisantes pour appuyer un consentement valable pour la communication des renseignements d’utilisateur à l’application par Facebook. Un cadre ou une approche générale ne peut garantir une véritable protection à moins qu’il ne comporte des renseignements utiles pour les utilisateurs dont les renseignements personnels doivent être communiqués. Il ne peut y avoir de consentement explicite, condition pour laquelle la commissaire Stoddart s’est dite satisfaite en 2010 à l’égard du cadre de Facebook, à moins qu’il repose sur des renseignements valables. En l’absence de tels renseignements pour les utilisateurs, le cadre était en fait une « coquille vide ».

Conclusion

85. À notre avis et compte tenu de ce qui précède, Facebook n’a pas fait d’efforts raisonnables pour s’assurer que les utilisateurs étaient suffisamment informés pour donner un consentement valable afin de consentir à la communication de renseignements personnels à l’application TYDL et autres applications en général, conformément aux articles 4.3 et 4.3.2 de la LPRPDE et à l’article 10 de la PIPA. Il s’ensuit que, en ce qui concerne tout téléchargement de l’application TYDL ayant eu lieu après juin 2015^{Note de bas de page 19}, Facebook a de plus négligé de respecter l’article 6.1 de la LPRPDE.

Section 3 – Consentement des utilisateurs touchés

86. Tel qu’il est énoncé dans la section 1, la LPRPDE et la PIPA prévoient que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir (article 4.3 de l’annexe 1 de la LPRPDE; article 10 de la PIPA). Suivant le principe que la connaissance et le consentement sont tous deux nécessaires, l’article 4.3.2 prévoit que les organisations doivent faire un effort raisonnable pour s’assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. La disposition précise également que, pour que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués (article 4.3.2 de l’annexe 1 de la LPRPDE). La LPRPDE prévoit que la façon dont une organisation obtient le consentement peut varier selon les circonstances et la nature des renseignements recueillis. En général, l’organisation devrait chercher à obtenir un consentement explicite si les renseignements sont susceptibles d’être considérés comme sensibles (article 4.3.6 de l’annexe 1 de la LPRPDE). La Loi prévoit en outre que dans l’obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes (article 4.3.5 de l’annexe 1 de LPRPDE et article 11 de la PIPA).
87. Tel qu’il est indiqué ci-dessus, Facebook a communiqué à l’application TYDL les renseignements ci-dessous sur les utilisateurs touchés qui avaient partagé leurs renseignements avec « tout le monde » ou avec des « amis seulement » et n’avait pas désactivé la plate-forme de manière proactive :
    • des données sur le profil « public » (nom, sexe, identifiant Facebook, photo de profil, photos de couverture et réseaux auxquels l’utilisateur appartient);
    • la date de naissance;
    • la ville de résidence (si elle figurait dans la section « À propos » du profil de l’utilisateur);
    • les pages « aimées » par l’utilisateur.

Observations de Facebook devant nous concernant le consentement des utilisateurs touchés

88. Facebook affirme qu’elle a obtenu le consentement valable des utilisateurs touchés en ce qui concerne la communication de leurs renseignements à l’application TYDL.
89. Comme pour les utilisateurs-installateurs, Facebook s’appuie sur son [traduction] « processus de notification et de consentement » pour justifier la légitimité de la communication des renseignements des utilisateurs touchés à des applications. Ce processus comprend une combinaison de i) politiques axées sur les utilisateurs; ii) de [traduction] l’« autorisation de partage de données granulaires », des options intégrées aux fins de contrôle par l’utilisateur et de l’information relative à ce contrôle et iii) des ressources éducatives pour les utilisateurs à consulter au cours du processus d’inscription et après, y compris [traduction] « la visite virtuelle » (pour les nouveaux utilisateurs) et « Bilan confidentialité » (pour les utilisateurs existants).
90. Facebook a fait des observations supplémentaires concernant l’avis donné aux utilisateurs touchés et le consentement de ces derniers.
91. Facebook soutient aussi que, comme pour les utilisateurs-installateurs, les paramètres disponibles pour tous les utilisateurs ont permis aux utilisateurs touchés de faire des choix quant à la manière dont Facebook communique leurs renseignements aux applications que leurs amis utilisent. Facebook soutient que les paramètres ont permis aux utilisateurs touchés de désactiver toute communication aux applications utilisées par leurs amis, mais aussi de désactiver la plate-forme complètement. Facebook affirme que ces paramètres étaient disponibles en tout temps pour tous les utilisateurs.
92. Facebook soutient en outre qu’il était indiqué en détail comment les renseignements des utilisateurs sur Facebook pouvaient être communiqués dans la Politique d’utilisation des données (que tous les utilisateurs auraient eu à accepter en s’inscrivant à Facebook). En plus du passage souligné dans la section 1 ci-dessus, la Politique d’utilisation des données contenait une section, sous la rubrique « Autres sites Web et applications », qui se lit comme suit :

    « Contrôle de ce qui est communiqué lorsque des personnes qui ont accès à vos informations utilisent des applications.

    Tout comme lorsque vous communiquez des informations par courrier électronique ou n’importe où ailleurs sur le web, les informations que vous publiez sur Facebook peuvent être republiées ailleurs. Cela signifie que si vous publiez quelque chose sur Facebook, toute personne qui peut y accéder peut permettre à d’autres (comme des jeux, des applications ou des sites web qu’ils utilisent) d’y accéder.

    Vos amis et les autres personnes avec qui vous communiquez fréquemment souhaitent partager vos informations avec des applications afin d’obtenir une expérience plus personnalisée et sociale. Par exemple, un de vos amis pourrait souhaiter utiliser une application de musique qui lui permet de voir ce que ses amis écoutent. Pour profiter pleinement de cette application, votre ami doit permettre à l’application d’accéder à sa liste d’amis (ce qui comprend votre identifiant d’utilisateur) pour qu’elle puisse savoir lesquels de vos amis l’utilisent également. Votre ami souhaite également indiquer à l’application la musique que vous avez indiqué aimer sur Facebook. Si vous avez rendu cette information publique, l’application peut alors y accéder comme n’importe qui d’autre. Mais si vous n’avez ouvert vos intérêts qu’avec vos amis, l’application doit demander à votre ami de l’autoriser à y accéder.

    Vous pouvez contrôler la plupart des informations que d’autres peuvent communiquer à des applications à l’aide de votre page de paramètres Applications. Mais ces contrôles ne vous permettent pas de limiter l’accès à vos informations publiques et à la liste de vos amis.

    Si vous voulez empêcher complètement les applications d’obtenir des informations lorsque vos amis et d’autres personnes les utilisent, vous devez désactiver toutes les applications basées sur la plate-forme Facebook. Ceci signifie que vous ne pouvez plus utiliser de jeux de tiers, d’applications ou de sites web intégrés à Facebook.

    Lorsqu’une application demande la permission à quelqu’un d’autre de pouvoir accéder à vos informations, cette application sera autorisée à utiliser cette information uniquement en rapport avec la personne qui a donné cette permission et personne d’autre.

    Par exemple, certaines applications utilisent des informations telles que votre liste d’amis pour personnaliser votre expérience et vous indiquer quels sont ceux de vos amis qui utilisent cette application particulière. »

93. Facebook affirme que par l’intermédiaire de ses canaux de communication, y compris les moyens susmentionnés, elle a clairement indiqué aux utilisateurs que i) les applications que l’utilisateur a installées pouvaient accéder à des renseignements variés sur l’utilisateur et ses amis; ii) des amis pouvaient repartager les renseignements des utilisateurs avec les applications et iii) les utilisateurs pouvaient contrôler les données partagées par leurs amis en ajustant leurs paramètres.
94. Facebook affirme qu’aucun renseignement sur les utilisateurs touchés n’a été communiqué à l’application TYDL si les paramètres de l’utilisateur touché interdisaient ces communications.
95. Facebook affirme en outre que l’application TYDL a demandé l’autorisation aux utilisateurs-installateurs de recevoir des renseignements sur les utilisateurs touchés et que les utilisateurs-installateurs ont donné ce consentement en installant l’application TYDL. Par voie de conséquence ou implicitement, les utilisateurs touchés qui ont « partagé » des renseignements avec des utilisateurs-installateurs ont en fait donné leur consentement aux utilisateurs-installateurs en ce qui concerne la communication des renseignements à l’application TYDL.
96. Facebook nous a verbalement fait savoir que [traduction] « c’est comme cela que les applications de Facebook fonctionnent et que tout le monde en était au courant ».
97. Enfin, Facebook a affirmé que ce modèle de consentement correspondait aux engagements qu’elle a pris, et que le Commissariat a acceptés, en 2009, de donner aux utilisateurs un contrôle plus précis sur les renseignements communiqués à des applications tierces, y compris en donnant aux utilisateurs la capacité d’empêcher toutes les applications, y compris celles installées par leurs amis, d’accéder à leurs renseignements ou à des catégories de leurs renseignements.

