L’UE sévit contre la publicité ciblée tandis que la réforme canadienne de la protection de la vie privée piétine

Cet article a été initialement publié dans The Globe and Mail le 12 janvier 2023.

Il semble désormais impossible d’échapper au capitalisme de surveillance et aux publicités hyperciblées qui sont partie intégrante de notre contrat social unilatéral avec les géants de la technologie. Pourtant, la semaine dernière, l’Union européenne (UE) a rendu une décision interdisant à Facebook et à Instagram d’imposer les annonces personnalisées à leurs utilisateurs sans avoir obtenu leur consentement explicite, indiquant ainsi clairement à Meta (auparavant Facebook) que certaines de ses pratiques publicitaires ne seront pas tolérées. 

Bien que la décision de l’UE porte un coup au modèle d’affaires de Meta, fondé sur la surveillance, les Canadiens se demandent peut-être ce qu’il faudra pour que notre pays suive l’exemple des autres territoires et accorde la priorité à la vie privée de ses citoyens plutôt qu’aux intérêts financiers des grandes entreprises technologiques. 

La législation historique de l’UE en matière de protection de la vie privée, le Règlement général sur la protection des données (RGPD), a accordé aux utilisateurs des droits plus robustes au chapitre de la protection des renseignements personnels au moment de son entrée en vigueur en 2018. Il en est également découlé des obligations relatives à la collecte, à la conservation et à la gestion pour les entreprises qui recueillent des données. S’il vous est déjà arrivé de répondre « Tout accepter » à un avis de témoin de pistage sur un site Web, vous avez ressenti les effets du RGPD. 

Près de cinq ans plus tard, les organismes de réglementation européens en matière de protection des données ont découvert que Meta esquivait l’obligation imposée par le RGPD en matière de publicités personnalisées. Meta commence donc 2023 avec des amendes salées atteignant 390 millions d’euros (562 millions de dollars) pour avoir enfreint les règles de confidentialité. C’est déjà la moitié de leurs amendes européennes de 2022. L’UE, tout en infligeant d’énormes amendes à Meta, a également déclaré illégal l’un des éléments clés de son modèle commercial.

Prenez un moment pour réfléchir à cela.  Un élément clé de la façon dont Meta gagne de l’argent est illégal.

Les internautes canadiens qui souhaitent voir de nouveaux mécanismes de protection encadrer les géants technologiques seront déçus d’apprendre que notre système de protection de la vie privée n’est pas aussi strict. Il est temps que nous demandions des explications et que nous progressions rapidement vers une réforme de la protection de la vie privée en bonne et due forme. 
La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi relative à la protection de la vie privée du secteur privé canadien entrée en vigueur en 2000, n’arrive pas à la cheville du RGPD. Tout d’abord, les deux lois sont fondamentalement différentes. Tandis que la LPRPDE considère la collecte et l’utilisation de données comme la norme à la condition que les utilisateurs donnent leur consentement, le RGPD tente d’en faire l’exception à la règle en obligeant les organisations à prouver que de recueillir n’importe quel type de données d’utilisateurs présente un intérêt commercial légitime. 

Ensuite, la LPRPDE n’a pas le mordant du RGPD. Meta fait face à une amende de plusieurs centaines de millions au sein de l’UE. Pourtant, en 2020, les organismes canadiens d’application de la loi ont seulement pu lui imposer une amende de 9 millions de dollars malgré sa gestion catastrophique des données à la suite du scandale de Cambridge Analytica. De plus, le Commissariat à la protection de la vie privée est grandement limité dans sa capacité à promouvoir la protection des renseignements personnels et à pénaliser les organisations qui contreviennent à la LPRPDE. 

Malgré plusieurs tentatives, la législation du secteur privé du Canada n’a pas fait l’objet d’une mise à jour d’envergure depuis plus de 20 ans. Le projet de loi C-27, qui constitue le plus récent effort en ce sens, est entré en novembre 2022 à l’étape de la seconde lecture à la Chambre des communes. Bien qu’il vise certains des enjeux liés à la LPRPDE mentionnés ci-dessus, il ne parviendrait tout de même pas à restreindre le modèle d’affaire du capitalisme de surveillance des grandes sociétés technologiques. 

S’il devient une loi, le projet de loi C-27 renforcerait le pouvoir du commissaire à la protection de la vie privée, ferait passer les sanctions pécuniaires à un niveau comparable à ceux en vigueur dans l’UE, et introduirait un nouveau tribunal pour les administrer. Il créerait également de nouvelles obligations quant à la manière dont les entreprises gèrent différentes catégories de données personnelles. Cependant, contrairement au RGPD, le projet de loi C-27 demeure fondé sur le consentement, et la panoplie d’exceptions qu’il ajoute soulève la question suivante : Souhaitons-nous protéger la vie privée de nos citoyens ou le modèle d’affaires du capitalisme de surveillance?

La décision de l’UE montre qu’il est possible de résister aux pratiques commerciales abusives des géants de la technologie et devrait servir de catalyseur pour que les internautes, les défenseurs de la vie privée et les législateurs du Canada agissent rapidement afin de mener une réforme de la protection de la vie privée plus que nécessaire, qui aurait dû être entreprise il y a longtemps. Si aucune mesure n’est prise rapidement, la confiance en l’Internet continuera de s’effriter au détriment de l’économie, de la culture et de la démocratie canadienne.