Facebook a accepté de payer une amende de 9 millions de dollars en vertu de la Loi sur la concurrence fédérale découlant de l’affaire Cambridge Analytica et de rembourser le coût de l’enquête de 500 000 $ (sans aucune reconnaissance d’actes répréhensibles). Cette amende est la première à être imposée pour une violation de la vie privée par le Bureau de la concurrence en vertu de son pouvoir de réglementer les pratiques commerciales trompeuses.
Tel que rapporté précédemment par Bennett Jones dans
L’importance de la participation du Bureau de la concurrence aux questions de protection de la vie privée réside dans le niveau des amendes potentielles et l’introduction d’un examen réglementaire supplémentaire. Le Bureau de la concurrence peut demander une pénalité administrative pouvant aller jusqu’à 10 millions de dollars et jusqu’à concurrence de 15 millions de dollars pour chaque ordonnance subséquente contre la société. Dans le cas d’une personne (qui pourrait éventuellement inclure des administrateurs ou des dirigeants d’une société), le Bureau de la concurrence peut demander une pénalité administrative pouvant aller jusqu’à 750 000 $ et jusqu’à 1 million de dollars pour chaque ordonnance subséquente contre le particulier. En revanche, la commissaire fédérale à la protection de la vie privée n’a actuellement pas le pouvoir de demander une pénalité administrative contre une organisation qui ne respecte pas ses obligations en matière de protection de la vie privée. Toutefois, la commissaire fédérale à la protection de la vie privée peut demander une ordonnance d’un tribunal imposant des restrictions à la capacité d’une organisation de recueillir ou d’utiliser des renseignements personnels.
Les entreprises, grandes et petites, doivent s’attendre à une surveillance de leurs pratiques de marketing en matière de protection de la vie privée. Le commissaire du Bureau de la concurrence, Matthew Boswell, a déclaré ce qui suit à ce sujet :
"[l]e Bureau de la concurrence n’hésitera pas à sévir contre toute entreprise qui fait des déclarations fausses ou trompeuses aux Canadiens sur la façon dont ils utilisent les données personnelles, qu’il s’agisse de multinationales comme Facebook ou de petites entreprises ».
Ce développement marque une transition remarquable pour la réglementation des questions de protection de la vie privée au Canada, d’autant plus que l’économie numérique introduit de nouvelles possibilités pour les entreprises de banaliser et de tirer profit de la collecte et de la manipulation des données. Cette évolution coïncide également avec les appels répétés du commissaire fédéral à la protection de la vie privée en faveur d’un plus grand pouvoir (y compris la capacité d’imposer des amendes) et avec l’importance croissante qu’il porte aux questions liées à l’utilisation des renseignements personnels sans le consentement approprié. Les entreprises devraient s’attendre à une surveillance réglementaire accrue concernant l’utilisation faite des renseignements personnels recueillis, si l’utilisation est faite à des fins raisonnables (comme l’exige la législation sur la protection des renseignements personnels) et si un consentement valable a été obtenu pour la collecte et l’utilisation de ces renseignements.
La préparation devrait être une priorité centrale pour toute organisation participant à la collecte, à l’utilisation, au stockage ou au traitement des renseignements personnels.
Pour gérer le risque d’exposition réglementaire (ainsi que le risque de litige impliquant des violations de la vie privée), les organisations devraient tenir compte des éléments suivants :
Acquérir une compréhension claire de ce qui suit (entre autres choses) :
Les renseignements personnels sont définis de façon générale et comprennent des catégories de renseignements qui dépassent les types les plus évidents, comme le nom, l’adresse, les numéros d’identification du gouvernement et les renseignements bancaires. Les renseignements personnels peuvent comprendre, par exemple, les préférences d’une personne (les articles achetés par l’utilisateur), les habitudes (fréquence des déplacements et des itinéraires) ou les réactions (les publicités sur les clics de l’utilisateur).
Analyser le consentement obtenu des personnes, y compris le contexte dans lequel le consentement est obtenu (p. ex., s’agit-il simplement d’un consentement « clic ») et déterminer si vous avez obtenu un consentement valide et valable. En particulier, examinez s’il est raisonnable de conclure que les personnes comprennent ce qui suit :
L’examen de la question de savoir si le consentement est valable peut nécessiter une évaluation du contexte dans lequel le consentement est donné, compte tenu de la sensibilité des renseignements en cause et du but ou de la possibilité de réaffecter la collecte et l’utilisation des renseignements.
Couvrir les transferts de renseignements personnels à des tiers au titre d’ententes écrites qui comprennent :
Évaluer si les mesures de protection opérationnelles, physiques et techniques en place, et celles de tout tiers auquel ils transfèrent des renseignements personnels, sont raisonnables, compte tenu de la sensibilité des renseignements et de la durée pendant laquelle les renseignements peuvent être conservés.
Les dirigeants d’entreprise peuvent présumer que leur entreprise obtient le consentement approprié pour la collecte de renseignements personnels puisqu’ils ont un libellé dans leur politique de confidentialité qui englobe de vastes catégories d’utilisations potentielles de l’information. Ils peuvent supposer que, parce que l’entreprise a demandé le consentement dans la politique, l’entreprise peut utiliser les informations à n’importe quelle fin, que cette fin ou cette utilisation réutilisée soit raisonnable. Ils peuvent supposer que les tiers auxquels la société a transféré des données se conformeront à leurs obligations de limiter l’utilisation des informations ou de protéger les informations. Ils peuvent supposer que parce que leur service informatique a déclaré qu’ils avaient de « bonnes protections », ils prennent toutes les mesures nécessaires pour protéger les informations.
Ces hypothèses peuvent être coûteuses à divers niveaux, y compris le risque d’amendes réglementaires en vertu de la Loi sur la concurrence.
Pour plus d’informations sur la façon de gérer l’exposition réglementaire et contentieuse découlant de la gestion des informations personnelles, contactez le groupe Bennett Jones Privacy and Data Protection group.