Analyse concernant le consentement des utilisateurs touchés

98. Pour les motifs qui suivent, nous pensons que Facebook n’a pas obtenu le consentement adéquat auprès des utilisateurs touchés en ce qui concerne la communication de leurs renseignements personnels à l’application TYDL ou à d’autres applications installées par leurs amis.
99. Afin que le consentement soit considéré comme étant valable, les organisations doivent informer les personnes de leurs pratiques en matière de confidentialité de manière claire, détaillée et compréhensible. La communication de cette information devrait être faite en temps opportun, afin que les utilisateurs disposent de l’information pertinente pour prendre une décision éclairée avant que leurs renseignements personnels ne soient recueillis, utilisés ou communiqués.
100. En ce qui a trait au consentement des utilisateurs touchés aux communications à des applications tierces, Facebook compte en partie sur le libellé de sa Politique d’utilisation des données et un libellé semblable que l’on trouve à divers endroits, comme les pages d’aide.
101. Selon nous, le libellé de la Politique d’utilisation des données et de la Déclaration des droits et responsabilités (voir les paragraphes 92 et 54, au cours de la période visée, comportait des déclarations générales renvoyant à de potentielles communications de renseignements très variés à des personnes ou des à des organisations très variées, à des fins très variées. Par exemple, la Politique d’utilisation des données indiquait ce qui suit aux utilisateurs :

     « Si vous publiez quelque chose sur Facebook, toute personne qui peut y accéder peut permettre à d’autres (comme des jeux, des applications ou des sites web qu’ils utilisent) d’y accéder. Vos amis et les autres personnes avec qui vous communiquez fréquemment souhaitent partager vos informations avec des applications afin d’obtenir une expérience plus personnalisée et sociale. » [Non souligné dans l’original.]

102. Par conséquent, pour quelque application que ce soit, y compris l’application TYDL, les utilisateurs touchés n’avaient aucun moyen de vraiment savoir quels renseignements personnels seraient communiqués à quelle application et à quelles fins. En outre, nous constatons que les utilisateurs auraient généralement accepté la Politique d’utilisation des données au moment de s’inscrire à Facebook. Nous ne trouvons pas qu’il soit raisonnable de s’attendre à ce que les utilisateurs donnent à l’avance un consentement à une communication de leurs renseignements personnels qui pourrait avoir lieu des années plus tard, à des applications inconnues et à des fins inconnues.
103. De plus, le libellé de la Politique d’utilisation des données indique que la communication de renseignements à des applications aurait lieu lorsque cela permettrait à l’utilisateur-installateur d’obtenir une expérience plus personnalisée et sociale en utilisant ces applications. De tels termes sont trop vagues pour qu’un utilisateur puisse bien comprendre les fins auxquelles ses renseignements pourraient être utilisés par des applications inconnues téléchargées à son insu à une date ultérieure.
104. Quoi qu’il en soit, dans le cas de l’application TYDL, il ne semble pas y avoir d’aspect social associé à la communication des renseignements d’amis à l’application. Sur ce seul fondement, le libellé de la Politique d’utilisation des données ne suffisait pas pour obtenir un consentement pour des communications à l’application TYDL.
105. De plus, le contrôle intégré qui permet aux utilisateurs de Facebook de choisir entre partager des renseignements personnels avec « tout le monde », des « amis uniquement » ou un public personnalisé n’offre pas la protection à laquelle un utilisateur pourrait s’attendre. Cette réalité aurait manifestement entraîné de la confusion chez les utilisateurs qui, compte tenu de ce paramètre, ont pu penser que leurs renseignements seraient partagés avec des « amis uniquement », alors qu’en fait ces renseignements ont quand même pu être communiqués à des applications tierces installées par les amis d’un utilisateur.
106. Il est possible que cette confusion ait été exacerbée davantage par Facebook dans sa Politique d’utilisation des données laquelle expliquait la distinction entre partager avec « tout le monde » et partager avec des « amis » : les renseignements partagés avec « tout le monde » seront visibles par n’importe qui sur Facebook et en dehors, y compris des applications tierces; tandis que les renseignements partagés avec des « amis » ne seront visibles que par des amis uniquement. Cette explication aurait forcément donné à un grand nombre d’utilisateurs l’impression que les renseignements partagés avec les « amis uniquement » (ou avec un groupe plus restreint d’amis grâce au « public personnalisé » n’auraient pas été communiqués à des applications installées par leurs amis, en particulier s’ils n’ont pas vu d’autres messages contradictoires dans la Politique d’utilisation des données que leurs renseignements pouvaient être communiqués aux applications des amis.
107. Nous reconnaissons que les utilisateurs touchés disposaient d’une mesure de contrôle relativement aux applications tierces utilisées par leurs « amis ». Par exemple, un utilisateur pouvait désactiver la plate-forme, même si elle était activée par défaut, et choisir les renseignements qui étaient communiqués aux applications de manière générale. Toutefois, Facebook n’a fourni aucun mécanisme pour indiquer quelles applications les « amis » d’un utilisateur avaient installées, et quelles applications pourraient par conséquent recueillir de l’information à partir du profil de l’utilisateur. Les seules options des utilisateurs touchés auraient été de désactiver toutes les applications ou de limiter les renseignements que l’ensemble des applications étaient en mesure de recevoir, sans savoir quelles applications leurs « amis » utilisaient. Facebook n’a pris aucune mesure raisonnable pour aviser les utilisateurs touchés que Facebook communiquait des renseignements à une application précise ou pour décrire les fins et le contexte précis de ces communications.
108. Il incombait à Facebook de s’assurer que les renseignements adéquats étaient présentés pour veiller à ce que les utilisateurs aient connaissance de ses communications et y consentent. Selon nous, elle ne l’a pas fait en ce qui concerne la communication des renseignements des utilisateurs touchés à l’application TYDL, ou plus généralement aux applications installées par leurs amis.
109. De plus, lorsque des renseignements personnels sensibles sont recueillis, utilisés ou communiqués d’une manière qui n’est pas conforme aux attentes d’un utilisateur, un consentement explicite est requis. Selon nous, les comptes des utilisateurs de Facebook peuvent contenir de nombreux renseignements potentiellement sensibles, dont ceux qui se trouvent dans le profil, les très nombreux renseignements sur le comportement ainsi que le contenu des « messages privés ». Or, la majorité de ceux-ci sont des renseignements que les utilisateurs, au moyen de leurs paramètres de confidentialité, n’ont pas choisi de partager avec le grand public. À notre avis, des personnes ne s’attendraient pas raisonnablement à ce qu’une organisation communique des renseignements personnels, qu’ils ont considérés comme étant assez sensibles pour les limiter à des « amis uniquement », à des organisations tierces, à des fins autres que l’exploitation des propres services de Facebook.
110. Dans ce contexte, nous sommes d’avis que Facebook aurait dû obtenir le consentement explicite pour chaque application avant de communiquer tout renseignement personnel dont l’utilisateur touché avait limité la communication à ses « amis uniquement ».
111. Facebook prétend également qu’elle avait obtenu un consentement quant à la communication des renseignements personnels des utilisateurs touchés à l’application TYDL du fait de la décision de l’utilisateur-installateur d’installer l’application. À notre avis, il n’est pas raisonnable pour Facebook de se fonder sur le consentement donné par l’utilisateur-installateur dans ce contexte. Plus particulièrement, nous remarquons que chaque utilisateur-installateur aurait pu avoir des centaines d’amis et aucun d’entre eux n’aurait eu connaissance de la communication de ses renseignements personnels à l’application TYDL, encore moins des fins auxquelles ils sont communiqués.
112. Même si le Commissariat reconnaît que Facebook a amélioré ses pratiques en matière de consentement relativement à la communication de renseignements personnels aux applications à la suite de son enquête de 2009, l’enquête a soulevé certaines des mêmes préoccupations constatées par le Commissariat dix ans plus tôt, y compris le fait que Facebook continue de se fonder sur un libellé à portée excessive dans l’espoir d’obtenir le consentement pour sa communication de renseignements d’amis aux applications.
113. Nous n’acceptons pas l’affirmation de Facebook selon laquelle elle se conformait simplement au modèle de consentement accepté par le Commissariat pour résoudre cet aspect de notre enquête de 2009. Quoi qu’il en soit, en nous fondant sur les faits et l’analyse de cette enquête, nous ne croyons pas que Facebook ait obtenu le consentement adéquat des utilisateurs touchés ou, plus généralement, des amis d’utilisateurs qui ont installé ces applications.

Conclusion

114. Pour les motifs qui précèdent, nous concluons que Facebook n’a pas obtenu le consentement adéquat en ce qui concerne la communication des renseignements personnels des utilisateurs touchés à l’application TYDL, ou des renseignements personnels des utilisateurs, de manière plus générale, aux applications installées par leurs amis, contrairement aux exigences des articles 4.3 et 4.3.2 de la LPRPDE et la section 10 de la PIPA.
115. Nous notons, cependant, que Facebook a grandement limité la communication des renseignements des amis à des applications tierces en mettant en œuvre l’application Graph v2, sous réserve de la mise en garde indiquée au paragraphe 15 du présent rapport.

Section 4 – Mesures de sécurité

116. Selon la LPRPDE, les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité et les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées (article 4.7 et article 4.7.1 de l’annexe 1 de la LPRPDE). De même, l’article 34 de la PIPA oblige les organisations à protéger les renseignements personnels sous leur garde ou leur contrôle en prenant des mesures de sécurité raisonnables pour empêcher l’accès, la collecte, l’utilisation, la communication, la copie, la modification ou l’élimination non autorisés ou pour éviter des risques similaires.
117. Pour savoir si Facebook avait pris des mesures de sécurité adéquates, nous nous sommes penchés sur les questions suivantes :
     1. Y a-t-il eu un accès ou une utilisation non autorisés aux renseignements personnels des utilisateurs de Facebook compte tenu des circonstances, et, dans l’affirmative, quelle a été l’ampleur de cet accès ou de cette utilisation?
     2. Facebook avait-elle mis en place des mesures de sécurité adéquates pour se prémunir contre de accès, utilisations ou communications non autorisés de renseignements personnels?

