Les Avis de convocation contiennent des renseignements sur le sujet, la date, l’heure et l’endroit de la réunion, ainsi qu’une liste des témoins qui doivent comparaître devant le comité. Les Témoignages sont le compte rendu transcrit, révisé et corrigé de tout ce qui a été dit pendant la séance. Les Procès-verbaux sont le compte rendu officiel des séances.
Merci à tous d’être venus aujourd’hui à la 100e séance du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique. Conformément au sous-alinéa 108(3)h)(vii) du Règlement, nous étudions l’atteinte aux renseignements personnels mettant en cause Cambridge Analytica et Facebook.
Nous accueillons aujourd’hui Kevin Chan, directeur mondial et chef des politiques publiques chez Facebook Canada, et, par téléconférence depuis la Californie, Robert Sherman, chef adjoint de la protection des renseignements personnels.
Je voudrais que nous entendions d’abord M. Chan. Nous avons été déçus, moi le premier, à titre de président, que M. Zuckerberg ait refusé notre invitation. Nous ne prenons pas ce refus à la légère, mais nous vous sommes reconnaissants de votre présence.
Je réitère les excuses de notre PDG, qui ne peut comparaître lui-même devant le Comité aujourd’hui. Je le représente, avec mon collègue Rob Sherman. Merci de cette note, monsieur.
Monsieur le président et mesdames et messieurs les membres du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique, je vous remercie de m’avoir invité à comparaître aujourd’hui. Je m’appelle Kevin Chan et je suis le directeur des politiques publiques de Facebook Canada. Je suis accompagné par mon collègue Rob Sherman, directeur adjoint de la protection des renseignements personnels de Facebook, qui comparaît par vidéoconférence.
Avant de commencer, je tiens à souligner l’offre que nous avons faite plus tôt cette semaine aux membres du Comité de tenir une séance d’information préliminaire au sujet de l’affaire Cambridge Analytica. Ces dernières semaines, nous avons fait un grand nombre d’annonces pour lesquelles nous avons tenu des séances d’information préliminaires à l’intention des législateurs américains avant les audiences du Congrès de la semaine dernière. Nous voulons offrir la même chose aux membres du Comité. Je regrette que nos intentions n’aient pas été claires.
Je tiens d’abord à dire que, même si nous ne connaissons pas encore tous les faits entourant l’affaire Cambridge Analytica, il est allégué qu’il y aurait eu un énorme abus de confiance envers nos utilisateurs, et nous en sommes profondément désolés.
Compte tenu de l’ampleur de notre service, puisque plus de 23 millions de Canadiens utilisent Facebook chaque mois — et plus de 2 milliards de personnes dans le monde le font —, nous reconnaissons le rôle que nous jouons dans la vie des gens et la nécessité d’assumer une plus grande responsabilité à cet égard.
[Français]
Il va sans dire que les événements des dernières semaines entourant la protection des données personnelles nous interpellent tous. Avec du recul, il est clair que Facebook n'avait pas investi assez dans la sécurité de notre plateforme, et nous en sommes responsables. Nous avons un devoir d'extrême vigilance et nous allons tout mettre en oeuvre pour apporter les correctifs qui s'imposent pour renouveler la confiance des utilisateurs de la plateforme.
[Traduction]
Ce qui est arrivé ces dernières semaines nous a appris des leçons importantes. La confiance dans notre service est au cœur de ce que nous faisons, chez Facebook. Comme l’a récemment dit notre PDG, Mark Zuckerberg: « Nous avons la responsabilité de protéger vos données, et si nous ne pouvons pas le faire, nous ne méritons pas de vous servir. »
Au fur et à mesure de la croissance de Facebook, les utilisateurs ont acquis des outils puissants pour rester en contact avec ceux qui leur sont chers, faire entendre leur voix et bâtir des collectivités et des entreprises, mais il est maintenant clair que nous n’en avons pas fait assez pour empêcher que ces outils ne soient utilisés à des fins préjudiciables également. Nous n’avons pas adopté une vision assez large de notre responsabilité, et ce fut une erreur.
Au Canada et partout dans le monde, nous savons que nous avons beaucoup de travail à faire, et ce n’est que le début. Bien entendu, nous collaborons également pleinement avec le Commissariat à la protection de la vie privée du Canada dans le cadre de son enquête sur cette affaire.
Je voudrais maintenant céder la parole à mon collègue, Rob Sherman, qui vous expliquera certains des faits déjà connus et les mesures que nous prenons pour prévenir désormais les abus sur notre plateforme.
Comme Kevin l’a dit, je suis le chef adjoint de la protection des renseignements personnels de Facebook. Je suis désolé de ne pas pouvoir être sur place. Je suis aujourd’hui l’hôte d’un sommet, en Californie, qui accueille de nombreux experts en protection de la vie privée. Ce sommet était prévu depuis un certain temps. Je remercie le Comité de l’attention qu’il porte à cette question importante, et nous lui sommes reconnaissants de nous donner l’occasion de fournir des renseignements pour appuyer son étude.
Je voudrais consacrer quelques minutes aux détails de cette affaire et aux mesures que nous prévoyons prendre à l’avenir.
En 2015, nous avons appris dans un article du Guardian qu’un chercheur de l’Université de Cambridge, Aleksandr Kogan, avait communiqué des données recueillies grâce à une application qu’il exploitait sur la plateforme Facebook, This Is Your Digital Life, avec Cambridge Analytica. Il est contraire à nos politiques que les développeurs communiquent des données sans le consentement des utilisateurs. Aussi avons-nous interdit immédiatement l’application de M. Kogan sur notre plateforme et exigé que lui et certaines entités avec lesquelles il avait des relations, dont Cambridge Analytica, suppriment toute l’information ainsi recueillie.
Il y a plusieurs semaines, des journalistes ont allégué qu’une partie de cette information n’avait peut-être pas été supprimée parce que M. Kogan, Cambridge Analytica et d’autres avaient obtenu une certification. À partir de nos propres données, nous avons estimé qu’un total de 305 000 utilisateurs, dans le monde entier, avaient installé l’application This Is Your Digital Life et que 86,3 millions d’autres utilisateurs étaient des amis de ceux qui avaient installé cette application et avaient donc pu être touchés également.
Même si la grande majorité de ces utilisateurs se trouvaient aux États-Unis, nous estimons que 272 Canadiens ont installé l’application, et que 621 889 autres Canadiens ont pu être touchés. Cela représente 0,7 % des utilisateurs touchés dans le monde entier.
Nous prenons chaque cas très au sérieux, et c’est pourquoi nous informons les utilisateurs s’il est le moindrement possible qu’ils aient été touchés.
Nous avons la responsabilité de veiller à ce que l’incident survenu chez Cambridge Analytica ne se reproduise plus. Nous avons donc pris une série de mesures pour accroître les protections que nous offrons pour les renseignements des utilisateurs. Voici quelques-unes de ces mesures.
Premièrement, nous devons nous assurer que les développeurs comme M. Kogan, qui a eu accès à beaucoup d’information par le passé, ne peuvent plus avoir accès à autant d’information. Nous avons déjà apporté des modifications à la plateforme Facebook en 2014 pour restreindre considérablement la quantité de données que les développeurs d’applications peuvent recevoir et pour examiner proactivement leurs applications avant qu’ils ne puissent utiliser notre plateforme. Grâce aux modifications apportées en 2014, un promoteur, aujourd’hui, n’aurait pas accès à autant de données que ce que M. Kogan a pu obtenir.
Toutefois, nous avons l’intention d'en faire davantage pour limiter l’accès à l’information pour les développeurs et pour mettre en place un plus grand nombre de mesures de protection pour prévenir les abus. Par exemple, nous supprimons l’accès aux données pour les développeurs si l’utilisateur ne s’est pas servi de leur application depuis trois mois. Nous limitons les données que l’utilisateur fournit à une application, lorsqu’il se sert de la nouvelle version de la connexion à Facebook: seulement son nom, sa photo de profil et son adresse de courriel. C’est beaucoup moins que ce qui est offert aux développeurs sur toute autre grande plateforme d’applications. Si un développeur veut se connecter à Facebook pour obtenir plus de renseignements — par exemple, accéder aux publications des gens ou à d’autres données privées —, nous exigerons qu’il signe avec nous un contrat distinct qui impose des exigences strictes.
Deuxièmement, nous sommes en train d’examiner chaque application qui avait accès à une grande quantité de données avant de verrouiller notre plateforme en 2014. Si nous détectons des activités suspectes, nous effectuerons une vérification judiciaire complète. Si nous découvrons que quelqu’un utilise les données de façon inappropriée, nous interdirons l’application et nous en informerons tous les intéressés.
Enfin, nous facilitons la compréhension des applications auxquelles l’utilisateur a donné accès à ses renseignements. La semaine dernière, nous avons commencé à présenter à tous les utilisateurs la liste des applications qu’ils ont utilisées, puis une façon facile de révoquer les permissions accordées à ces applications par le passé. C’est quelque chose que chacun peut déjà faire dans ses paramètres de protection de la vie privée, mais nous mettons ce rappel au sommet du fil de nouvelles pour nous assurer que tout le monde le voit.
Nous avons également annoncé des mises à jour proposées à notre politique sur les données et aux modalités de service afin de fournir plus d’information sur nos pratiques en matière de données et les choix offerts aux utilisateurs. Nous espérons que cela permettra aux utilisateurs de prendre des décisions éclairées sur la protection de leur vie privée et de mieux comprendre comment nous utilisons les données dans Facebook, Instagram, Messenger et nos autres services.
Je rends maintenant la parole à mon collègue, Kevin, qui vous parlera un peu de ce que nous faisons pour assurer l’intégrité des élections au Canada.
Nous reconnaissons que la situation entourant Cambridge Analytica soulève des questions plus générales sur l'utilisation de Facebook et l'intégrité des élections. Je voudrais conclure avec quelques commentaires à ce sujet, car nous travaillons fort pour faire notre part afin de protéger l'intégrité des élections fédérales de 2019. Nous savons que vos chefs et vos partis politiques respectifs continuent d'utiliser Facebook comme plateforme clé pour la participation civile. Il est donc important d'aborder cette question avec sérieux.
[Traduction]
Comme vous le savez peut-être, le Centre de la sécurité des télécommunications a publié l’an dernier un rapport décrivant les diverses cybermenaces qui pèsent sur les prochaines élections fédérales et il a cerné deux domaines où Facebook estime avoir un rôle à jouer, soit la cybersécurité et le piratage des comptes en ligne des candidats et des partis politiques, d’une part, et, d’autre part, la diffusion de désinformation en ligne. Nous avons réagi en lançant, l’automne dernier, notre initiative canadienne sur l’intégrité des élections, qui comporte cinq éléments.
Premièrement, pour assurer la cybersécurité, nous avons lancé le Guide d’hygiène informatique de Facebook, créé expressément pour les hommes et femmes politiques et les partis politiques canadiens. Il fournit des renseignements clés sur la façon dont tous ceux qui administrent la présence d’une personnalité politique ou d’un parti sur Facebook peuvent aider à protéger leurs comptes et leurs pages. J’ai apporté des exemplaires du guide, monsieur le président, et avec votre permission, je les distribuerai plus tard aux membres du Comité.
Deuxièmement, nous offrons une formation en « hygiène informatique » à tous les partis politiques fédéraux.
Troisièmement, nous avons lancé notre ligne de courriel sur les cybermenaces pour les hommes et femmes politiques et les partis politiques fédéraux. Elle assure un lien direct avec l’équipe de sécurité de Facebook et aidera à accélérer la réaction lorsque des pages ou des comptes sont compromis.
Pour lutter contre la désinformation en ligne, nous avons établi un partenariat avec HabiloMédias, le Centre canadien d’éducation aux médias et de littératie numérique, dans le cadre d’un projet de deux ans visant à développer la réflexion, les ressources et les messages d’intérêt public sur la façon de repérer la désinformation en ligne. Cette nouvelle initiative, que nous appelons Au-delà des faits, comprendra des plans de leçon, des missions interactives en ligne, des vidéos et des guides qui feront comprendre que la vérification de l’information est une compétence essentielle dans le quotidien et dans l’exercice de la citoyenneté.
Nous avons également lancé notre test de transparence de la publicité, appelé « View Ads », ici au Canada en novembre dernier. Ce test, qui est en cours, permet à n’importe qui au Canada de voir toutes les annonces Facebook, y compris celles pour lesquelles l’utilisateur ne fait pas partie de l’auditoire visé. Tous les annonceurs sur Facebook sont assujettis à la fonction « View Ads », mais nous reconnaissons qu’il s’agit d’une partie importante de nos efforts d’engagement citoyen. Les candidats aux élections et les organisations qui font de la publicité politique devraient être tenus responsables de ce qu’ils disent aux citoyens, et cette fonction permet aux utilisateurs de voir tout ce qu’un candidat ou une organisation dit à tout le monde. Il s’agit d’un niveau de transparence publicitaire plus élevé que celui qui existe actuellement pour tout type de publicité, en ligne ou hors ligne.
[Français]
Dans nos réponses à vos questions, Rob et moi espérons vous en apprendre davantage au sujet de nos efforts en matière de protection des renseignements personnels et d'intégrité des élections. Nous reconnaissons que, par le passé, nous nous sommes montrés trop idéalistes quant à l'utilisation de nos technologies et que nous ne nous sommes pas suffisamment concentrés sur la prévention des abus sur notre plateforme. Nous sommes en train d'effectuer de grands changements relativement au fonctionnement de notre entreprise afin d'améliorer notre approche à cet égard.
[Traduction]
Merci encore de m’avoir donné l’occasion de comparaître. Nous serons heureux de répondre à vos questions.
Nous sommes en train d’informer du problème les utilisateurs au Canada et ailleurs dans le monde. Nous les renseignerons au moyen de messages qui se trouvent au haut de leur fil de nouvelles. Il leur sera expliqué qu’ils ont accès à l’information sur les applications qui ont recueilli leurs renseignements. S’ils sont touchés par l’affaire Cambridge Analytica, ils en seront également avisés.
Si les utilisateurs ont supprimé leur compte Facebook, ils ne pourront probablement pas être avisés.
Si une entreprise se souciait davantage des utilisateurs que de la valeur de ses actions et si elle avait appris qu’il y avait eu une intrusion en 2016, n’aurait-elle pas avisé ses utilisateurs dès 2016?
Il est important de noter que la confiance des gens qui utilisent Facebook est primordiale, et elle est essentielle non seulement sous l’angle de nos obligations éthiques, mais aussi sous celui de nos obligations commerciales, parce que nous nous rendons compte que si les gens n’ont pas l’impression que leurs renseignements sont protégés sur Facebook, ils ne seront pas à l’aise pour utiliser nos services. Donc, bien qu’il y ait certainement de l’information sur…
Notre PDG, Mark Zuckerberg, a dit, avec le recul, que c’est ce que nous aurions dû faire. À l’avenir, si une telle situation se produit, nous le ferons certainement.
