droitdu.net

Un site utilisant Plateforme OpenUM.ca

Le flou entourant le scandale de la collecte de renseignements personnels : illustration pratique par AIQ

10 décembre 2019
Commentaires
Permalien

Le 26 novembre dernier, La Presse publiait un article mettant en lumière qu’une entreprise canadienne, AggregateIQ Data Services Ltd., basé en Colombie-Britannique, aurait utilisé les renseignements personnels récoltés auprès d’électeurs canadiens, américains et anglais pour influencer le vote durant les élections dans ces pays.

PRÉSENTATION

Le même jour, deux commissaires à la vie privée, celui de la Colombie britannique et celui du Canada ont soumis un rapport révélant qu’AggregateIQ Data Services Ltd. (AIQ) aurait utilisé de manière inappropriée des informations sur les électeurs lors du référendum sur le Brexit 

AIQ est une entreprise qui fournit des

« election-related software and political advertising services around the globe ».

En tant qu’entreprise canadienne, peu importe où se trouvent ces clients, elle se doit de respecter les lois en matière de protections des renseignements personnels. Cette entreprise a travaillé avec Cambridge Analytica, connue pour le scandale d’utilisation non autorisée de données provenant de Facebook et sa société mère SCL Elections Ltd.

ENCADREMENT LÉGISLATIF

En Colombie-Britannique, ainsi que dans d’autres provinces, deux lois touchent à la protection des renseignements personnels s’appliquent :  Personal Information Protection Act (PIPA) et Loi sur la protection des renseignements personnels et les documents électroniques (PIPEDA/ LPRPDE). Au Québec, nous avons la Loi sur la protection des renseignements personnels dans le secteur privé qui s’applique en plus de la loi fédérale.

Ces lois encadrent « la collecte, l’utilisation et la communication de renseignements personnels » tels que spécifiés dans l’article 2 PIPA et l’article 4(1) de la LPRPDE. Les articles 6 PIPA et le Principe 3 de l’annexe 1 LPRPDE soulignent qu’

 une organisation ne doit recueillir, utiliser ou communiquer des renseignements personnels que lorsque la personne concernée y a consenti. 

LE RAPPORT DES COMMISSAIRES

Les problèmes que les Commissaires ont illustrés sont d’une part qu’AIQ a utilisé des renseignements personnels issus de données qui sont postées / collectés sur différentes plateformes, dont Facebook, mais n’a pas pu démontrer comment les répondants avaient consentis à la collecte de leurs renseignements personnels par l’entreprise et de l’étendue du traitement des données ainsi collectées :

[t]he company failed to meet its obligations under Canadian privacy laws when it used and disclosed the personal information of voters – mostly in the U.S. but also in British Columbia, Britain and other countries – because it did not clearly obtain consent from the individuals whose data they used.

D’autre part, les Commissaires ont souligné le manquement au stockage sécuritaire des renseignements personnels des milliers de personnes qui ont été touchés pour cette collecte :

AIQ a omis de prendre des mesures de sécurité raisonnables pour s’assurer que les renseignements personnels sous son contrôle étaient protégés contre la communication ou l’accès non autorisé. 

Ainsi, 35 millions de personnes ont des informations personnelles circulant sur les Internets sans qu’elles en soient conscientes ou en aient donné leur consentement.

Le rapport conjoint des Commissaires à la vie privée a mis en lumière qu’AIQ n’avait pas rencontrée les conditions satisfaisantes pour le traitement du consentement sur la communication des renseignements personnels pour les partisans du Vote Leave lors du référendum sur le Brexit en 2016.

En ce qui a trait différentes campagnes électorales de mi-mandat en 2014 et des primaires américaines

AIQ n’a pas cherché à déterminer s’il y avait un consentement qu’elle pouvait invoquer pour justifier son utilisation et sa communication des renseignements personnels. 

Et pourtant, malgré ces manquements avérés, le Canada n’a pas encore adapté sa législation et ne peut pas demander le paiement d’amendes :

But BC Privacy Commissioner Michael McEvoy expressed frustration that he could not levy a fine, unlike regulators in the United States and the European Union.

CONCLUSION

La multiplication de la collecte et de la distribution des renseignements personnels appelle à une vigilance accrue de la part des institutions censées protéger la population.

D’où un intérêt croissant au niveau des instances nationales et internationales par rapport à la nature collaborative de l’application des lois sur la protection des renseignements personnels en ayant pour objectif la protection des citoyens tant au niveau de leurs droits à la vie privée qu’au consentement de la collecte de leurs données.

D’ailleurs, pour une nouvelle réforme des lois sur la protection des renseignements personnels, ma consœur  Lindsay Lamothe-Lafrenière a publié un article sur cette question.

Commentaires

Laisser un commentaire

Sur le même sujet

Derniers tweets