Ce que fait valoir Facebook devant nous concernant les mesures de sécurité

118. Facebook nous a fait plusieurs déclarations quant aux mesures de sécurité qu’elle a utilisées pendant la période visée et qu’elle utilise aujourd’hui relativement aux applications tierces.
119. Facebook a déclaré avoir pris des mesures raisonnables pour empêcher l’accès non autorisé aux renseignements personnels et l’utilisation non autorisée de ces renseignements, à l’aide d’un ensemble de mesures contractuelles (au moyen de sa Politique de la plate-forme) et techniques, et en assurant un contrôle et une surveillance.
120. Facebook a affirmé que tous les développeurs d’applications utilisant la plate-forme devaient accepter et respecter la Politique de la plate-forme de Facebook. Elle a soutenu que les applications de recherche universitaire n’étaient pas et ne sont pas actuellement traitées différemment des autres applications; par conséquent, l’application TYDL était soumise à la même politique que les autres applications. La Politique de la plate-forme contenait plusieurs dispositions contractuelles restreignant la collecte et l’utilisation des renseignements des utilisateurs de Facebook et l’accès à ces renseignements par les développeurs d’applications. Elle contenait également des dispositions quant à des éléments tels que la propriété intellectuelle, les codes malveillants, la publicité, la concurrence et d’autres éléments de la relation entre Facebook et les développeurs d’applications tierces. Elle contenait aussi des dispositions énonçant certaines mesures de surveillance et de mise en application que pouvait prendre Facebook si elle constatait qu’une application ou un développeur d’application enfreignaient la politique.
121. Durant la période à laquelle l’application TYDL a été lancée, la Politique de la plate-forme de Facebook comprenait les dispositions suivantes :

     [TRADUCTION]

     « II. Collecte et utilisation des données

     1. Vous ne demanderez que les données nécessaires à l’exploitation de votre application.

     […]

     3. Vous [les développeurs d’applications] mettrez en place une politique de confidentialité indiquant aux utilisateurs lesquelles de leurs données vous utiliserez, ainsi que la façon dont vous utiliserez, afficherez, communiquerez ou transférerez ces données. En outre, vous inclurez, dans l’Espace Apps, l’adresse à laquelle se trouve votre politique de confidentialité; vous inclurez également un lien vers la politique de confidentialité de votre application sur tout marché d’applications vous permettant de le faire.

     4. Tant que vous [les développeurs d’applications] n’afficherez pas visiblement dans votre application un lien vers votre politique de confidentialité, toute donnée à laquelle votre application accède (y compris les renseignements de base d’un compte) ne peut être utilisée que dans le contexte de l’expérience de l’utilisateur dans cette application. Les données des amis d’un utilisateur ne peuvent être utilisées que dans le contexte de l’expérience de l’utilisateur dans votre application. [Nous soulignons.]

     5. Sous réserve de certaines restrictions, y compris quant à l’utilisation et au transfert, les utilisateurs vous donnent les renseignements de base de leur compte lorsqu’ils se connectent à votre application. Pour toute autre donnée obtenue au moyen de l’API Facebook, vous devez avoir le consentement explicite de l’utilisateur auprès duquel nous [Facebook] avons recueilli ces données, avant d’utiliser ces données à toute fin autre que de les présenter à l’utilisateur sur votre application. » [Nous soulignons.]

     6. Vous ne transférerez, ni directement ni indirectement, même si l’utilisateur y consent, aucune donnée que vous recevez de nous, y compris les données des utilisateurs ou les identifiants des utilisateurs de Facebook, à un réseau publicitaire, un service d’échange d’annonces, un courtier en données ou un autre ensemble d’outils liés à la monétisation ou la publicité (vous n’utiliserez pas non plus ces données en lien avec de tels réseaux, services ou ensembles d’outils). […] Nous entendons par là toute donnée obtenue en utilisant la plate-forme Facebook (API, modules externes sociaux, etc.), y compris les données agrégées, anonymes ou dérivées.

     […]

     9. Vous ne pourrez ni vendre ni acheter de données que quiconque aura obtenues auprès de nous [Facebook]. »

122. La Politique de la plate-forme donnait également à Facebook le pouvoir de prendre des mesures d’exécution :

     « V. Mise en exécution

     Nous [Facebook] pouvons agir contre vous [les développeurs d’applications] et contre l’une ou l’autre de vos applications si nous déterminons, à notre seule appréciation, que vous ou vos applications contrevenez aux conditions et aux politiques de la plate-forme Facebook. Cette application de nos droits est automatique et manuelle à la fois, et peut inclure la désactivation de votre application, la restriction de votre accès et celui de votre application aux fonctionnalités de la plate-forme, la résiliation de nos accords avec vous ou toute autre action que nous jugerons appropriée. »

123. Facebook reconnaît que l’application TYDL a enfreint la Politique de la plate-forme.
124. Citant des renseignements qu’elle a recueillis en décembre 2015, après la médiatisation de certaines préoccupations, Facebook a fait part des infractions apparentes qui suivent : i) les données d’amis communiquées à l’application TYDL n’ont pas servi uniquement à améliorer l’expérience des utilisateurs dans l’application; ii) les données découlant des renseignements des utilisateurs semblaient avoir été à la fois vendues et transférées à un tiers et iii) l’application TYDL semblait avoir demandé l’autorisation d’accéder à des renseignements d’utilisateurs dont elle n’avait pas elle-même besoin pour fonctionner.
125. Facebook fait valoir que, pendant la période visée et depuis celle-ci, elle a fait appel à différentes équipes chargées de surveiller les activités de la plate-forme Facebook, d’assurer le respect de la Politique de la plate-forme et de prendre les mesures qui s’imposaient, au besoin.
126. Facebook nous a décrit ses efforts de surveillance dans diverses observations écrites et orales. En somme, les équipes de surveillance et de mise en application employaient divers moyens pour atteindre leurs objectifs. Facebook prétend qu’elles ont utilisé et utilisent toujours des outils automatisés pour repérer certaines infractions; elles utilisent par exemple des « robots Web » pour savoir si le lien d’une application vers sa politique de confidentialité fonctionne réellement^{Note de bas de page 20}. Il leur arrivait également d’examiner manuellement les applications sélectionnées pour en vérifier la conformité. Parmi les applications visées par les examens manuels figuraient les 500 applications les plus utilisées (représentant 50 % de l’utilisation des applications), les applications enregistrant des volumes élevés de faits négatifs signalés par des utilisateurs ou des médias, ainsi que les applications ayant une forte croissance, un nombre élevé de suppressions ou une activité importante indiquant des activités de pollupostage^{Note de bas de page 21}. Facebook affirme qu’en plus des détections automatisées, elle comptait sur les faits signalés et les renseignements provenant des utilisateurs, sur ce qui se disait dans les médias et sur les blogues, ainsi que sur les renseignements provenant des employés de Facebook.
127. À l’heure actuelle, Facebook affirme que lorsqu’une infraction est relevée, les mesures qui s’imposent sont prises. Ces mesures peuvent aller d’un avertissement et de restrictions temporaires à des restrictions permanentes quant à l’application en question, voire une expulsion de la plate-forme. Dans le cas des entités qui refusaient de coopérer ou lorsqu’il n’était pas possible de procéder à une expulsion, Facebook pouvait envoyer des mises en demeure et intenter une action en justice. Facebook affirme également que s’il est déterminé qu’une application enfreint les politiques, Facebook peut procéder à un examen et prendre des mesures à l’encontre des autres applications du développeur concerné, ou décider d’examiner d’autres applications semblables et de prendre des mesures, au besoin. La détermination des mesures à prendre était censée être effectuée, du moins au départ, à l’aide d’une grille d’évaluation de l’application correspondant aux éléments expliqués dans la Politique de la plate-forme.
128. Facebook a déclaré avoir pris quelque 6 millions de mesures coercitives à l’encontre d’environ 5,8 millions d’applications entre août 2012 et juillet 2018. Elle a fait remarquer que 2,8 millions d’entre elles n’avaient été téléchargées qu’une seule fois, voire pas du tout, et qu’un million d’applications avaient été téléchargées moins de dix fois. De même, Facebook a fait remarquer que plusieurs de ces applications pouvaient correspondre à des tentatives de lancement répétées (c’est-à-dire qu’il s’agissait d’applications visées par de multiples mesures coercitives). Nous faisons remarquer que ces mesures auraient inclus des mesures coercitives concernant toute forme d’infraction à la Politique de la plate-forme, ce qui ne se limite pas aux infractions liées aux données ou à la confidentialité^{Note de bas de page 22}.
129. Les infractions qui ne sont pas liées à la confidentialité sont très diverses et comprennent l’inclusion de manière inappropriée des marques de commerce de Facebook, la publication de documents protégés par le droit d’auteur, l’utilisation d’une plate-forme de paiement extérieure à celle de Facebook ou encore le réacheminement des utilisateurs de Facebook vers d’autres plateformes.
130. Nous avons, à plusieurs reprises, envoyé des demandes d’information à Facebook afin d’obtenir des détails sur les sous-catégories de mesures de mise en application prises en fonction de la nature de l’infraction et, plus précisément, afin de savoir dans quelle mesure les mesures de mise en application étaient liées à des sous-catégories de confidentialité de la Politique de la plate-forme (comparativement aux autres infractions). Facebook n’a pas été capable de fournir de tels renseignements, affirmant qu’ils n’existaient pas.
131. Facebook a affirmé que lors du passage à Graph v2 en 2014 (pour les applications nouvelles à partir de ce moment) et en 2015 (pour les applications qui existaient déjà en 2014), elle a également mis en œuvre un processus appelé « App Review ». Dans le cadre de ce processus, toutes les applications cherchant à obtenir plus que les « renseignements de base » d’un utilisateur devaient subir un examen et obtenir l’approbation de Facebook avant de pouvoir demander les autorisations requises auprès des utilisateurs.
132. En outre, Facebook a indiqué qu’avec Graph v2, elle a limité l’accès aux renseignements des amis pour toutes les applications, sauf les suivantes : i) celles qui avaient besoin des données des amis pour fonctionner^{Note de bas de page 23}; et ii) celles qui intégraient directement Facebook sur un appareil ou un système d’exploitation (comme un téléphone ou une console de jeu). Facebook a signalé que l’accès aux renseignements d’amis par ces applications faisait l’objet d’un examen et d’une approbation supplémentaires par l’équipe de Facebook responsable des partenariats.
133. Facebook a donc affirmé que si l’application TYDL tentait aujourd’hui d’obtenir les mêmes renseignements de la même façon qu’au cours de la période visée (jusqu’en mai 2015), elle n’y parviendrait pas puisque les mesures de contrôle technique de Graph v2 empêcheraient la communication de renseignements concernant les utilisateurs touchés, et les autorisations liées aux utilisateurs-installateurs devraient faire l’objet d’un examen plus poussé (au moyen du processus « App Review »).
134. En fait, Facebook a affirmé qu’au cours de la semaine qui a suivi l’annonce du lancement de Graph v2 et d’App Review, Dr. M. Kogan a présenté une demande afin que Facebook lui permette de demander aux utilisateurs des autorisations supplémentaires et pour que les autorisations en question soient maintenues après le passage Graph v2. Les autorisations demandées par M. Kogan en mai 2014 (après le lancement du processus App Review et après le passage à Graph v2 pour les nouvelles applications), visaient les renseignements suivants des utilisateurs-installateurs : date de naissance, ville natale, ville de résidence, études, religion, opinions politiques, situation amoureuse, mentions « J’aime », intérêts, photos, événements, activités physiques pratiquées, livres et publications lus, musique écoutée, nouvelles consultées, lieux visités, fil de nouvelles, fils de messagerie et publications affichées. Nous notons que les autorisations supplémentaires demandées par M. Kogan visaient certains renseignements que l’application TYDL recevait déjà au sujet des utilisateurs-installateurs, à savoir leur date de naissance, leur ville de résidence et leurs mentions « J’aime ».
135. Facebook a fait valoir que l’application TYDL avait été présentée à Facebook, au cours du processus « App Review », comme une application de « recherche universitaire » (tel qu’il est expliqué en détail au paragraphe 29).
136. Facebook affirme avoir refusé cette demande le lendemain, au motif que l’application TYDL ne respecterait pas la Politique de la plate-forme dans le cadre de Graph v2. Dans son refus, elle a notamment indiqué ceci :