Dans le contexte international, environ 350 000 personnes ont consenti à utiliser une application et ont permis au développeur d’applications d’accéder à 87 millions de profils d’utilisateurs. Au Canada, si j’ai bien compris, 272 personnes ont utilisé l’application, ce qui a donné accès à plus de 620 000 profils d’utilisateurs canadiens. En quoi cela est-il conforme à la loi actuelle?
Ces chiffres sont généralement exacts, mais il est important de noter que nous avons adopté une approche prudente. Nous ne savons pas exactement quels renseignements ont été transférés à ce moment-là. Ce que nous avons voulu faire, c’est pécher par excès de prudence et avertir plus de gens plutôt que moins.
Je comprends cela pour ce qui est des chiffres, mais pour ce qui est de notre loi au Canada, la Loi sur la protection des renseignements personnels et les documents électroniques, qui exige le consentement — habituellement le consentement explicite, et dans certains cas le consentement implicite —, qu’en est-il du consentement de 620 000 utilisateurs?
L’approche que nous avons adoptée à l’époque... et comme je l’ai dit dans ma déclaration liminaire, nous avons apporté des modifications importantes à la plateforme, depuis l’époque où ces renseignements étaient disponibles, pour limiter l’information que les développeurs d’applications peuvent recueillir.
Pour les 272 personnes qui ont expressément autorisé l’application, il y avait un écran qui apparaissait et qui les a normalement avisés de l’information que le développeur voulait recevoir, et ils ont cliqué pour l’accepter…
Désolé. Vous avez apporté des modifications et peut-être êtes-vous maintenant en conformité avec la loi, mais il semble assez clair que ce n’était pas le cas auparavant. Est-ce juste?
Quant aux amis de ceux qui utilisaient l’application, notre politique sur les données et les faits que nous avons révélés à l’époque étaient très clairs en ce qui concerne le fonctionnement de la plateforme. Il importe de noter que, comme en témoignent les modifications que nous avons apportées en 2014, nous ne pensons pas que ce soit la bonne façon de faire fonctionner une plateforme, et ce n’est pas la façon dont elle fonctionne aujourd’hui.
C’est un sujet dont nous avons discuté à l’époque et depuis avec le commissaire à la protection de la vie privée du Canada. Donc, même si nous pensons que ce n’est pas la bonne façon de fonctionner pour une plateforme, nous voulons également nous assurer de respecter toutes les lois applicables.
Non seulement ce n’est pas approprié, mais la façon dont vous avez conçu le système est également contraire à notre loi.
M. Zuckerberg a fait remarquer que vous êtes ouverts à la possibilité d’une réglementation. Vous avez pris des mesures supplémentaires. Selon vous, quels règlements permettraient de régler les problèmes que vous avez connus?
Il y a un certain nombre de mesures à prendre, et la première, comme vous l’avez souligné, c’est que Facebook doit assumer la responsabilité. Nous espérons que c’est ce que nous avons fait, et nous devons continuer de travailler pour nous assurer que l’information des gens est protégée sur notre plateforme. Nous avons investi dans cet effort et nous avons la responsabilité de le faire, en allant même au-delà de ce que la loi exige. Comme Kevin l’a dit dans sa déclaration liminaire, nous avons la responsabilité d’adopter une vision plus large de ce que nous devrions faire.
D’après mes échanges sur la réglementation de la protection de la vie privée au Canada et ailleurs dans le monde, il me semble important d’adopter une approche fondée sur des principes qui offre de solides protections de la vie privée aux Canadiens et aux utilisateurs partout dans le monde. C’est une chose qu’on trouve déjà dans la Loi sur la protection des renseignements personnels et les documents électroniques.
Je sais que le Comité entreprend une étude et a publié un rapport qui formule des recommandations au sujet de cette loi, et il y a beaucoup de choses dans cette étude qui valent la peine d’être prises en considération, mais je pense que l’approche fondée sur les principes fondamentaux de cette loi et le fait de donner au commissaire à la protection de la vie privée un vaste pouvoir discrétionnaire quant à la façon d’appliquer ces dispositions aux nouvelles technologies et aux situations inédites est un modèle qui convient.
Fait intéressant, nous avions auparavant une approche fondée sur des principes, mais Facebook n’a respecté ni ces principes ni nos lois.
En 2014, vous avez apporté des modifications, mais tous les développeurs d’applications qui ont déjà recueilli des renseignements possèdent encore cette information. Pouvez-vous donner aux Canadiens une idée exacte des renseignements détaillés dont il s’agit?
Je crois comprendre que les développeurs d’applications auraient eu accès à des données sur les études, la profession, les relations personnelles, les listes d’amis, les « j’aime » et l’adresse. Quoi d’autre?
Les concepteurs d’applications auraient pu recevoir les renseignements que les gens ont donnés sur leurs profils: ce qu’ils aiment, leur ville, l’endroit où ils vivent, etc.
Nous avons apporté des modifications depuis, et il s’agissait d’éléments d’information communiqués conformément aux paramètres établis par l’utilisateur. Il avait la possibilité de décider s’il donnait les renseignements, au départ. Il pouvait décider avec qui il voulait les partager, de sorte qu’il les aurait rendus accessibles pour certains amis, mais pas pour d’autres. Et il avait la possibilité de choisir si ces amis pouvaient donner cette information aux applications.
Comme je l’ai dit, depuis, nous avons considérablement restreint la quantité d’information disponible pour les applications.
Le développeur d'un jeu appelé Cow Clicker a publié un article sur son produit sur le site The Atlantic. Il a dit qu'il s'agissait d'un jeu vraiment rudimentaire. Si j'avais cliqué sur cette ridicule application pour jouer, le développeur aurait eu accès aux données personnelles de tous mes amis. Trouvez-vous cela raisonnable?
Pas du tout. C'est l'une des exigences de nos politiques que nous demandons à tous les développeurs de respecter. Nous leur imposons une série de restrictions relativement aux données qu'ils peuvent recueillir et à l'utilisation qu'ils peuvent en faire. Parmi ces restrictions, il y a une règle qui leur interdit de demander plus de renseignements qu'ils n'en ont besoin pour exploiter le service qu'ils offrent. Depuis 2014, nous avons mis en place, entre autres choses, un processus d'examen préalable à cet égard. Nous ne voulons certes pas que les applications utilisent la plateforme Facebook pour recueillir des données dont elles n'ont pas besoin. Comme nous l'avons annoncé il y a quelques semaines, nous imposons des restrictions beaucoup plus strictes quant à la quantité de renseignements que la plupart des applications peuvent obtenir.
Vous apportez malheureusement ces changements maintenant que le problème a été rendu public et non parce que vous avez toujours pensé que c'était la bonne chose à faire.
Je remercie également messieurs Chan et Sherman d'être ici aujourd'hui. C'est agréable de vous revoir.
Ces scandales liés à l'exploration de données semblent enfin avoir éveillé les esprits ici au Canada au fait que l'univers des données dépasse les frontières nationales et qu'il n'existe pas de protection ni de réglementation efficace des renseignements personnels que les Canadiens cèdent volontairement ou inconsciemment dans le cadre de leur d'utilisation de votre service. C'est un service très utile à bien des égards; je l'utilise à des fins politiques et je n'ai aucune plainte à formuler. Évidemment, nous nous intéressons ici aux abus liés à l'exploration de données qui ont et pourraient avoir une incidence sur notre processus démocratique.
À Facebook, qui est responsable et imputable envers les utilisateurs canadiens de la plateforme: l'entité canadienne ou la société mère? À quel moment l'entité Facebook Canada a-t-elle été mise au courant des atteintes à la sécurité des renseignements personnels des utilisateurs? Monsieur Chan, Facebook Canada a-t-elle omis d'informer les utilisateurs des atteintes qui ont eu cours pendant deux ans, comme a omis de le faire la société mère? Au cours des deux dernières années, étiez-vous au courant de ces atteintes?
Non, monsieur. Dans ce cas particulier, nous l'avons appris, comme tout le monde, par les médias il y a environ un mois — je ne me souviens plus de la date exacte. C'est tout ce que nous savions au Canada.
Comme vous le savez, notre gouvernement conservateur a renforcé la Loi sur la protection des renseignements personnels et les documents électroniques juste avant l'élection de 2015. L'actuel gouvernement libéral, après avoir mis trois ans à élaborer une partie des dispositions intégrées au Règlement concernant les atteintes aux mesures de sécurité, a discrètement publié hier un règlement dans la Gazette du Canada concernant la déclaration immédiate de toute atteinte aux mesures de sécurité au commissaire à la protection de la vie privée et aux personnes intéressées.
Est-ce que Facebook Canada peut donner au Comité l'assurance qu'à la prochaine atteinte à la sécurité des données personnelles de ses utilisateurs, l'entreprise ne cachera pas cette information pendant deux ans, comme elle l'a fait dans ce cas-ci?
Bien entendu, monsieur, nous prenons déjà des mesures, comme l'a mentionné Rob. Nous prenons déjà des mesures pour informer tous les utilisateurs de l'affaire Cambridge Analytica. Nous nous sommes engagés, à l'instar de notre PDG, à faire une vérification rétrospective de toutes les autres applications qui étaient en place au moment où les autorisations de la plateforme ont été établies. Si nous trouvons des preuves d'actes répréhensibles, nous suspendrons ces applications et les empêcherons de fonctionner sur Facebook. Nous aviserons ensuite tous les utilisateurs potentiels de ces applications.
C'est exactement ce que nous avons l'intention de faire à l'avenir, monsieur.
Lorsque des membres de notre comité ont visité le siège social de Facebook à Washington en octobre dernier — et je vous remercie pour votre accueil et pour vos assurances quant à l'engagement de votre société à l'égard des activités des médias sociaux et les mesures de sécurité ainsi que pour la démonstration de quelques-uns de vos fantastiques produits comme les appareils de réalité virtuelle Oculus —, nous avons notamment évoqué la possibilité que le Canada se dote d'un nouveau règlement en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques, ou peut-être, qu'il renforce les règles existantes ainsi que les sanctions imposées pour toute atteinte à la sécurité des renseignements personnels des utilisateurs canadiens.
Nous avons été informés, presque fortuitement, que toute nouvelle réglementation canadienne risquait de compromettre les investissements que Facebook prévoit faire au Canada, en plus des 7 millions de dollars déjà investis dans le projet d'intelligence artificielle au centre de Montréal.
Dans la foulée des témoignages de Cambridge Analytica, d'AIQ et de celui de M. Zuckerberg à Washington la semaine dernière, je me demande si Facebook ferait aujourd'hui la même mise en garde au Canada contre l'adoption d'un règlement plus sévère?
Monsieur, je vais demander à Rob de vous faire part de notre point de vue à ce sujet. Je veux simplement vous dire très clairement que nos décisions en matière d'investissement n'ont rien à voir avec le contexte réglementaire. J'ai lu quelque part le compte rendu d'une entrevue au sujet de notre centre de recherche sur l'intelligence artificielle. Je vous assure que cet article ne reflète pas du tout notre opinion. Ce n'est pas ce que nous défendons. En fait, c'est plutôt le contraire: nous sommes très fiers de soutenir les recherches sur l'intelligence artificielle au Canada, à Montréal et au Québec. Nous sommes un chef de file mondial dans ce domaine et Facebook est très fier d'en faire partie. Je veux que ce soit très clair.
La semaine dernière, nous avons organisé à Montréal un événement en partenariat avec l'Institut canadien de recherches avancées pour célébrer l'écosystème d'intelligence artificielle de Montréal. Nous n'aurions jamais investi dans notre laboratoire d'intelligence artificielle, n'eût été les talents dont regorge le Canada et nous sommes ravis et honorés de faire partie de cet écosystème.
Monsieur, nous sommes contents que le Comité se penche sur cette question dans le cadre de son étude de la Loi sur la protection des renseignements personnels et les documents électroniques. Les Canadiens sont en droit de bénéficier de mesures rigoureuses de protection de leurs renseignements personnels et nous sommes heureux d'avoir l'occasion de vous fournir de l'information susceptible d'éclairer vos travaux.
Au sujet de la réglementation sur la protection des renseignements personnels en général, il est important de reconnaître, comme l'a souligné le Comité dans son rapport, que les Canadiens ont besoin d'information et de transparence concernant l'utilisation qui sera faite de leurs données personnelles et qu'ils doivent exercer un contrôle sur ces données. Une bonne partie de ces mesures existent dans la loi actuelle. Si vous examinez l'histoire de Facebook au Canada et nos engagements auprès du commissaire à la protection de la vie privée, vous constaterez que bon nombre des améliorations dont nous avons parlé au sujet de la plateforme Facebook découlent directement de notre engagement auprès du commissaire à la protection de la vie privée.
Je constate que le Comité a proposé plusieurs changements et améliorations. Il me semble approprié de nous y arrêter. L'une d'elles, comme vous l'avez déjà mentionné, concerne le signalement de toute atteinte à la sécurité des données; nous avons appris à la dure combien c'est important et cette proposition mérite certes un examen.
Très brièvement, nous avons notamment recommandé au gouvernement d'envisager une harmonisation avec le Règlement général sur la protection des données de l'Union européenne qui entrera en vigueur en mai de cette année. Est-ce que Facebook, je parle de la société mère de Facebook Canada, serait à l'aise si le Canada adoptait un règlement similaire?
Nous pensons que tous les utilisateurs de la plateforme Facebook dans le monde entier méritent que leurs données personnelles soient rigoureusement protégées. Les Canadiens en font évidemment partie, au même titre que les Européens. Nous avons déployé beaucoup d'efforts, notamment au Canada, pour leur garantir ces protections. Dans le cadre de notre travail préparatoire en vue de l'adoption du Règlement général de l'Union européenne, nous avons mis en place de nouveaux paramètres de contrôle de la protection des données personnelles ainsi que d'autres mesures et nous avons l'intention de déployer ces mesures au Canada également.
Messieurs Chan et Sherman, je vous remercie d'être parmi nous ce matin. D'entrée de jeu, je dois vous dire que Facebook a changé la vie des gens de ma région. Je représente une région plus vaste que le Royaume-Uni. Certaines communautés ne sont pas reliées au réseau routier. D'autres comptent parmi les plus pauvres d'Amérique du Nord. L'accès à Facebook permet aux jeunes Autochtones, aux personnes qui veulent communiquer avec mon bureau... Je n'utilise plus le téléphone. S'il y a une urgence médicale à Kashechewan, je reçois un message sur Facebook et les gens obtiennent une réponse. Le pouvoir de Facebook de faire de bonnes choses est extraordinaire, mais nous sommes réunis ici parce qu'il existe également un risque que ce pouvoir soit utilisé à des fins malveillantes.
