Alors qu’été rime souvent avec accalmie en matière d’application des règles antitrust, le débat entourant l’application de ces règles au secteur des technologies continue de faire rage et a donné lieu à d’importants rebondissements au cours des dernières semaines.

Ainsi, la Federal Trade Commission (la « FTC ») des États-Unis a récemment annoncé la conclusion d’un règlement avec Facebook de 5 milliards de dollars américains visant à résoudre les questions liées à ses pratiques de gestion des données (décision en anglais) et a introduit une instance contre Cambridge Analytica pour déclarations trompeuses concernant l’utilisation de données personnelles (poursuite en anglais). L’utilisation et la collecte de données personnelles sont également au cœur des préoccupations au Canada et, comme nous l’expliquons ci-après, le Bureau de la concurrence se prépare peut-être à prendre des mesures d’application de la loi à cet égard.

Les politiques en matière de gestion des données/de protection de la vie privée peuvent-elles être considérées comme des indications trompeuses?

S’inspirant de l’approche de la FTC qui a assimilé à des pratiques trompeuses certaines déclarations en matière de protection de la vie privée, le Bureau de la concurrence a adopté la position selon laquelle il peut se servir de la Loi sur la concurrence pour contester des indications concernant l’utilisation et la collecte de données qui sont « fausses et trompeuses sur un point important ». Cette position permettrait au Bureau de demander, entre autres choses, l’imposition de sanctions administratives pécuniaires pouvant atteindre 10 millions de dollars à des sociétés dont les indications sont jugées fausses ou trompeuses sur un point important.

Selon le Bureau, « les entreprises s’exposent à des risques lorsqu’elles collectent des données que les consommateurs ne s’attendent normalement pas à ce qu’elles soient recueillies et qu’elles cachent cette information importante dans les clauses relatives aux conditions d’utilisation que les consommateurs ne seront pas portés à lire ». Le Bureau estime également que « la collecte et l’utilisation de données qui dépassent les attentes raisonnables des consommateurs augmentent les risques de pratique trompeuse ».

Bien que le Bureau s’inspire de toute évidence de l’approche américaine, celle-ci pourrait ne pas fonctionner aussi bien au Canada, où la collecte de renseignements personnels sans un consentement adéquat fait déjà l’objet et, sans doute, plus directement, du mandat du Commissariat à la protection de la vie privée du Canada (le « CPVP ») aux termes de la législation fédérale sur la protection de la vie privée (la Loi sur la protection des renseignements personnels et les documents électroniques ou la « LPRPDE »). Si l’on sait peu de choses sur la façon dont le Bureau de la concurrence entend coopérer avec le CPVP sur telles enquêtes, il reste que le commissaire de la concurrence (le responsable du Bureau) a clairement indiqué que l’application de la loi au secteur numérique demeure une priorité.

Parmi les premières mesures prises pour augmenter sa capacité d’application de la loi dans le secteur numérique, le Bureau a récemment nommé un dirigeant principal de l’application numérique de la loi (le « DPAL »). Le commissaire a expliqué que le rôle du DPAL était de fournir au Bureau « des conseils et de l'expertise couvrant une vaste gamme de sujets, dont le développement d'outils et le perfectionnement des compétences, afin de renforcer [les] enquêtes [du Bureau] dans le domaine de l'économie numérique ». Dans la courte période depuis sa nomination, le DPAL s’est servi des médias sociaux pour attirer l’attention sur l’approche adoptée par les développeurs d’application, comme FaceApp, pour recueillir et utiliser des données personnelles. Ainsi, dans un message publié récemment sur les réseaux sociaux, le DPAL a cité FaceApp comme l’exemple parfait « du cas où vous renoncez à votre #vieprivée pour vous faciliter la vie ou vous divertir… vraisemblablement sans en avoir connaissance » [NOTRE TRADUCTION] et il a apposé le mot-clic « trompeur » aux modalités d’utilisation de l’application, et ce, malgré le fait que les modalités mises en évidence dans le message semblent communiquer à quelles fins les données personnelles sont recueillies et utilisées par FaceApp. Dans un autre message récent où il est question du règlement intervenu entre Facebook et la FTC des États-Unis, le DPAL a mentionné qu’il avait déjà « publié des messages concernant les piètres pratiques de Facebook en matière de gouvernance et de protection des données dans le passé » [NOTRE TRADUCTION]. Bien que ces messages ne ciblent aucune préoccupation juridique précise, le fait qu’ils aient été formulés par un représentant du Bureau de la concurrence sur une tribune publique suggère que des mesures d’application de la loi visant le secteur pourraient ne pas tarder à venir.

