Brexit : une firme de Victoria a contrevenu aux lois de protection de la vie privée
La firme AggregateIQ, basée à Victoria, a contrevenu aux lois de protection de la vie privée au Canada, selon le commissaire fédéral Daniel Therrien.
Photo : Radio-Canada / Evan Mitsui
Prenez note que cet article publié en 2019 pourrait contenir des informations qui ne sont plus à jour.
AggregateIQ (AIQ), une entreprise de Victoria qui a collecté les données privées de millions d’utilisateurs sans leur consentement à des fins de ciblage politique, a contrevenu aux lois sur la protection des renseignements personnels, selon une enquête du commissaire à la protection de la vie privée du Canada.
Menée conjointement avec le commissaire à l’information et à la vie privée de la Colombie-Britannique, l’enquête a montré que l'entreprise AIQ, notamment lorsqu’elle travaillait pour le compte de la société mère de la firme Cambridge Analytica, ne s’est pas assurée d’obtenir un consentement adéquat pour la collecte, l’utilisation ou la communication de renseignements personnels
en vertu des lois britanno-colombienne et canadienne sur la protection de la vie privée.
L’enquête portant sur AIQ a démontré dans quelle mesure des renseignements personnels sensibles peuvent être utilisés dans les campagnes politiques dans le but d’influencer les électeurs
, affirme le commissaire fédéral de protection de la vie privée, Daniel Therrien.
AIQ a été impliquée entre autres dans la campagne référendaire sur la sortie de l'Union européenne du Royaume-Uni, en 2016, et dans un certain nombre de campagnes électorales aux États-Unis.
Selon le lanceur d’alerte canadien Christopher Wylie, cofondateur de Cambridge Analytica, qui a utilisé sans autorisation des données de millions d'utilisateurs de Facebook pour influencer le choix d’électeurs américains lors de la présidentielle de 2016, AIQ a travaillé avec des données obtenues par la firme britannique afin de cibler des électeurs pour le compte du groupe de campagne officiel proBrexit Vote Leave.
Selon des informations financières publiées par Vote Leave, 5,4 millions de dollars amassés lors de collectes de fonds ont été dirigés vers l’entreprise de Victoria pour l’achat et la diffusion de publicités ciblées.
L'ancien directeur de recherche de Cambridge Analytica, Chris Wylie.
Photo : Associated Press / Alastair Grant
Profils psychographiques
d'électeurs
Les renseignements personnels fournis par SCL [la société mère de Cambridge Analytica] à AIQ comprenaient des profils psychographiques, l’origine ethnique et la religion, les antécédents liés aux dons politiques, les dates de naissance, les adresses de courriel, les abonnements à des périodiques, les adhésions à des associations, les revenus présumés, l’accession à la propriété et la propriété des véhicules
, expliquent les commissaires McEvoy et Therrien.
« AIQ a confirmé que SCL était en mesure d'utiliser ces renseignements pour ventiler les personnes en des groupes restreints à des fins de campagnes publicitaires microciblées sur Facebook. »
Selon leur enquête, la firme britanno-colombienne ne s'est pas souciée de savoir si ces renseignements étaient obtenus avec le consentement des principaux intéressés.
Ces personnes ne se seraient pas attendues à ce que leurs renseignements personnels soient communiqués à Facebook pour diffuser des publicités politiques, affirment-ils dans un communiqué. Elles ne se seraient pas attendues non plus à ce que leurs renseignements soient analysés pour cerner des personnes présentant des caractéristiques similaires.
Même si les renseignements ont été recueillis dans un autre territoire de compétence, que ce soit au Royaume-Uni ou aux États-Unis, AIQ est toujours tenue de s’acquitter de ses obligations liées au traitement de ces renseignements au Canada, en vertu des lois canadiennes
, précise le rapport.
Coopération de la part d’AggregateIQ
Selon Daniel Therrien et Michal McEnvoy, AggregateIQ a accepté de coopérer avec leur enquête et de mettre en oeuvre leurs recommandations.
AIQ devra désormais s’assurer de façon raisonnable
d’avoir le consentement des utilisateurs de médias sociaux dont ils utilisent les données, ainsi que de la conformité de la collecte avec les lois fédérale et provinciale de protection des renseignements personnels.
L’entreprise devra aussi mettre en place des mesures de sécurité plus fortes pour s’assurer que ces données ne soient pas vues par d’autres et détruire les données qu’elle a acquises sans consentement.
Nous ferons un suivi dans six mois
, assure Daniel Therrien.
Le commissaire à la vie privée réclame plus de pouvoirs
Bien qu’il soit satisfait de la réponse d’AggregateIQ auxrecommandations de son bureau, Daniel Therrien rappelle qu’il n’a pas le pouvoir d’imposer d’amendes aux entreprises qui contreviennent à la loi fédérale de protection de la vie privée.
Le cas de Facebook montre bien, selon lui, les limites de son rôle. La plateforme a refusé, en avril, de suivre les recommandations formulées par son bureau à la suite d’une enquête menée dans la foulée du scandale Cambridge Analytica, qui a touché plus de 600 000 Canadiens.
J’appelle depuis longtemps à des modifications législatives pour permettre à mon bureau d’émettre des ordonnances contraignantes
, a-t-il dit en conférence de presse, mardi.
Nous sommes en retard par rapport à l’Europe
, a ajouté son collègue, Michael McEvoy.