Le sujet de notre étude est l'incapacité de Facebook à respecter le pouvoir absolu dont il dispose. Il semblerait que les lois nationales sont quelque peu désuètes. Ce matin, j'ai été très étonné d'apprendre que Facebook avait transféré un milliard et demi d'utilisateurs de Facebook Ireland à Facebook California dans le but de se soustraire au Règlement général de l'Union européenne.
Monsieur Chan, pouvez-vous confirmer au Comité, en toute bonne foi, que vous allez appliquer immédiatement le Règlement général à l'égard de tous les utilisateurs canadiens de Facebook?
Monsieur Chan, vous représentez Facebook Canada et votre collègue représente Facebook California. Je veux savoir si vous appliquerez le Règlement général de l'Union européenne? Est-ce que vous nous confirmez aujourd'hui que Facebook appliquera volontairement le Règlement général de l'Union européenne au Canada, avant que vous soyez sommés de le faire par voie de règlement? Oui ou non?
Monsieur Angus, nous avons l'intention d'offrir aux Canadiens les mêmes mesures et paramètres de contrôle que ceux que nous offrons en vertu du Règlement général de l'Union européenne, les mêmes engagements sur les mêmes questions...
Appliquerez-vous le Règlement général dans son intégralité? En fait, vous nous dites que vous apporterez des ajustements. Pourquoi avez-vous besoin de mettre un milliard et demi d'utilisateurs à l'abri de la loi européenne?
Je veux être clair. Avant aujourd'hui, avant que nous apportions des modifications à notre politique sur la protection des données, les Canadiens étaient servis par Facebook Inc. de Californie, et l'entité avec laquelle ils avaient un contrat était Facebook Inc. Cela n'a pas changé. Rien n'a changé en ce qui concerne les Canadiens.
Nous sommes ici parce qu'une application utilisée par Aleksandr Kogan lui a donné accès aux données de 85 millions d'utilisateurs qui ont été transférées à une entité politique susceptible d'avoir faussé des résultats électoraux dans le monde entier. Lorsque Facebook en a pris connaissance, elle a prétendu que cela ne constituait absolument pas une atteinte à l'intégrité des données.
Comment peut-on avoir confiance que vous vous autoréglementerez si, malgré une utilisation malveillante aussi massive de données, Facebook n'a rien dit à personne parce qu'elle trouvait que ça ne valait pas la peine d'en parler puisqu'il n'y avait pas eu violation?
Il est extrêmement important que nous soyons dignes de la confiance de la communauté; et toute cette histoire nous a notamment appris que nous devons communiquer plus énergiquement ce qui se passe...
Vous dites que vous devez communiquer plus énergiquement. Vous avez été mis au courant de cela en 2015 et vous avez commencé à en informer les utilisateurs canadiens il y a trois semaines. Vous n'avez pas été très énergiques; vous l'avez fait parce que vous avez été pris.
Je le répète, le Comité doit déterminer s'il faut soumettre Facebook à une réglementation parce qu'on ne peut avoir confiance que vous ferez un bon usage des données personnelles.
J'aimerais vous parler de Sandy Parakilas à qui Facebook a demandé de régler les problèmes de confidentialité des données. Il a mis Facebook en garde contre diverses applications de tiers, notamment contre un développeur qui créait des profils d'enfants sans leur consentement. Facebook lui aurait répondu vouloir éviter à tout prix les articles négatifs dans les médias et demandé de régler ces problèmes au plus vite. M. Parakilas a proposé de faire une vérification plus approfondie de l'utilisation malveillante des données et Facebook lui aurait dit: « Vous voulez vraiment voir ça? »
Monsieur Sherman, je dirais donc que Facebook n'a manifestement pas pris ce problème au sérieux. Nous allons devoir envisager une réglementation. M. Zuckerberg en a parlé. Pensez-vous que Facebook a été incapable de défendre les intérêts des utilisateurs du monde entier qui lui font confiance?
Il est certain que notre intention est de faire notre possible pour protéger la vie privée et les renseignements personnels des utilisateurs de notre service. Il est clair, dans ce cas, que nous n'avons pas été à la hauteur. Nous nous en excusons et nous devons faire plus d'efforts dans ce sens.
Pour ce qui est d'aviser les gens et les organismes de réglementation quand un problème comme celui-là se produit, je vous répète que nous avons appris l'existence de ce problème par les médias. Dans l'intervalle, il y a eu des articles sur ce problème, ce n'est donc certainement pas quelque chose que nous avons voulu garder secret. Cela dit, nous aurions dû en informer les Canadiens et tous les autres utilisateurs concernés, et c'est ce que nous ferons à l'avenir.
Concernant les discussions qui ont eu lieu chez Facebook, je ne me souviens pas d'avoir travaillé avec M. Parakilas. Il travaillait chez nous il y a quelque temps, mais je ne suis pas au courant de la conversation que vous avez relatée...
Ce qui me préoccupe, c'est de voir qu'une entreprise qui a autant d'emprise sur les données semble si peu se soucier de l'utilisation qui en sera faite. Nous parlons ici de données qui ont peut-être eu une incidence sur l'intégrité d'élections internationales. M. Parakilas a été appelé pour régler les problèmes de Facebook en matière de protection des données, et il a dit que le principal souci de l'entreprise était d'éviter les articles négatifs dans les médias. Il y a trois semaines, au beau milieu d'une enquête internationale, Facebook a soudainement annoncé qu'elle prenait très au sérieux la protection des données personnelles des Canadiens.
Monsieur Chan, êtes-vous ici pour vous engager à vous réglementer, ou seulement pour essayer de faire cesser les reportages négatifs, ce qui semble être la politique de Facebook d'après ce qu'a dit M. Parakilas?
Monsieur, nous sommes certes ici pour aller au fond des choses avec vous. Concernant la réglementation, je pense que notre PDG, M. Zuckerberg, a clairement dit qu'il ne s'y opposait pas. Nous voulons une réglementation appropriée et je pense que...
Je voudrais faire quelques commentaires au sujet de la réglementation. Rob souhaite peut-être soulever quelques points concernant votre question sur la réglementation en matière de protection des données personnelles.
J'aimerais préciser au Comité, afin que vous l'ayez à l'esprit, qu'à bien des égards, notamment en ce qui concerne l'intégrité des élections à laquelle vous avez fait allusion monsieur Angus, nous n'attendons pas qu'un règlement soit en place pour agir. Sur de nombreux points soulevés, nous n'attendons pas qu'un règlement soit en place. Nous voulons être proactifs et agir rapidement. C'est notre responsabilité.
J'aimerais faire deux autres commentaires. Le premier concerne la fonction « Voir les publicités », notre critère de transparence en matière de publicité au Canada. Comme vous le savez sans doute, nous ne sommes pas obligés de faire ça. Nous sommes en train de mettre cette fonction en place. Nous l'avons mise à l'essai d'abord au Canada. Jusqu'à cette semaine, le Canada était le seul pays au monde à disposer de cette fonction. Je le répète, nous sommes proactifs. Nous n'attendons pas qu'un règlement soit en place. Nous faisons ce qu'il faut, nous avons tiré des leçons de ce qui est arrivé lors de l'élection présidentielle américaine et des abus perpétrés sur notre plateforme.
Mon deuxième commentaire concerne notre initiative pour assurer l'intégrité de l'élection canadienne. Comme je l'ai dit dans mon allocution d'ouverture, le Centre de la sécurité des communications a publié un rapport faisant état de cybermenaces qui planent sur la prochaine élection fédérale. Il y a plusieurs éléments en jeu, dont deux relèvent en partie de notre responsabilité, la cybersécurité et la désinformation. Je vous le répète respectueusement, nous n'attendons pas de règlement pour agir. Nous prenons des mesures pour éviter ce problème avant la tenue de l'élection fédérale.
Messieurs Sherman et Chan, j'aimerais enlever le côté sensationnel et scandaleux du problème, sans pour autant négliger son importance et son sérieux.
J'aimerais donc faire avec vous un exercice de vulgarisation concernant la situation, telle qu'elle se présente à la base, pour que les gens comprennent de quoi on parle vraiment. Nous reviendrons plus tard sur la question de l'utilisateur ultime qu'est Cambridge Analytica.
Je vais vous proposer une déduction très simpliste comme point de départ. Il me semblerait illusoire de penser que Facebook a investi des centaines de millions de dollars simplement pour permettre aux gens d'utiliser un « album » — expression qui est connue des moins jeunes d'entre nous —, plus précisément un album électronique, dans lequel on publie des photos de ses relations et de ses activités quotidiennes. C'est un moyen de communication efficace, et il n'est pas nécessaire d'utiliser des timbres-poste ni de parler directement à d'autres personnes.
Une compagnie investirait-elle des centaines de millions de dollars simplement pour que des gens échangent entre eux? Je ne pense pas que cela puisse être le but ultime d'un tel investissement. Ce but serait plutôt de faire en sorte que les gens participent à des activités en utilisant une arène publique, et, de ce fait, de donner accès à un nombre important non seulement de renseignements personnels, mais aussi de renseignements de toutes sortes, comme ceux touchant les comportements, les biens matériels, et ainsi de suite. À mon avis, cette valeur, ce produit, cela se marchande.
Ma première question est la suivante. Comment déterminez-vous le seuil à partir duquel une information de nature privée devient une information de nature publique?
Monsieur, c'est une question extrêmement importante. Comme vous l'avez fait remarquer, notre but est d'offrir aux gens et aux organisations un service qui leur permet de communiquer entre eux, d'échanger sur des sujets qu'ils jugent importants et de leur donner les moyens de faire des choix éclairés. En gros, voilà ce que nous...
C'est le côté ludique de la chose. Les gens se servent de ce service de communication pour le plaisir de parler entre eux sans que cela ne coûte cher. En affaires, on n'est pas là pour faire de la philanthropie. En affaires, on marchande un produit ou un service. La communication n'est que le prétexte par lequel vous arrivez à faire des affaires — si vous faites de belles affaires, c'est tout à votre honneur.
Je pose ma question à nouveau, de quelle manière déterminez-vous la qualité des deux services, soit le service qui correspond à l'information de nature privée et le service qui correspond à l'information de nature publique? Ici, on marchande quelque chose. Nous voulons savoir de quoi il est question.
Si vous me le permettez, monsieur, pour revenir en arrière, je crois que mon collègue Rob essayait précisément de répondre à cette question, mais permettez-moi d’essayer.
L’histoire de Facebook, comme vous le savez probablement, c’est qu’elle n’a pas commencé comme une entreprise. C’était un projet de notre PDG lorsqu’il était étudiant et son intention était vraiment, comme vous l’avez souligné, d’essayer de créer des liens d’amitié. Au fil du temps, ce service a évolué. L’essentiel de ce que nous faisons consiste à établir des liens entre amis et membres de la famille. Je pense qu’il est juste de dire qu’à un moment donné, il a fallu monétiser la plateforme. La publicité est devenue un modèle qui a bien fonctionné pour Facebook.
Je tiens à souligner que si vous remontez aux environs de 2014, il n’était pas clair que la publicité, surtout la publicité mobile, fonctionnerait pour Facebook. J'ajouterais, avec tout le respect que je vous dois, que tous ceux qui travaillent là-bas, et certainement Rob et moi-même, étaient très optimistes — et peut-être que nous en avons trop fait — pour essayer de relier le monde et d'en faire une collectivité mieux informée et plus digne de confiance. Je pense que ces choses sont encore aujourd’hui nos étoiles polaires.
Si vous me permettez d’ajouter quelque chose au sujet de la publicité en particulier, comme vous l’avez souligné, c’est un élément important du service, en partie parce qu’elle permet aux gens d’utiliser Facebook gratuitement, mais aussi parce qu’une bonne publicité pertinente peut être utile pour les gens. Je pense qu'il nous incombe de bâtir notre secteur de la publicité de manière à protéger les renseignements personnels des gens. Par exemple, un annonceur peut nous dire qu’il veut rejoindre des gens de 18 ans et plus à Ottawa qui s’intéressent aux voitures. Nous pouvons ensuite diffuser la publicité à ces personnes sans fournir leurs renseignements personnels.
Je ne parle pas de publicité. La question est précise: comment déterminez-vous la différence entre une information qui est privée et une autre qui est publique?
La question est très simple. Si je publie mes photos de voyage sur ma page Facebook, je m'attends à voir une publicité d'une agence de voyage qui a remarqué ces renseignements publics. Cependant, si je commence à voir des publicités en lien avec des renseignements personnels que je n'ai pas publiés, cela me dérange.
Qui établit la différence entre ce qui est privé et ce qui est public? C'est là le fond du problème. Je ne peux pas protester contre le fait qu'une chaîne de télévision programme 20 minutes de messages publicitaires par heure d'émission: je n'ai pas le choix, je dois les écouter. Je m'attends également à voir de la publicité sur Facebook, mais comment est-ce que cette publicité me cible, moi? C'est parce que, d'une certaine façon, quelqu'un a défini ce qui est privé et ce qui est public. Je veux savoir quel est le seuil utilisé pour déterminer cela.
Je suis tout à fait d’accord pour dire qu’il y a une différence entre les renseignements publics et les renseignements privés. Chaque fois que vous affichez quelque chose sur Facebook, vous pouvez choisir sur-le-champ si cette information sera publique, si elle sera destinée à vos amis ou si elle sera destinée à une catégorie plus restreinte de personnes.
Une chose dans laquelle nous avons investi considérablement et dans laquelle nous devons à mon avis investir davantage, comme Kevin l’a mentionné, c’est la transparence en matière de publicité et, plus particulièrement, les renseignements ou les intérêts précis qui servent à juger les publicités à montrer aux gens.
Cela signifie deux ou trois choses. Cela signifie qu’il y a des choses que nous ne devrions absolument pas rendre publiques en ce qui concerne les annonces publicitaires ciblées. Ensuite, cela signifie que nous devrions dire aux gens — et nous le faisons lorsqu’ils voient des annonces particulières — pourquoi ils voient ces annonces. Dans mon exemple précédent, si nous pensons que vous vous intéressez aux voitures, nous vous dirons que c’est la raison. Enfin, nous devons mettre les gens en contrôle. S’ils préfèrent ne pas avoir de publicités fondées sur des renseignements donnés, ils devraient pouvoir le faire également.
Dans le même ordre d'idées, Facebook a changé le monde de l'information et celui de la publicité au cours des 15 dernières années. La publicité sur Facebook se fait de façon très sophistiquée et très habile. À titre d'exemple, si je suis un marchand de bicyclettes et que je veux cibler une certaine clientèle, je vais faire valoir mon magasin sur Facebook. Il sera alors possible, pour les gens de ma région ou de ma ville qui cherchent des bicyclettes ou s'informent au sujet d'un modèle en particulier, de voir ma publicité affichée en haut de la page. Je pense que Facebook est capable de réaliser ce genre de ciblage: est-ce vrai?