     [TRADUCTION] « Votre application n’utilise pas les données obtenues grâce à cette autorisation pour améliorer l’expérience liée à l’application. Veuillez consulter les documents sur la manière d’utiliser les autorisations en vue de créer une expérience liée à l’application de qualité supérieure et unique pour l’utilisateur. » [Caractères gras ajoutés.]

     Voici la façon dont Facebook nous a résumé le rejet de la demande de M. Kogan :

     [TRADUCTION] « En résumé, la demande de M. Kogan a été rejetée parce que l’application TYDL demandait plus de données que ce qui lui était nécessaire pour fonctionner et n’avait pas besoin d’utiliser ces données pour améliorer l’expérience liée à l’application de l’utilisateur. »

     Facebook a fait valoir ce qui suit :

     [TRADUCTION] « Dans le cadre du processus App Review Facebook a examiné les paramètres selon lesquels l’application [TYDL] serait autorisée à fonctionner dans le cadre de [Graph v2], et non la façon dont l’application [TYDL] fonctionnait alors dans le cadre de [Graph v1]. »

     Facebook a ajouté :

     [TRADUCTION] « Facebook ne sait pas si l’application [TYDL] aurait fonctionné si moins de renseignements étaient demandés. »

137. Facebook a également affirmé que lorsqu’elle a su que M. Kogan avait par la suite transféré des renseignements à d’autres tiers (p. ex. SCL/Cambridge Analytica et Eunoia Technologies), elle a pris des mesures pour faire en sorte que les données soient supprimées, puis a retiré l’application TYDL de la plate-forme.
138. Facebook a indiqué avoir pris des mesures pour désactiver l’application TYDL en décembre 2015 après une enquête préliminaire d’allégations soulevées par les médias. Ce n’est qu’en 2018, encore une fois en raison de la couverture médiatique et à la suite d’enquêtes menées par les autorités de protection des données (notamment le Commissariat et le CIPVP de la Colombie-Britannique), que Facebook a informé les utilisateurs que l’application TYDL n’avait pas respecté les mesures de sécurité prévues dans son contrat, permettant l’accès non autorisé aux renseignements de jusqu’à 87 millions d’utilisateurs.
139. En outre, Facebook n’a pas avisé les utilisateurs-installateurs ni les utilisateurs touchés au sujet des infractions à la Politique de la plate-forme commises par l’application TYDL, et elle n’a pas prévenu les utilisateurs quant à l’utilisation possible de leurs renseignements pour l’envoi de messages politiques ciblés (en passant par Facebook et peut-être par d’autres moyens de communication disponibles).
140. Facebook prétend que le processus App Review est un outil efficace et que, depuis son lancement en 2014 jusqu’en avril 2018, il a été possible de recevoir 590 827 demandes de développeurs d’applications souhaitant que Facebook leur donne accès à davantage que les renseignements fournis par défaut au sujet des utilisateurs. Parmi ces demandes, 263 347 ont été acceptées en totalité (c.-à-d. qu’on a permis au développeur de demander toutes les autorisations dont il avait besoin), 28 305 ont été acceptées partiellement (c. à d. qu’on a permis au développeur de demander certaines autorisations, mais pas toutes) et 299 175 ont été acceptées en totalité (c.-à-d. que le développeur n’a été autorisé à demander aucune autorisation pour obtenir davantage que les renseignements fournis par défaut).
141. Pour ces motifs, Facebook maintient qu’elle a eu recours (et qu’elle continue d’avoir recours) à des mesures de sécurité adéquates. Plus précisément, Facebook soutient que le passage à Graph v2 et que le processus App Review atténuent le risque et les préoccupations quant aux applications tierces, en limitant l’accès des applications tierces aux renseignements des utilisateurs. Facebook ajoute que ces mesures cadrent avec les engagements pris auprès du Commissariat en 2009, c’est-à-dire de mieux surveiller la plate-forme Facebook et de prendre les mesures qui s’imposent lorsque des infractions sont détectées, tel qu’il est indiqué au sous-paragraphe 20(e) ci-dessus.

