droitdu.net

Un site utilisant Plateforme OpenUM.ca

La protection des enfants à l’ère du cirque numérique

9 septembre 2019
Commentaires
Permalien

Ce 4 septembre, le président du Federal Trade Commission (FTC) des États-Unis,  Joseph J. Simons, annonçait en conférence de presse la conclusion d’une entente de règlement hors cour entre le FTC, Google LLC et sa filiale Youtube, LLC, prévoyant une pénalité civile de 170 million de dollars payable par les Géants.

Cette annonce retentissante a de quoi faire parler d’elle en cette période de multiplication de polémiques en matière de violation de vie privée au Québec. Chers juristes, nous vous offrons en primeur un compte rendu des tenants et aboutissants de cette entente afin de vous permettre d’échanger sur le sujet.

Un contexte de polémique

L’objet du litige : une application mobile de Youtube spécialement adressée aux enfants – YouTube Kids. Créée aux États-Unis à l’hiver 2015, cette application avait rapidement fait l’objet de dénonciations de la part des chaperons de son public cible, les parents. Des allégations d’ « usine à clics et pédophiles » circulaient, entre autres. Bref, un classique à l’ère du numérique.

Pour ceux qui l’ignorent, le FTC est une agence fédérale américaine indépendante autorisée à initier des procédures civiles en cas de violation au Federal Trade Commission Act. C’est la seule agence fédérale avec des devoirs à la fois de protection du consommateur et de supervision de la saine compétition au sein des acteurs du marché.

Aux États-Unis, le Congrès américain a adopté une loi prévoyant expressément la protection des données personnelles des enfants de moins de 13 ans depuis 1998. Le Children’s Online Privacy Protection Act (COPPA) donne au FTC l’autorité de demander des pénalités civiles en cas de collecte de données personnelles sur des enfants en l’absence du consentement de leurs parents.

Ainsi, le FTC et le procureur général de l’État de New York, au nom de tous les citoyens dudit État, avait introduit une Complaint for Permanent Injunction, Civil Penalties of New York contre Google LLC et Youtube, LLC, en Cour fédérale du district de Colombia suivant une enquête approfondie des méthodes de Youtube, LLC en matière de Behavioral Advertising.

Au soutien de sa demande, le FTC alléguait notamment que les défenderesses, malgré leur rôle de tiers entre le destinateur et le destinataire des vidéos mis en ligne sur l’application, devaient être fortement pénalisées vu leur connaissance que le contenu diffusé était destiné principalement à des enfants, position fortement contestée par celles-ci. Sans la preuve de cette connaissance, le FTC ne pouvait soulever la responsabilité des Géants avec succès.

Une entente à plusieurs modalités

Le règlement annoncé à 170 millions de dollars prévoit plusieurs modalités. De ce montant, 136 millions seront versés au FTC à titre de pénalité civile et 34 millions seront versés à l’État de New York à titre d’indemnisation.

Par ailleurs, les parties ont convenu que Google LLC et Youtube, LLC seraient soumises à diverses obligations qu’ils considèrent comme dépassant le cadre de la Loi. Les Géants ne pourront plus utiliser ou bénéficier de quelconque façon des données récoltées de manière illégale par le passé. Ils auront également l’obligation de développer un mécanisme afin d’identifier de manière systémique chacune des publications s’adressant à des enfants de moins de 13 ans (ce qui veut dire qu’ils devront admettre quels vidéos publiés sont soumis au COPPA). Finalement, ils devront prévoir une formation spéciale annuelle pour leurs employés afin de s’assurer d’une application plus uniforme des obligations.

Une force de frappe

La question qui brûle les lèvres : est-ce un bon règlement ? La réponse est évidemment mitigée. Si on se fit aux propos du président du FTC, ce règlement envoie un clair signal aux gros joueurs de l’industrie à l’effet que la protection des données personnelles des enfants est et demeurera une priorité pour l’agence fédérale :

« A penalty of this magnitude sends a strong signal about the importance of children privacy ».

Il mentionne notamment que la pénalité représente un montant trois fois plus grand que la plus grosse pénalité imposée à Google LLC a reçue dans le passé en matière de violation de vie privée, toute juridiction confondue. Il ajoute que c’est un montant 30 fois plus grand que toute somme reçue par le FTC dans le cadre de l’application du COPPA. Cette somme, dit-il, représente 10 fois le montant de toutes les pénalités reçues par le FTC dans le cadre de la COPPA dans ses 31 causes confondues. Le commissaire Simons finalise son message public par une mise en garde :

« Finally, to the business community at large, let me be clear : the FTC takes its obligation to enforce COPPA seriously. If companies violate COPPA, the FTC will take aggressive action, require corrective measures and use its authority to seek substantial civil penalty ».

Une cible manquée

À l’opposé, le commissaire Rohit Chopra se range dans le camp des dissidents. Dans sa déclaration publique, il dénonce l’insuffisance de la pénalité convenue ainsi que le délai de quatre mois laissé aux Géants pour continuer à cumuler des données et à profiter de celles déjà amassées :

« Despite this specific authority, the Commission repeats many of the same mistakes from the flawed Facebook settlement: no individual accountability, insufficient remedies to address the company’s financial incentives, and a fine that still allows the company to profit from its lawbreaking. The terms of the settlement were not even significant enough to make Google issue a warning to its investors ».

