La vie privée à l'ère du réseautage social : Les obligations légales des sites de réseautage social

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires lors d'une Série de conférences de l'école de droit de l'Université de la Saskatchewan

Le 22 novembre 2010
Saskatoon (Saskatchewan)

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Merci. Je suis heureuse d’être ici pour discuter avec vous d’un sujet très important et brûlant d’actualité : la vie privée à l’ère du réseautage social.

Je désire plus particulièrement aborder les obligations légales des sites de réseautage social en matière de protection de la vie privée. Nous examinerons cette question à la lumière des travaux réalisés par le Commissariat auprès de deux géants du monde virtuel : Facebook et Google. 

Les sites de réseautage social et d’autres services en ligne sont devenus la première ligne des combats pour la protection de la vie privée que mènent le Commissariat et ses homologues dans le monde entier. L’application des lois relatives à la vie privée dans cet univers pose de nouveaux défis complexes à l’ensemble de ces organisations.

J’ai aussi pensé qu’il serait intéressant de survoler brièvement certaines décisions récentes qui feront jurisprudence dans le dossier de la vie privée et du réseautage social.

Dans un sens restreint, les obligations légales des sites de réseautage social en matière de protection de la vie privée sont claires — ce sont les mêmes que celles s’appliquant aux entreprises traditionnelles du secteur privé en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

L’objectif de la LPRPDE est d’établir un équilibre entre le droit à la vie privée des personnes et le besoin d’une entreprise de recueillir, d’utiliser ou de communiquer des renseignements personnels à des fins qu’une personne raisonnable considèrerait appropriées dans les circonstances. 

Heureusement, les artisans de la LPRPDE ont eu la clairvoyance de rédiger une loi neutre sur le plan de la technologie. À ce jour, la LPRPDE a relativement bien relevé les défis associés aux nouvelles technologies fonctionnant selon des modèles opérationnels qui n’existaient pas au moment de sa création.

Si la LPRPDE n’est pas normative, elle demande en revanche aux entreprises de se conformer à des pratiques ou des principes favorisant l’équité dans le traitement de l’information. Chaque entreprise, eu égard à son modèle d’affaires et d’autres exigences réglementaires, doit trouver le moyen de respecter ces principes et d’atteindre un équilibre entre ses besoins légitimes et le droit à la vie privée des personnes.

Bien qu’ils soient égaux devant la loi, les sites de réseautage social se distinguent nettement des entreprises traditionnelles, tant par leur forme que par leur contenu, ainsi que par leur incidence sur la société.

Les entreprises traditionnelles recueillent auprès des consommateurs les renseignements personnels dont elles ont besoin pour fournir un service donné. Les sites de réseautage social offrent quant à eux une plateforme sur laquelle les utilisateurs peuvent publier en ligne leurs renseignements personnels en vue de les partager avec d’autres personnes. Ces utilisateurs ne savent pas toujours quels renseignements personnels sont recueillis en échange du service offert.

Monde en évolution

J’ai employé plus tôt l’expression « ère du réseautage social », mais celle-ci n’en est encore qu’à ses débuts. Ceux qui ont vu le récent film à succès « The Social Network » se rappelleront que Facebook a été créé il y a six ans à peine dans un dortoir de Harvard. Or, Facebook compte déjà près de 550 millions d’utilisateurs actifs, ce qui en fait le plus grand site de réseautage social. Près de la moitié des Canadiennes et des Canadiens sont inscrits à Facebook.

D’autres sites de réseautage social ont connu pareille croissance explosive. YouTube a été lancé en 2005, et l’entreprise affirme qu’environ 24 heures de nouveaux vidéos sont désormais téléchargés vers le serveur chaque minute. Twitter a vu le jour en 2006 et, cet été, environ 65 millions de microbillets étaient publiés quotidiennement.

Ce partage volontaire de renseignements personnels à une vaste échelle représente un changement radical des mœurs et des comportements sociaux avec lequel les sociétés en réseaux ont du mal à composer.

Les médias comme Twitter, YouTube et Facebook ont visiblement révolutionné la façon dont les gens communiquent. De manière moins évidente, le réseautage social a aussi contribué à transformer les renseignements personnels en marchandise; ces renseignements sont de plus en plus « extraits » de l’univers virtuel pour être vendus aux entreprises, qui les utilisent notamment pour concevoir des publicités ciblées.

Vie privée et Facebook

Le Commissariat a commencé à enquêter sur les pratiques et les politiques en matière de protection des renseignements personnels de Facebook à la suite d’une plainte déposée par la Clinique d’intérêt public et de politique d’Internet du Canada à l’Université d’Ottawa.