Analyse concernant les mesures de sécurité

142. Tel que nous l’avons indiqué dans la section 2, nous estimons que l’information détenue par Facebook au sujet de ses utilisateurs, et qui pourrait être communiquée à des applications tierces, peut inclure une quantité importante de renseignements personnels sensibles que les utilisateurs ont choisi en grande partie de ne pas communiquer largement avec le public.
143. Au lancement de l’application TYDL et durant son utilisation, la Politique de la plate-forme de Facebook exigeait que l’application TYDL ne demande que les données nécessaires au fonctionnement de l’application TYDL, ne transfère pas les données à des tiers et n’utilise pas les données en dehors de l’application. Il était également écrit, dans la Politique de la plate-forme que [TRADUCTION] « sous réserve de certaines restrictions, y compris quant à l’utilisation et au transfert, les utilisateurs donnent [aux applications] les renseignements de base de leur compte lorsqu’ils se connectent à l’application [du développeur d’applications]. Pour toute autre donnée obtenue au moyen de l’API Facebook, [le développeur d’applications] doit avoir le consentement explicite de l’utilisateur auprès duquel nous avons recueilli ces données avant d’utiliser ces données à toute fin autre que de les présenter à l’utilisateur sur l’application [du développeur d’applications]. »
144. Tel qu’il est indiqué ci-dessus, Facebook reconnaît que l’application TYDL, en recueillant, en utilisant et en communiquant les renseignements d’utilisateurs-installateurs et d’utilisateurs touchés obtenus sur la plate-forme de Facebook, a enfreint la Politique de la plate-forme de Facebook à plusieurs égards.
145. Les renseignements personnels des utilisateurs de Facebook ont donc fait l’objet d’un accès et d’une utilisation non autorisés. On peut donc se demander si Facebook avait mis en place des mesures de sécurité adéquates pour protéger les données contre ce genre d’infraction.
146. Facebook soutient que les mesures relatives au contrat, à la surveillance et à la mise en application qui étaient en place au cours de la période visée étaient suffisantes pour protéger les données des utilisateurs. Nous estimons cependant que ces mesures ne constituaient pas des mesures de sécurité adéquates, et ce, pour les raisons indiquées ci-dessous.
147. Nous nous sommes d’abord penchés sur l’efficacité de la surveillance et de l’application de Facebook par rapport à sa Politique de la plate-forme, en ce qui concerne l’application TYDL.
148. Lorsque Facebook a rejeté la demande de l’application TYDL pour élargir les autorisations en mai 2014, elle n’est pas passée à la prochaine étape logique qui aurait été, selon nous, d’examiner si l’application TYDL était alors conforme à la Politique de la plate-forme qui prévaut. Elle ne l’a pas fait, alors même que : i) les autorisations existantes de l’application TYDL comprenaient bon nombre d’autorisations que Facebook venait de refuser, pendant le processus App Review, et ii) ces autorisations ont été refusées au motif que, en partie, l’application demandait plus de données que nécessaires pour fonctionner, ce qui a enfreint à la Politique de la plate-forme qui prévaut. Selon nous, ce fait, jumelé à au moins deux échecs de fournir un lien fonctionnel à la politique de confidentialité de l’application, représente des signaux d’alarme d’une non-conformité évidente – un programme de conformité efficace devrait demander un examen plus approfondi lorsque des risques de conformité de la sorte ont été relevés.
149. Facebook a présenté, en réponse à nos préoccupations exprimées dans notre rapport préliminaire, que i) l’équipe du processus App Review passe en revue les autorisations demandées, et non la conformité à sa Politique de la plate-forme; ii) l’infraction de l’application n’est pas liée à sa demande d’accès aux renseignements, mais plutôt à la façon de l’application d’utiliser les données et iii) même s’il était prouvé que l’application TYDL a enfreint la Politique de la plate-forme, la solution n’aurait pas été de limiter les autorisations, car la politique interdit une mauvaise utilisation des données.
150. Nous éprouvons de la difficulté à concilier cette explication avec les faits de ce cas.
151. Si Facebook avait d’abord réagi aux signaux d’alarme détectés en mai 2014 et qu’elle avait examiné l’application TYDL pour déterminer sa conformité avec la Politique de la plate-forme, il aurait été vraiment évident que l’application utilisait vraisemblablement les renseignements des amis, de manière contraire à la Politique de la plate-forme. En particulier, en se fondant uniquement sur les autorisations alors en vigueur de l’application (ce qui inclus l’accès aux renseignements des amis) et la description fournie à Facebook par M. Kogan du processus App Review (qui a défini l’application comme une « application de recherche » – voir le paragraphe 29), il aurait été évident que l’application utilisait les renseignements des amis à une fin autre que de les présenter à l’[utilisateur-installateur] dans l’[application TYDL] et non dans le contexte de l’expérience de l’[utilisateur-installateur] dans l’[application TYDL].
152. Un examen plus approfondi aurait vraisemblablement permis de découvrir ce que Facebook a appris lors de son enquête de l’application en décembre 2015, y compris que : i) l’application semblait avoir demandé l’autorisation d’accéder à des renseignements d’utilisateurs dont elle n’avait pas elle-même besoin pour fonctionner et ii) les données d’amis demandées par l’application auprès des utilisateurs n’ont pas servi uniquement à améliorer l’expérience des utilisateurs dans l’application. Ces pratiques auraient représenté des infractions à la Politique de la plate-forme en vigueur pendant la période visée, ce qui aurait aussi permis à Facebook de couper l’accès des applications aux données des utilisateurs 11 mois avant la mise en place de Graph v2 et 18 mois avant que Facebook abolisse l’application.
153. Selon nous, l’omission de Facebook de faire un examen plus approfondi de l’application TYDL face à de tels signaux d’alarme évidents représente un échec du programme de surveillance et d’application de Facebook, et un échec quant à la protection des renseignements des utilisateurs.
154. Nous nous sommes également penchés sur l’efficacité du programme élargi de surveillance et d’application de Facebook concernant la plate-forme d’applications; un engagement clé qui remonte à l’enquête menée par le Commissariat en 2009.
155. Selon nous, comme nous l’exposons ci-dessous, pendant la période visée, Facebook n’avait pas une surveillance, ou une exécution, proactive et adéquate de la conformité des applications à la Politique de la plate-forme. Sauf dans le cas des « applications les plus utilisées », Facebook accorde une trop grande confiance à des mesures réactives inadéquates. Même si l’application Graph v2 et le processus App Review représentent une amélioration des mesures de sécurité, car ce sont des mesures proactives prises pour protéger contre les accès non autorisés des applications aux renseignements des utilisateurs, Facebook n’a pas fourni des preuves suffisantes pour démontrer que la surveillance et la mise en application effectuées protégeaient adéquatement les renseignements des utilisateurs contre l’utilisation non autorisée ou la communication ultérieure après le processus ponctuel App Review.
156. En ce qui concerne la surveillance, nous reconnaissons que Facebook a procédé régulièrement à un examen proactif des 500 applications les plus utilisées et a eu recours à certains critères automatisés pour cerner des applications pouvant nécessiter un examen manuel. Nous estimons cependant que ces examens étaient et demeurent des mesures inefficaces pour assurer la surveillance des dizaines de millions d’autres d’applications et de tiers qui utilisent la plate-forme.
157. La surveillance des applications les plus utilisées ne protège aucunement les utilisateurs contre l’abondance d’applications moins connues qui fonctionnent sans être repérées et sans recevoir du public le même niveau d’attention que les applications les plus utilisées. L’application TYDL en est un excellent exemple : avec 300 000 utilisateurs-installateurs, il ne s’agit pas d’une des « applications les plus utilisées » selon les critères de Facebook, et elle ne déclencherait aucun signal d’alerte automatisé. Il s’agit pourtant d’une application ayant accédé aux renseignements de 87 millions de personnes partout dans le monde.
158. Pour les applications autres que les « applications les plus utilisées », Facebook s’appuyait, durant la période visée, sur d’autres mesures principalement réactives, comme des faits signalés par des utilisateurs ou des médias, dans le but de cerner des préoccupations justifiant un examen approfondi (comme elle l’a fait pour l’application TYDL en 2015). S’appuyer sur ces signalements ne constitue pas une mesure efficace pour déceler une activité non autorisée, qui ne serait visible que par Facebook et l’application la plupart du temps. Une fois encore, ce cas est un très bon exemple de l’inefficacité de cette approche, car les utilisateurs touchés ne savaient pas que l’application TYDL avait accès à leurs renseignements et, par conséquent, ils n’auraient pas été en mesure de soulever des préoccupations auprès de Facebook à propos des pratiques de TYDL. De telles mesures sont insuffisantes à notre avis, en particulier compte tenu du fait que Facebook sait précisément quelles applications obtiennent quelles données et quand. Facebook a la capacité unique de surveiller les applications de manière proactive pour protéger les utilisateurs avant que toute communication non autorisée se produise.
159. Les outils automatisés de Facebook n’ont pas suffi non plus à protéger les renseignements des utilisateurs contre une utilisation contraire à la Politique de la plate-forme de Facebook avant toute mauvaise utilisation. Avant la mise en œuvre du processus App Review, Facebook ne surveillait pas de manière proactive si les applications demandaient des autorisations et planifiaient d’utiliser les renseignements conformément à la Politique de la plate-forme avant de leur communiquer les renseignements. C’est seulement après la mise en œuvre d’App Review que Facebook a commencé à examiner les demandes d’autorisation des applications avant de leur communiquer des renseignements.
160. Nous reconnaissons que les mesures prises par Facebook (Graph v2 et App Review) i) limite, jusqu’à un certain degré^{Note de bas de page 24}, l’accès des applications aux autorisations inutiles et ii) retirent l’accès aux données d’amis (autres que pour les applications précises qui se sont vues attribuer cet accès au moyen de dispositions particulières hors Graph v2, une pratique qui n’est pas dans la portée de la présente enquête). Toutefois, pour les quelque 300 000 applications pour lesquelles Facebook a accordé des autorisations élargies, ces mesures ne font rien pour s’assurer de la conformité continue à l’égard de l’utilisation et de la communication des données des utilisateurs par les applications tierces ayant reçu l’accès par Facebook. Par exemple, elles ne veillent pas à ce que les applications utilisent les renseignements d’une façon qui respecte les observations des applications faites à Facebook pendant le processus App Review ou les politiques de Facebook.
161. Facebook fait valoir qu’elle prend des mesures d’exécution pertinentes lorsqu’elle apprend la violation de ses politiques en matière de confidentialité par des applications tierces grâce à ses mesures de surveillance. Toutefois, en dépit de demandes répétées, Facebook ne nous a pas fourni d’information pour prouver que sa surveillance a donné lieu à des mesures d’application concrètes visant à empêcher l’accès non autorisé aux renseignements personnels des utilisateurs et leur utilisation non autorisée par des applications tierces. Bien que Facebook ait produit des éléments de preuve indiquant qu’elle a pris des mesures d’application à l’encontre d’applications tierces (entre 2012 et 2018, avant et après l’introduction de Graph v2 et d’App Review, tel que cela est indiqué au paragraphe 128, ci-dessus), elle n’a pas pu fournir au Commissariat des détails quant au nombre de ces mesures qui visaient à empêcher un accès non autorisé à des renseignements personnels et leur utilisation non autorisée plutôt que d’autres violations non liées à la confidentialité.
162. Si Facebook elle-même est incapable de prouver que son programme de surveillance et d’application était en réalité efficace pour repérer les applications ne respectant pas les exigences en matière de confidentialité de sa Politique sur la plate-forme, nous sommes alors peu rassurés quant à l’efficacité de telles mesures de sécurité pour protéger la confidentialité des utilisateurs de Facebook.
163. En mars 2018, Facebook a annoncé qu’elle examinerait rétroactivement l’ensemble des applications qui ont eu accès à un volume [traduction] « important » de données d’utilisateurs. Toutefois, Facebook n’a pas communiqué ce qui constitue un volume [traduction] « important » de données. Quoi qu’il en soit, à première vue, cela ne semblerait pas permettre de répondre à nos préoccupations concernant la surveillance des nombreuses applications qui, inévitablement, ne seront pas visées par ce critère, mais qui peuvent tout de même continuer à recueillir, à utiliser et à communiquer les renseignements personnels des utilisateurs.
164. En 2009, le Commissariat a dit craindre que Facebook ne prenne pas de mesures suffisantes pour empêcher l’accès non autorisé des applications aux renseignements personnels des utilisateurs. Plus particulièrement, le Commissariat était préoccupé par le fait que Facebook n’a pas surveillé les applications pour s’assurer qu’elles obtenaient uniquement les renseignements nécessaires au fonctionnement des applications. Cette question est restée, en grande partie, sans réponse pendant cinq autres années jusqu’à la mise en œuvre d’App Review. D’après nous, les mesures de sécurité de Facebook demeurent, comme indiqué ci-dessus, insuffisantes à l’heure actuelle.