Oui, c'est exact. La façon dont la publicité fonctionne sur Facebook, c'est qu'un annonceur peut s'adresser à nous. Un annonceur de votre circonscription pourrait dire qu'il vend des bicyclettes et qu'il veut rejoindre les gens de la région qui s'intéressent aux bicyclettes. Comme je l'ai dit tout à l'heure, nous diffusons alors la publicité à ces personnes sans dire à l'annonceur quelles personnes en particulier l'auraient vue. Mais notre but est de montrer aux gens des annonces qui sont pertinentes pour elles et utiles. Les gens nous disent que c'est un point important lorsqu'ils voient une publicité. Si nous utilisons leur temps, nous voulons nous assurer que les gens voient des annonces qu'ils trouveront utiles.
Cette publicité cible quand même les gens qui ont cliqué sur le message publicitaire portant sur les bicyclettes. Monsieur Chan, est-ce du fait de l'intelligence artificielle que sont regroupés les individus qui reçoivent cette publicité par la suite, ou est-ce que d'autres individus font cette recherche?
Cela se fonde sur les signaux que nous recevons, les choses que vous avez peut-être aimées sur Facebook et l'intérêt que vous avez manifesté sur Facebook. Nous essayons d'avoir une idée de ce que pourraient être les intérêts que vous avez exprimés et, grâce à cela, il y aura une publicité éventuelle, parce que vous faites partie d'un certain public qui pourrait aimer les vélos, par exemple. J'aimerais cependant revenir un peu sur ce que Rob disait tout à l'heure...
Vous avez répondu à ma question. Je vous remercie.
Monsieur Chan, dans un autre ordre d'idées, vous avez dit tout à l'heure que les politiciens utilisent Facebook. Nous utilisons Facebook en tant que véhicule de l'information, mais y a-t-il certains partis politiques, au Canada, qui affichent de la publicité sur Facebook?
En tant que politiciens, nous utilisons Facebook comme véhicule de l'information parce que c'est très efficace, mais est-ce que certains partis politiques au Canada ont déjà acheté de la publicité sur Facebook?
Je ne le sais pas exactement, mais je crois qu'il est possible qu'un parti fédéral représenté à la Chambre des communes ait acheté de la publicité sur Facebook.
Si un parti politique achète de la publicité sur Facebook et que des gens cliquent sur le message publicitaire du parti, celui-ci peut-il, à une étape subséquente, acheter une autre publicité qui, cette fois, inciterait ces personnes à aller voter au cours d'une campagne électorale, par exemple?
Les gens qui ont cliqué sur le message publicitaire, que celui-ci concerne le Parti libéral, le NPD ou le Parti conservateur, sont-ils classés d'une certaine façon? Les gens peuvent-ils recevoir une publicité différente selon qu'elle provient du publicitaire ou de clients?
Nos produits publicitaires ont une certaine fonctionnalité. Si la personne, le parti ou l'organisation le souhaite, ils peuvent demander — pour ceux qui ont manifesté un intérêt envers ma publicité — s’ils peuvent rejoindre le même public. Pour être très clair, vous ne saurez jamais qui sont ces personnes. Vous ne pouvez donc jamais revenir en arrière et dire précisément que vous voulez rejoindre M. Sherman, mais vous pouvez dire que pour les gens qui ont fait des commentaires au sujet de mon message ou qui l'ont aimé, j’aimerais rejoindre à nouveau ce même auditoire. Vous avez cette capacité si vous décidez de vous en prévaloir. Oui.
Monsieur Chan, je comprends que vous ne puissiez pas cibler des gens, mais le parti politique n'a pas nécessairement demandé cela. Le parti politique veut rejoindre les personnes qui ont cliqué sur la publicité d'un parti. Facebook offre-t-il directement le service consistant à cibler les personnes qui auraient un intérêt pour un parti politique en particulier ou cela se fait-il par un tiers?
Cela peut tout changer. On dit que Facebook a changé le monde de l'information et celui de la publicité, mais en fait, cette plateforme est aussi en train de changer l'histoire. Elle peut vraiment influencer un masse critique de personnes, ce qui peut changer l'issue d'une campagne électorale qui serait très serrée. Facebook fait maintenant partie intégrante de notre société et ce réseau social influence les choix de vie des gens. C'est une très lourde responsabilité que vous portez. Si ce service est offert, il faut qu'il le soit de façon égale à tout le monde. Si des développeurs ont trouvé une façon d'aller plus loin que les partis ne peuvent le faire, cela peut influencer grandement le résultat d'un scrutin et avoir une incidence sur l'orientation générale que prend la société.
Comment pourrez-vous faire attention à cela ou encore donner des services égaux à tout le monde? Si des développeurs sont capables d'ouvrir une fenêtre pour entrer dans Facebook et y intégrer leur application, cela veut dire qu'ils ont accès à une multitude de données qui peuvent être distribuées à un tiers, sans que ce soit à l'ensemble de la population. De quelle façon vous y prendrez-vous pour nous protéger?
À cet égard, nous traitons tous les annonceurs sur Facebook de la même façon, ils ont tous accès aux mêmes produits et aux mêmes services. Je crois que je vais m'arrêter ici.
L'autre comité dont je fais partie est le comité des affaires étrangères et du développement international et, en janvier 2017, j'ai eu l'occasion de visiter la Lettonie avant le déploiement de nos troupes là-bas. L'une des choses dont nous avons été informés, c'est la campagne de désinformation qui allait se dérouler avant l'envoi de nos troupes là-bas, ce qui s'est matérialisé.
De nombreuses accusations ont été portées contre nos troupes: que tout le déploiement était gai; que nos militaires allaient s'employer à rendre les enfants lettons gais; qu'ils donnaient une formation aux néonazis. Pour moi, c'est une préoccupation, parce que cela met les troupes en danger. Cela me rappelle le scandale du Pizzagate aux États-Unis.
Que faites-vous pour empêcher la diffusion de cette information sur vos plateformes et à quelle vitesse réagissez-vous à ce genre de désinformation, surtout lorsque des vies sont en jeu?
De toute évidence, je pense que, pour revenir un peu en arrière, compte tenu de ce qui s'est passé lors de l'élection présidentielle aux États-Unis, nous avons manifestement été lents à réagir. Nous avons été lents à maîtriser la situation. Je tiens à vous assurer que nous déployons tous les efforts nécessaires pour nous attaquer à ce problème.
Je ne suis pas au courant de l'exemple que vous avez donné. Cependant, si vous me le permettez, je peux vous dire en termes généraux comment nous pensons relativement au défi de la désinformation. Après étude et recherche sur ce phénomène, il s'avère qu'il y a deux choses que nous avons relevées. Il y a d'abord le piège à clics classique, la désinformation sur le contenu de faible qualité. Les gens n'ont peut-être pas un objectif politique particulier, mais ils vont mettre des choses en ligne; ils vont essayer de mettre des choses sur Facebook. L'objectif est de permettre aux gens de cliquer sur un site où ils publient de l'information de très faible qualité, potentiellement de la fausse information, et de faire en sorte que les gens cliquent jusqu'à ce qu'ils monétisent.
Il appert qu'une bonne partie de cette activité est motivée financièrement. Ce que nous essayons de faire, en utilisant de nouvelles technologies comme l'apprentissage machine, l'intelligence artificielle dont nous avons parlé plus tôt, c'est de repérer ce genre de comportement et, grâce à nos signaux, de pouvoir les empêcher d'utiliser des annonces Facebook, ce qui élimine efficacement l'incitatif financier à commettre des méfaits.
Je peux comprendre la position de Facebook, avec 2,2 milliards d’utilisateurs et des milliards d’éléments d’information qui circulent quotidiennement, Je suis d'ailleurs d’accord avec cela. Mais ce n’était pas de la mauvaise qualité, et cela touche nos troupes déployées partout dans le monde. Je ne pense pas que cela ait été fait pour monétiser. Je pense que cela a été fait pour désinformer et causer du tort.
Je pense que vous parlez de deux niveaux différents. La faible qualité, c'est la monétisation — je n'ai pas de problème —, mais il y a une meilleure qualité quand on parle de troupes ou d'autres entités qui servent dans différentes parties du monde.
Je peux comprendre votre position, en raison de la quantité d'information qui circule, mais il faut quand même retirer cette information, parce que des vies sont en jeu. Quelles assurances pouvez-vous donner, non seulement à notre comité, mais aussi aux Canadiens, que les troupes sont protégées partout dans le monde contre cette désinformation?
Absolument, nous prenons cela très au sérieux, monsieur. Il est évident qu'il est primordial pour notre service de protéger les gens et d'empêcher qu'un préjudice réel soit causé.
Dans des cas précis comme celui-là, nous avons un ensemble de règles communautaires qui, à mon avis, indiquent très clairement les choses sur lesquelles nous pouvons tous nous entendre et qui ne devraient pas se retrouver sur notre service, donc pas de discours haineux, pas d'incitation à la violence, pas de pornographie, pas de contenu terroriste.
Pour ce qui est de ce dont vous parlez — encore une fois, je ne suis pas au courant de l'exemple précis —, si cela nous était signalé et que nous constations que cela contrevient aux normes communautaires, et il semblerait, d'après ce que vous dites, que c'était effectivement le cas, nous le retirerions. Nous avons des dizaines de milliers de personnes qui travaillent sur la sécurité dans le monde et une bonne partie de ces gens se concentrent précisément sur ce dont vous parlez.
C'est toujours actif, mais j'aimerais passer à un autre point. Je n'ai pas beaucoup de temps.
La BBC a récemment signalé que Facebook demande aux utilisateurs canadiens et européens de lui donner la permission d'utiliser un logiciel de reconnaissance faciale pour les identifier dans des photos et des vidéos. Il s'agit d'une adhésion facultative, et non d'un service facultatif.
Compte tenu des activités récentes, comment pouvons-nous avoir l'assurance que ces nouvelles données seront traitées correctement? Une partie du problème consiste à créer de nouvelles suggestions d'amis. Comment cela fonctionnera-t-il exactement, quelle sera l'entrée en la matière à ce sujet?
Comme vous le soulignez, la reconnaissance faciale est une fonctionnalité que nous déployons au Canada. C'est quelque chose que nous avons offert dans de nombreuses régions du monde depuis un certain temps — probablement depuis environ six ans. La principale utilisation de la technologie de reconnaissance faciale consiste à suggérer aux gens de s'identiqueter dans des photos. Par exemple, si je télécharge une photo de Kevin, on pourrait me suggérer de l'identiqueter. Cela lui permet de savoir que la photo existe, de prendre des mesures s'il veut le faire, de le signaler à Facebook s'il a une préoccupation, etc. Nous avons également élargi notre utilisation de la reconnaissance faciale afin de permettre aux gens de mieux gérer leur identité de façon, par exemple, que vous sachiez si quelqu'un se fait passer pour vous, si quelqu'un a affiché une photo de vous sans vous avoir identiqueté et aussi à des fins d'accessibilité.
Comme il s'agit d'une fonction facultative, le Règlement général pour la protection des données a essayé de limiter les cases cochées d'avance pour le consentement d'adhésion. Dans ce cas-ci, il faudrait cocher la case pour dire qu'on ne veut pas en faire partie, mais il faudrait ensuite aller dans les paramètres gérés pour le confirmer de nouveau. N'est-ce pas un peu trop? Si quelqu'un consent ou non, pourquoi doit-il passer par la deuxième étape pour le confirmer? Pourquoi la première étape n'est-elle pas suffisante? Beaucoup de gens ne savent peut-être pas qu'ils doivent passer par la deuxième étape pour confirmer ce qu'ils ont voulu faire à la première.
Nous pensons qu'il est important de dire clairement aux gens comment nous utilisons les technologies dans le cadre de Facebook, y compris la reconnaissance faciale. Notre plan au moment du déploiement de...
Nous nous attendons à pouvoir dire aux gens comment nous utilisons la technologie de reconnaissance faciale. Ils auront l'occasion de faire l'un des deux choix. Les cases ont une importance égale. La première est de dire qu'ils acceptent et qu'ils veulent consentir. L'autre, c'est qu'ils veulent faire un choix différent. Les gens auront la même capacité de choisir l'un ou l'autre.
Certains observateurs et critiques pourraient dire que le plan d'affaires de Facebook est hors de contrôle. En l’absence des règlements et des protocoles que vous êtes en train d'élaborer — comme M. Zuckerberg l’a dit à Washington la semaine dernière —, Facebook envisagerait-il de réduire la taille de l’entreprise ou de la redimensionner pour qu’elle se rapproche de sa forme initiale afin d’éliminer certains des problèmes liés à la publicité par des tiers et des vandales qui utilisent de façon abusive le système en faisant de la désinformation ou en diffusant de fausses nouvelles, si vous préférez? C’est une question sérieuse. Ce serait coûteux, absolument, pour Facebook, mais ne serait-il pas temps que Facebook réduise son plan d’affaires pour protéger plus efficacement les renseignements personnels des utilisateurs?
Il est important pour nous d’investir massivement dans la protection des renseignements personnels et, pour répondre à certaines des autres questions qui ont été posées aujourd’hui, de prendre des mesures pour assurer l’intégrité de la plateforme. Je dirais deux choses à ce sujet. Tout d’abord, vous avez raison de dire que nous devons concentrer nos efforts, en particulier dans l’ensemble de l’entreprise, pour que les gens qui travaillent à nos produits et services — non pas dans le contexte de la plateforme Facebook, dont nous parlons aujourd’hui, mais dans d’autres domaines également — se concentrent sur la promotion de l’intégrité, la protection des données des gens, la protection des expériences des gens et la promotion de notre obligation plus générale. Nous devons certainement nous concentrer sur cet aspect.
Dans le cadre de notre obligation plus générale, en examinant les développeurs de Facebook et les autres tierces parties avec lesquelles nous entretenons des relations, dans la catégorie de M. Kogan, par exemple, nous allons devoir investir massivement dans du personnel et des processus supplémentaires pour nous assurer d’avoir une surveillance dans ces domaines également.
Une façon d'examiner la situation et ce que Rob a dit dans sa déclaration préliminaire, c’est de dire que le processus dans lequel nous sommes engagés est en train de bloquer la plateforme. D’une certaine façon, ce dont vous parlez, c’est de s’assurer que certaines choses... Nous avons déjà apporté des changements importants en 2014, comme Rob l’a mentionné, mais même aujourd’hui, à la suite des reportages au sujet de Cambridge Analytica, nous faisons beaucoup de choses non seulement de façon rétroactive pour examiner ce qui s’est passé avec ces applications, mais aussi de manière prospective pour changer la façon dont les applications fonctionnent sur Facebook et limiter considérablement la quantité d’information qu’elles peuvent obtenir. C’est tout simplement juste.
L’autre chose que je devrais souligner, c’est que notre PDG a dit très clairement que ce serait un investissement important. Nous nous attendons à une incidence importante sur la rentabilité. Je crois qu’il l’a dit, mais je voulais simplement le préciser au Comité.