Au terme d’une enquête d’une portée et d’une complexité sans précédent, le Commissariat a publié ses conclusions en juillet 2009. Bien que certaines de nos préoccupations aient été traitées de manière satisfaisante, nous n’avons pas réussi à conclure une entente avec l’entreprise sur une série d’autres points. À la suite de longues discussions et négociations entre le Commissariat et l’entreprise, nous avons été en mesure d’annoncer à la fin août 2009 que Facebook avait accepté d’apporter d’importantes modifications techniques et liées aux politiques pour répondre aux préoccupations non réglées. L’entreprise a entrepris les modifications en septembre dernier et les a appliquées à l’ensemble de ses opérations.

Des changements aux paramètres de contrôle de la vie privée par défaut n’ont toutefois été apportés qu’en décembre 2009, après la conclusion de notre enquête officielle. Néanmoins, le Commissariat a exprimé de nouvelles préoccupations à l’égard de cette érosion continue de la protection de la vie privée. À la suite de notre intervention et des protestations de nombreux autres intéressés, y compris des utilisateurs, Facebook a ramené de sept à quatre le nombre de catégories de renseignements ne pouvant être protégées, soit le nom, la photo du profil, le sexe et les réseaux, encore une fois pour l’ensemble du réseau.     

Les travaux du Commissariat dans le dossier Facebook visaient principalement à assurer de meilleures mesures de protection des renseignements personnels, et à garantir que les utilisateurs aient un droit de regard éclairé et significatif sur la façon dont leurs renseignements personnels sont recueillis, utilisés et communiqués.

Applications de Facebook

Mais la saga Facebook ne s’arrête pas là.

À l’heure actuelle, nous enquêtons sur une série de nouvelles plaintes concernant le site, qui portent sur la fonction d’invitation de Facebook et sur l’affichage de son bouton « j’aime » sur d’autres sites Web.

Et nous sommes toujours préoccupés par la question des applications sur le site de Facebook.

L’enquête initiale du Commissariat sur Facebook portait principalement sur le partage des renseignements personnels avec des tiers développeurs d’applications, comme des jeux et des jeux-questionnaires, auxquelles les utilisateurs accèdent par l’intermédiaire du site.

Près des trois quarts des utilisateurs de Facebook se servent des applications chaque mois. L’application la plus populaire, FarmVille, est un jeu agricole virtuel auquel participent 55 millions d’utilisateurs chaque mois. Causes, un outil de sensibilisation pour les organismes à but non lucratif, est employé mensuellement par 27 millions d’utilisateurs. En tout, une profusion ahurissante d’applications conçues par des développeurs inconnus dans quelque 180 pays différents fonctionne dans le cadre de Facebook; celles-ci se dénombrent en centaines de milliers.

Le Commissariat craignait d’abord que Facebook ne dispose pas des mesures de protection technique nécessaires pour empêcher efficacement les développeurs d’accéder aux renseignements personnels des utilisateurs, ainsi qu’aux renseignements personnels de leurs amis. En outre, les utilisateurs n’étaient pas informés du type de renseignements auxquels accédaient les développeurs d’applications, ni des raisons motivant leur accès.

À la suite de notre enquête, Facebook a limité l’accès des développeurs d’applications aux seules sections du profil pour lesquelles l’utilisateur a autorisé l’accès de manière explicite, ainsi qu’aux parties nécessaires au fonctionnement de l’application.

De nouveaux enjeux liés aux applications et à la protection de la vie privée ont surgi le mois dernier, lorsque le Wall Street Journal a révélé que de nombreux développeurs d’applications populaires sur Facebook transmettaient le numéro d’identification Facebook unique des utilisateurs à au moins une vingtaine d’entreprises spécialisées en publicité ou en données cherchant à dresser un profil personnel des utilisateurs d’Internet par le biais de la surveillance de leurs activités en ligne. Facebook a par la suite confirmé qu’une poignée de développeurs d’applications communiquaient intentionnellement les numéros d’identification des utilisateurs à des tiers courtiers en données.

En l’instance, ce seraient les développeurs d’applications qui contreviendraient potentiellement à la LPRPDE; le Commissariat se penche actuellement sur l’affaire.

Après avoir entendu le récit des efforts déployés par le Commissariat dans le dossier Facebook, il ne serait pas étonnant que vous établissiez des parallèles avec un jeu d’arcade classique, maintenant offert sur iPhone : « tape taupe ». Ce jeu consiste à taper sur la tête des taupes qui se pointent à l’extérieur de leur trou avec un maillet en caoutchouc. Vous avez beau taper à la vitesse de l’éclair, une autre taupe surgit aussitôt d’un trou différent.

