Vous pouvez probablement vous remémorer un moment où Facebook vous a demandé de fournir votre numéro de téléphone pour des raisons de sécurité. Oui, la société américaine utilise véritablement ce renseignement dans le but d’opérer une authentification à double facteurou pour notifier un utilisateur lorsqu’une tentative de connexion à son compte est faite sur un nouvel appareil non reconnu, le tout pour sécuriser davantage la plateforme. Mais ce n’est pas tout, loin de là!

Ayant auparavant renié des allégations en ce sens, le géant bleu des réseaux sociaux a confirmé jeudi par le biais d’un porte-parole, qu’il utilise les numéros de téléphone fournis par les utilisateurs à des fins de sécurité, pour ainsi les distribuer à des annonceurs. Cette confession fait suite à une étude menée par quatre chercheurs des universités Northeastern et Princeton sur « les sources d’informations personnelles d’identification utilisées dans le ciblage publicitaire par Facebook », relayée par le site spécialisé Gizmodo mercredi. Les conclusions du travail réalisé, en plus de dévoiler cette pratique douteuse en lien avec les numéros de téléphone, mettent en lumière l’opacité avec laquelle Facebook utilise et distribue les renseignements à des fins publicitaires.

Ceci révèle donc un accroc significatif de la part du plus important réseau social au monde, à contre-courant des cadres légaux et des bonnes pratiques régissant la protection des renseignements personnels, et ce des deux côtés de l’océan Atlantique. Au Canada, le modèle de protection de la vie privée et des renseignements personnels repose entre autres sur le principe selon lequel les usagers échangent les renseignements les concernant pour obtenir des services « gratuits ». Ainsi, ce contrat nécessite théoriquement le consentement éclairé des individus, qui en retour acceptent de communiquer les informations les concernant. Les organisations doivent généralement obtenir ce consentement valable pour la collecte, l’utilisation et la communication de renseignements personnels.

Ce qui dérange dans ces aveux réside dans le fait que Facebookrécolte lesdits numéros sous un tout autre prétexte, important aux yeux des utilisateurs, sans annoncer quoi que ce soit en lien avec l’utilisation à des fins publicitaires. La Loi sur la protection des renseignements personnels et les documents électroniques(ci-après LPRPDE), à son annexe 4.3, pose certains principes devant dicter la protection des renseignements personnels, et édicte ceci en ce qui a trait au troisième principe, soit le consentement :

[I]l faut informer la personne au sujet de laquelle on recueille des renseignements et obtenir son consentement. Les organisations doivent faire un effort raisonnable pour s’assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués.

On y fait aussi allusion, pour l’appréciation du consentement obtenu, aux attentes raisonnables des personnes desquelles les organisations recueillent les renseignements personnelsainsi qu’au caractère sensible des renseignements recueillis. Dans l’affaire qui nous intéresse, Facebook sort selon nous complètement de cette expectative raisonnable en faisant croire à l’utilisateur que leur numéro de téléphone n’est fourni que pour augmenter la sécurité de leur compte. Dans son rapport Vers la protection de la vie privée dès la conception, publié en février dernier, le Commissariat à la protection de la vie privée au Canada (ci-après CPVPC) recommande un consentement de type opt-inen ce qui a trait à l’utilisation des renseignements personnels à des fins secondaires :

[…] que le gouvernement du Canada propose des modifications à la Loi sur la protection des renseignements personnels et les documents électroniques afin de prévoir explicitement l’adhésion facultative par défaut en ce qui a trait à toute utilisation des renseignements personnels à des fins secondaires, et la mise en place d’un système d’adhésion facultative par défaut sans égard à l’objectif poursuivi.

Cette question épineuse du consentement a été largement abordée cette année par le Commissariat à la protection de la vie privée au Canada, qui pour donner suite aux consultations du Commissariat en matière de consentement, a élaboré et publié les Lignes directrices pour l’obtention d’un consentement valable, qui entreront en vigueur le 1^erjanvier 2019. Ce document d’orientation relativement aux activités assujetties à la LPRPDE édicte comme premier principe directeur que les organisations doivent mettre de l’avant et à la connaissance des personnes qui donnent leur consentement certains éléments clés. Parmi ceux-ci, on retrouve les tiers auxquels les renseignements personnels seront communiqués, ainsi que les fins auxquelles les renseignements personnels seront recueillis, utilisés ou communiqués.

En Europe, en vertu du Règlement général de protection des données(ci-après RGPD), qui s’applique à Facebooket autres sociétés non européennes par son application extraterritoriale, établit à son article 6 trois fondements sur lesquels une telle commercialisation des données personnelles peut s’appuyer. Outre un intérêt légitime et la nécessité contractuelle, le consentement « pour une ou plusieurs finalités spécifiques » permet un traitement licite des renseignements personnels. Malgré la complexité des circuits commerciaux et du modèle d’affaire de Facebook, aucune de ces trois bases légales n’est rencontrée dans l’affaire qui nous intéresse.

Protection des données personnelles et leur commercialisation apparaissent comme les deux faces d’une même médaille, celle d’un marché de la donnée personnelle pour lequel le droit entend trouver un équilibre.Comment contraindre davantage ces géants du web à respecter la protection de la vie privée de ses utilisateurs? Une des grandes divergences entre les cadres canadien et européen se situe au niveau des pouvoirs conférés aux organes responsables de l’application des principes ci-haut exposés. Ainsi, une autorité de contrôle peut, en vertu du RGPD, imposer une amende s’élevant à 4% du chiffre d’affaires mondial d’une entreprise en cas de manquement. Chez nous, le CPVPC a la capacité de négocier des changements d’attitudes auprès d’acteurs internationaux, mais la loi actuelle restreint le CPVPC à une incapacité d’action déconcertante. Il faudrait donc augmenter les prérogatives de cette autorité ainsi que celles d’autres entités à travers le monde pour ainsi contraindre davantage les acteurs dominants du web à suivre les règles et raréfier de telles situations comme celle-ci, où l’utilisateur doit faire un choix, à son insu, entre sécurité de connexion et protection de sa vie privée.