Le Commissaire mentionne également que le FTC adopte une ligne de conduite différente selon sa cible. Il considère que les pénalités imposées aux plus petits joueurs sont beaucoup plus sévères que la présente impliquant les plus gros. Évidemment, les chiffres énoncés par Joseph J. Simons ne présentaient pas une comparaison selon le ratio pénalités/revenus des entreprises défenderesses.

Le Canada en retard

Quoi qu’il en soit, avant de critiquer la fermeté de la sanction convenue, il y a lieu de se pencher sur la situation de notre juridiction. Or, il ne va pas sans dire que notre gazon manque fermement d’entretien pour être comparé avec celui du voisin.

Au niveau de la collecte de données personnelles, il n’y a pas de disposition en vigueur au Québec qui concerne spécifiquement les enfants comme c’est le cas aux États-Unis. La législation plus spécifique aux enfants en matière électronique et commerciale se résume aux articles 248 et 249 de la Loi sur la protection du consommateur, qui interdit tout message publicitaire destiné à une personne de moins de 13 ans. Malgré la largeur de cette interdiction, il appert de la liste des décisions obtenues par l’OPC depuis 2014 sur la base de cet article que son application n’est pas une priorité.

Au niveau de la protection des données personnelles sur le plan inter-provincial, la Loi sur la protection des renseignements personnels et les documents électroniques, de compétence fédérale, est ce qui ressemble le plus au COPPA en ce qu’elle prévoit une obligation à tout organisme soumis à la Loi d’aviser et d’obtenir le consentement de toute personne faisant l’objet d’une collecte de données personnelles.

Cependant, la portée de cette obligation est plus que nébuleuse pour ce qui a trait aux enfants. À cet effet, voici un extrait de la section 4.3 des Principes énoncés dans la norme nationale du Canada intitulée Code type sur la protection des renseignements personnels, CAN/CSA-Q830-96, Annexe 1 de ladite loi :

« Il peut être impossible ou inopportun de chercher à obtenir le consentement d’un mineur, d’une personne gravement malade ou souffrant d’incapacité mentale. De plus, les organisations qui ne sont pas en relation directe avec la personne concernée ne sont pas toujours en mesure d’obtenir le consentement prévu. »

La seule action diffusée du Commissariat à la protection de la vie privé du Canada contre Google LLC a été de produire un Rapport de conclusions en vertu de la LPRDPE n2014-008, laquelle recommande à celle-ci d’être plus claire sur sa demande de consentement de prélèvement des données. Cette loi ne prévoit tout simplement pas de pouvoir d’imposition de pénalités à l’encontre d’une entreprise contrevenante.

Sur le plan provincial privé, la Loi sur la protection des renseignements personnels dans le secteur privé ne prévoit pas de dispositions adaptées au contexte actuel de collecte de mégadonnées et plafonne la pénalité imposable à un contrevenant à 100 000$, en cas de récidive, ce qui ne peut atteindre des objectifs raisonnables de protection de données.

À tout événement, pour le moment, l’application Youtube Kids n’est pas offerte au Québec. Lorsqu’elle le sera, tout porte à croire que les modalités du règlement bénéficieront à son marché, ce qui évitera à Québec de mener une bataille qu’elle ne saurait remporter.

Une prochaine étape

Le 4 septembre, Youtube, LLC a annoncé à son public les mesures qu’elle entendait prendre à l’avenir.

« We are changing how we treat data for children’s content on YouTube. Starting in about four months, we will treat data from anyone watching children’s content on YouTube as coming from a child, regardless of the age of the user. This means that we will limit data collection and use on videos made for kids only to what is needed to support the operation of the service. We will also stop serving personalized ads on this content entirely, and some features will no longer be available on this type of content, like comments and notifications. In order to identify content made for kids, creators will be required to tell us when their content falls in this category, and we’ll also use machine learning to find videos that clearly target young audiences, for example those that have an emphasis on kids characters, themes, toys, or games. »

On se rappellera que le 4 décembre 2017, la présidente-directrice générale de Youtube, LLC avait déjà annoncé sur le blogue officiel de la compagnie la prise de mesures importantes pour adresser le problème de diffusion de contenu problématique. Malgré ces mesures, s’en ai suivi le présent tableau.

Évidemment, Youtube, LLC a profité de l’occasion pour mousser son produit en vantant les mérites d’une protection accrue pour les enfants. Est-ce de simples déclarations publiques pour attirer un plus grand public ou de vraies intentions de changement? À suivre…

Commentaires

Un commentaire pour “La protection des enfants à l’ère du cirque numérique”

Simon Du Perron

9 septembre 2019 à 21 h 39 min

Franchement surprenant que la législation canadienne ne prévoit pas de règles pour encadrer la collecte de données personnelles chez les enfants. Merci pour ce très bon compte rendu!

Laisser un commentaire

Sur le même sujet

Derniers tweets