Parfois, tenter de lutter contre les atteintes à la vie privée perpétrées par les sites de réseautage social et d’autres sites en ligne s’apparente dangereusement à une partie de « tape taupe ».

Vie privée et Google

Nos rapports avec un autre géant du monde virtuel, Google, ont suivi un modèle similaire.

  • Street View

Lorsque Google est venu au Canada recueillir des images pour son service Street View, nous avons eu l’impression que l’entreprise californienne n’avait aucunement cherché à vérifier si ces plans visant à prendre des photos à haute résolution dans les rues de quartier du Canada et à les afficher en ligne étaient conformes aux exigences de la LPRPDE.

Le Commissariat a pris les devants en portant ces exigences à l’attention de Google en août 2007. Nous n’avons reçu aucune réponse jusqu’à ce que nous publions la lettre envoyée à l’entreprise un mois plus tard.

Après de nombreuses valses-hésitations, nous avons constaté, lors du lancement de Street View l’an dernier, que la plupart de nos préoccupations en matière de protection de la vie privée avaient été prises en considération. Les quartiers étaient informés à l’avance du passage imminent des voitures-caméras, et les éléments potentiellement délicats apparaissant sur les photos, comme les numéros de plaques d’immatriculation et le visage des personnes, ont été brouillés avant d’être affichés. En outre, on a offert aux gens l’option de demander que la photo de leur maison soit retirée du site.

Malheureusement, un nouveau problème en matière de protection de la vie privée a surgi peu de temps après.

  • Buzz

En février, Google a unilatéralement ajouté un nouveau service de réseautage social, « Buzz », aux comptes des 146 millions d’utilisateurs de son service gratuit de courriel, Gmail. Les paramètres par défaut révélaient initialement le nom des personnes avec lesquelles les utilisateurs correspondaient et clavardaient le plus, une sorte de réseau d’« amis » assemblé par Google sans même que les utilisateurs aient été consultés. La communauté des utilisateurs Gmail s’est tout de suite vigoureusement opposée à cette mesure. Quelques jours plus tard, Google s’est excusé et a corrigé les caractéristiques de Buzz portant le plus atteinte à la vie privée.

L’échec de Buzz a eu deux répercussions positives.

Premièrement, le tollé public a démenti certaines déclarations exagérées voulant que les gens ne considèrent plus que la vie privée vaut la peine d’être protégée. De toute évidence, ce n’est pas le cas.

Deuxièmement, l’échec de Buzz a suscité une collaboration sans précédent des défenseurs de la vie privée dans dix pays, qui représentent les intérêts en matière de vie privée de plus de 375 millions de personnes dans le monde. En avril dernier, ces défenseurs ont rédigé conjointement une lettre à l’intention du PDG de Google, dans laquelle ils ont exprimé des préoccupations relativement aux pratiques de protection de la vie privée de l’entreprise, notamment en ce qui a trait au lancement de Google Buzz.

La lettre se voulait aussi un avertissement clair à tous les géants multinationaux de la technologie que leur tendance à ne souscrire qu’en parole à la protection de la vie privée ne serait plus tolérée par des pays comme le Canada, la France, l’Allemagne, l’Irlande, Israël, l’Italie, les Pays-Bas, la Nouvelle‑Zélande, l’Espagne et le Royaume-Uni.

La lettre déclarait : « Il est inacceptable de lancer un produit qui rende publics des renseignements personnels sans l’accord des intéressés, avec l’intention de régler par la suite les problèmes susceptibles de se poser. La protection de la vie privée ne doit pas être reléguée au second plan dans l’empressement de proposer de nouvelles technologies en ligne aux utilisateurs du monde entier. »

Elle énonçait ensuite les obligations des sites de réseautage social en matière de vie privée, qui comprennent, au minimum, les suivantes :

  • recueillir et traiter la quantité minimale de renseignements personnels nécessaire pour que le produit ou le service proposé atteigne l’objectif pour lequel il a été conçu;
  • fournir de l’information claire et non ambigüe sur les fins auxquelles serviront les renseignements personnels, afin de permettre aux utilisateurs de donner leur consentement éclairé;
  • créer des paramètres par défaut qui protègent la vie privée des utilisateurs;
  • veiller à ce que les paramètres de contrôle de la vie privée soient bien en vue et d’utilisation facile;
  • assurer une protection adéquate des données personnelles des utilisateurs;
  • donner des consignes claires permettant aux utilisateurs de supprimer leur compte et accéder à leurs demandes en temps opportun.

