Sélection de la langue

Gouvernement du Canada / Government of Canada

Recherche

Résumé de la première séance : les entités assujetties à la réglementation

Les membres du Groupe consultatif d’experts sur la sécurité en ligne ont tenu leur première séance le 14 avril, de 13 h à 16 h, HAE. Onze membres du groupe étaient présents pour la séance sur les entités assujetties à la réglementation. Le Groupe consultatif était accompagné de représentants du gouvernement des ministères du Patrimoine canadien, de la Justice, de l’Innovation, des Sciences et du Développement économique, de la Sécurité publique et du Bureau du Conseil privé. Des représentants de la Gendarmerie royale du Canada étaient également présents. Les membres du Groupe ont donné leurs points de vue sur les types d’entités qui devraient être réglementées sous le cadre législatif et réglementaire de la sécurité en ligne.

Ce résumé donne un aperçu de la première séance. Conformément au mandat du Groupe consultatif, ces séances sont tenues conformément à la règle de Chatham House. Par conséquent, le présent résumé n’attribue pas les opinions exprimées à un membre du groupe ou à une organisation en particulier. Il présente les points de vue exprimés au cours de la séance, fait état des points d’accord, de désaccord et de discussion et organise la discussion en fonction de catégories thématiques. Il ne faut pas considérer qu’il s’agit d’une récitation textuelle de la discussion.

Deux objectifs ont été énoncés, dont un sous-objectif, pour l’atelier sur les entités assujetties à la réglementation :

  1. Évaluer la viabilité d’un règlement proportionné structuré en fonction de catégories :
    1. Plus précisément, évaluer si une catégorie distincte devrait être consacrée aux services de contenu pour adultes.
  2. Déterminer l’étendue des services à exclure du cadre.

Ce résumé fait état des points de vue soulevés par rapport aux objectifs et organise les points de discussion soulevés en fonction des thèmes propres à chaque enjeuNote de bas de page 1.

Mot d'ouverture

Le mot d’ouverture a préparé le terrain pour la discussion et a porté sur les sujets suivants :

La nécessité d’une définition claire, compréhensible et souple pour établir la portée d’un éventuel cadre, et la façon de positionner cette définition dans la législation et la réglementation. L’un des défis consistera à trouver un équilibre entre :

  1. une définition précise dans la législation qui ne résistera peut-être pas à l’épreuve du temps à mesure que la technologie évolue, et
  2. une définition plus large établie dans la législation qui tient compte de l’évolution rapide d’Internet, mais qui serait jumelée à des termes précis dans la réglementation pour établir la portée du cadre.

La nécessité de déterminer dans quelle mesure la législation et la réglementation devraient être appliquées. La législation devrait-elle viser uniquement les plateformes de médias sociaux (c.-à-d. la « couche supérieure de la pile technologique ») ou devrait-elle viser plus profond? Les registres des noms de domaine ou les processeurs de contenu devraient-ils être inclus dans la portée de la définition? Les services interactifs de couche supérieure qui ne sont pas des plateformes de médias sociaux, comme les plateformes de jeux vidéo et les sites de diffusion, ou les plateformes de financement participatif, devraient-ils également être inclus?

Le défi de gérer la « zone grise » lorsqu’il s’agit de distinguer les communications privées des communications publiques. Comment les communications privées devraient-elles être traitées? La législation devrait-elle cibler tous les services de communication sans tenir compte du caractère public-privé des messages, ou devrait-elle exclure spécifiquement les applications de messagerie privée?

L’éventail des leçons à tirer des autres administrations. Devrait-on s’inspirer des États-Unis, de l’Europe ou du Royaume-Uni, par exemple?

La mesure dans laquelle une loi devrait être prescriptive lorsqu’il s’agit d’établir une « obligation de diligence » ou une « obligation d’agir de façon responsable ». Les entités réglementées devraient-elles être classées dans des catégories comportant différents niveaux de réglementation et d’obligation, ou est-ce qu’un modèle d’« obligation de diligence » devrait, par définition, être largement applicable dans sa portée – et donc neutraliser l’objectif de la catégorisation en s’appliquant également à toutes les entités réglementées? Les services de contenu pour adultes devraient-ils être établis dans leur propre catégorie réglementaire?