Certains de mes collègues ont parlé aujourd’hui de la complexité et du volume de matériel en cause dans les clics d’acceptation et l'option d’adhésion et de retrait. Pendant des années, les voix des universitaires et du monde de la technologie ont été largement ignorées lorsqu’elles ont averti les utilisateurs au sujet de leur façon d'accéder au contenu et de ce à quoi ils accédaient, ainsi que de la nature du contrat lorsqu’ils cliquaient sur la case d’acceptation et acceptaient essentiellement de se lancer dans une aventure d'utilisateur ou une bonne application utilisateur au détriment de la divulgation de leurs renseignements personnels dans des proportions plus ou moins élevées.
Pensez-vous qu’il est temps de simplifier les mises en garde? Ou est-il nécessaire de sensibiliser davantage les gens, peut-être même dans les écoles, en avertissant ceux et celles qui vont utiliser les médias sociaux des dangers, des pièges et des lacunes qu’ils pourraient rencontrer en acceptant trop rapidement?
Je pense que nous, à Facebook, et en réalité nous comme société plus large également, devrions investir davantage plutôt que moins dans les moyens de communiquer avec les gens au sujet de la protection des renseignements personnels. Je sais que le commissaire à la protection de la vie privée du Canada a insisté sur le fait qu’il y a différentes sortes d’utilisations de l’information qui exigent différents types d’avis, sans oublier que certaines utilisations sont plus sensibles que d’autres. Je suis tout à fait d’accord avec ce sentiment.
Je pense que la façon dont nous avons abordé la question à Facebook est de fournir des renseignements plus détaillés dans des aspects comme notre politique de confidentialité, afin que les gens qui veulent fouiller dans les détails sur la façon dont l’information est utilisée et comment ils peuvent la contrôler puissent le faire, et aussi de communiquer au quotidien avec des gens qui ne sont pas visés par la politique de confidentialité, notamment la manière de contrôler qui peut communiquer avec vous et la façon dont Facebook utilise l’information dans le cadre de la diffusion de publicités et ce que vous pouvez faire pour contrôler cela, etc. Je pense que tous ces éléments sont importants.
Je pense que votre idée de faire des communications dans les écoles ou dans les collectivités pour aider les gens à s’alphabétiser et à faire des choix qui leur conviennent est réfléchie, et je pense que c’est quelque chose que nous devrions prendre en considération.
Si vous me permettez d’ajouter quelque chose, au sujet de la communication avec l'ensemble de l'écosystème et de la collaboration avec des partenaires, c’est certainement ce que nous faisons au Canada, comme je l’ai mentionné, avec HabiloMédias qui est l’organisme de littératie numérique du Canada. Ce centre travaille en étroite collaboration avec les écoles de tout le pays. C'est, je crois, un filet de sécurité important.
Cela ne veut pas dire que nous n’avons pas de responsabilités à assumer, et je crois que Rob a été très clair. Non seulement nous l’avons toujours fait, mais nous augmentons nos efforts. Je pense que les mesures de contrôle que nous avons annoncées récemment rendent les choses encore plus faciles. Avant cela, vous deviez parfois passer par 20 écrans différents pour contrôler votre expérience sur Facebook. Maintenant, nous centralisons tout cela sur une seule carte, si vous voulez, où vous pouvez jouer avec tous les cadrans et avoir un contrôle total sur votre expérience et votre vie privée sur Facebook.
Nous sommes tout à fait d’accord pour dire que c’est très important, et nous prenons des mesures en ce sens, non seulement au Canada, mais partout dans le monde.
Je tiens à vous remercier tous les deux d’être venus. Comme vous le savez, c’est vraiment une crise de confiance que ressentent de nombreux Canadiens. Nous nous servons de ce média pour nos interactions sociales et pour recueillir de l’information et des nouvelles et je vous remercie donc de répondre à nos questions.
J’ai quelques réserves au sujet du témoignage de M. Chris Vickery, un spécialiste des atteintes à la protection des données, que nous avons entendu lors de notre dernière réunion. Il a mentionné qu’il y a eu une autre atteinte à la sécurité de Facebook touchant environ 48 millions de dossiers. Il a fait allusion au fait que cela pourrait même impliquer Messenger, où les messages les plus intimes entre les gens dans un contexte privé auraient pu être violés. C’est un témoignage que nous avons entendu il y a à peine deux jours, mais êtes-vous au courant de cette violation potentielle? Est-il possible qu’il y en ait d’autres?
Nous avons dit que nous avions l’intention d’entreprendre une enquête sur le cas de Cambridge Analytica. Nous devons comprendre ce qui s’est passé et où cette information est allée. Si le problème existe toujours, nous devons veiller à ce qu'il soit réglé.
Pour ce qui est des cas semblables, vous avez sans doute raison, il est possible qu’il y en ait d’autres. Vous faites peut-être allusion, je crois, à un cas où l’information publique disponible sur Facebook et sur Internet a été recueillie par un tiers. Si cela a été fait, c’était contraire à nos politiques et nous avons également pris des mesures sur ce plan-là, mais nous devons en prendre d’autres.
Il est certainement possible qu’il y ait d’autres incidents de ce genre. Il nous incombe de les comprendre et d'y remédier.
Nous parlons d’une application que Cambridge Analytica utilisait pour recueillir de l’information. Il y a des centaines d’applications. Nous voyons des invitations tous les jours sur nos fils Facebook. Quand 272 personnes ont téléchargé une application, cela a touché 600 000 personnes. Étant donné qu'il y a des centaines d'autres applications, quelle est l’ampleur du problème?
Nous devons aller au fond du problème. Nous avons déjà entrepris d’examiner les applications qui auraient eu accès à ce niveau de données avant le verrouillage de notre plateforme, en 2014. Nous sommes en train de le faire. Nous n’avons pas encore de réponse précise quant à l’ampleur du problème, mais c’est un travail que nous devons réaliser et que nous essayons de faire rapidement.
En plus de regarder en arrière, nous avons l’obligation de regarder en avant, et cela implique vraiment trois choses. En premier lieu, il faut veiller à ce que l’information disponible soit verrouillée, de sorte qu’à l’avenir, le type de données qui étaient disponibles auparavant ne le soit plus.
Deuxièmement, en ce qui concerne l’information limitée qui est disponible, nous devons nous assurer que nous exerçons une surveillance efficace et que nous comprenons qui détient cette information et à quoi elle sert.
Quant au troisième élément, comme nous en avons parlé plus tôt aujourd’hui, c’est la communication. Nous devons nous engager, et nous l'avons fait, à communiquer beaucoup plus rapidement et de façon beaucoup plus pratique avec les gens lorsque de telles situations surviennent.
En ce qui concerne la surveillance, le deuxième élément que vous avez mentionné, j’ai remarqué que, dans votre déclaration préliminaire, vous avez dit que les applications qui contiennent des renseignements seront retirées au bout de trois mois, que les autorisations seront révoquées si on a l’impression qu’elles font l’objet d’abus. Toutefois, notre comité a entendu dire que quelqu'un qui a accès à un aussi grand volume d’information sur une personne peut créer des profils comportementaux psychosociaux de cette personne. Par conséquent, dans le cas de Cambridge Analytica, par exemple, même si l’information a été retournée à Facebook et supprimée des serveurs, cela ne change rien, car cette entreprise dispose d'un profil comportemental qui pourrait se retrouver entre les mains de n’importe qui.
Comment peut-on empêcher cela et comment peut-on s’assurer d'endiguer le flux de l’information?
Il y a deux réponses à cela. L’une relève de la politique et l’autre, de l’application de la loi.
En ce qui concerne la politique, à l’époque, et encore maintenant, si un développeur utilise l’information de cette façon, il enfreint nos règles. Elles limitent l'utilisation qu'ils peuvent faire de l’information qu’ils reçoivent directement de Facebook, ainsi que toute utilisation en aval, comme le profilage dont vous parlez. Ce serait une violation de nos règles. Nous nous engageons à mener nous-mêmes une enquête à ce sujet.
Nous savons que le commissaire à l’information du Royaume-Uni, qui a compétence sur Cambridge Analytica, a lancé une enquête, et nous collaborons avec lui. Nous savons que le commissaire à la protection de la vie privée du Canada le fait également, et nous collaborons avec lui. Nous devons collaborer à ces deux enquêtes pour comprendre ce qui se passe.
En ce qui concerne l’application de la loi, une fois que nous recevons le feu vert des organismes de réglementation qui mènent les enquêtes, une des choses que nous devons faire, c’est d'établir si ces données se retrouvent en aval. Si c’est toujours le cas, comme pour les données antérieures, nous jugerons nécessaire de les supprimer.
J’ai une autre question. Je sais que mon temps est limité, mais qui est propriétaire des données publiées sur Facebook? De toute évidence, les données publiques sont du domaine public, mais lorsque vous envoyez un message à quelqu’un, vous publiez vos photos seulement pour des amis et des membres de votre famille, qui est propriétaire de ces données?
C’est exact. Si vous publiez des données sur Facebook et que vous voulez les supprimer, vous pouvez le faire. Comme nous l’avons mentionné plus tôt, vous pouvez supprimer entièrement votre compte et toutes les données de votre compte, si c’est ce que vous souhaitez.
L’une des leçons que nous avons tirées de cet incident est qu'il faut communiquer de façon plus proactive avec les gens si leurs données sont utilisées à mauvais escient, et c’est une chose que nous avons l’intention de faire également.
Nous avons parlé de l’atteinte à la protection des données et de la culture organisationnelle de Facebook en réaction à cette situation.
Monsieur Chan, j’aimerais parler un peu de la culture d’entreprise de Facebook Canada, parce que vous consacrez beaucoup de temps à la communication. Vous avez rencontré la ministre Gould, qui est responsable des élections, le ministre Morneau, la ministre Duncan, la ministre Joly, la ministre McKennaet la ministre Carolyn Bennett qui a dit avoir vivement apprécié vos conseils judicieux, ce qui est très impressionnant.
C’est une femme merveilleuse. Je n'en doute pas, mais vous n’êtes pas enregistré pour faire du lobbying et aucun de vos employés à Facebook Canada n’est enregistré comme lobbyiste. Pourquoi pas?
Cette question touche au coeur même de l’intégrité de l’entreprise et, bien franchement, de mon intégrité personnelle. Je suis heureux d’avoir l’occasion d’aborder cette question de front, si vous me le permettez. Facebook n’a encore jamais atteint le seuil d’inscription à titre de lobbyiste. Nous revoyons cette position...
La commissaire au lobbying a signalé ce seuil à maintes reprises. Si vous êtes une entreprise — et je parle constamment à des entreprises —, vous engagez quelqu’un qui vient du parti au pouvoir. Vous étiez affilié au Parti libéral. Vous embauchez quelqu’un qui connaît les rouages internes. Vous avez travaillé au Bureau du Conseil privé. Vous n’avez pas à perdre votre temps à faire 20 % de lobbying. Vous n’avez qu’à appeler le ministre Morneau et il va vous rencontrer. Vous n’aurez donc jamais à vous soucier de ce seuil. Cependant, d’autres compagnies s’enregistrent par précaution parce qu’elles reconnaissent que ce qu’elles font, c’est du lobbying. C’est ce que vous avez fait: vous avez fait du lobbying auprès des ministres. Pourquoi ne suivez-vous pas les normes? Google, Amazon et toutes les autres entreprises s’enregistrent pour faire du lobbying. Pourquoi Facebook pense-t-il que ces lois sont superflues?
Pour que ce soit clair, la réunion à laquelle vous faites allusion avec le ministre Morneau, avec tout le respect que je dois à toutes les parties concernées, est le résultat de la communication entre son bureau et Facebook. Il voulait des conseils sur la façon d'utiliser Facebook Live pour son discours du budget.
Je comprends, mais vous êtes enregistré comme le directeur de la politique publique au Canada, chargé de « faciliter un dialogue continu sur un large éventail de questions qui ont une incidence sur le secteur Internet ». Autrement dit, si mon ampoule se brise, je n’appelle pas le directeur de General Electric pour venir la réparer, mais vous vous présentez pour l’aider à obtenir plus de « j’aime ». N’est-ce pas une perte de temps?
Je le sais, mais vous avez un accès énorme. Vous êtes très amicaux avec ces gens. Pourquoi nous attendrions-nous à ce que le gouvernement vous réglemente alors que vous êtes si gentil? Ne parlons pas de Facebook, mais toutes les entreprises sont contre la réglementation. C’est pourquoi elles viennent constamment nous rencontrer. C’est la raison pour laquelle nous avons des règles, parce qu’elles veulent limiter l’effet des restrictions gouvernementales. Vous aidez un ministre à créer sa page Facebook, mais il ne sera pas moins susceptible de vouloir vous réglementer. Pourquoi ne pas faire comme les autres entreprises et vous enregistrer comme lobbyiste?
Nous allons certainement réfléchir à cette question. Encore une fois, nous n’atteignons pas le seuil.
Je tiens à préciser aux membres du Comité qu’avec 23 millions de Canadiens sur Facebook et 2 milliards dans le monde, les gens utilisent notre service de bien des façons. Cela donne lieu, comme nous en discutons ici, aujourd’hui, et dans d'autres sphères, à des défis très nouveaux en matière de politique publique. En fait, je passe la majeure partie de mon temps à travailler avec un écosystème plus vaste pour relever ces nouveaux défis. Vous avez fait allusion à certaines de ces institutions...
Oui, mais en Californie, Facebook a payé des PAC. Vous exercez des pressions sur les pouvoirs publics. Vous cherchez du soutien. Vous faites de la politique quand vous faites votre travail. Je pense que vous devriez simplement vous enregistrer.
Nous travaillons avec des universitaires, des ONG, la société civile, des organisations culturelles, des groupes autochtones, des chambres de commerce et des petites entreprises. Nous établissons des partenariats avec des gens de partout au pays. Voilà ce que faire de la politique publique signifie pour Facebook, et j’en suis très fier.
Je vous remercie de vos observations et nous allons certainement en tenir compte.
Merci de vous joindre à nous, messieurs. Nous vous en sommes reconnaissants.
Les défis que vous avez à Facebook sont les suivants. C’est une entreprise tellement mondialisée, qui a une portée mondiale et qui a évidemment de grands atouts, mais il y a aussi des défis qui s’y rattachent. Il s'agit notamment des défis juridictionnels. Nous avons nos lois sur la protection des renseignements personnels en vertu de la LPRPDE. L’Union européenne a maintenant adopté un ensemble de lois. Les États-Unis ont des lois. Certains pays n’en ont pas. À l’avenir, comment allez-vous intégrer les différentes lois au fur et à mesure qu’elles seront adoptées pour veiller à ce que Facebook respecte la législation des différentes administrations sur la protection des renseignements personnels?
