ANALYSE : Facebook, Cambridge Analytica et la Cour suprême — pourquoi le Canada a dix ans de retard sur la vie privée

2019 : le Commissariat conclut à la violation

Après enquête, le Commissariat à la protection de la vie privée conclut que Facebook a violé la loi fédérale. Pas une zone grise. Pas une interprétation généreuse. Une violation. Facebook conteste. L’affaire monte devant la Cour fédérale.

2023 : la Cour fédérale donne raison à Facebook

Premier coup de théâtre. La Cour fédérale juge que Facebook n’a pas enfreint la loi. Le Commissariat, humilié, fait appel.

2024 : la Cour d’appel fédérale renverse tout

Deuxième retournement. La Cour d’appel fédérale infirme le jugement de première instance et conclut que Facebook a bel et bien violé la LPRPDE en ne prévenant pas suffisamment ses utilisateurs des risques pesant sur leurs données. Facebook, à son tour, porte l’affaire devant la Cour suprême.

Mars 2026 : la Cour suprême écoute — et se tait

L’audience d’un jour s’est tenue à Ottawa. Les neuf juges ont entendu les arguments. Et ils ont réservé leur décision. Dans le jargon juridique, cela signifie qu’ils prendront le temps de délibérer. Dans le langage commun, cela signifie que six cent mille Canadiens dont les données ont été compromises devront attendre encore.

Le précédent Apple, Google et tous les autres

David Fraser, avocat spécialisé en droit de la vie privée chez McInnes Cooper à Halifax, pose la question qui fait trembler la Silicon Valley : « Quelle responsabilité Apple a-t-elle de superviser chacune des milliers, voire des millions, d’applications sur sa plateforme ? »

Si la Cour suprême confirme que Facebook était responsable de ce que les applications tierces faisaient avec les données de ses utilisateurs, le principe s’appliquera à chaque écosystème numérique. L’App Store d’Apple. Le Google Play Store. Chaque marketplace d’applications. Chaque plateforme qui permet à des tiers d’accéder aux données de ses utilisateurs.

Ce n’est plus une affaire Facebook. C’est une affaire qui pourrait redéfinir l’architecture même de l’économie numérique canadienne.

Le fantôme de TikTok plane sur l’audience

L’ironie du calendrier est presque trop parfaite. Pendant que la Cour suprême entend les arguments sur un scandale de données vieux de dix ans, le gouvernement canadien vient tout juste d’imposer de nouvelles restrictions à TikTok — une application dont le modèle de collecte de données fait passer Cambridge Analytica pour un amateur. Le Canada se bat encore sur le champ de bataille d’hier, pendant que la guerre des données de demain fait déjà rage.

La LPRPDE : conçue pour un monde qui n’existe plus

La LPRPDE a été adoptée en 2000. En 2000, Facebook n’existait pas. L’iPhone n’existait pas. Le cloud computing était un concept académique. L’intelligence artificielle était de la science-fiction. Et pourtant, c’est cette loi — inchangée dans ses fondements — qui est censée protéger les Canadiens contre l’exploitation algorithmique de leurs données personnelles en 2026.

Michael Geist ne mâche pas ses mots : « Nous avons besoin de certitude dans le droit canadien de la vie privée. Nous avons besoin de sanctions. » Et il a raison sur les deux fronts. La loi actuelle ne donne au Commissariat à la vie privée aucun pouvoir de sanction réel. Pas d’amendes. Pas de pénalités. Juste des recommandations que les entreprises peuvent — et c’est exactement ce que Facebook a fait — ignorer souverainement.

Le Parlement regarde ailleurs

Le projet de loi C-27, qui devait moderniser la protection de la vie privée au Canada, est mort au feuilleton. Le gouvernement sait que la loi est obsolète. Les experts le répètent depuis des années. Les tribunaux le démontrent affaire après affaire. Et pourtant, rien ne bouge. Geist lance un appel direct : « Il est grand temps que le Canada mette à jour des règles de protection de la vie privée qui ont maintenant plus de 25 ans. »

Et pourtant, chaque session parlementaire passe sans réforme. Chaque scandale de données est suivi de déclarations d’intention, puis de silence législatif.

Cambridge Analytica est morte — le modèle est plus vivant que jamais

Cambridge Analytica a fait faillite en 2018. Ses fondateurs ont été poursuivis. La firme est devenue un cas d’école dans tous les programmes de droit numérique de la planète. Mais le modèle économique qu’elle exploitait — collecter massivement des données personnelles pour cibler des individus avec des messages politiques sur mesure — n’a pas disparu. Il s’est perfectionné.