Conclusion

165. Nous concluons que Facebook ne disposait pas des mesures de sécurité adéquates pour protéger les renseignements personnels de ses utilisateurs contre un accès et une utilisation non autorisés par l’application TYDL ou par des applications tierces en général, contrairement aux exigences des articles 4.7 et 4.7.1 de l’annexe 1 de la LPRPDE et de l’article 43 de la PIPA.

Section 5 – Responsabilité

166. La LPRPDE et la PIPA prévoient qu’une organisation est responsable des renseignements personnels dont elle a la gestion (article 4.1 de l’annexe 1 de la LPRPDE et paragraphe 4[2] de la PIPA). Elles exigent en outre que les organisations assurent la mise en œuvre de politiques et de pratiques destinées à donner suite aux principes, y compris, entre autres, la mise en œuvre de procédures pour protéger les renseignements personnels (alinéa 4.1.4a) de l’annexe 1 de la LRPDE, et article 5 of PIPA).
167. Tel que cela est indiqué ci-dessus, Facebook fait valoir auprès de nous qu’elle a, et qu’elle avait, des politiques en place que tous les utilisateurs, y compris les développeurs d’applications, ont acceptées en utilisant Facebook. Plus précisément, il est énoncé ce qui suit dans sa Déclaration des droits et responsabilités : « Le respect de votre vie privée nous tient à cœur » et [TRADUCTION] « Nous exigeons des applications qu’elles respectent la confidentialité de vos données ».
168. Facebook fait aussi valoir qu’elle contrôlait et surveillait ses services pour éviter toute mauvaise utilisation des renseignements personnels par les développeurs d’applications.
169. À plusieurs reprises, Facebook fait des déclarations axées sur son souci de la confidentialité des utilisateurs, par exemple dans ses observations au Commissariat :

     [TRADUCTION] « Il est important de souligner que notre priorité est de garantir aux utilisateurs que la confiance qu’ils ont en Facebook est méritée et que les données des utilisateurs sont protégées sur la plate-forme d’applications de Facebook. Facebook prend très au sérieux la confidentialité de ses utilisateurs et s’efforce d’être transparente sur le fonctionnement de sa plate-forme. Facebook s’efforce en outre d’informer ses utilisateurs non seulement de la façon dont leurs données peuvent être communiquées, mais aussi de la façon dont ils peuvent contrôler la nature des données qu’ils partagent publiquement, avec des amis et avec des applications. »

170. En matière de responsabilité, Facebook soutient qu’à la suite de l’enquête de 2009 du Commissariat, elle a pris un « engagement permanent et résolu » envers la mise en œuvre d’une approche pour obtenir le consentement des utilisateurs en ce qui concerne la communication de leurs renseignements aux applications tierces, laquelle a été « examinée et approuvée » par le Commissariat^{Note de bas de page 25}.

Analyse concernant la responsabilité

171. Selon la LPRPDE et la PIPA, Facebook est responsable des renseignements personnels des utilisateurs dont elle avait la gestion, mais aussi d’assurer la mise en œuvre des politiques et des pratiques destinées à donner suite aux protections prévues par le droit en matière de protection des renseignements personnels du Canada et de la Colombie-Britannique.
172. En dépit des affirmations et des observations de Facebook concernant son respect de la confidentialité des utilisateurs, les actions de Facebook en l’espèce dépeignent, selon nous, une réalité très différente correspondant davantage à la déclaration publique du président-directeur général de Facebook, Mark Zuckerberg en mars 2018 indiquant que Facebook avait commis [traduction] « un abus de confiance très grave ».
173. Selon nous, tel qu’il est souligné ci-dessus, les faits en l’espèce ne dépeignent pas une organisation assumant la responsabilité de veiller véritablement et concrètement à la protection de la confidentialité. Ils prouvent que Facebook a renoncé à sa responsabilité quant aux renseignements personnels dont elle a la gestion, transférant de fait cette responsabilité aux utilisateurs et aux applications. Ses mesures de sécurité étaient, au moment où l’application TYDL a été lancée, superficielles et ne protègent toujours pas adéquatement, selon nous, les renseignements personnels des utilisateurs. Au bout du compte, l’inefficacité des régimes de consentement et de protection a permis à l’application TYDL d’accéder sans autorisation aux renseignements de millions d’utilisateurs et de les utiliser à des fins politiques. Cette situation est particulièrement préoccupante étant donné le volume important de renseignements personnels dont Facebook a la gestion, bon nombre desquels peuvent être très sensibles (p. ex. messages privés). L’application TYDL n’est qu’une des millions d’applications ayant possiblement eu accès à de tels renseignements et les ayant possiblement utilisés pour une myriade de raisons inconnues.
174. En ce qui a trait au consentement valable à communiquer des renseignements sur les utilisateurs-installateurs à des applications tierces, Facebook s’est appuyée sur des applications tierces pour obtenir ce consentement, sans mettre en œuvre des mesures raisonnables pour s’assurer que ce consentement était véritablement obtenu.
175. En ce qui a trait au consentement valable des amis des utilisateurs-installateurs, Facebook aurait pu mettre en œuvre des mesures pour fournir de l’information précise et opportune dont ces utilisateurs auraient eu besoin pour donner un consentement explicite valable dans chaque cas, avant que Facebook communique les renseignements à des applications tierces (ou au moment de la communication), mais elle ne l’a pas fait.
176. Au contraire, Facebook s’est appuyée sur un libellé vague et trop général dans ses conditions d’utilisation, ne permettant pas aux utilisateurs d’avoir une connaissance suffisante de l’ensemble des applications potentielles auxquelles Facebook aurait pu communiquer leurs renseignements et de toutes les fins potentielles auxquelles ces applications auraient pu utiliser leurs renseignements. En outre, Facebook s’est appuyée sur la capacité des utilisateurs à parcourir différents contrôles d’applications pour décider quel volume de renseignements serait communiqué aux applications installées par leurs amis, sans avoir suffisamment de contexte pour rendre valables ces décisions. Enfin, Facebook a compté sur les utilisateurs de Facebook pour fournir un consentement au nom de chacun de leurs amis, parfois des centaines, aux fins de la communication des renseignements de ces amis à une application, sans même s’assurer que les amis étaient au courant de cette communication, avant ou après qu’elle ait eu lieu.
177. En ce qui concerne les mesures de sécurité, Facebook a encore compté sur les autres pour des millions d’applications (autres que les 500 « applications les plus utilisées ») afin de s’assurer que ses politiques étaient suivies. Par exemple, elle s’est appuyée sur les signalements de faits préoccupants par les utilisateurs ou les médias, alors que les utilisateurs et les médias n’ont pas les moyens nécessaires pour déterminer si ou à quel moment Facebook a communiqué des renseignements à une application tierce et encore moins si cette application respecte la Politique de la plate-forme. Bien que Facebook ait maintenu en vigueur une politique écrite concernant l’accès aux renseignements des utilisateurs et le traitement de ces renseignements par les applications tierces, elle n’a pas voulu ou n’a pas pu prouver que ces politiques étaient efficacement vérifiées ou appliquées pour empêcher l’accès non autorisé aux renseignements personnels des utilisateurs et leur utilisation non autorisée par l’application TYDL ou les applications tierces en règle générale.
178. Par ailleurs, Facebook n’a pris des mesures pour enquêter et désactiver l’application TYDL qu’en décembre 2015 après que les médias ont signalé le problème, plutôt qu’en mai 2014, lorsque l’application App Review avait dû clairement montrer à Facebook que l’application TYDL pouvait enfreindre la Politique de la plate-forme. De plus, ce n’est qu’en 2018, encore une fois en raison de la couverture médiatique et à la suite d’enquêtes menées par les autorités de protection des données (notamment le Commissariat et le CIPVP de la Colombie-Britannique), que Facebook a choisi d’informer les utilisateurs que l’application TYDL n’avait pas respecté les mesures de protection prévues à son contrat et avait ainsi accédé sans autorisation aux renseignements de 87 millions d’utilisateurs.
179. Les éléments de preuve et les analyses contenus dans le présent rapport mettent en lumière le fait que bon nombre des préoccupations soulevées par le Commissariat dans son enquête de 2009 demeuraient en 2015. Bien que Facebook ait entrepris de régler ces problèmes dans une certaine mesure à la suite de l’enquête de 2009 du Commissariat, nous sommes d’avis qu’une organisation véritablement responsable aurait respecté ces engagements de sorte à donner réellement suite à ses obligations en matière de protection de la confidentialité. L’établissement par Facebook d’un modèle d’[traduction] « autorisation de partage de données granulaires » et de communications supplémentaires aux utilisateurs ont pu constituer une amélioration à l’époque, compte tenu de l’absence pure et simple de contrôles en place avant l’enquête de 2009. Toutefois, tel qu’il a été indiqué dans le présent rapport, ces mesures de contrôle étaient encore inefficaces puisqu’elles n’ont ni été mises en œuvre de façon adéquate ni été maintenues de manière dynamique. Selon nous, cela ne ressemble pas à un « engagement permanent et résolu » envers l’obtention du consentement des utilisateurs en ce qui concerne la communication de leurs renseignements aux applications tierces.
180. Par conséquent, les utilisateurs-installateurs et les utilisateurs touchés n’ont pas bien compris quels renseignements (y compris quels renseignements sensibles) seraient communiqués, à quelles applications ils seraient communiqués et à quelles fins, ce qui était particulièrement préoccupant dans les cas de l’application TYDL, où des renseignements de millions d’utilisateurs ont été communiqués à des fins politiques.
181. Selon nous, le fait que Facebook n’a pas pris ses responsabilités quant à ses propres pratiques de confidentialité témoigne d’un manque de transparence évident et préoccupant. Facebook n’a assumé aucune responsabilité réelle quant aux importantes quantités de renseignements d’utilisateurs qu’elle contrôlait, dont une grande quantité étaient sensibles. En effet, elle n’a pas mis en œuvre des pratiques et des procédures suffisantes pour donner effet aux principes établis dans la LPRPDE et la PIPA. En somme, nous convenons que les pratiques de Facebook en matière de confidentialité, y compris sa mise en œuvre superficielle et inefficace des recommandations formulées par le Commissariat en 2009, représentent non seulement un [TRADUCTION] « un abus de confiance très grave » vis-à-vis des utilisateurs de Facebook, mais aussi un manquement grave quant au respect continu, par Facebook, des lois sur la protection des renseignements personnels du Canada et de la Colombie-Britannique.