C’est une question importante. Tout d’abord, il est important que nous assurions un niveau élevé de protection de la vie privée pour tous les utilisateurs de Facebook, peu importe où ils vivent. Deuxièmement, c’est important parce que les gens ont aussi des préférences différentes. Nous devons nous assurer de répondre non seulement aux attentes nationales, mais aussi aux attentes individuelles.
Comme on l’a déjà dit, Facebook est basée en Californie, de sorte que notre principale relation réglementaire pour les Canadiens est servie par Facebook Inc. ici en Californie, et notre principale relation réglementaire est avec la FTC. Nous avons également une société affiliée à Dublin qui est réglementée par le commissaire irlandais à la protection des données...
Je comprends cela, mais en tant que Canadien — et je suis Canadien — qui utilise Facebook, mes données se trouvent aux États-Unis, et je suis protégé par la loi américaine, mais ne suis-je pas également protégé par la loi canadienne?
C’est une question importante. C'est une chose à laquelle moi-même et notre entreprise consacrons beaucoup de temps avec le commissaire à la protection de la vie privée du Canada. Au cours de notre histoire, bon nombre des améliorations que nous avons apportées à la protection de la vie privée sont le fruit de nos discussions et des enquêtes menées par le commissaire à la protection de la vie privée du Canada. Je dirais que nous avons pris de sérieux engagements au Canada, particulièrement en matière de réglementation de la protection des renseignements personnels.
Je me réjouis de votre engagement, mais j’aimerais poser une question très précise. En tant que Canadien, si je fais ces lois, et que mes données et mon contrat en tant que tel se trouvent dans une entreprise, Facebook, aux États-Unis, suis-je protégé par les lois américaines ou canadiennes, ou les deux?
M. Chan pourra peut-être répondre. Désolé, allez-y en premier.
Je ne suis peut-être pas la bonne personne pour répondre à cette question. En ce qui concerne les activités de Facebook Inc. à l’échelle mondiale, je dirais que nous sommes réglementés par la FTC. Quand à la portée de la compétence du commissaire à la protection de la vie privée du Canada, c'est sans doute à lui qu'il faudrait poser la question.
C’est évidemment votre entreprise. Je suppose que vous devez connaître les lois auxquelles vous êtes ou n’êtes pas assujettis. À votre avis, êtes-vous assujetti aux lois canadiennes? Suis-je protégé par les lois canadiennes?
Nous ne sommes pas tout à fait sur la même longueur d'onde.
Vous êtes certainement protégé par la LPRPDE. Permettez-moi de trouver une autre façon de m’expliquer. Nous avons une relation de longue date avec le commissaire à la protection de la vie privée du Canada. Le commissaire à la protection de la vie privée du Canada fera enquête sur nous, comme il le fait actuellement, pour des choses qui pourraient entrer en conflit avec la LPRPDE. Nous coopérons pleinement à l’enquête et nous avons, je crois, mis en oeuvre...
Je crois que vous essayez d’agir de bonne foi, et je ne remets pas en question... Je vois vraiment le défi auquel Facebook et nous-mêmes sommes confrontés dans notre rôle de rédacteurs de lois. J’essaie simplement de comprendre. Si nous rédigeons ces lois...
C’est une question à laquelle il est difficile de répondre, je comprends, et cela viendra d’un certain nombre de pays, évidemment, pas seulement du Canada ou des États-Unis, mais de l’Amérique latine, de l’Afrique et d’ailleurs. Allez-vous prendre les lois du Canada et dire: « D’accord, ce sont des Canadiens et nous ferions mieux de nous assurer, peu importe la façon dont nous travaillons, que nous allons nous conformer aux lois canadiennes »? C’est un gros défi, je le sais, mais allez-vous le relever? Essayez-vous de le faire?
Absolument, monsieur, et ce n’est pas seulement dans le domaine de la protection de la vie privée. Il y a beaucoup d’autres aspects que nous abordons dans la façon dont nous fonctionnons ou dont les utilisateurs utilisent notre service, et nous voulons toujours le faire de façon uniforme.
Vous n’avez pas besoin de me répondre maintenant, mais je voudrais une communication officielle précisant à quel point vous êtes ou n'êtes pas assujettis à nos lois canadiennes sur la protection des renseignements personnels.
Monsieur Chan, vous avez abordé l’autre point que je voulais soulever, un aspect qui me préoccupe énormément. Nous avons vu de mauvais joueurs utiliser Facebook et d’autres médias, comme Twitter, pour s’ingérer dans des élections démocratiques. Au Canada, nous avons des lois qui déterminent combien d’argent peut être dépensé pour promouvoir un parti ou un autre. Je ne m’en prends pas à un pays concret, mais disons qu’un pays décide de payer quelqu'un ou d'acheter de la publicité au sein de son propre territoire, mais à l'encontre de nos lois, que pouvons-nous faire comme législateurs pour nous assurer que cela ne se produise pas, même s'il s'agit d'actes non rémunérés? Supposons que quelqu’un aux intentions malveillantes inonde sans arrêt nos réseaux sociaux d’informations qui portent atteinte à notre démocratie. Comment allez-vous aborder ce défi? C’est un défi de taille. J’aimerais savoir ce que vous comptez faire pour aider à régler ce problème.
Évidemment, je ne peux parler que de la façon dont nous voyons les choses à Facebook. Je ne veux pas faire des déclarations au nom d'autres compagnies. Il est clair que nous avons été beaucoup trop lents à déceler ce nouveau type de menace lors des élections présidentielles aux États-Unis. Quand nous avons fini par nous y mettre — et c'est un peu là que je voulais en venir en répondant à M. Saini —, nous nous sommes efforcés d’examiner les signaux automatisés pour comprendre, d’un point de vue politique, l’ingérence étrangère et les moyens de la reconnaître sur la plateforme. Il s’avère que les gens créent de faux comptes sur Facebook et répandent de la désinformation.
Or, comme vous le savez, nous avons une politique en matière d'authenticité identitaire sur Facebook. La majorité écrasante des plus de deux milliards d'abonnés se comportent d’une certaine façon parce qu’il s'agit de personnes en chair et en os. Ils utilisent Facebook comme un passe-temps, comme l'on peut s'attendre de gens normaux. Les faux comptes se comportent très différemment. Grâce à l’intelligence artificielle, nous sommes en mesure de repérer ces faux comptes et de les éliminer de façon proactive, et nous nous y prenons de mieux en mieux. Si vous regardez les élections postérieures à l’élection présidentielle américaine, notamment les élections françaises et allemandes, et plus récemment les italiennes, vous verrez que nous avons pu repérer et supprimer de manière proactive des dizaines de milliers de faux comptes. C'est une tâche qui n'admet pas de relâche et nous ne sommes pas au bout de nos peines, mais je suis heureux de pouvoir affirmer que...
J’ai une brève question avant de manquer de temps.
En parlant de la publicité payée — et je comprends comment vous comptez vous en servir pour trouver de faux utilisateurs —, nous contrôlons ce qui peut être fait à l’intérieur des frontières du Canada lors des élections canadiennes. Si quelqu’un achète une annonce à l’extérieur de notre territoire, mais qu’elle est conçue pour avoir une incidence sur notre démocratie... Vous n’avez pas besoin de répondre tout de suite, mais j’aimerais que vous y réfléchissiez. Pensez à la façon dont nous pouvons travailler ensemble et aux lois que nous devons adopter pour que cela ne se produise pas.
Nous y réfléchissons énormément. Nous avons pris des engagements à l'égard des élections américaines de mi-mandat, et je me ferais un plaisir de vous en faire part.
Monsieur Chan, j’ai été heureux de vous entendre reconnaître aujourd’hui que Facebook était trop idéaliste, je crois que c’est ce que vous avez dit, sur la façon dont la technologie était utilisée. Vous vous êtes engagé à dire que si Facebook découvre des abus à l’avenir, vous allez agir sans tarder et les interdire.
Cependant, certains pourraient trouver que c’est un peu comme fermer la porte de l’étable une fois que le cheval s’est échappé, que c’est un remède imparfait, que, suivant votre vitesse et capacité de détection, il pourrait y avoir beaucoup plus d’abus, même si ce sera pour des périodes de plus en plus courtes.
Vous avez parlé de certaines technologies de prévention, mais il demeure que vous devrez composer avec la porte de l'étable si vous attendez que l'abus soit détecté.
Oui, je comprends mieux la question maintenant, monsieur.
Nous avons mis en place des mesures proactives de plus en plus perfectionnées. Il s'agit des outils d’intelligence artificielle dont j’ai parlé pour nous permettre de supprimer les comptes de façon proactive avant que le méfait se produise. Nous avons examiné les élections qui ont suivi celle des États-Unis, par exemple, celle de l’Allemagne. Des études indépendantes ont démontré que le phénomène de la désinformation et des fausses nouvelles n’était pas une préoccupation importante lors de cette élection.
Pour répondre à la question plus générale que vous soulevez, je tiens à vous assurer, de mon mieux et, bien entendu, à titre personnel, que nous, au Canada, prenons très au sérieux les abus commis sur la plateforme. Il est manifeste que ceux qui pourraient se produire pendant une élection sont les plus graves.
Monsieur le président, si vous me le permettez, j’ai ici une lettre que le commissaire aux élections fédérales nous a adressée en 2016, à la suite de l'élection de 2015. Il y fait part de sa reconnaissance pour la façon dont Facebook Canada a interagi de façon proactive avec son bureau pour veiller à ce qu’il n’y ait pas de malfaisance lors des dernières élections fédérales. Nous n'avons pas touché cet aspect, mais je serais heureux, monsieur le président, de distribuer cette lettre pour que l'on voit que...
Nous vous en sommes reconnaissants. Certes, dans le contexte de 2015, le commissaire a peut-être reçu des félicitations pour avoir tenu ses promesses. Après Cambridge Analytica et AIQ, comme vous l’avez entendu, le commissaire à la protection de la vie privée est très préoccupé par l’urgence de s’attaquer à ces problèmes d’ici les prochaines élections fédérales, sans parler de diverses élections provinciales.
Certains observateurs ont trouvé que dans son témoignage de la semaine dernière, M. Zuckerberg avait esquivé quelques questions importantes, surtout en ce qui concerne la propriété de la réalité virtuelle, l'être virtuel, si vous voulez. Il a affirmé à plusieurs reprises que l’utilisateur est propriétaire de tout le contenu, qu’il peut le télécharger et le supprimer à volonté, mais cela n’a pas répondu à la question de savoir si le profil publicitaire que Facebook crée au sujet d’un utilisateur donné peut être supprimé. En définitive, M. Zuckerberg n’a pas reconnu que l’utilisateur n’a aucun contrôle sur ces données.
Je peux répondre à cette question, monsieur. Oui, comme je l’ai mentionné plus tôt, je pense qu’il est important que l’information que vous affichez sur Facebook soit bien la vôtre. Vous pouvez la supprimer; elle vous appartient.
Pour ce qui est de l’information que nous utilisons à des fins publicitaires, je pense qu’il est tout aussi important de dire aux gens en quoi consiste cette information. Si vous avez aimé les pages de plusieurs constructeurs automobiles, nous pouvons supposer que vous vous intéressez aux voitures. Facebook en fait l'hypothèse. Il est important pour nous de vous en parler, de vous donner accès à cette information et de vous permettre de la supprimer, si c’est ce que vous désirez. Ainsi, en ce qui concerne ce genre d’information, je pense qu’il est important que les gens y aient accès et qu’ils en aient le contrôle.
Le contrôle ultime, c’est que si les gens ne veulent pas que nous ayons de l’information à leur sujet, ils peuvent retirer leur compte. Nous espérons qu’ils ne le feront pas. Comme nous l’avons dit aujourd’hui, nous espérons offrir un produit de grande valeur à tous les Canadiens qui utilisent Facebook. Nous voulons veiller à ce que les gens contrôlent leurs renseignements tout au long du processus.
On a suggéré plus d'une fois que M. Zuckerberg aurait éludé quelques questions concernant les données que Facebook détient sur les activités de navigation. Je suppose qu’il a voulu éviter de dire que Facebook est propriétaire des activités de navigation des utilisateurs. Il a répondu que l’information sur la navigation ne faisait pas partie du contenu de l’utilisateur puisque celui-ci ne l’avait pas téléchargée. C’est peut-être le cas, de nombreux observateurs l’ont dit, et j’ai tendance à être d’accord avec eux, mais là n’est pas la question.
Alors, qui possède l’information de navigation et l’activité de navigation d’un utilisateur?
Si vous me permettez de vous donner un peu de contexte à ce sujet... Si un développeur d’applications ou de sites Web veut intégrer la technologie Facebook, il peut le faire. Par exemple, s’il veut mettre la fonction « j'aime » sur sa page, si vous téléchargez la page Web, votre navigateur enverra une demande aux serveurs Facebook pour demander de recevoir cette fonction, et il va de soi que nous consignerons le fait de posséder cette information.
Nous nous en servons essentiellement pour fournir la fonction « j'aime » et pour nous assurer que si vous appuyez sur ce bouton, ce sera enregistré dans votre profil. Nous l'utilisons aussi à des fins techniques pour appuyer la publicité et d’autres façons encore.
Toujours en ce qui concerne cette information, il importe que les gens puissent la contrôler s’ils ne veulent pas qu'elle soit utilisée à des fins publicitaires. Ils devraient pouvoir le faire. Notre pratique est de supprimer et de désidentifier ces renseignements de façon systématique, que les gens les utilisent ou non.
Ne convenez-vous pas qu’il conviendrait de protéger les utilisateurs pas trop doués en informatique de ce qui pourrait se passer avec leur activité de navigation ou lorsqu’ils cliquent sur la case d’accès? Ne convenez-vous pas que vous devriez avoir un avertissement très clair — une seule phrase parfaitement concise — au sujet des dangers de l’utilisation involontaire de cette activité de navigation? Ou vous abstenez-vous de l'avoir par crainte de compromettre vos relations avec les tiers et de faire moins d'argent?
Non, je pense qu’il est important pour nous de faire savoir aux gens comment fonctionne cette technologie. Nous l’avons fait de plusieurs façons au fil des ans. Je pense qu’il est clair que nous devons en faire davantage. En fait, nous avons annoncé cette semaine que nous allons sensibiliser les gens, comme partie intégrante des conditions d'utilisation du service Facebook, au fait que cette technologie existe et que nous recueillons cette information. Nous allons renseigner les gens d’autres façons également.
Nous avons récemment publié sur notre site Web un blogue qui fournit plus de renseignements sur cette pratique. À l'issue des audiences de la semaine dernière, les gens voulaient mieux comprendre.
Je suis tout à fait d’accord avec vous; nous devons être plus communicatifs à ce sujet.
