Écrit par Ruth Promislow, Stephen Burns and Michael Whitt
Facebook a accepté de payer une amende de 9 millions de dollars en vertu de la Loi sur la concurrence fédérale découlant de l’affaire Cambridge Analytica et de rembourser le coût de l’enquête de 500 000 $ (sans aucune reconnaissance d’actes répréhensibles). Cette amende est la première à être imposée pour une violation de la vie privée par le Bureau de la concurrence en vertu de son pouvoir de réglementer les pratiques commerciales trompeuses.
Tel que rapporté précédemment par Bennett Jones dans Competition Bureau a l’intention de surveiller les violations de la vie privée — Méfiez-vous des amendes potentielles et Organizations Can Expect Increased Canadian Regulation for Privacy Violations, la réglementation des atteintes à la vie privée par le Bureau de la concurrence était prévue. En vertu de la Loi sur la concurrence, le Bureau de la concurrence a le pouvoir de réglementer les questions lorsqu’une organisation a présenté des observations à un consommateur au sujet de la collecte, de l’utilisation ou de la protection de renseignements personnels, et qu’elle omet ensuite de se conformer à ces observations. La Federal Trade Commission des États-Unis réglemente régulièrement les questions de protection de la vie privée et impose des amendes substantielles en vertu de pouvoirs similaires pour réglementer les pratiques trompeuses.
L’importance de la participation du Bureau de la concurrence aux questions de protection de la vie privée réside dans le niveau des amendes potentielles et l’introduction d’un examen réglementaire supplémentaire. Le Bureau de la concurrence peut demander une pénalité administrative pouvant aller jusqu’à 10 millions de dollars et jusqu’à concurrence de 15 millions de dollars pour chaque ordonnance subséquente contre la société. Dans le cas d’une personne (qui pourrait éventuellement inclure des administrateurs ou des dirigeants d’une société), le Bureau de la concurrence peut demander une pénalité administrative pouvant aller jusqu’à 750 000 $ et jusqu’à 1 million de dollars pour chaque ordonnance subséquente contre le particulier. En revanche, la commissaire fédérale à la protection de la vie privée n’a actuellement pas le pouvoir de demander une pénalité administrative contre une organisation qui ne respecte pas ses obligations en matière de protection de la vie privée. Toutefois, la commissaire fédérale à la protection de la vie privée peut demander une ordonnance d’un tribunal imposant des restrictions à la capacité d’une organisation de recueillir ou d’utiliser des renseignements personnels.
Les entreprises, grandes et petites, doivent s’attendre à une surveillance de leurs pratiques de marketing en matière de protection de la vie privée. Le commissaire du Bureau de la concurrence, Matthew Boswell, a déclaré ce qui suit à ce sujet :
"[l]e Bureau de la concurrence n’hésitera pas à sévir contre toute entreprise qui fait des déclarations fausses ou trompeuses aux Canadiens sur la façon dont ils utilisent les données personnelles, qu’il s’agisse de multinationales comme Facebook ou de petites entreprises ».
Ce développement marque une transition remarquable pour la réglementation des questions de protection de la vie privée au Canada, d’autant plus que l’économie numérique introduit de nouvelles possibilités pour les entreprises de banaliser et de tirer profit de la collecte et de la manipulation des données. Cette évolution coïncide également avec les appels répétés du commissaire fédéral à la protection de la vie privée en faveur d’un plus grand pouvoir (y compris la capacité d’imposer des amendes) et avec l’importance croissante qu’il porte aux questions liées à l’utilisation des renseignements personnels sans le consentement approprié. Les entreprises devraient s’attendre à une surveillance réglementaire accrue concernant l’utilisation faite des renseignements personnels recueillis, si l’utilisation est faite à des fins raisonnables (comme l’exige la législation sur la protection des renseignements personnels) et si un consentement valable a été obtenu pour la collecte et l’utilisation de ces renseignements.
La préparation devrait être une priorité centrale pour toute organisation participant à la collecte, à l’utilisation, au stockage ou au traitement des renseignements personnels.
