Leçons tirées de la victoire de Meta contre le Commissaire à la protection de la vie privée du Canada devant la Cour fédérale
Dans l’affaire Canada (Commissaire à la protection de la vie privée) c. Facebook, inc., 2023 CF 533, la Cour fédérale du Canada a rejeté une demande à enjeux élevés déposée par le commissaire à la protection de la vie privée du Canada contre Meta Platforms Inc. (anciennement Facebook Inc.). Il s’agit de la première Cour de justice dans le monde qui rend une décision sur le bien-fondé d’une affaire découlant du scandale de Cambridge Analytica.
Le commissaire a allégué que Meta Platforms Inc. (« Meta ») avait enfreint la loi fédérale sur la protection de la vie privée dans le cadre de l’incident de Cambridge Analytica et du partage par Meta des renseignements personnels des utilisateurs de Facebook avec des applications tierces. Le jugement rendu par la Cour fédérale, rejetant cette demande, constitue une immense victoire pour Meta et permet aux entreprises de tirer d’importantes leçons à propos du droit canadien en matière de protection des renseignements personnels :
- La LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques) établit un juste équilibre. La Loi fédérale sur la protection des renseignements personnels et les documents électroniques (« LPRPDE») établit ainsi un juste équilibre entre les intérêts individuels et organisationnels, et devrait donc être interprétée avec souplesse, pragmatisme et bon sens. Cela signifie que les tribunaux doivent non seulement tenir compte des intérêts de la personne en matière de vie privée, mais également des intérêts légitimes de l’entreprise pour ce qui est de la collecte, de l’utilisation et de la communication de renseignements personnels à des fins commerciales.
- Les hypothèses ne sauraient se substituer aux éléments de preuve. Même si le commissaire conclut qu’une entreprise a enfreint la LPRPDE lors de son enquête, il lui incombe de fournir les éléments de preuve dans le cadre d’une demande en vertu de la LPRPDE. Même s’il s’est appuyé sur des hypothèses et des déductions lors de la procédure d’enquête, ces éléments ne suffiront pas dans le cadre d’une demande en vertu de la LPRPDE. Sans des éléments de preuve concrets directement liés à la violation de la LPRPDE, la demande sera rejetée.
- L’obligation de protection garantit une protection sans faille. Toute entreprise a le devoir de protéger les informations qui sont en sa possession. Lorsque l’entreprise communique des informations à un tiers, après avoir obtenu le consentement pour le faire, l’obligation de protection est transmise de l’entreprise au tiers dès la communication de l’information, assurant ainsi une protection sans faille.
Contexte
En mars 2018, le commissaire chargé de veiller au respect de la LPRPDE, a reçu une plainte lui demandant d’enquêter sur la conformité de Meta au regard de la LPRPDE relativement à des applications tierces au même moment où le scandale de Cambridge Analytica a éclaté. Après 13 mois d’enquête, le commissaire a publié un rapport présentant ses conclusions. Le rapport a révélé que Meta n’avait pas obtenu de consentement valable de la part des utilisateurs de Facebook dont les renseignements personnels avaient été partagés avec des applications tierces, et que Meta n’avait pas suffisamment protégé les renseignements personnels des utilisateurs de Facebook contre la collecte, l’utilisation et la communication non autorisées par des applications tierces.
S’appuyant sur ce rapport, le commissaire a déposé une demande auprès de la Cour fédérale en avril 2020, afin d’obtenir des mesures correctives radicales qui obligeraient Meta à modifier les activités et les fonctions de Facebook à l’échelle mondiale, et à se soumettre à une surveillance continue de la part du commissaire et de la Cour. Le commissaire a demandé à la Cour de s’inspirer d’une ordonnance de règlement rendue en 2019 par la Federal Trade Commission des États-Unis, obligeant Facebook à payer une amende de 5 milliards de dollars américains et à se soumettre pendant 20 ans à des mesures injonctives obligatoires et à la surveillance par des tiers.