Les campagnes électorales de 2024 et 2025, partout dans le monde, ont utilisé des techniques de microciblage infiniment plus sophistiquées que ce que Cambridge Analytica pouvait rêver de faire en 2014. L’intelligence artificielle générative permet désormais de créer des messages personnalisés à l’échelle industrielle. Et les lois censées encadrer tout cela ? Elles datent de l’époque où le téléphone à clapet était une innovation.

Six cent mille fantômes numériques

Pensez-y une seconde. Six cent mille Canadiens ont vu leurs données personnelles aspirées sans leur consentement, revendues à une firme étrangère, utilisées pour manipuler des processus démocratiques. Combien d’entre eux le savent ? Combien ont été individuellement notifiés ? Combien ont reçu une quelconque compensation ? La réponse à ces trois questions est la même : pratiquement aucun.

Ces gens ne sont pas des statistiques. Ce sont des enseignants, des infirmières, des retraités, des étudiants qui ont un jour cliqué sur un quiz Facebook et dont la vie numérique a été mise à nu sans qu’ils en sachent rien.

Quand « j’accepte » ne veut plus rien dire

L’affaire Facebook-Cambridge Analytica pose une question fondamentale que la Cour suprême devra affronter : le consentement tel que nous le concevons juridiquement a-t-il encore un sens dans un écosystème numérique où les flux de données sont si complexes que même les ingénieurs qui les conçoivent ne peuvent pas toujours les tracer ?

Colleen Bauman, représentant le Commissariat à la vie privée, a formulé l’enjeu avec clarté devant les juges : « Il s’agit de s’assurer que les gens peuvent utiliser les médias sociaux d’une manière qui leur donne le contrôle. » Mais le contrôle suppose la compréhension. Et la compréhension suppose la transparence. Et la transparence suppose des lois qui l’exigent.

L’intelligence artificielle rend le problème exponentiellement plus grave

En 2014, Cambridge Analytica avait besoin d’une application-quiz pour collecter des données. En 2026, les modèles d’IA peuvent inférer vos préférences politiques, votre état émotionnel, vos vulnérabilités psychologiques à partir de votre historique de navigation, de vos likes, de vos temps de lecture. Les données ne sont plus seulement collectées — elles sont générées par des algorithmes qui en savent plus sur vous que vous n’en savez sur vous-même.

La Cour suprême juge une affaire de 2014 avec une loi de 2000. Le monde numérique de 2026 les regarde faire avec une inquiétude grandissante.

L’Europe a agi, le Canada a discuté

L’Union européenne a adopté le Règlement général sur la protection des données (RGPD) en 2016, applicable depuis 2018. Depuis, les amendes pleuvent. Meta a été condamnée à 1,2 milliard d’euros par le régulateur irlandais en 2023. Amazon, à 746 millions d’euros par le Luxembourg. Les entreprises savent que violer la vie privée des Européens coûte cher.

Au Canada, le Commissariat à la vie privée peut rédiger des rapports. Il peut formuler des recommandations. Il peut exprimer des préoccupations. Ce qu’il ne peut pas faire, c’est imposer une seule amende. Pas un dollar. Zéro.

Même les États-Unis font mieux

Les États-Unis, pourtant réputés pour leur approche libérale de la régulation technologique, ont infligé à Facebook une amende de 5 milliards de dollars américains par l’entremise de la FTC en 2019. Cinq milliards. Pendant ce temps, au Canada, l’affaire remontait lentement, très lentement, la chaîne judiciaire.

Il y a quelque chose de profondément troublant dans le fait qu’un pays qui se targue d’être un champion des droits de la personne soit incapable de sanctionner financièrement une multinationale qui a violé la vie privée de plus d’un demi-million de ses citoyens.

Scénario 1 : la Cour confirme la violation

Si la Cour suprême maintient la décision de la Cour d’appel fédérale, Facebook sera formellement reconnu coupable d’avoir violé la LPRPDE. Ce serait un précédent majeur. Chaque plateforme numérique opérant au Canada devrait repenser sa chaîne de responsabilité concernant les applications tierces et les données partagées.

Mais — et c’est là que le bât blesse — même une victoire devant la Cour suprême ne changera pas le fait que la loi ne prévoit aucune sanction financière. Facebook pourrait être trouvé coupable et n’avoir strictement rien à payer.

Scénario 2 : la Cour donne raison à Facebook

Si la Cour suprême renverse la décision d’appel et donne raison à Facebook, le message envoyé aux géants technologiques sera dévastateur : au Canada, vous pouvez ouvrir vos vannes de données, laisser des tiers les exploiter, et tant que vous avez obtenu un semblant de consentement enterré dans des conditions d’utilisation que personne ne lit, vous êtes couvert.

