La question de savoir si Facebook Inc., maintenant connue sous le nom de Meta Platforms Inc. (Facebook), a contrevenu à la législation fédérale sur la protection des renseignements personnels en lien avec une application tierce qui a recueilli et utilisé des renseignements d’utilisateurs de Facebook sera entendue par la Cour suprême du Canada le 19 mars 2026.
La Cour suprême du Canada se penchera sur deux questions essentielles qui pourraient avoir une incidence sur les obligations en matière de protection des renseignements personnels des organisations visées par la Loi sur la protection des renseignements personnels et les documents électroniques, LC 2000, ch. 5 (LPRPDE). La première question concerne les exigences relatives à l’obtention d’un consentement valable pour la collecte, l’utilisation et la communication de renseignements personnels. La deuxième question concerne la mesure dans laquelle une organisation doit surveiller les tiers auxquels elle communique des renseignements personnels.
Le contexte
Le différend entre le Commissariat à la protection de la vie privée du Canada (le Commissaire ou le CPVP) et Facebook a débuté en 2018 lorsqu’une plainte a été déposée concernant une application tierce, « thisisyourdigitallife » (l’Application TYDL), qui aurait recueilli des données auprès de plus de 600 000 Canadiens par l’intermédiaire de Facebook. Selon une enquête conjointe menée par le CPVP et le commissaire à la protection de la vie privée de la Colombie-Britannique (l’Enquête conjointe), les renseignements recueillis par l’application tierce ont été communiqués à Cambridge Analytica Ltd. (Cambridge Analytica), ainsi qu’à sa société affiliée, SCL Elections Ltd., afin d’élaborer des profils psychographiques pour faciliter la publicité politique ciblée. L’Application TYDL était accessible par la plateforme d’application Facebook (la Plateforme) de novembre 2013 à décembre 2015. Elle recueillait des données auprès des utilisateurs de Facebook qui avaient installé l’Application TYDL (les Utilisateurs). Elle recueillait également des données concernant les amis de ces Utilisateurs qui n’avaient pas installé l’Application TYDL (les Amis des Utilisateurs).
L’Enquête conjointe sur Facebook
Le 25 avril 2019, le CPVP a publié ses conclusions concernant son Enquête conjointe sur la conformité de Facebook à la LPRPDE et à la Personal Information Protection Act (Colombie-Britannique). Le CPVP et le commissaire à la protection de la vie privée de la Colombie-Britannique ont conclu que Facebook : (i) n’avait pas obtenu le consentement valable et éclairé des Utilisateurs ou des Amis des Utilisateurs avant de communiquer leurs renseignements personnels; (ii) n'avait pas mis en place des mesures de sécurité adéquates pour protéger les renseignements personnels des Utilisateurs et des Amis des Utilisateurs; et (iii) n'avait pas respecté son obligation de responsabilité à l’égard des renseignements personnels sous son contrôle.
La Cour fédérale
Le 13 avril 2023, la Cour fédérale a rejeté la demande présentée contre Facebook par le Commissaire. Le juge saisi de la demande a conclu que le Commissaire ne s'était pas acquitté de son fardeau de preuve quant à la question de savoir si Facebook (i) avait obtenu un consentement valable et éclairé des Utilisateurs et des Amis des Utilisateurs lors du partage de leurs renseignements personnels avec des applications tierces, ou (ii) avait mis en place des mesures de protection adéquates pour les renseignements des Utilisateurs. Pour en savoir plus sur la décision de la Cour fédérale, veuillez consulter notre billet intitulé La Cour fédérale rejette la demande du commissaire dans une affaire de protection de la vie privée sur Facebook.
La Cour d’appel fédérale
Le 9 septembre 2024, dans le cadre d’un appel interjeté par le Commissaire, la Cour d’appel fédérale a infirmé la décision de la Cour fédérale et a conclu que Facebook avait contrevenu à la LPRPDE. Plus précisément, la Cour d’appel fédérale a conclu que Facebook : (i) n'avait pas obtenu le consentement valable des Utilisateurs et des Amis des Utilisateurs lors de la communication de leurs renseignements personnels à des applications tierces et (ii) avait « manqué à ses obligations en matière de sécurité puisqu'elle n'a pas assuré adéquatement le respect et la surveillance des pratiques en matière de protection de la vie privée des applications tierces qui utilisent sa [P]lateforme ».
En ce qui concerne la question de savoir ce que l’on entend par « consentement valable », la Cour d’appel fédérale a jugé que celui-ci doit être évalué objectivement, en fonction de ce qu’une personne raisonnable comprendrait de la nature, des fins et des conséquences de la communication, plutôt que sur la base de preuves subjectives ou de témoignages d’experts. Appliquant cette norme objective, la Cour a conclu que le consentement obtenu n’était pas valable, notamment pour les motifs suivants :
- Amis des Utilisateurs : Bien qu’ils aient été généralement informés (au moyen de la Politique de confidentialité de Facebook) que leurs renseignements pouvaient être communiqués à des applications tierces lorsque leurs amis utilisaient ces applications, ils n’ont pas eu la possibilité de consentir directement à l’utilisation de leurs données par l’Application TYDL et n’ont pas pu consulter les politiques d’utilisation des données de l’Application TYDL avant que leurs renseignements ne soient communiqués à la tierce partie (Cambridge Analytica). La Cour d’appel fédérale a conclu que le libellé utilisé dans la Politique de confidentialité était trop général pour être efficace et permettre de donner un consentement valable.
