« Bien qu’elle ait publiquement reconnu avoir commis un “important abus de confiance” dans l’affaire Cambridge Analytica, Facebook conteste les conclusions de l’enquête et refuse aussi de mettre en place nos recommandations pour remédier aux infractions commises », a déploré le chien de garde fédéral en présentant l’investigation qu’il a menée avec son homologue de la Colombie-Britannique, Michael McEvoy.

Ce dernier n’a pas été beaucoup plus tendre à l’endroit de l’entreprise de Mark Zuckerberg :

« Facebook a passé plus d’une décennie à s’excuser pour ses actions et à promettre de veiller à protéger la vie privée des gens. Mais quand vient le temps de faire des gestes concrets pour corriger ces transgressions, elle fait preuve de mépris. »

— Michael McEvoy, commissaire à la protection de la vie privée de la Colombie-Britannique, en conférence de presse à Ottawa

Jusqu’à 87 millions d’utilisateurs de Facebook, dont plus de 622 000 au Canada (78 157 au Québec), pourraient avoir été victimes de vol de données personnelles. Certains de ces renseignements ont ensuite été exploités à des fins politiques et pourraient avoir influencé la présidentielle de 2016 aux États-Unis et le référendum sur le Brexit au Royaume-Uni.

Facebook se défend

Facebook a mal réagi aux accusations des commissaires. « Il n’y a aucune preuve que les données des Canadiens ont été partagées par Cambridge Analytica, et nous avons apporté des améliorations considérables à notre plateforme pour protéger les informations personnelles des gens », a écrit un porte-parole qui a réclamé l’anonymat dans un courriel à La Presse.

« Après des mois de collaboration de bonne foi, nous sommes déçus que le Commissariat considère que les enjeux soulevés dans ce rapport sont irrésolus », a tranché le relationniste, assurant que Facebook avait offert de prendre des « mesures additionnelles » pour répondre aux recommandations, « incluant en concluant une entente de conformité ».

Le bureau de M. Therrien a confirmé l’information. « Nous avons offert à Facebook de conclure un accord de conformité. Des discussions ont eu lieu en ce sens pendant quelques semaines, mais ont achoppé […]. Si Facebook veut reprendre les discussions en vue d’arriver à une entente, nous sommes prêts à le faire », a indiqué la porte-parole Tobi Cohen à La Presse.

Les limites de l’autorégulation

Les commissaires ont passé un an à enquêter conjointement sur l’affaire Cambridge Analytica, avant de voir Facebook en rejeter les recommandations, qui sont non contraignantes. C’est la raison pour laquelle ils ont réclamé en chœur davantage de pouvoirs ainsi qu’un cadre législatif plus rigoureux. Car on voit « très clairement les limites du monde de l’autorégulation et du respect volontaire de la législation », a argué Daniel Therrien.

« L’interprétation de la loi par le Commissariat devrait être contraignante pour les organisations. »

— Daniel Therrien, commissaire à la protection de la vie privée du Canada

« Pour assurer une application efficace de la loi, je devrais être habilité à rendre des ordonnances et à imposer des pénalités [amendes] en cas de non-conformité à la loi », a exposé l’agent indépendant du Parlement, qui n’en est pas à son premier plaidoyer du genre.

Aussi ne se berce-t-il pas d’illusions : à moins de deux mois de la fin des travaux à Ottawa, les chances de voir un projet de loi adopté pour mettre Facebook au pas sont nulles, et il mise donc sur la prochaine législature. En attendant, afin que l’entreprise ne s’en tire pas sans sanction, le commissaire a l’intention de porter l’affaire en Cour fédérale pour obtenir une ordonnance qui obligerait Facebook à corriger ses pratiques.

« Risque important » pour le scrutin

La décision du tribunal ne tombera toutefois pas avant des mois. Et alors que le scrutin fédéral approche à grands pas, Daniel Therrien juge tout à fait plausible que le Canada puisse « jouer dans le même film » que les États-Unis et le Royaume-Uni avant lui. « Il y a un risque important […]. C’est certainement une possibilité. Il n’y a absolument aucune raison de croire que ce genre de chose là ne puisse pas se produire au Canada », a-t-il dit.