Des approches coordonnées comme dans le dossier Buzz pourraient s’avérer l’une des façons les plus prometteuses de capter l’attention des géants technologiques pour ensuite les amener à se conformer aux normes largement acceptées en matière de protection de la vie privée.

Cependant,  je suis moins heureuse de souligner que le PDG de Google, Eric Schmidt, n’a pas répondu personnellement à la lettre rédigée par les dix responsables de la protection des données; il a préféré confier cette tâche à ses avocats.

  • Wi-Fi

Les activités de Google continuent d’engendrer des préoccupations relatives à la vie privée.

Le mois dernier, j’ai signalé qu’une enquête du Commissariat avait conclu que l’entreprise avait gravement porté atteinte au droit à la vie privée des Canadiennes et des Canadiens en recueillant par inadvertance des adresses de courriel, des mots de passe et même des courriels complets sur des réseaux sans fil non sécurisés alors que les voitures de Street View circulaient dans les quartiers.

Une telle chose s’est produite en raison de la négligence d’un ingénieur de Google, ainsi que d’un manque de contrôles visant à garantir que les procédures nécessaires à la protection de la vie privée sont rigoureusement suivies.

C’est en raison d’un code particulier qui avait été intégré au logiciel utilisé pour capter les signaux Wi-Fi que Google a recueilli des renseignements personnels. L’ingénieur avait développé un code pour échantillonner toutes les catégories de données diffusées publiquement sur des réseaux Wi-Fi, et ce code comprenait des lignes visant à recueillir les « données utiles », qui font référence au contenu des communications. Le code s’est retrouvé sur l’équipement des voitures de Google Street View quand l’entreprise a décidé de recueillir de l’information sur l’emplacement de signaux Wi-Fi publics, afin d’alimenter sa base de données destinée aux services géodépendants.

L’ingénieur avait omis de transmettre la documentation relative à la conception du code à l’avocat responsable chez Google de l’examen des conséquences juridiques du projet Wi-Fi.

Nous avons déjà constaté certains changements qui découlent de notre enquête et de nos recommandations. Google a jusqu’au 1er février 2011pour prouver qu’il se conforme aux recommandations. Nous espérons que notre enquête mènera à l’instauration d’un régime complet de protection de la vie privée chez Google, afin d’éviter de futurs faux pas en matière de vie privée.

La loi et le monde virtuel

La protection de la vie privée dans un monde virtuel où tout se transforme rapidement exige des solutions agiles, créatives et efficaces.

Actuellement, les modifications législatives avancent à pas de tortue dans le processus parlementaire, surtout en comparaison avec l’évolution du reste du monde. Devant les tribunaux, tout différend sur une question d’ordre juridique peut prendre plusieurs années à se résoudre.

Il n’est pas réaliste d’anticiper un changement important des rouages des systèmes judiciaire et parlementaire dans un avenir rapproché. Par conséquent, il nous incombe de réfléchir à des moyens d’appliquer les lois existantes dans l’intérêt des Canadiennes et des Canadiens.

Les avocats que j’ai rencontrés lors de colloques internationaux m’ont confié que les directives pratiques des organismes de réglementation prennent de plus en plus d’importance. Cela s’explique par le fait que peu de différends liés à la protection de la vie privée aboutissent à des litiges, qui se révèlent trop longs et risqués et sont des moyens peu indiqués pour résoudre des questions complexes en matière de TI.

Le Commissariat s’emploie de plus en plus à élaborer des documents d’encadrement destinés aux organisations, portant par exemple sur la surveillance secrète ou sur la collecte de renseignements sur le permis de conduire par les détaillants.

Notons également que les autorités responsables de la protection des données et d’autres organismes de réglementation se consacrent de manière plus attentive à mettre sur pied des règles dans le cadre d’un dialogue continu avec des concepteurs technologiques, des consommateurs, des juristes et des experts.

Par exemple, la Federal Trade Commission des États-Unis a tenu une série de consultations sur la protection de la vie privée et les Européens ont également entamé la discussion sur les moyens de modifier leur directive sur la protection des données personnelles. Le Commissariat a quant à lui organisé des consultations publiques sur le suivi, le profilage et le ciblage en ligne des consommateurs par les publicitaires ou d’autres entreprises, et les pratiques relatives à l’infonuagique.

Application des lois en matière de vie privée

La nature globale et en rapide évolution des sites de réseautage social et d’autres services en ligne a aussi soulevé des questions sur l’application efficace des lois sur la protection de la vie privée.