- Utilisateurs : Ils étaient en mesure de gérer les autorisations de communication des données à l’aide de l’outil d’autorisations de partage de données de Facebook et étaient tenus d’accepter les Conditions de Service, lesquelles intégraient par renvoi la Politique de confidentialité de Facebook. La Politique de confidentialité informait les Utilisateurs que Facebook ne contrôlait pas les applications tierces et les invitait à consulter les conditions d’utilisation des tiers. La Cour d’appel fédérale a conclu que (i) l’acceptation des Conditions de Service de Facebook, qui intégraient par renvoi la Politique de confidentialité de Facebook, ne constituait pas un consentement valable; et (ii) bien que les Utilisateurs aient été techniquement informés que les applications tierces n’étaient pas contrôlées par Facebook et qu’ils devaient examiner les conditions des tiers, un « utilisateur raisonnable » s’attendrait à ce que Facebook mette en œuvre de solides mesures préventives contre les acteurs malveillants. La Cour d’appel fédérale a jugé que Facebook n’avait pas mis en œuvre de telles mesures. La Cour d’appel fédérale a également fait remarquer que « les termes qui sont en apparence clairs ne donnent pas nécessairement lieu à un consentement valable. La clarté apparente peut s’évaporer ou s’embrouiller en raison de la longueur du document et du brouillard qui s’y installe ainsi que de la complexité des termes utilisés. » Les Conditions de Service comportaient environ 9 100 mots, et la Politique de confidentialité, environ 4 500 mots (dans leur version originale anglaise).
En ce qui concerne les obligations en matière de mesures de sécurité, la Cour d’appel fédérale a conclu que Facebook n’a pas assuré adéquatement le respect et la surveillance des pratiques en matière de protection de la vie privée des applications tierces qui utilisent sa Plateforme, malgré le fait qu’elle ait « invité des millions » de ces applications à joindre sa Plateforme. En particulier, la Cour d’appel fédérale a conclu que Facebook n’a pas : (i) pris connaissance du contenu des politiques de confidentialité des applications tierces; (ii) pris de mesures relatives aux signaux d’alarme détectés, y compris les demandes pour avoir accès à des données non essentielles que même Facebook avait signalées comme problématiques; (iii) informé les utilisateurs concernés lorsqu’elle a pris connaissance que l’Application TYDL s’était emparée des données d’Utilisateurs et d’Amis des Utilisateurs et les avait vendues, en violation des politiques de Facebook; et (iv) chassé en temps opportun Cambridge Analytica ou le créateur de l’Application TYDL de sa Plateforme.
Bien que la Cour d’appel fédérale et la Cour fédérale aient toutes deux estimé que les principes relatifs aux mesures de sécurité sont liés à la façon dont l’organisation gère les données, et non à la surveillance des données après leur communication, la Cour d’appel fédérale a conclu que Facebook avait une obligation réglementaire de protéger les données des utilisateurs et n’a pas pris suffisamment de mesures pour garantir la protection des données qui étaient en sa possession avant la communication. La Cour d’appel fédérale a conclu que « Facebook peut s’en remettre à l’exécution de bonne foi des contrats qu’elle a conclus avec les applications tierces, mais seulement jusqu’à un certain point », et sachant qu’il peut y avoir des « acteurs malveillants » utilisant la plateforme, Facebook aurait dû prendre des mesures supplémentaires pour s’assurer du respect des contrats par les applications tierces.
La Cour suprême du Canada
Le 12 juin 2025, la Cour suprême du Canada a accordé à Facebook l’autorisation d’interjeter appel. Les questions que doit trancher la Cour suprême du Canada sont les suivantes :
- Facebook a-t-elle obtenu un consentement valable pour communiquer les renseignements personnels à des applications tierces?
- Facebook a-t-elle manqué à l’obligation de maintenir des mesures de sécurité adéquates pour protéger les renseignements personnels dont elle avait la possession ou la garde?
Les principaux enjeux
La décision de la Cour suprême du Canada pourrait avoir une incidence importante sur les exigences imposées aux organisations concernant la manière d’obtenir un consentement valable, en particulier en ligne, ainsi que sur la portée et la nature de leurs obligations de protéger adéquatement les renseignements personnels lorsqu’elles communiquent des données à des tiers. Voici des questions que la Cour suprême du Canada pourrait aborder ou évaluer au cours de son examen.
- Ce qui constitue un « consentement valable », en particulier dans le contexte de la collecte, de l’utilisation et de la communication en ligne : Une question essentielle pourrait être de savoir ce qui est nécessaire pour établir un consentement valable dans un environnement numérique complexe. En particulier, convient-il de tenir compte du type ou de la nature des activités d’une organisation, de son modèle d’affaires, de la longueur et de la clarté des avis concernant la confidentialité, des paramètres par défaut, de l’inégalité du pouvoir de négociation et du type de contrat (contrat d’adhésion) lors de l’évaluation du caractère valable du consentement?
- Obligations en matière de mesures de sécurité : Cet appel soulève également des questions quant à l’étendue de la responsabilité d’une organisation lorsque des renseignements personnels sont communiqués à une tierce partie. La Cour suprême du Canada devrait se prononcer sur la question de savoir si les organisations ont l’obligation proactive de mettre en œuvre et de maintenir des mesures de protection en lien avec la communication à des tiers, y compris l’obligation de surveiller la conformité des tiers, de faire respecter les engagements contractuels en matière de confidentialité, de réagir aux signaux d’alarme et de s’assurer que les processus internes ne facilitent pas l’accès non autorisé ou l’utilisation abusive.
Si vous avez des questions concernant les possibles conséquences de cette affaire pour votre organisation, le groupe Protection des renseignements personnels et des données de Bennett Jones est à votre disposition pour vous aider.