Ce serait un signal d’open bar pour chaque entreprise qui monétise les données personnelles des Canadiens.

Hébergeur ou complice ?

La question que la Cour suprême doit trancher dépasse le cadre juridique strict. Elle est philosophique. Une plateforme qui permet à des tiers d’accéder aux données de ses utilisateurs est-elle un simple intermédiaire technique, ou porte-t-elle une responsabilité dans l’usage qui est fait de ces données ?

Facebook plaide l’intermédiation. Le Commissariat à la vie privée plaide la responsabilité. La réponse de la Cour suprême dessinera le contour du droit numérique canadien pour les décennies à venir.

Le modèle économique est le problème

Et pourtant, personne dans cette salle d’audience ne pose la question la plus fondamentale : le modèle économique lui-même est-il compatible avec le respect de la vie privée ? Facebook — désormais Meta — génère la quasi-totalité de ses revenus par la publicité ciblée, qui repose sur la collecte massive de données personnelles. Demander à cette entreprise de protéger la vie privée de ses utilisateurs, c’est demander à un casino de décourager les joueurs. La structure même du système rend la protection illusoire.

Un Commissariat sans pouvoir est un tigre de papier

Le Commissariat à la protection de la vie privée du Canada fait un travail remarquable avec les outils dont il dispose. Mais ces outils sont des cure-dents face à des bulldozers. Sans pouvoir d’amende, sans capacité de sanction, sans autorité exécutoire réelle, le Commissariat ne peut que constater, recommander et espérer que les entreprises obtempèrent.

Comparez avec le régulateur irlandais, qui peut imposer des amendes allant jusqu’à 4 % du chiffre d’affaires mondial d’une entreprise. Pour Meta, cela représente des milliards. Au Canada, cela représente zéro. Le choix pour une multinationale entre respecter la loi canadienne ou l’ignorer n’est même pas un choix — c’est un calcul d’enfant.

Le citoyen, seul face aux géants

Quand six cent mille Canadiens voient leurs données aspirées par une firme étrangère pour manipuler des élections, la moindre des choses serait qu’ils disposent de recours concrets. Pas des rapports. Pas des audiences. Des compensations. Des sanctions. Des conséquences.

Et pourtant, dix ans après les faits, le seul recours est un processus judiciaire qui n’a toujours pas abouti, devant des tribunaux qui appliquent une loi qui n’a pas de sanctions. Le citoyen canadien est nu face aux géants du numérique, et son gouvernement ne lui a toujours pas donné d’armure.

Ne pas attendre la décision de la Cour

Michael Geist a raison sur un point crucial : le Parlement ne devrait pas attendre la décision de la Cour suprême pour agir. Quelle que soit l’issue du jugement, la loi restera obsolète. Quelle que soit la décision des juges, le Commissariat restera sans pouvoir de sanction. Quelle que soit l’interprétation juridique retenue, les Canadiens resteront moins protégés que les Européens, les Américains, les Australiens ou les Britanniques.

Le gouvernement a la responsabilité d’agir maintenant. Pas lors de la prochaine session. Pas après les prochaines élections. Maintenant.

Ce que devrait contenir une vraie réforme

Un pouvoir d’amende réel pour le Commissariat. Des obligations de notification rapide en cas de fuite de données. Un droit à l’effacement effectif pour les citoyens. Des audits obligatoires pour les plateformes dépassant un certain seuil d’utilisateurs. Et surtout, des sanctions proportionnelles au chiffre d’affaires — parce qu’une amende de 100 000 dollars pour une entreprise qui en génère 130 milliards n’est pas une sanction, c’est un pourboire.

Le temps perdu ne se rattrape pas

Pendant que le Canada débattait, le monde avançait. Pendant que les tribunaux canadiens se renvoyaient la balle entre instances, l’Europe imposait le RGPD, le Royaume-Uni créait l’Information Commissioner’s Office avec de vrais pouvoirs, et même le Brésil adoptait une loi générale de protection des données. Le Canada, membre du G7, nation fondatrice de la Charte des droits et libertés, est devenu en matière de vie privée numérique un pays en développement.

La question qui reste

La Cour suprême rendra sa décision dans les mois à venir. Mais la vraie question n’est pas de savoir si Facebook a violé une loi vieille de 25 ans. La vraie question est de savoir pourquoi le Canada a attendu qu’un scandale mondial, une enquête du Commissariat, deux décisions contradictoires et une audience devant sa plus haute cour pour commencer à se demander si, peut-être, il serait temps de protéger ses propres citoyens.

Six cent mille Canadiens attendent toujours une réponse. Et le silence du Parlement est, en soi, un verdict.

Signé Jacques PJ Provost