Le Commissariat procède actuellement à l’examen de sa propre structure et de son rôle en tant qu’autorité responsable de la protection des renseignements personnels. Devrions-nous, par exemple, continuer de mettre l’accent sur le rôle de commissaire à titre d’ombudsman? Ou devrions-nous suggérer au Parlement que le renforcement des pouvoirs d’application et d’exécution s’impose?

L’an dernier, nous avons recruté deux universitaires reconnus — Lorne Sossin, doyen de l’école de droit d’Osgoode Hall, et France Houle, de l’Université de Montréal — afin qu’ils comparent le contexte économique, juridique et politique général dans lequel la LPRPDE a été édictée avec l’environnement actuel.

Ils ont évalué l’efficacité du modèle d’ombudsman pour la protection des renseignements personnels dans le secteur privé, particulièrement à la lumière des changements qui se sont opérés sur le plan technologique, économique et juridique depuis l’entrée en vigueur de la LPRPDE.

L’analyse de ces deux intervenants a révélé le succès mitigé du modèle actuel.

Ils ont donc proposé comme solution d’octroyer au Commissariat l’autorité précise et limitée de rendre des ordonnances, y compris d’imposer des pénalités telles que des amendes. Ils ont également suggéré d’ajouter le pouvoir explicite d’émettre des directives pour soutenir la mise en place équitable et transparente de pouvoirs exécutoires.

Le Commissariat évalue présentement cette analyse, en l’intégrant à son expérience concernant la LPRPDE à ce jour, et en la comparant à sa propre appréciation des avantages et de l’efficacité du modèle d’ombudsman. 

Quoi qu’il en soit, cette étude est appelée à alimenter considérablement le discours public sur l’évolution de la LPRPDE.

Tribunaux et réseautage social

Avant de terminer, j’aimerais changer quelque peu de sujet et aborder brièvement avec vous la façon dont les tribunaux canadiens ont interprété jusqu’à maintenant la question du respect de la vie privée dans le contexte des sites de réseautage social.

Les tribunaux connaissement maintenant bien Facebook et les sites de réseautage social et reconnaissent que ceux-ci contiennent des renseignements confidentiels ou personnels.

Plusieurs affaires ont traité de la question relativement nouvelle du respect de la vie privée et de la communication du contenu d’un profil Facebook. La majorité de ces affaires ont été jugées en Ontario, mais sont pertinentes pour l’ensemble du Canada. Elles nous donnent une idée de la façon dont les tribunaux soupèseront les exigences concurrentes d’équité et de transparence et le droit à la vie privée des parties au cours du processus de communication.

En règle générale, lorsque les tribunaux déterminent que les renseignements personnels de l’une des parties publiés sur un site de réseautage social sont pertinents pour l’affaire en cause, ils ordonnent la divulgation de ces renseignements.

Les tribunaux ont également statué dans ces affaires qu’il fallait tenir compte du droit à la vie privée au moment de déterminer la pertinence des renseignements, y compris de tout préjudice que serait susceptible de causer la communication de renseignements tirés d’un site de réseautage social aux parties en cause ou à des tiers.

Toutefois, les tribunaux se sont abstenus de conclure que le droit à la vie privée l’emportait généralement sur les obligations de communication établies. Les décisions sont prises au cas par cas. Pour déterminer la pertinence, on évalue entre autres la valeur probante de la communication de renseignements tirés d’un site de réseautage social par rapport à son effet préjudiciable.

Bien que les tribunaux critiquent ou dédaignent parfois les revendications des parties à l’égard de la confidentialité de renseignements affichés sur un profil Facebook auquel ont accès une douzaine ou une centaine d’« amis », ils s’abstiennent néanmoins de décréter que les renseignements concernant une partie affichés sur un site réseautage social sont intrinsèquement pertinents du point de vue juridique, et doivent par conséquent être communiqués automatiquement. Les parties doivent toujours prouver la pertinence des renseignements, et les tribunaux continuent de prendre en considération le droit à la vie privée au moment de délivrer une ordonnance de communication.

Conclusion

Il s’agit d’un parcours long et laborieux à suivre. En dépit du fait que nous n’en sommes qu’à l’aube de l’ère du réseautage social, il y a déjà eu des développements importants sur le plan juridique.

J’espère que mon discours vous aura donné une meilleure compréhension des mesures prises sur la ligne de front de la vie privée et de la nécessité accrue de demeurer vigilant en matière de protection des renseignements personnels.

Merci. Je suis prête à répondre à vos questions sur le réseautage social ou sur d’autres sujets. Il pourrait aussi être intéressant d’échanger sur certaines décisions rendues récemment par la Cour fédérale et la Cour suprême qui auront une incidence importante sur la vie privée, par exemple.

Date de modification :