Lorsque j’ai été élu en 2004, j’ai quitté l’industrie de la musique à une époque où elle était bouleversée par les nouvelles technologies. Les pertes massives dans les recettes émanant de la production de disques ne sont certes pas passées inaperçues. À l’époque, il y avait beaucoup de pression sur la Colline pour qu’on adopte une loi visant à réglementer la croissance numérique pour essayer de la limiter. J’étais tout à fait contre parce que je voyais le potentiel de nouvelles idées et de développement, même au prix de chambarder le secteur de la musique. Maintenant, c'est au tour des journaux et de tant d'autres sources stables.
Nous avons toutefois constaté qu’un grand nombre de ces jeunes entreprises qui ne faisaient que démarrer sont devenues des géants monopolistiques. L’idée qu’il y aurait toute une série de plateformes concurrentielles a disparu. En 2018, je crains que Facebook ne soit passé d’un endroit où l’on rencontre ses vieux amis de l’école secondaire à une seule source d’information décisive pour la grande majorité des gens. C'est la source de nouvelles par excellence pour l'immense majorité, qu’il s’agisse de fausses nouvelles, de nouvelles du réseau russe des bots et des trolls ou de CTV.
Lorsque M. Therrien a comparu l’autre jour, il a dit qu’il avait besoin d’outils pour pouvoir entrer sans permission et faire enquête ou vérifier Facebook sur la protection de la vie privée. Il a aussi soulevé la question plus générale, à savoir qu’il y a des problèmes liés à la Loi sur la concurrence et une série d’effets Facebook qui n’ont pas vraiment été examinés.
Monsieur Chan, si un vérificateur fédéral des plateformes numériques était nommé et qu’il avait le pouvoir d’enquêter sur ces plaintes pour s'assurer de la conformité, qu’en penserait Facebook?
Eh bien, M. Therrien a parlé de la protection de la vie privée, mais, de toute évidence, Facebook touche beaucoup plus que la vie privée. La plateforme a une incidence sur les nouvelles. Elle touche l’information. Et voilà qu'elle a une incidence sur les élections et sur la question de savoir si les élections peuvent être sabotées, comme aux États-Unis ou dans le cas du Brexit. Il s’agit de savoir si nous avons besoin ou non d’un vérificateur indépendant. Je ne vois pas comment on peut réglementer quelque chose d’aussi gros que Facebook quand on peut déplacer 1,5 milliard d’utilisateurs d’un pays à un autre pour contourner les lois. Seriez-vous en faveur d’un vérificateur?
Je pense qu’il existe déjà toute une diversité d'instruments. Je crois que le commissaire à la protection de la vie privée fait enquête et qu’il est parfaitement conscient de ses capacités, en vertu de son mandat ou de la loi, de comprendre et d’aller au fond des choses.
Je suppose que la question est de savoir si vous êtes devenu un service public? Vous n’êtes plus un endroit vraiment décontracté et sympa, mais êtes-vous essentiellement un service public sur lequel tout le monde compte?
Bien sûr, si vous me le permettez, nous sommes une plateforme qui, comme vous l’avez souligné, dessert 23 millions de Canadiens. Nous prenons cette responsabilité très au sérieux. Je pense que votre principale préoccupation est de savoir si nous prenons cette responsabilité au sérieux, et nous le faisons absolument. Si vous me permettez d’aborder une question que vous avez soulevée, la question des nouvelles — et sachez que le fait de travailler avec un écosystème élargi me préoccupe énormément —, il y a effectivement sept millions de Canadiens qui, chaque jour, reçoivent au moins une partie de leurs nouvelles de Facebook. Nous comprenons que c’est une responsabilité très importante. Nous comprenons que nous faisons partie de cet écosystème d’information...
Désolé de vous interrompre, mais je ne veux pas être interrompu par les votes à la Chambre.
Concentrons-nous sur la question des nouvelles. Prenons le Myanmar, où Facebook était la seule source de nouvelles pour la grande majorité des gens, The Guardian et des organisations internationales ont dit que l’utilisation et le mauvais usage de cette plateforme ont joué un rôle énorme dans la montée de la haine et le génocide atroce auxquels nous avons assisté dans ce pays. L'enquêteur de l’ONU, Yanghee Lee, a affirmé que Facebook était devenu un véritable monstre au Myanmar. Lorsque nous avons commencé à échanger de l’information, personne ne pensait que des factions haineuses allaient s'en emparer et l'utiliser de la sorte, mais c'est ce qui est arrivé. Comment pouvons-nous empêcher que de telles atrocités se reproduisent?
Monsieur, bien sûr, je ne voudrais pas parler des détails précis d’une autre région du monde, mais je peux vous parler, si vous me le permettez, de notre approche mondiale à cet égard.
Comme je l’ai mentionné plus tôt, nous avons des normes communautaires qui s’appliquent à l’échelle mondiale. Je pense que nous pouvons tous convenir que les discours haineux, l’incitation à la violence, le contenu terroriste et ce genre de propos ne devraient pas faire partie du service. Nous les supprimons de façon proactive lorsque nous le pouvons grâce à l’intelligence artificielle, qui, faut-il le préciser, n’est pas une panacée. La situation s’améliore, mais nous ne saurions prétendre que ce sera toujours parfait. Nous supprimons également le contenu qui nous est signalé. Je pense que nous essayons de le faire dans toutes les langues que nous utilisons dans le monde.
Je suis constamment sur Facebook. Ma femme dit que je suis marié à votre plateforme pour le meilleur ou pour le pire. Le problème que je vois, ce sont les propos anti-musulmans, pro-russes, pro-Poutine et pro-Assad. Ce sont des commentaires qui ont déraillé.
J’essaie toujours de m'y faire, mais c’est de la petite bière par rapport à ce qui s’est passé au Myanmar. Alan Davis, qui est l’un des analystes qui se sont penchés sur ce génocide, a dit:
Je pense que les choses sont allées tellement loin au Myanmar en ce moment... Je ne sais vraiment pas comment Zuckerberg et ses collègues peuvent fermer l'oeil la nuit. S’ils avaient le moindre brin de conscience, ils seraient en train de verser une bonne partie de leur fortune pour renverser le chaos qu’ils ont créé.
Votre société a un pouvoir énorme, un pouvoir sans précédent dans l’histoire. Étant donné que Facebook est l’une des principales sources d'effroyables tueries, je serais porté à croire que vous seriez assez outrés pour supplier de comparaître devant le Comité, sans attendre à vous faire convoquer, pour venir nous dire: « Nous veillerons à ce que cela ne se reproduise plus jamais. »
Eh bien, monsieur, je dirais, avec tout le respect que je vous dois, qu’au Canada...
Je vais distribuer des documents qui montrent qu’avant que les questions ne deviennent d’intérêt public, nous travaillons avec les autorités compétentes pour bien faire les choses, et ce, depuis longtemps. Je voudrais simplement revenir à la lettre que j’ai ici du commissaire aux élections fédérales, dans laquelle il nous félicite de nos efforts...
Je sais, mais nous parlons du pouvoir d’une seule plateforme de causer des préjudices et des décès horribles — un massacre sans précédent. C’est un pouvoir incroyable.
Comme personne morale, compte tenu de la réponse de Facebook entendue ce matin, êtes-vous équipés pour composer avec ce genre de pouvoir, compte tenu du risque de préjudice et du potentiel de bien?
Nous comprenons très bien votre point de vue. Nous sommes conscients de nos responsabilités. Comme je l’ai dit dans ma déclaration liminaire, j'estime que nous n’avons pas adopté une vision assez large de nos responsabilités. Il ne suffit pas de créer des outils que les gens peuvent utiliser; nous devons veiller à ce qu’ils ne soient pas utilisés de façon abusive.
Nous avons pris d’importants engagements pour faire passer notre équipe de sécurité de 10 000 à 20 000 personnes au cours de la prochaine année, ce qui est une initiative d'importance pour une entreprise comptant un certain nombre d’employés à temps plein, et nous continuerons d’en faire davantage, tant sur le plan technique, dont nous avons parlé un peu, que sur le plan de la présence d’un nombre suffisant de personnes sur le terrain pour faire face à tous ces types de problèmes.
Je ne voudrais certainement pas dire que nous sommes parfaits et que nous ferons les choses comme il faut du jour au lendemain, mais nous nous sommes assurément engagés sur cette voie depuis au moins un an. Il reste encore beaucoup de travail à faire. Je tiens à vous assurer que nous ferons tout notre possible au Canada, mais aussi ailleurs dans le monde, pour nous assurer qu’il n’y aura pas d’abus.
Je tiens à souligner que nous avons appris que comme il n'y aura probablement pas de votes, nous ne risquons pas de manquer de temps pour les questions. Il semble que nous aurons le temps de poser autant de questions que sur la liste.
J'ai été très fière de m'inscrire sur Facebook il y a plusieurs années, et j'avais l'habitude d'« aimer » et de « partager ». Mais aujourd'hui, compte tenu de ce qui se passe, je m'interroge sans cesse sur ce que je peux afficher. J'espère que l'on va pouvoir redonner aux Canadiennes et aux Canadiens une certaine confiance dans ce réseau, grâce non seulement à ce que vous faites maintenant, mais surtout à ce que vous allez faire à l'avenir.
Comme mère de trois enfants qui se servent de Facebook, je pense à ce qui les attend dans l'avenir. Je pense aussi à mes parents, qui pourraient parfois se rendre vulnérables parce qu'ils aiment tout sur Facebook. Je veux vraiment que vous compreniez que, dans notre vie tant professionnelle que personnelle, nous avons maintenant un filtre dans notre tête que nous devons appliquer tous les jours en utilisant Facebook.
Je tiens quand même à dire que Facebook est un outil de réseautage incroyable qui me permet de rester en contact avec mes connaissances et ma famille et d'être au courant de tout ce qui se passe. Vous pouvez comprendre un peu comment mes doutes et mon manque de confiance m'affectent. C'est important pour moi de vous en faire part, parce que je pense que tout le monde se sent comme cela, non seulement dans ma circonscription, mais aussi partout au pays.
J'aimerais maintenant discuter des créateurs d'application. Nous en avons parlé un peu tantôt, et j'aimerais que vous puissiez m'expliquer la politique à laquelle vous avez fait référence au sujet de ces développeurs. À combien d'entre eux cette politique s'applique-t-elle, et combien y ont contrevenu par le passé? De plus, quelle mesure avez-vous prise à l'encontre de ces contrevenants?
Merci de vos commentaires, surtout au sujet de votre utilisation de Facebook. J’utilise aussi Facebook très souvent pour communiquer avec ma famille et mes amis, et je le trouve utile. Comme nous l’avons déjà dit, nous avons aussi une responsabilité très importante de veiller à ce que les gens qui utilisent notre service puissent l’utiliser de façon sécuritaire et protégée. C’est important depuis longtemps, mais nous continuons d’investir dans ce secteur.
En ce qui concerne les développeurs d’applications, premièrement, nous avons une série de restrictions sur la façon dont ils peuvent utiliser l’information de la plateforme, y compris le fait qu’ils ne peuvent pas demander de l’information dont ils n’ont pas besoin pour faire fonctionner leurs applications. Ils ne peuvent pas vendre l’information qu’ils reçoivent. Ils ne peuvent pas l’utiliser aux fins de monétisation, de réseaux d’applications ou ce genre de choses. Ils doivent supprimer l’information si nous ou quelqu’un d’autre leur demandons de le faire.
Dans le cadre des changements que nous avons apportés en 2014, nous avons mis en place un processus d’examen initial, de sorte que les développeurs d'applications qui voulaient avoir accès à notre plateforme et obtenir ces éléments d’information supplémentaires devaient faire l’objet d’un examen préalable. Nous faisons également un examen réactif lorsque nous relevons un problème. Ces étapes peuvent comprendre le retrait à une personne de l'accès à la plateforme, l’enquête sur ce qu’elle fait ou...
Nous pouvons prendre une série de mesures lorsque des gens violent nos politiques, y compris leur retirer l'accès à la plateforme. Nous pouvons les faire participer de façon informelle à l’amélioration — s’il s’agit d’une infraction mineure quelconque. Nous pouvons les référer aux forces de l’ordre ou intenter des poursuites. L’une des choses que nous avons apprises, particulièrement en ce qui concerne les événements des dernières semaines, c’est que nous devons exercer une surveillance plus rigoureuse et mieux comprendre quand ces situations se produisent, et aussi prendre des mesures d’application de la loi, y compris collaborer avec les forces de l’ordre s'il y a lieu.
Madame, ce que nous avons aussi dit très clairement, c’est que, de toute évidence, nous allons examiner toutes les applications qui étaient visées à l’époque. Si nous avons des preuves de malfaisance, nous bannirons l’application de la plateforme et nous en informerons tous les utilisateurs concernés.
Est-ce que vous demandez aux développeurs d'application de s'inscrire en fournissant une adresse physique ou encore de confirmer leur identité? Comme faites-vous pour vous assurer qu'ils existent vraiment et que vous pouvez suivre leurs activités?
Nous avons un processus de demande que doivent observer les développeurs d’applications. Ils doivent fournir des renseignements supplémentaires sur leur identité et leur responsable. Ils doivent se connecter à un compte Facebook que nous pouvons associer à un nom vérifié. Nous prenons un certain nombre de mesures pour les identifier. L’une des choses que nous avons faites à l’échelle de la plateforme, dans laquelle nous avons investi, c’est de poursuivre la vérification pour nous assurer que nous comprenons à qui nous avons affaire et, dans le cadre des efforts que nous avons annoncés, nous entreprendrons un examen plus approfondi des développeurs présents sur la plateforme. Comme Kevin l’a dit, nous voulons nous assurer que les développeurs d’applications qui auraient eu accès à des renseignements importants auparavant, ainsi qu’à l’avenir, exercent une surveillance appropriée, non seulement sur ce que font les gens, mais aussi sur ceux qui recueillent ces renseignements.
Je vais maintenant aborder la question des faux comptes, dont on a déjà un peu parlé. Vous avez expliqué comment vous empêchez la création de faux comptes, mais à la lumière de ce que nous connaissons aujourd'hui relativement au problème, quelles nouvelles mesures avez-vous prises récemment pour déterminer ou confirmer l'identité d'un individu? Quels autres processus ou mécanismes devez-vous instaurer pour vous assurer que ces faux comptes sont suspendus ou supprimés de la plateforme?
Il y a deux choses. Nous avons déjà parlé de l'une d'elles, mais permettez-moi de les souligner brièvement. Nous modifions et affinons constamment notre façon d’identifier les faux comptes à l’aide de l’apprentissage automatique. Donc, encore une fois, lors des élections qui ont suivi l’élection présidentielle américaine, nous avons identifié des dizaines de milliers de faux comptes à chacune de ces périodes électorales, et nous les avons fermés de façon proactive. Encore une fois, des études indépendantes ont confirmé que, lors des élections en Allemagne, ce phénomène de diffusion de l’information par de faux comptes n’a pas été un facteur déterminant. Nous estimons que nous faisons des progrès à cet égard. Je ne voudrais jamais vous faire croire que nous avons résolu le problème. Il s’agit d’un enjeu continu d’amélioration constante et de progrès technique. Nous devons procéder de la sorte.