Cela étant dit, si le Bureau cherche à contester l’utilisation et la collecte de données en les assimilant à des « indications fausses ou trompeuses », il risque de faire face à un certain nombre d’obstacles. Par exemple, les dispositions concernant les indications trompeuses de la Loi sur la concurrence prévoient que l’indication en question doit être fausse ou trompeuse « sur un point important ». Or, à ce jour, la jurisprudence sur l’importance relative porte surtout sur la question de savoir si l’indication concernée influencerait la décision d’achat d’un consommateur. Par conséquent, le Bureau aurait vraisemblablement à établir que les indications précises concernant la collecte de données sont, en réalité, importantes aux yeux des consommateurs qui sont visés. Des études récentes suggèrent toutefois que le point de vue des consommateurs quant à la protection de la vie privée varie grandement (et, partant, bon nombre de consommateurs pourraient ne pas y accorder une grande importance).

En outre, si l’information donnée par une société concernant l’utilisation et la collecte de données personnelles respecte les exigences prévues par la LPRPDE quant à l’obtention du consentement, le Bureau pourrait avoir de la difficulté à convaincre un tribunal que l’indication en question est malgré tout fausse ou trompeuse sur un point important. Toutefois, le Bureau pourrait tenter de le faire en arguant, par exemple, que les autres aspects des indications et du matériel publicitaire d’une société donnent une impression générale quant à ses pratiques de collecte de données qui entre en contradiction avec l’information fournie dans ses modalités d’utilisation. À titre d’exemple hypothétique, si le matériel publicitaire d’une société devait contenir la mention « Nous protégeons vos données personnelles », mais que ses modalités d’utilisation prévoyaient la collecte et le partage illimité des données personnelles d’une personne, le Bureau pourrait avancer que les indications de la société sont fausses ou trompeuses sur un point important.

Finalement, et ce qui est peut-être le plus important du point de vue de la conformité, les dispositions concernant les indications trompeuses de la Loi sur la concurrence prévoient la possibilité d’invoquer une défense fondée sur la diligence raisonnable. Si une société peut démontrer qu’elle a fait preuve de toute la diligence voulue en vue d’empêcher la formulation d’indications fausses ou trompeuses, elle ne peut faire l’objet de sanctions administratives pécuniaires. Plus précisément, le Bureau a reconnu, dans son Bulletin sur la conformité d’entreprise, que « des éléments de preuve documentés relatifs à un programme de conformité crédible et efficace de l’entreprise peuvent appuyer une défense fondée sur la diligence raisonnable, au besoin ».

Conséquences

Bien que les tentatives du Bureau de la concurrence pour contester les pratiques et politiques en matière de gestion des données et de protection de la vie privée aux termes de la Loi sur la concurrence puissent se heurter à d’importants obstacles, les sociétés qui exercent des activités au Canada devraient envisager de prendre les mesures suivantes afin d’éviter les frais associés à une enquête ou à toute contestation éventuelle :

• Adopter une politique de conformité crédible et efficace qui régit les pratiques de la société en ce qui concerne les données et la protection de la vie privée. Le fait d’être doté d’une telle politique est plus important que jamais et pourrait permettre à la société d’invoquer une défense fondée sur la diligence raisonnable si le Bureau de la concurrence devait soulever des préoccupations.
• Dans le cadre d’une politique de conformité efficace, faire en sorte que le personnel qui participe le plus directement à la collecte et à l’utilisation de données (par exemple, les ingénieurs systèmes et logiciels et le personnel du marketing) soit conscient des diverses manières dont la société utilise et recueille des données personnelles et reçoive régulièrement de la formation sur ce qui constitue une utilisation et une collecte appropriées de données personnelles.
• Passer en revue et mettre à jour régulièrement les politiques en matière de gestion des données et de protection de la vie privée de manière à s’assurer que celles-ci reflètent la façon dont la société utilise et recueille des données (et qu’elles ne contiennent aucune indication fausse ou trompeuse).
• Passer en revue régulièrement les indications se trouvant dans le matériel publicitaire en vue de s’assurer qu’elles ne contredisent pas les modalités et conditions détaillées régissant la collecte et l’utilisation de données personnelles.
• Si la société fait affaire avec des développeurs d’applications externes ou communique des données à des tiers, envisager d’examiner et d’auditer la manière dont le tiers en question utilise et recueille de telles données.
• Mettre en place une procédure appropriée (à l’interne ou à l’externe) pour le signalement de plaintes ou de préoccupations et la prise en charge de celles-ci en ce qui concerne l’utilisation et la collecte de données personnelles.