Principaux points à retenir
Pour gérer le risque d’exposition réglementaire (ainsi que le risque de litige impliquant des violations de la vie privée), les organisations devraient tenir compte des éléments suivants :
1. Cartographier et caractériser vos données
Acquérir une compréhension claire de ce qui suit (entre autres choses) :
- les catégories particulières de renseignements personnels recueillis et la sensibilité de ces renseignements;
- la façon dont vous utilisez ces renseignements et si cette utilisation est à des fins raisonnables;
- qui au sein de l’entreprise peut accéder aux données et à quelle fin;
- comment les employés peuvent accéder aux données et à qui peuvent-ils les transférer; et
- les sociétés tierces avec lesquelles les informations sont partagées et à quelles fins.
Les renseignements personnels sont définis de façon générale et comprennent des catégories de renseignements qui dépassent les types les plus évidents, comme le nom, l’adresse, les numéros d’identification du gouvernement et les renseignements bancaires. Les renseignements personnels peuvent comprendre, par exemple, les préférences d’une personne (les articles achetés par l’utilisateur), les habitudes (fréquence des déplacements et des itinéraires) ou les réactions (les publicités sur les clics de l’utilisateur).
2. Examiner le consentement
Analyser le consentement obtenu des personnes, y compris le contexte dans lequel le consentement est obtenu (p. ex., s’agit-il simplement d’un consentement « clic ») et déterminer si vous avez obtenu un consentement valide et valable. En particulier, examinez s’il est raisonnable de conclure que les personnes comprennent ce qui suit :
- les catégories de renseignements personnels recueillis;
- les utilisations potentielles que vous ferez de l’information;
- les tiers avec lesquels les informations seront partagées et les utilisations que les tiers peuvent en faire; et
- les mesures de protection qui seront utilisées pour protéger les informations par les entreprises et les tiers.
L’examen de la question de savoir si le consentement est valable peut nécessiter une évaluation du contexte dans lequel le consentement est donné, compte tenu de la sensibilité des renseignements en cause et du but ou de la possibilité de réaffecter la collecte et l’utilisation des renseignements.
3. Examiner les contrats de tiers
Couvrir les transferts de renseignements personnels à des tiers au titre d’ententes écrites qui comprennent :
- les dispositions concernant les utilisations permises des renseignements transférés (dont les utilisations correspondent au consentement obtenu);
- les contrôles sur la capacité du cessionnaire de traiter ou de transférer davantage les renseignements;
- les mesures de protection requises pour la protection des renseignements;
- les droits d’audit du cédant; et
- les obligations du cessionnaire d’aviser l’entreprise d’une éventuelle compromission des données.
4. Évaluer les mesures de protection
Évaluer si les mesures de protection opérationnelles, physiques et techniques en place, et celles de tout tiers auquel ils transfèrent des renseignements personnels, sont raisonnables, compte tenu de la sensibilité des renseignements et de la durée pendant laquelle les renseignements peuvent être conservés.
Ne présumez pas
Les dirigeants d’entreprise peuvent présumer que leur entreprise obtient le consentement approprié pour la collecte de renseignements personnels puisqu’ils ont un libellé dans leur politique de confidentialité qui englobe de vastes catégories d’utilisations potentielles de l’information. Ils peuvent supposer que, parce que l’entreprise a demandé le consentement dans la politique, l’entreprise peut utiliser les informations à n’importe quelle fin, que cette fin ou cette utilisation réutilisée soit raisonnable. Ils peuvent supposer que les tiers auxquels la société a transféré des données se conformeront à leurs obligations de limiter l’utilisation des informations ou de protéger les informations. Ils peuvent supposer que parce que leur service informatique a déclaré qu’ils avaient de « bonnes protections », ils prennent toutes les mesures nécessaires pour protéger les informations.
Ces hypothèses peuvent être coûteuses à divers niveaux, y compris le risque d’amendes réglementaires en vertu de la Loi sur la concurrence.
Pour plus d’informations sur la façon de gérer l’exposition réglementaire et contentieuse découlant de la gestion des informations personnelles, contactez le groupe Bennett Jones Privacy and Data Protection group.
Traduction alimentée par l’IA.
Veuillez noter que cette publication présente un aperçu des tendances juridiques notables et des mises à jour connexes. Elle est fournie à titre informatif seulement et ne saurait remplacer un conseil juridique personnalisé. Si vous avez besoin de conseils adaptés à votre propre situation, veuillez communiquer avec l’un des auteurs pour savoir comment nous pouvons vous aider à gérer vos besoins juridiques.
Pour obtenir l’autorisation de republier la présente publication ou toute autre publication, veuillez communiquer avec Amrita Kochhar à kochhara@bennettjones.com.