Plus récemment, en prévision des élections de mi-mandat au Congrès des États-Unis, auxquelles j’ai fait allusion plus tôt, nous nous sommes engagés à mettre en oeuvre une deuxième phase de transparence. Encore une fois, comme je l’ai mentionné, le Canada est le premier pays dans lequel nous avons mis à l’essai la fonction « View Ads ». Nous allons la présenter aux États-Unis avant les élections au Congrès américain. Il y aura aussi des mesures supplémentaires spéciales pour la publicité politique, que ce soit pour des particuliers ou pour des publicités axées sur les enjeux. Pour ces publicités, nous allons mettre en oeuvre quelques mesures pour essayer d’assurer l’authenticité de la personne qui gère ces comptes publicitaires. Par exemple, nous nous assurerons qu’ils téléchargent une carte d’identité du gouvernement, et nous confirmerons leur adresse en leur envoyant un document contenant un code spécial. Nous lancerons ces initiatives en premier, avant les élections de mi-mandat au Congrès. Notre intention, comme nous l’avons annoncé, est de déployer ces fonctions à l’échelle mondiale par la suite.
En tant que législateurs, nous ne doutons aucunement du fait que la compagnie Facebook met tout en oeuvre pour demeurer une plateforme bénéfique. Par analogie, le nucléaire en médecine constitue une utilisation bénéfique, mais si cette technologie tombe dans de mauvaises mains, elle pourrait servir à construire des bombes.
Facebook est devenue une très grosse compagnie. Vous avez dit que vous aviez mis en place des mesures et que vous avez embauché de 10 000 à 20 000 personnes pour sécuriser votre plateforme. Avec plus de deux milliards d'utilisateurs, un nombre qui va certainement augmenter exponentiellement dans les prochains mois tellement les choses vont vite, Facebook sera l'un des médias sociaux le plus couru sur la planète.
En tant que législateurs, nous craignons que vous ne perdiez la maîtrise de votre plateforme, et ce, même si vous mettez en place toutes les mesures possibles. En effet, il pourrait se trouver des personnes mal intentionnées et très intelligentes qui voudraient utiliser votre plateforme à mauvais escient, à des fins autres que celles que nous connaissons aujourd'hui.
Croyez-vous être en mesure de réussir à maîtriser la situation à court terme? En tant que législateurs, nous ne vous laisserons pas nécessairement quatre, cinq ou dix ans pour le prouver. Vous devez faire face à de grands défis et vous avez la lourde responsabilité d'agir maintenant. Allez-vous bouger rapidement?
Vous savez, pour de bonnes et de moins bonnes raisons, nous sommes reconnus pour agir assez rapidement pour remédier aux problèmes, et vous verrez, comme vous l’avez probablement déjà vu au cours des dernières semaines, que nous agissons très rapidement pour régler bon nombre des problèmes qui ont été signalés. Encore une fois, comme je l’ai dit plus tôt, ce n’est pas quelque chose que nous avons lancé dans le dernier mois. Je dirais plutôt que c’est un projet que nous avons lancé il y a un an ou un an et demi, pour mettre en oeuvre toutes sortes de fonctions, une foule d’initiatives, que ce soit sur la plateforme, du côté technique, ou de nouveaux produits comme « View Ads », mais aussi des partenariats avec l’écosystème en général pour essayer de prévenir les abus sur notre plateforme.
Encore une fois, comme je l’ai dit plus tôt, et comme notre PDG l’a également dit, je ne pense pas que nous puissions jamais donner l’assurance qu’il n’y aura jamais de mauvais intervenant qui tentera d’abuser de la plateforme, mais nous prenons notre responsabilité très au sérieux et nous n’attendons pas que les autorités décident de ce qui doit être fait. Nous prenons toutes les critiques très au sérieux, nous prenons tous les commentaires très au sérieux et nous mettons en place — j’espère que vous en êtes conscient — des mesures très concrètes, tant sur la plateforme qu’à l’extérieur, pour régler ce problème très rapidement.
Oui, je suis d’accord avec M. Chan. Il est important que nous prenions rapidement des mesures pour relever certains de ces défis. Les mesures que nous avons annoncées en ce qui concerne la plateforme au cours des dernières semaines sont les premières de ce que je prévois être de nombreux efforts en ce sens, et certaines des mesures les plus immédiates que nous pouvons adopter, en plus de regarder en arrière, consistent à restreindre la disponibilité de l’information le plus rapidement possible, et d’imposer une surveillance.
En ce qui concerne votre commentaire plus général, nous avons une vaste responsabilité. Des gens vont... Nous avons été idéalistes et nous voulions que nos produits soient utilisés à bon escient. Nous savons maintenant que tout le monde ne les utilisera pas à bon escient. Nous avons la responsabilité de nous attaquer à ce problème. Je pense que nous avons également une responsabilité envers vous, au Parlement et au gouvernement, de façon plus générale, d'examiner ces problèmes avec vous et de nous assurer de bien communiquer avec vous au sujet des mesures que nous prenons. Nous avons pris l'engagement d'agir rapidement et en consultation avec le gouvernement canadien.
Nous étions dans une période de calme. Espérons qu'il n'y aura pas de tempête, car c'est comme le vent: quand il souffle une brise douce et chaude, c'est intéressant, mais quand l'ouragan se déchaîne, cela déclenche toutes sortes d'événements.
Nous n'avons aucune arme à notre disposition pour vous aider. Si vous demandiez aux gouvernements du monde entier de venir à votre secours si vous perdiez la maîtrise de votre plateforme, cette aide serait très limitée. Votre responsabilité se situe donc à un niveau tel que vous n'avez pas d'autre choix que de réussir.
Vous avez dit qu’il s’agissait d’un abus de confiance, et vous avez vraiment souligné l’importance de renforcer la confiance de votre base d’utilisateurs. C’est exact?
D’accord, donc est-il juste de dire que, pour gagner la confiance des utilisateurs, il est incroyablement important — et c'est peut-être l'élément le plus important — d’être aussi ouvert et honnête que possible. Êtes-vous d'accord? Oui?
J’ai posé une question au sujet des renseignements personnels qui ont été communiqués sans consentement préalable, à savoir quels sont les renseignements les plus personnels et les plus délicats qui ont pu être communiqués sans le consentement des utilisateurs, et, monsieur Sherman, vous avez donné un exemple de ce genre de renseignements. Vous n’avez toutefois pas parlé des messages en privé, et j’ai devant moi la note d’une personne qui n’a pas eu accès à This Is Your Digital Life, mais dont un ami y a eu accès, et on y indique que dans un petit nombre de cas — le pourcentage ou le nombre exact n'est pas précisé —, les messages et les allées et venues des utilisateurs pourraient avoir été partagés.
Nous sommes toujours en train d'enquêter à ce sujet et d’examiner nos dossiers concernant ce qui a été partagé avec This Is Your Digital Life. Comme je l’ai dit plus tôt, nous voulons entreprendre une vérification judiciaire pour examiner l’information que détient Cambridge Analytica et nous assurer de bien comprendre tout cela. Il est possible que des messages privés aient été diffusés en petit nombre. C’était autorisé sur la plateforme à l’époque.
Selon vous, d’après les témoignages que vous avez examinés jusqu’ici, croyez-vous que des messages privés ont été partagés sans le consentement des utilisateurs?
Nous avons engagé des vérificateurs judiciaires qui se pencheront sur cette question. Le gouvernement du Royaume-Uni, qui mène son enquête, nous a demandé d’attendre qu’il soit prêt avant de confirmer, et nous coopérons avec les enquêtes gouvernementales, mais nous voulons aussi faire notre propre examen.
J’aimerais donc que vous vous engagiez à fournir au Comité une liste, un exemple, de tous les genres de renseignements personnels qui auraient été communiqués sans le consentement des utilisateurs.
Vous allez faire un suivi pour nous, d’accord. Excellent.
Dans un souci de faire preuve de la plus grande ouverture et de la plus grande honnêteté envers les Canadiens, pourquoi n’avez-vous pas parlé de LocalBlox aujourd’hui?
Plus tôt cette semaine, nous avons entendu Chris Vickery, qui nous a parlé de 48 millions d’utilisateurs supplémentaires dont les renseignements avaient été communiqués de façon inappropriée. Êtes-vous au courant de cette histoire?
Comme je l’ai déjà mentionné, Facebook est aux prises avec un problème de prélèvement, comme tous les services Internet. C’est l’une des choses que nous avons annoncées la semaine dernière dans le cadre d’une série de changements que nous apportons dans des situations où l’information publique qui est généralement disponible sur Internet est prélevée à grande échelle. C’est le genre de pratique que nous appelons le « scraping ». Nous avons mis en place des mesures techniques pour régler ce problème et déterminer quand cela se produira. Par exemple, les efforts automatisés à grande échelle pour recueillir de l’information contreviennent à nos règles. Souvent, lorsque les gens essaient de s’y adonner, nous le détectons, mais il est très clair, d’après l’exemple que vous avez donné, que nous devons en faire plus. Je crois avoir parlé plus tôt de certains des...
N’est-il pas également clair, cependant, que vous devriez être...? Vous avez parlé de l’importance de renforcer la confiance de votre base d’utilisateurs, mais la seule raison pour laquelle vous parlez de LocalBlox et de 48 millions d’utilisateurs dont les renseignements ont été prélevés, c’est que je vous ai posé la question. C’est vraiment curieux pour moi de vous entendre dire qu’il est très important d’être ouvert et honnête.
Examinez-vous aussi l’idée de la protection intégrée des renseignements personnels, c’est-à-dire lorsque la protection des renseignements personnels devient un paramètre implicite? Si vous êtes si préoccupé par le prélèvement des profils d’utilisateur, avez-vous examiné ce à quoi pourrait ressembler la protection implicite des renseignements personnels, pour éviter le prélèvement des profils d’utilisateur?
Merci de votre question. La protection des renseignements personnels est extrêmement importante pour Facebook. Nous avons un programme interfonctionnel de protection des renseignements personnels auquel participent des experts de partout dans l’entreprise qui, lorsque nous concevons des produits, réfléchissent à la collecte et à l’utilisation des données et à la façon dont nous pouvons communiquer avec les gens et contrôler la communication des renseignements.
Par exemple, il y a plusieurs années, nous avons changé notre mode de partage implicite de sorte que lorsque vous affichez quelque chose sur Facebook à titre de nouvel utilisateur, nous vous demandons si vous voulez que cette information soit rendue publique ou si vous voulez que cette information soit partagée uniquement avec vos amis. Les gens peuvent modifier ce paramètre en tout temps.
Nous avons également effectué des vérifications de la protection des renseignements personnels pour reconfirmer ces paramètres auprès des utilisateurs. Implicitement, quand vous affichez un message sur Facebook, l’information est partagée avec vos amis, mais nous voulons aussi donner aux gens la possibilité de la partager publiquement, et malheureusement, l’une des difficultés à cet égard, c'est que si vous publiez un message sur Internet, tout le monde peut le voir, et cela peut parfois inclure des gens qui font du prélèvement...
La seule autre chose que j'aimerais savoir, c’est si vous partagerez avec le Comité le résultat que vous avez obtenu après avoir fait le rapprochement entre le nombre de demandes qui ont été partagées sans le consentement des utilisateurs et quand vous avez évalué le nombre d’utilisateurs qui ont été touchés.
Tout à fait. Nous sommes en train d’examiner non seulement Cambridge Analytica, mais aussi d’autres situations. Une fois que nous aurons compris l’ampleur du problème, nous en communiquerons assurément le résultat.
Monsieur Chan, monsieur Sherman, ma question fait suite à ce que M. Saini a dit à la fin de ses questions. L’affichage sur Facebook de la désinformation russe qui attaque ou tente d’attaquer malicieusement la crédibilité des Forces canadiennes à pied d'oeuvre en Lettonie indique qu’elle a été publiée « il y a environ 10 mois ». Cette désinformation est toujours affichée sur ce site, et je pense que c’est un cas d'affichage assez évident de renseignements malveillants et faux qui devraient être supprimés. D’un autre côté, des groupes de défense des droits de la personne dans des pays comme l’Iran, la Russie, la Chine et ailleurs dans le monde se plaignent que lorsque les gouvernements de ces dictatures, des gouvernements autoritaires, dénoncent les messages de ces organismes sur les droits de la personne, leurs messages sont trop souvent retirés.
Que fait Facebook en ce qui concerne l’équilibre entre la désinformation haineuse et la répression de l’information légitime dans certains de ces pays qui sont loin d'être des démocraties?
Merci beaucoup de votre question, monsieur. En ce qui concerne le message dont vous venez de parler, si vous le voulez bien, j'aimerais que votre bureau fasse un suivi avec moi pour la suite des choses, et je serais heureux d’examiner cette question afin de voir quel pourrait être le problème.
De façon générale, monsieur, comme vous et d’autres l’avez souligné, nous sommes évidemment présents partout dans le monde. Nous voulons être sensibles aux lois, aux cultures et aux coutumes locales à bien des égards également. Je pense que vous saisissez parfaitement la responsabilité qui nous incombe de veiller à faire tout cela d’une manière qui assure l’uniformité, mais en étant aussi sensibles aux réalités des différents pays. C’est pourquoi nous avons une série mondiale de normes communautaires.
Nous reconnaissons que nos normes ne sont pas parfaites. Au fur et à mesure que des cas se présentent — et vous pouvez imaginer qu’il y a chaque jour des millions, voire des milliards, de messages affichés —, ils susciteront, comme je l’ai mentionné à M. Angus en réponse à une autre question, de nouveaux débats de politique publique. Chaque fois que nous rencontrons ces nouveaux cas, c’est toujours une nouvelle occasion pour nous de nous engager et d’essayer de comprendre quelle sera la bonne réponse.
Je pense qu’en général, monsieur, nous avons évidemment des normes très claires sur les propos haineux, le contenu terroriste, la pornographie et autres. Évidemment, nous entendons parler de ce genre de choses et nous ne voudrions pas les voir sur Facebook. Nous prenons tout cela très au sérieux.
Oui, et je pense que la préoccupation concerne la suppression et la répression de l’information légitime sur les droits de la personne sous la direction de ces gouvernements souverains à l'honnêteté douteuse.
Pour terminer, en ma qualité de président du Comité, je dirais que nous avons tous apprécié les bons côtés de Facebook qui nous permettent de communiquer quotidiennement avec des êtres chers et des électeurs, etc. Je consulte régulièrement Facebook pour obtenir mes nouvelles, mais nous vous confions la lourde responsabilité d’assurer la sécurité des données des Canadiens.
Je pense que l’une des particularités de ce comité, c’est que tous les partis sont déterminés à faire ce qu’il faut pour assurer la sécurité des données des Canadiens.
Merci encore, messieurs Chan et Sherman, de votre présence aujourd’hui.