Le 9 août 2023
Table des matières
Lire l'édition complète : Revue de la jurisprudence sur la protection de la vie privée
Option Consommateurs c. Flo Health Inc., 2022 QCCS 4442
En savoir plus sur la décision : Option Consommateurs c. Flo Health Inc., 2022 QCCS 4442
Faits
En 2016, la défenderesse a lancé une application appelée « Flo » permettant aux femmes de suivre leur cycle menstruel et leurs périodes d’ovulation. Un rapport d’enquête a révélé que des renseignements intimes, non chiffrés et permettant d’identifier des personnes avaient été transmis par la défenderesse à Facebook. À la suite de la publication de ce rapport, la défenderesse a modifié sa politique de confidentialité, indiquant qu’elle ne partagerait aucune donnée personnelle avec des tiers. La demanderesse a demandé l’autorisation d’intenter une action collective contre la défenderesse au nom de personnes résidant au Québec ayant utilisé l’application Flo entre le 1er juin 2016 et le 23 février 2019. La demanderesse alléguait que la défenderesse avait manqué à ses obligations contractuelles et légales concernant la préservation de la confidentialité des renseignements personnels des membres de l’action collective. La demanderesse demandait des dommages-intérêts compensatoires (pour préjudice matériel, relativement à la violation du droit à l’image) et punitifs (en vertu de la Charte des droits et libertés de la personne et de la Loi sur la protection du consommateur du Québec).
Décision
La Cour supérieure a autorisé l’action collective. La défenderesse avait admis avoir transféré certains renseignements qu’elle avait recueillis, y compris un « unique device identifier » (identifiant unique à l’appareil des membres). La Cour a donc conclu qu’il n’était ni hypothétique ni spéculatif d’affirmer que des renseignements personnels, de nature très délicate, avaient été transférés à des tiers qui les avaient utilisés ou pouvaient les utiliser à des fins autres que le fonctionnement technique de l’application Flo. La mesure dans laquelle l’effet combiné de la divulgation de renseignements et de l’identifiant unique à l’appareil des membres permet l’identification personnelle de l’utilisatrice a été considérée comme une question à examiner sur le fond dans le cadre de l’action collective.
Point principal à retenir
Les tribunaux peuvent, dans certaines circonstances, autoriser une action collective même s’il existe une certaine incertitude quant au fait que les renseignements divulgués permettent d’identifier des personnes.
Canada (Commissaire à la protection de la vie privée) c. Facebook, Inc., 2023 FC 533
En savoir plus sur la décision : Canada (Commissaire à la protection de la vie privée) c. Facebook, Inc., 2023 FC 533
Faits
Le commissaire à la protection de la vie privée du Canada (CPVP) a examiné une plainte selon laquelle une application tierce obtenait les données personnelles des utilisateurs de Facebook par le biais de la plateforme Facebook et les divulguait à un autre tiers, Cambridge Analytica. Le CPVP a publié un rapport concluant que Facebook avait enfreint la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) en partageant les renseignements personnels des utilisateurs de Facebook avec des applications tierces sans le consentement des utilisateurs et en ne protégeant pas adéquatement les renseignements des utilisateurs. Le CPVP a ensuite présenté une demande à la Cour fédérale en vertu de l’alinéa 15a) de la LPRPDE pour intenter un recours contre Facebook, alléguant que Facebook avait enfreint ladite loi.
Décision
La Cour a rejeté la demande, concluant que le CPVP ne s’était pas acquitté de son obligation d’établir que Facebook avait enfreint la LPRPDE en n’obtenant pas un consentement valable. Le CPVP n’avait présenté aucun témoignage d’expert précisant ce que Facebook aurait vraisemblablement pu faire différemment, ni aucune preuve subjective rédigée par des utilisateurs de Facebook indiquant leurs attentes en matière de protection des renseignements personnels ou leur compréhension des enjeux liés à la protection de ces renseignements personnels lorsqu’ils utilisent Facebook. La Cour a déclaré que, même si ces éléments de preuve n’étaient pas strictement nécessaires, (traduction libre) « ils auraient certainement permis à la Cour de mieux évaluer le caractère raisonnable du consentement valable dans un domaine où la norme en matière de caractère raisonnable et d’attentes des utilisateurs peut sensiblement varier selon le contexte et évolue constamment ». Par conséquent, la Cour a été contrainte d’effectuer des déductions qui n’étaient pas étayées par le dossier de preuve.
La Cour a également déterminé qu’une fois les renseignements divulgués à une application tierce, les obligations en matière de protection des données de Facebook en vertu de la LPRPDE prenaient fin. La Cour a également souligné que, même si les obligations de préservation de la confidentialité s’appliquaient à Facebook après la divulgation de renseignements à des applications tierces, il n’y avait pas suffisamment d’éléments de preuve pour déterminer si les ententes contractuelles et les politiques de mise en application des règles de Facebook constituaient des mesures de protection adéquates.
Principaux points à retenir
Dans le cadre d’une audience de novo tenue en vertu de l’alinéa 15a) de la LPRPDE, il n’est pas possible de conclure qu’il y a eu infraction à la loi en cas d’« absence totale de preuves ». Il incombe au CPVP de présenter des éléments de preuve convaincants pour établir une infraction. De plus, cette décision appuie le principe selon lequel, une fois qu’une organisation est autorisée par un utilisateur à divulguer des renseignements à une application tierce, les obligations en matière de protection des données incombant à l’organisation en vertu de la LPRPDE prennent fin.
Facebook, Inc. c. Canada (Commissaire à la protection de la vie privée), 2023 FC 534
En savoir plus sur la décision : Facebook, Inc. c. Canada (Commissaire à la protection de la vie privée), 2023 FC 534
Faits
Les faits sous-jacents sont fondamentalement les mêmes que ceux du résumé précédent : le CPVP a examiné une plainte selon laquelle une application tierce obtenait les données personnelles des utilisateurs de Facebook par le biais de la plateforme Facebook, et les divulguait à Cambridge Analytica. Le CPVP a publié un rapport concluant que Facebook avait enfreint la LPRPDE en partageant les renseignements personnels des utilisateurs de Facebook avec des applications tierces sans le consentement des utilisateurs et en ne protégeant pas adéquatement leurs renseignements. Toutefois, cette décision concerne une demande déposée par Facebook devant la Cour fédérale, sollicitant la révision judiciaire « des décisions [du CPVP] d’enquêter et de poursuivre son enquête, du processus d’enquête et du Rapport de conclusions qui en a résulté ».
Décision
La Cour a rejeté cette demande de révision judiciaire au motif qu’elle n’avait pas été présentée à temps et qu’une prorogation de l’échéance n’était pas justifiée. Néanmoins, la Cour a ensuite abordé le fond des allégations, dans l’éventualité où la décision sur le fondement de base serait erronée. La Cour n’a pas accepté les arguments de Facebook selon lesquels les plaignants n’avaient pas qualité pour agir, l’enquête du CPVP ne présentait pas de lien réel et important avec le Canada et selon lesquels l’enquête avait entraîné un manquement à l’équité procédurale.
Rester informé
Recevez une notification par courriel vous informant de la disponibilité de la prochaine édition de la Revue de la jurisprudence sur la protection de la vie privée.
Abonnez-vous maintenant