Et tant que les partis politiques auront de l’appétit pour ces données personnelles, le risque demeurera.

« Ultimement, ce sont eux, les clients, la raison d’être de ce genre d’activités. Je ne suggère pas que les partis se conduisent de façon irresponsable, j’énonce un fait. »

— Daniel Therrien

Lui-même n’a pas de compte Facebook. Son bureau, si. Mais plus pour longtemps. « Nous avions une petite présence, mais nous n’y serons plus, parce que nous ne voulons pas continuer à être associés à une organisation que nous jugeons irresponsable », a expliqué M. Therrien, qualifiant de « coquille vide » les paramètres de protection de la vie privée.

Son collègue Michael McEvoy abonde dans le même sens. « Quiconque a consulté ces paramètres sait qu’ils sont alambiqués, qu’ils sont très durs à suivre », a-t-il commenté. Et s’il recommande aux Canadiens de faire preuve de vigilance, il estime néanmoins qu’il revient aux gouvernements de protéger leurs citoyens.

Menacer de mettre à l’amende n’est pas « insignifiant », même pour une multinationale comme Facebook, a argué M. McEvoy. « Avec le RGPD [Règlement général sur la protection des données] dans l’Union européenne, les amendes peuvent atteindre 50 millions d’euros. Le problème, au Canada, c’est qu’il n’y a pas de telle mesure dissuasive », a-t-il regretté.

Amendes « minuscules »

Aux États-Unis, Facebook s’attend à une amende considérable pour sa gestion de l’affaire Cambridge Analytica. Mercredi, l’entreprise a mis de côté entre 3 et 5 milliards de dollars pour payer une éventuelle sanction de l’organisme de régulation boursière américaine, la Federal Trade Commission. Au Canada, si la Cour fédérale tape sur les doigts de Facebook, la facture risque d’être plus facile à digérer – car, historiquement, le tribunal inflige des amendes « minuscules », a déclaré le commissaire à la protection de la vie privée, Daniel Therrien.

— Avec l’Agence France-Presse

Attendre les résultats pour bouger ?

Il se pourrait qu’un durcissement de ton au sud de la frontière incite le gouvernement canadien à serrer la vis. C’est du moins l’espoir qu’entretient Daniel Therrien : « Il y a de plus en plus d’informations [voulant] que les législateurs américains sont saisis de l’importance de réglementer le secteur technologique […]. Je pense que les choses sont en train de s’aligner pour que tôt, dans un prochain Parlement, on ait finalement de l’action. »

Responsabiliser les partis

M. Therrien a exhorté le gouvernement à trouver une façon d’assujettir les partis politiques à la Loi sur la protection des renseignements personnels, comme il l’a déjà fait dans le passé, et comme l’a recommandé en décembre 2018 un comité parlementaire. Hier, le Nouveau Parti démocratique et le Bloc québécois ont clairement indiqué à La Presse qu’ils étaient favorables à cette idée. Au Parti libéral, on s’est contenté de dire que la protection des données personnelles « continue d’être une priorité absolue », tandis qu’au Parti conservateur, on n’a pas souhaité offrir de réaction sur le sujet.

Transparence requise

« Facebook doit concrétiser son engagement à protéger les données personnelles des Canadiens en prenant des mesures cohérentes et évaluables. Les Canadiens attendent et méritent plus de transparence et un contrôle accru de l’utilisation de leurs renseignements personnels », a réagi la ministre des Institutions démocratiques, Karina Gould, dans un courriel transmis par son bureau. La ministre avait exprimé sa déception face au manque de rigueur des réseaux sociaux dans le dossier de l’ingérence étrangère dans les élections, le 8 avril dernier.

Est-ce que c’est la première fois que le commissaire à la protection de la vie privée s’intéresse à Facebook ?

Non. En 2009, soit neuf ans avant que n’éclate l’affaire Cambridge Analytica, le commissaire s’était intéressé de façon quasi prémonitoire au phénomène des « applications tierces » présentes sur la plateforme Facebook.