Au cours des trois années qui ont suivi, Meta a réussi à obtenir un certain nombre de victoires préliminaires à l’audience, notamment des ordonnances rejetant des éléments de preuves inappropriés présentés par le commissaire, limitant ainsi de manière significative les preuves que le commissaire pouvait utiliser devant la Cour.
Jugement
Après plusieurs journées d’audience, la Cour fédérale a rejeté la demande du commissaire dans son intégralité, avec dépens. Tant sur la question du consentement que sur celle des mesures de protection, la Cour n’a pas conclu à une violation de la LPRPDE. Elle a également fourni des orientations importantes sur l’interprétation et l’application de la loi.
LPRPDE
La LPRPDE régit la collecte, l’utilisation et la communication de renseignements personnels dans le secteur privé au Canada. En général, la LPRPDE impose deux obligations aux entreprises du secteur privé exerçant leurs activités au Canada :
- obtenir un consentement valable pour la collecte, l’utilisation ou la communication des renseignements personnels des Canadiennes et des Canadiens (l’obligation de consentement); et
- prendre des mesures adéquates pour protéger les renseignements personnels en leur possession, contre la collecte, l’utilisation ou la communication non autorisée (obligation de protection).
La Cour a fourni des indications sur la manière d’interpréter et d’appliquer la LPRPDE. Elle a souligné que la LPRPDE vise expressément à « mettre en équilibre la protection des renseignements concernant les utilisateurs, d’une part, et le droit des organisations de recueillir, d’utiliser et de communiquer des renseignements personnels, d’autre part ». La Cour a déclaré que « l’objectif de la LPRPDE étant de mettre en équilibre deux intérêts concurrents, il appartient à la Cour de l’interpréter avec suffisamment de souplesse, de bon sens et de pragmatisme ». Par ailleurs, la Cour a confirmé que, bien que la LPRPDE soit « considérée comme une loi quasi constitutionnelle », ce statut « n’a pas pour effet de modifier l’approche traditionnelle d’interprétation des lois ».
Elle a également fourni quelques indications quant à la nature d’une demande introduite en vertu de la LPRPDE. La Cour a confirmé qu’une demande en vertu de la LPRPDE était une demande de novo, ce qui signifie que cette demande donne lieu à une nouvelle audience pour en examiner le bien-fondé, et non à une révision du rapport de conclusions du commissaire. La Cour a ajouté qu’il incombait au demandeur, en l’occurrence le commissaire, de démontrer par des preuves concrètes qu’il y avait eu violation de la LPRPDE.
Consentement
Selon la Cour, le commissaire ne s’est pas acquitté de son obligation de prouver que Meta n’avait pas obtenu le consentement valable des utilisateurs de Facebook. La Cour a déclaré que même si le commissaire disposait de larges pouvoirs d’enquête pour exiger des informations, la demande du commissaire a été présentée sans élément de preuve (« evidentiary vacuum »). Par exemple, le commissaire n’a présenté aucune preuve d’expert sur ce que Meta pourrait faire différemment pour obtenir le consentement des utilisateurs, et aucun témoignage d’utilisateurs de Facebook concernant leurs attentes. Face à ce manque de preuves, la Cour a refusé de « faire des hypothèses et de tirer des inférences dénuées de fondement » et a conclu que « en fin de compte, il appartient au commissaire d’établir le manquement à la LPRPDE sur la foi de la preuve, et non à partir d’hypothèses et de déductions tirées de faits essentiels aussi clairsemés ».
Obligation de protection
Selon la Cour, le commissaire ne s’était pas non plus acquitté de son obligation de prouver que Meta n’avait pas suffisamment protégé les renseignements personnels des utilisateurs de Facebook. La Cour a reconnu que l’obligation de Meta de protéger les renseignements personnels en sa possession prenait fin lorsque Meta communiquait les renseignements à un tiers, comme un développeur d’applications tiers. La Cour a ajouté que même si l’obligation de protection de Meta continuait après la communication de ces renseignements, le commissaire avait omis de démontrer que Meta ne pouvait pas se fier aux engagements contractuels des développeurs d’applications tiers à respecter les conditions imposées par Facebook.
McCarthy Tétrault a représenté Meta dans le cadre de la demande en vertu de la LPRPDE.