Une entreprise de logiciels a enfreint les lois sur la vie privée

(Vancouver) Le commissaire à la protection de la vie privée du Canada a déclaré que les conclusions d’une enquête sur une entreprise de logiciels canadienne liée au scandale Cambridge Analytica avaient de profondes implications pour les principes démocratiques fondamentaux et le droit à la vie privée.

Une enquête menée par deux commissaires canadiens à la protection de la vie privée a révélé qu’une entreprise de la Colombie-Britannique, AggregateIQ, avait enfreint les lois canadiennes sur la protection des renseignements personnels lorsqu’elle a utilisé et communiqué des renseignements personnels de millions d’électeurs en Colombie-Britannique, aux États-Unis et au Royaume-Uni.

«Avec AggregateIQ, nous avons maintenant un acteur canadien qui joue un rôle clé dans l’écosystème troublant des campagnes électorales à l’ère numérique» a déclaré Daniel Therrien, commissaire à la protection de la vie privée du Canada, lors d’une conférence de presse à Vancouver.

AggregateIQ fournit des services de logiciels pour les campagnes électorales et de publicité à caractère politique.

Elle a été liée aux activités de Cambridge Analytica, une entreprise en faillite, impliquée dans un scandale mondial concernant le micro-ciblage d’électeurs dans différentes campagnes politiques, dont celle de Donald Trump en 2016.

Michael McEvoy, commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique, a déclaré que l’enquête avait été ouverte après que des médias eurent déclaré que l’entreprise canadienne avait peut-être utilisé de manière inappropriée des informations sur des électeurs lors du référendum sur le Brexit. L’enquête a ensuite été élargie pour englober les activités d’AggregateIQ aux États-Unis, ainsi que lors de campagnes électorales en Colombie-Britannique et au Canada.

L’enquête a démontré que la société a tiré parti de la fonctionnalité d’«auditoires personnalisés» et d’«auditoires similaires» de Facebook permettant aux annonceurs de cibler certains utilisateurs à des fins de publicité politique.

L’enquête a permis de conclure qu’AIQ n’avait pas vérifié comme il se doit que le consentement des intéressés avait été obtenu et que ces personnes ne se seraient pas attendues à ce que leurs renseignements personnels soient communiqués à Facebook pour diffuser des publicités politiques.

AgreggateIQ est un exemple de société qui opère au-delà des frontières et est donc soumise aux lois en vigueur dans chacune de ces juridictions, a déclaré Michael McEvoy.

«Lorsqu’il s’agit de collecter et d’utiliser les informations privées des personnes, les entreprises qui opèrent aux niveaux mondial et national ne peuvent pas simplement choisir les règles qu’elles souhaitent suivre», a déclaré M. McEvoy.

Les commissaires ont recommandé qu’AggregateIQ mette en œuvre des mesures garantissant l’obtention d’un consentement valable à l’avenir et qu’elle détruise tous les renseignements personnels qui ne sont plus nécessaires à des fins juridiques ou commerciales.

Jeff Silvester, directeur de l’exploitation chez AggregateIQ, a déclaré que l’entreprise avait pleinement coopéré avec les commissaires et avait également tenté de les aider, ainsi que leur personnel, à comprendre comment les règles de confidentialité pouvaient s’appliquer dans la vie réelle.

Les lois du Canada et de la Colombie-Britannique prévoient qu’une société basée en Colombie-Britannique s’appuie sur le consentement obtenu par leurs clients, quelle que soit leur juridiction, a-t-il déclaré.

C’est ce qu’a fait AggregateIQ, s’est défendu Jeff Silvester, mais les commissaires n’étaient pas d’accord pour dire que le consentement était «suffisamment significatif».

C’est parce qu’AggregateIQ est une entreprise de la Colombie-Britannique que les actions commises ont été jugées illégales a renchéri M. Silvester.

«Nos clients ne faisaient rien de mal. S’ils avaient fait ce travail sans nous, ils n’auraient pas eu d’ennuis.»

Il est difficile, selon lui, de parcourir les complexités des lois relatives à l’information et à la vie privée entre les juridictions.

«Cela posera assurément un défi à de nombreuses entreprises», a-t-il ajouté lors d’une entrevue, spécifiant que la synchronisation des lois au niveau international et au Canada serait «utile».

Michael McEvoy et Daniel Therrien ont profité de cette enquête pour réitérer leurs appels en faveur de sanctions plus lourdes contre les entreprises qui enfreignent les lois sur la protection de la vie privée et pour étendre les pouvoirs de leurs bureaux.

«Le gouvernement fédéral a déclaré que le Parlement devrait examiner la façon d’assujettir les partis politiques fédéraux à la législation relative à la protection des renseignements personnels. Nous exhortons le gouvernement à effectuer rapidement cet examen et à modifier la législation», a ajouté Daniel Therrien.