Ces applications – sondages, jeux, questionnaires, horoscope – s’affichent sur la page Facebook de l’utilisateur qui s’y inscrit. Elles ont accès à beaucoup de renseignements personnels de l’utilisateur, mais également à ses amis Facebook. Le commissaire à la protection de la vie privée s’était alors inquiété de l’accès trop grand obtenu par ces applications tierces, et à l’absence de consentement éclairé des utilisateurs.

Facebook, avait tranché le commissaire de l’époque, n’avait pas obtenu un consentement valable et ne s’était pas assurée de l’utilisation adéquate des données par les développeurs d’applications tierces. Facebook s’était alors engagée à remédier à la situation. Dix ans plus tard, le commissaire à la protection de la vie privée est cinglant : « [N]ous n’acceptons pas l’affirmation de Facebook selon laquelle elle respectait les engagements dont elle avait convenu avec le Commissariat à la suite de notre enquête de 2009. […] Facebook n’a pas démontré qu’elle obtient un consentement valable pour la communication de renseignements aux applications. »

Qu’est-ce que l’application This Is Your Digital Life ?

Nous sommes ici au cœur du sujet. Dans son rapport, le commissaire mentionne 140 fois cette application, dont l’acronyme est TYDL. Il s’agit d’un exemple particulièrement révélateur d’application tierce, qui a d’ailleurs déclenché en mars 2018 cette enquête à la suite d’une plainte d’un citoyen. En 2015, ce jeu-questionnaire offert sur Facebook, qui prétendait cerner votre personnalité sous couvert de recherche scientifique, n’était en fait qu’un gigantesque filet qui a permis de récolter les données personnelles de 300 000 utilisateurs inscrits et, surtout, de leurs 87 millions d’amis. On estime que 622 000 utilisateurs canadiens ont été touchés, dont 78 157 Québécois. TYDL a notamment obtenu la date de naissance, la ville de résidence, les pages « aimées », le nom, le sexe, la photo de profil, la liste d’amis, les publications et les messages privés. Ces données ont par la suite été transmises à la firme Cambridge Analytica, qui les a utilisées dans le cadre de campagnes électorales.

Comment ces « applications tierces » accèdent-elles aux données des utilisateurs ?

Le rapport du commissaire à la protection de la vie privée vulgarise un aspect peu connu de ce volet des activités de Facebook. Les développeurs d’applications tierces disposent depuis 2007 d’une interface, une « API » dans le jargon, qui leur permet de lire les données provenant de Facebook, et d’en écrire, par exemple pour publier des messages au nom des utilisateurs. Avant avril 2014, les applications tierces avaient non seulement accès aux données des abonnés, mais aussi, automatiquement, à celles de leurs amis. Facebook a restreint par la suite cette autorisation, mais l’a laissée en place pour certaines entreprises, notamment Netflix, Microsoft, Spotify et la Banque Royale du Canada. En outre, depuis 2014, les développeurs qui souhaitent obtenir plus de renseignements personnels peuvent en faire la demande à Facebook.

On apprend dans le rapport que Facebook a reçu, entre 2014 et 2018, 590 827 demandes de ce type. Elle en a accepté 263 347, soit 46 %.

À quoi consent-on quand on utilise Facebook ?

Essentiellement, on accorde à Facebook une « licence non exclusive » qui permet au réseau social de partager les données qu’on y dépose. Quand un abonné installe une application tierce, il est en outre avisé de l’utilisation qui sera faite de ses données, selon ce que Facebook a affirmé au commissaire à la protection de la vie privée. Or, ce dernier estime que « Facebook n’a pas obtenu le consentement valable des utilisateurs-installateurs » dans le cas précis de l’application This Is Your Digital Life. Pour obtenir un tel consentement, il faut que les politiques de confidentialité soient décrites « de manière claire, détaillée et compréhensible », écrit le commissaire. Or, ces politiques comptent 4500 et 9100 mots, note-t-on dans le rapport, et sont incomplètes. « Facebook ne fait pas un effort raisonnable pour s’assurer que les utilisateurs reçoivent l’information dont ils ont besoin pour appuyer un consentement valable », conclut-on.