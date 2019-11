Une enquête révèle qu'une entreprise de la Colombie-Britannique a diffusé des publicités politiques microciblées sans consentement préalable





Une enquête conjointe met au jour des lacunes dans les pratiques d'un consultant politique en matière de consentement ainsi que dans ses mesures de sécurité

VANCOUVER, le 26 nov. 2019 /CNW/ - Une enquête a permis de conclure qu'AggregateIQ n'a pas respecté ses obligations en vertu des lois canadiennes sur la protection des renseignements personnels lorsqu'elle a utilisé et communiqué les renseignements personnels de millions d'électeurs en Colombie-Britannique, aux États-Unis et au Royaume-Uni.

AggregateIQ Data Services Ltd. (AIQ) est une entreprise de Victoria qui fournit des services de logiciels pour les campagnes électorales et de publicité à caractère politique. AIQ a été liée à Cambridge Analytica - une entreprise impliquée dans un scandale mondial concernant le microciblage d'électeurs dans différentes campagnes politiques.

Le Commissariat à l'information et à la protection de la vie privée de la Colombie-Britannique et le Commissariat à la protection de la vie privée du Canada ont mené une enquête conjointe visant à établir si AIQ avait respecté ses obligations juridiques en matière de consentement et de protection des renseignements personnels dans le cadre de ses travaux dans certaines campagnes politiques.

Les deux commissariats ont conclu qu'AIQ avait omis d'obtenir le consentement approprié des électeurs pour l'utilisation et la communication de leurs renseignements personnels. En outre, l'entreprise n'a pas pris de mesures raisonnables pour s'assurer que le consentement obtenu par ses clients internationaux était valable dans le cadre de ses pratiques au Canada.

Qui plus est, l'entreprise n'a pas pris de mesures de sécurité raisonnables pour protéger les renseignements personnels des intéressés, ce qui a entraîné une atteinte à la vie privée en 2018.

« Il est urgent que les entreprises de haute technologie qui oeuvrent au-delà des frontières se conforment à leurs obligations en matière de protection de la vie privée dans tous les territoires de compétence où elles exercent leurs activités », déclare Michael McEvoy, commissaire à l'information et à la protection de la vie privée de la Colombie-Britannique. « C'est d'autant plus vrai lorsqu'il s'agit du traitement de renseignements sensibles tels que les profils psychologiques décrits dans ce rapport d'enquête. »

« L'enquête portant sur AIQ a démontré dans quelle mesure des renseignements personnels sensibles peuvent être utilisés dans les campagnes politiques dans le but d'influencer les électeurs. Une fois de plus, cette affaire fait ressortir le besoin urgent d'une réforme législative pour protéger les processus démocratiques et le droit fondamental à la vie privée », affirme Daniel Therrien, commissaire fédéral à la protection de la vie privée.

« Le gouvernement fédéral a déclaré que le Parlement devrait examiner la façon d'assujettir les partis politiques fédéraux à la législation relative à la protection des renseignements personnels. Nous exhortons le gouvernement à effectuer rapidement cet examen et à modifier la législation », ajoute-t-il.

Plus tôt cette année, dans la foulée du scandale de Cambridge Analytica, les commissaires de la Colombie-Britannique et du Canada ont publié les conclusions d'une autre enquête conjointe qui a permis de déceler d'importantes lacunes dans les pratiques de Facebook en matière de protection de la vie privée.

L'enquête sur AIQ a été lancée après que les médias ont soulevé des préoccupations quant à la participation de l'entreprise au référendum de 2016 sur le Brexit portant sur l'appartenance du Royaume-Uni à l'Union européenne. Des reportages subséquents liaient également l'entreprise à la firme de consultation politique Cambridge Analytica et à sa société mère, SCL Elections Ltd (SCL).

AIQ a travaillé avec SCL dans le cadre de différentes campagnes électorales américaines entre 2014 et 2016, dont des élections de mi-mandat et une campagne pour une primaire présidentielle.

C'est dans ce contexte qu'AIQ a créé un outil de gestion des relations avec la clientèle politique pour le compte de SCL. Cet outil, connu sous le nom de Ripon, servait à recueillir et à stocker des quantités massives de données sur les électeurs et à fournir des listes d'électeurs appelés à voter lors de diverses campagnes, le tout à des fins de ciblage. Les renseignements personnels fournis par SCL à AIQ comprenaient des profils psychographiques, l'origine ethnique et la religion, les antécédents liés aux dons politiques, les dates de naissance, les adresses de courriel, les abonnements à des périodiques, les adhésions à des associations, les revenus présumés, l'accession à la propriété et la propriété des véhicules. AIQ a confirmé que SCL était en mesure d'utiliser ces renseignements pour ventiler les personnes en des groupes restreints à des fins de campagnes publicitaires microciblées sur Facebook.

AIQ a utilisé le nom et l'adresse de courriel de personnes pour diffuser des publicités pour le compte de SCL et d'autres clients à l'aide de la fonctionnalité d'« auditoires personnalisés » du réseau social, laquelle permet aux annonceurs de transmettre des annonces à une liste de personnes que Facebook met en correspondance sur sa plateforme. L'entreprise a également profité de la fonctionnalité d'« auditoires similaires » de Facebook, qui permet aux annonceurs de cibler des groupes plus vastes d'utilisateurs de Facebook ayant des caractéristiques similaires.

L'enquête a permis de conclure qu'AIQ n'avait pas vérifié comme il se doit que le consentement des intéressés avait été obtenu. Ces personnes ne se seraient pas attendues à ce que leurs renseignements personnels soient communiqués à Facebook pour diffuser des publicités politiques. Elles ne se seraient pas attendues non plus à ce que leurs renseignements soient analysés pour cerner des personnes présentant des caractéristiques similaires.

Les commissariats de la Colombie-Britannique et du Canada ont recommandé qu'AIQ mette en place des mesures pour s'assurer d'obtenir un consentement valable à l'avenir et qu'elle détruise tous les renseignements personnels qui ne sont plus nécessaires à des fins juridiques ou commerciales. L'entreprise a accepté ces recommandations.

L'enquête a également révélé que les mesures de sécurité inadéquates d'AIQ ont entraîné un accès non autorisé aux renseignements d'électeurs américains et ont rendu vulnérables les renseignements personnels de quelque 35 millions de personnes. Cette protection inadéquate des renseignements personnels contrevient aux lois canadiennes sur la protection des renseignements personnels.

AIQ s'est engagée à prendre un certain nombre de mesures pour améliorer la protection des renseignements personnels. Les deux commissariats se sont montrés satisfaits de ces mesures; ils assureront un suivi auprès d'AIQ au cours des prochains mois pour confirmer que l'entreprise a mis en oeuvre les recommandations découlant de l'enquête.

Voir également :

Rapport d'enquête - AggregateIQ Data Services Ltd.

Enquête conjointe du Commissariat à la protection de la vie privée du Canada et du Bureau du Commissaire à l'information et à la protection de la vie privée de la Colombie-Britannique au sujet de Facebook, Inc.