Conclusion

182. Compte tenu de ce qui précède, nous estimons que Facebook n’a pas mis en œuvre de politiques et de pratiques donnant effet aux principes, en contravention de l’alinéa 4.1.4a) de l’annexe 1 de la LPRPDE et du paragraphe 4(2) de la PIPA.

Réponse de Facebook à nos recommandations

183. Nous avons pris en compte de nombreux facteurs pour trouver une façon appropriée de résoudre cette situation. Nous avons tout d’abord évalué la gravité des manquements décrits ci-dessus. Ensuite, nous avons tenu compte du fait que le Commissariat avait déjà fait part, dans ses constatations de 2009, de bon nombre de ces préoccupations et des risques qui en découlent. Les recommandations à l’intention de Facebook formulées dans ce rapport de conclusions auraient dû servir d’avertissement pour Facebook quant à ses pratiques en matière de confidentialité. L’inaction de Facebook à faire face à ces préoccupations de manière efficace, le fait de ne pas avoir réellement donné suite aux engagements pris envers le Commissariat en 2009 et le fait qu’elle n’ait pas pris de mesures concrètes relativement aux infractions à ses propres politiques témoignent du manque de responsabilité de Facebook.
184. Des solutions techniques ont été apportées à certains des problèmes susmentionnés. Par exemple, le passage à Graph v2 et la mise en œuvre d’App Review en 2014-2015 a réduit la quantité de renseignements qu’une application pouvait obtenir par défaut et a établi d’importantes limites quant aux types d’applications autorisées à recevoir des renseignements au sujet des amis des utilisateurs-installateurs, sous réserve des limites potentielles décrites au paragraphe 15 du présent rapport.
185. Nous reconnaissons également que Facebook examinera rétroactivement les applications qui ont eu accès à d’« importantes » quantités de renseignements personnels grâce à Graph v1, et informera les utilisateurs de la communication possible de leurs renseignements à des applications installées par certains de leurs « amis » lorsque Facebook détermine que l’application pourrait avoir mal utilisé leurs renseignements.
186. Cependant, avant la publication de ces conclusions, nous avions recommandé dans un rapport préliminaire que Facebook prenne les mesures supplémentaires qui sont présentées ci-dessous, appuyées par une entente de conformité avec Facebook pour : i) permettre à Facebook de se conformer à la LPRPDE et à la PIPA; ii) atténuer les conséquences liées au non-respect par Facebook dans le passé; iii) assurer la mise en œuvre efficace de ses engagements; et iv) veiller à ce que Facebook se conforme à l’avenir aux lois canadiennes relatives à la protection des renseignements personnels.
187. Après avoir fourni notre rapport préliminaire à Facebook, nous lui avons également fournit des précisions supplémentaires quant aux attentes du Commissariat relativement à la mise en œuvre de chacune de nos recommandations. Cela a été fait pendant deux réunions en personne et par l’intermédiaire d’une lettre.
188. En fin de compte, nous avons été très déçus de la réponse de Facebook à nos recommandations qu’elle a transmises au Commissariat le 27 mars 2019. Facebook a contesté nos conclusions et a proposé des nouveaux engagements qui représentaient d’importantes modifications à nos recommandations. Dans certains cas, ils modifiaient la nature même des recommandations en soi, compromettaient les objectifs des solutions que nous avions proposées ou rejetaient d’emblée la solution proposée. Facebook a proposé des mesures correctives très restreintes au-delà de ses pratiques actuelles. À notre avis, de tels engagements ne permettraient pas à Facebook de se conformer à la LPRPDE et à la PIPA.
189. Vous trouverez ci-dessous i) chacune de nos cinq recommandations, telles que communiquées à Facebook dans notre rapport préliminaire, ii) les autres détails et précisions concernant nos recommandations ayant été fourni à Facebook par la suite, et iii) la réponse finale de Facebook à nos recommandations.
190. Notre principale recommandation était que Facebook devrait mettre en œuvre des mesures, y compris une surveillance adéquate, pour s’assurer d’obtenir le consentement valable et valide des utilisateurs-installateurs et de leurs amis. Facebook doit : (i) indiquer clairement aux utilisateurs la nature, les objectifs et les conséquences des communications; (ii) demander le consentement au bon moment, c’est-à-dire avant la communication des renseignements personnels ou au moment de cette communication, et (iii) demander un consentement explicite lorsque les renseignements personnels communiqués sont sensibles.
191. Nous avons ensuite expliqué que nous nous attendons à ce que Facebook mette en œuvre des mesures raisonnables pour s’assurer qu’elle obtient un consentement valable pour la communication des renseignements des utilisateurs à chaque application tierce et que de telles mesures raisonnables devraient comprendre :
     1. la mise en œuvre de modalités contractuelles exigeant des applications qu’elles respectent les exigences en matière de consentement conformément à celles de la LPRPDE et la PIPA, y compris, à tout le moins, de se conformer aux énoncés de la section « Ce qui doit être fait » dans les Lignes directrices pour l’obtention d’un consentement valable du Commissariat;
     2. l’examen proactif, par des moyens automatisés ou manuels, de toutes les communications au sujet de la confidentialité des applications pour assurer la conformité à ces exigences juridiques ou contractuelles;
     3. l’examen réactif des communications au sujet de la confidentialité et les pratiques de confidentialité connexes des applications lorsque des signaux d’alarme en matière de confidentialité ou de conformité ont été détectés;
     4. un programme de mise en application et de correction solide et dont l’efficacité est démontrée lorsque les pratiques des applications ne correspondent pas aux politiques ou exigences de confidentialité de Facebook.
192. Facebook n’a pas accepté de mettre en œuvre les mesures susmentionnées. » Plutôt, Facebook a essentiellement proposé le statu quo en ce qui a trait à ses pratiques de consentement.
193. Facebook a fait valoir que le passage à Graph v2 a en grande partie éliminé sa communication des renseignements des amis à des applications tierces. La mesure dans laquelle Facebook a continué de communiquer les renseignements des amis à des applications hors du contexte de Graph v2 fait actuellement l’objet d’une enquête par notre bureau (voir le paragraphe 15). Dans la mesure où Facebook permet à des applications d’avoir accès aux renseignements des amis des utilisateurs-installateurs, maintenant ou à l’avenir, elle devrait obtenir un consentement conforme à la recommandation évoquée ci-dessus.
194. Nous avons également formulé deux autres recommandations visant à atténuer les conséquences des infractions à la vie privée commises par Facebook en permettant aux utilisateurs d’acquérir les connaissances nécessaires pour protéger leur droit à la vie privée et pour un meilleur contrôle de leurs renseignements personnels en ce qui a trait aux applications ayant pu obtenir un accès non autorisé à leurs renseignements personnels :
     1. Facebook devrait mettre en œuvre un mécanisme facilement accessible permettant aux utilisateurs : i) de déterminer clairement, à tout moment, quelles applications ont accès à quelles parties de leurs renseignements personnels [y compris en raison de l’application installée par l’un des amis de l’utilisateur]^{Note de bas de page 26}; ii) de connaître la nature, les objectifs et les conséquences de cet accès et iii) de modifier leurs préférences afin de refuser cet accès en partie ou en totalité.
     2. L’examen rétroactif mené par Facebook et les avis qui en résulteront devraient viser toutes les applications. En outre, les avis découlant des examens devraient comprendre des détails suffisants pour permettre [à chaque utilisateur]^{Note de bas de page 27} de comprendre la nature, l’objectif et les conséquences des communications qui pourraient avoir été faites à des applications installées par un ami. Les utilisateurs devraient également pouvoir, à partir de cet avis, accéder aux contrôles leur permettant de désactiver toute communication continue à certaines applications ou à toutes les applications.
195. En ce qui concerne le point a) ci-dessus, Facebook n’a pas accepté de signaler aux utilisateurs les applications de leurs amis qui pourraient avoir accès à leurs renseignements. Facebook a indiqué qu’une telle pratique créerait de la confusion pour les utilisateurs en les avisant à propos d’applications qui auraient pu ou non avoir eu accès à leurs renseignements, puisque Facebook était elle-même incapable d’établir quelles applications auraient eu un tel accès. Facebook soutient qu’elle respecte déjà essentiellement cette recommandation pour les installateurs-utilisateurs grâce à son tableau de bord « Apps et sites web ».
196. En ce qui concerne le point b) ci-dessus, en réponse aux préoccupations soulevées par Facebook concernant la portée de l’examen recommandé, nous avons expliqué que nous étions ouverts à des propositions alternatives qui reflétaient ce qui était possible de faire, selon les informations présentement disponibles à Facebook. Facebook n’a pas accepté d’élargir son examen rétroactif comme il avait été recommandé et n’a pas proposé d’alternative viable. Facebook n’a fourni aucune preuve confirmant son incapacité à élargir son examen. Elle n’a pas non plus fourni de détails sur la façon dont elle choisit quelles applications feront l’objet d’un examen ni les paramètres des examens qu’elle a menés, pour justifier l’efficacité de la situation actuelle.
197. Afin d’assurer la mise œuvre par Facebook de tout engagement accepté par le Commissariat, nous avons recommandé que : Facebook accepte d’être surveillée par un tiers, qui sera désigné par le ou les commissaires^{Note de bas de page 28} et sera au service de ceux-ci, aux frais de Facebook, et qui surveillera la conformité de Facebook quant aux recommandations ci-dessus et produira des rapports à ce sujet, et ce, pendant cinq ans.
198. Facebook était prête à accepter une surveillance par un tiers, sous réserve de certaines conditions et restrictions importantes proposées. Cependant, étant donné que Facebook n’a pas accepté de mettre en œuvre nos recommandations détaillées, la surveillance ne servirait à rien.
199. Enfin, compte tenu de nos conclusions concernant les violations importantes par Facebook du principe de responsabilité, prenant acte des pouvoirs de vérification plus étendus dont disposent nos homologues européens (y compris le commissariat à l’information du Royaume-Uni^{Note de bas de page 29}), nous avons recommandé que : Facebook devrait, pendant cinq ans, permettre au Commissariat et au CIPVP de la Colombie-Britannique de mener des audits, à leur discrétion, quant aux politiques et aux pratiques de confidentialité afin d’évaluer la conformité de Facebook par rapport aux exigences établies dans la LPRPDE et la PIPA.
200. Facebook a rejeté d’emblée cette recommandation, affirmant qu’elle était inutile et déraisonnable et qu’elle allait au-delà des dispositions rectificatives qui sont actuellement prévues par la LPRPDE. Facebook a ensuite proposé une version entièrement révisée de la recommandation qui aurait limité notre capacité d’effectuer des vérifications en deçà de ce que prévoit la LPRPDE et la PIPA.
201. Étant donné les graves manquements liés à la responsabilité que nous avons relevés dans ce rapport, lesquels cadrent avec les aveux de Facebook qui dit avoir abusé de la confiance des utilisateurs et souhaite faire amende honorable, nous sommes particulièrement déçus que Facebook ne soit pas d’accord avec cette recommandation. Nous trouvons qu’il y a un décalage entre les récentes déclarations faites publiquement par le PDG de Facebook au sujet de la volonté de l’entreprise à collaborer avec les organismes de réglementation en vue d’obtenir une plate-forme davantage axée sur la confidentialité, et le refus de Facebook de se soumettre à des vérifications grâce auxquelles nos bureaux pourraient confirmer que la firme agit bel et bien de façon responsable.

Conclusion

202. La plainte contre Facebook concernant la responsabilité, le consentement et la sécurité est fondée et demeure non réglée. Nous réglerons les problèmes non réglés en vertu des pouvoirs que nous confèrent la LPRPDE et la PIPA.

Annexe A – Définition des termes utilisés dans le rapport

App :

désigne une application logicielle.

Application TYDL ou l’application :

désigne l’application lancée par M. Aleksandr Kogan sur la plate-forme et communément appelée « thisisyourdigitallife », sous toutes ses formes.

CIPVP de la Colombie-Britannique :

désigne le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique.

Commissariat :

désigne le Commissariat à la protection de la vie privée du Canada.

Commissaire :

désigne le commissaire à la protection de la vie privée du Canada.

Facebook :

désigne Facebook, Inc. et ses sociétés affiliées; Facebook désigne aussi le service offert au public par Facebook, Inc. et ses sociétés (p. ex. facebook.com, l’application mobile Facebook et d’autres exemples de services Facebook), selon le contexte.

LPRPDE :

désigne la Loi sur la protection des renseignements personnels et les documents électroniques.

PIPA :

désigne la Personal Information Protection Act de la Colombie-Britannique.

Plate-forme :

désigne le service de plate-forme de Facebook, soit un ensemble d’outils offerts aux développeurs d’applications et de sites Web pour l’intégration avec Facebook.

SCL :

désigne The SCL Group of companies, qui comprend SCL Elections, Ltd et Cambridge Analytica.

Utilisateurs-installateurs :

désigne les utilisateurs de Facebook qui ont ajouté l’application TYDL ou une autre application tierce à leur compte Facebook.

Utilisateurs touchés :

désigne les amis des utilisateurs-installateurs dont les renseignements ont été communiqués par Facebook à l’application TYDL ou à une autre application tierce, au moyen de la plate-forme.

---

Annexe B – Détails supplémentaires au sujet de l’application TYDL

En plus des renseignements fournis, la chronologie ci-dessous présente certains faits au sujet de l’application TYDL qui sont pertinents, mais n’étaient pas essentiels à l’enquête.

• Le 3 mars 2014, Facebook a envoyé à l’application TYDL un message d’avertissement automatisé pour l’informer que le lien devant obligatoirement figurer sur l’application TYDL et mener à une politique de confidentialité ne fonctionnait pas. En réponde, M. Kogan a affiché le lien voulu.
• Le 17 juin 2014, l’application TYDL App a affiché un lien vers une politique de confidentialité, en réponse à un deuxième message automatisé dans lequel Facebook demandait à M. Kogan de le faire.
• En mai 2015, Graph v2 est devenu opérationnel pour la plupart des applications (sous réserve des exemptions susmentionnées) et l’application TYDL a cessé d’avoir accès aux renseignements des utilisateurs touchés.
• Le 18 janvier 2016, Facebook a reçu de Cambridge Analytica une confirmation écrite quant à la suppression des renseignements.
• Le 11 juin 2016, Facebook a obtenu de M. Kogan la garantie qu’il avait supprimé les renseignements; Facebook a également appris que M. Kogan avait fourni les données ou des dérivés de celles-ci au Toronto Laboratory for Social Neuroscience, ainsi qu’à Eunoia Technologies.
• Le 7 juillet 2016, Facebook a reçu du Toronto Laboratory of Social Neuroscience une attestation confirmant la suppression des renseignements^{Note de bas de page 30}.
• Le 16 août 2016, Facebook a reçu d’Eunoia Technologies une attestation confirmant la suppression des renseignements^{Note de bas de page 31}.
• Le 6 septembre 2016, The SCL Group of companies (société mère de Cambridge Analytica) a indiqué à Facebook qu’elle avait supprimé les renseignements.
• Le 3 avril 2017, Facebook a reçu une attestation officielle de SCL Elections et de Cambridge Analytica confirmant la suppression des renseignements^{Note de bas de page 32}.