Thème A : portée et définition des entités saisies

Portée de la législation

Les experts ont convenu que la portée des entités visées par le cadre législatif devrait être vaste. Bon nombre d’entre eux ont indiqué qu’une vaste portée d’application est une conséquence naturelle d’un modèle de réglementation fondé sur les systèmes et sur l’obligation de diligence. La plupart des experts ont fait remarquer que le champ d’application des entités réglementées devrait être vaste pour inclure toutes les entités qui communiquent en ligne et que les obligations de diligence devraient être respectées, non seulement par les plateformes de médias sociaux, mais aussi par d’autres acteurs de la « pile technologique », comme les services intermédiaires. Quelques-uns ont expliqué qu’il serait difficile d’affirmer des obligations généralisées d’agir de façon responsable sur certaines plateformes (p. ex., les entreprises de médias sociaux), mais pas sur d’autres qui fonctionnent au même niveau de la pile technologique (p. ex., Airbnb, les plateformes de jeux vidéo). Certains experts ont fait remarquer qu’une définition large aiderait à tenir compte de l’évolution et de l’émergence des technologies afin d’assurer la pérennité de la législation.

De nombreux experts ont mentionné qu’il est justifié d’envisager d’inclure plus largement certains services interactifs comme Airbnb et des plateformes de jeu ou des réseaux de diffusion de contenu comme Cloudflare dans la portée de la législation, mais quelques experts ont également indiqué qu’il pourrait être difficile de réglementer tous les différents types de modèles d’affaires que l’on trouve dans les plateformes. Par exemple, il peut être difficile de réglementer les plateformes qui reposent sur des communications verbales en direct, comme ClubHouse ou les plateformes de jeu. De nombreux experts ont fait remarquer qu’une définition large pourrait être la meilleure approche pour saisir ces différents types de modèles d’affaires. Quelques-uns ont ajouté qu’une portée plus large aiderait également à inclure les entités qui réussissent à recruter des extrémistes violents. Ces communautés s’adaptent rapidement et se tournent vers des services de jeux vidéo, des sites de partage de fichiers et des applications audio en direct comme ClubHouse.

Quelques experts ont parlé du concept de responsabilité intermédiaire. Ils ont souligné que l’établissement de règles claires en matière de responsabilité des intermédiaires pourrait, par exemple, créer un environnement réglementaire dans lequel un service réglementé ne serait pas responsable du contenu lui-même, mais pourrait être tenu responsable de ne pas faire un suivi suffisant ou de ne pas modérer et gérer adéquatement le contenu nuisible.

Quelques experts ont également mis en garde contre une portée trop vaste. Ils ont souligné que la portée devrait être suffisamment large pour englober les entités qui sont susceptibles de causer un préjudice, tout en équilibrant les droits et libertés garantis par la Charte, y compris le droit à la vie privée. Certains ont souligné le défi de réglementer les entités qui facilitent l’hébergement et la distribution de contenu préjudiciable, particulièrement en ce qui a trait à l’exploitation sexuelle des enfants, et ont discuté de la façon dont cela pourrait inclure une réglementation plus poussée des entités dans la pile technologique (p. ex., les exploitants de serveurs) qui ne sont pas aussi intuitivement accessibles au public que les applications de pointe comme les plateformes de médias sociaux.

Définition des services de communication en ligne et autres suggestions

Les experts ont examiné la formulation d’une définition prospective, en utilisant le concept de « service de communication en ligne », tel qu’il est énoncé dans la feuille de travail. Ils ont également examiné d’autres façons de définir les entités réglementées. Ils ne se sont pas entendus sur une approche et ont exprimé un éventail de points de vue sur la question.

La définition de « service informatique interactif » (SII), telle qu’elle est définie à l’article 230 de la Communications Decency Act des États-Unis (en anglais), et qui figure au chapitre 19, article 17, partie 2 de l’accord commercial de l’ACEUM, a été l’un des principaux moteurs de la discussion sur la définition des entités réglementées. Il a été suggéré que la définition canadienne des entités réglementées devrait correspondre à celle qui a été convenue dans l’ACEUM, selon laquelle tout service par l’entremise duquel un utilisateur peut afficher du contenu, sans revue éditoriale, serait saisi. Il a été mentionné que cette définition inclurait des entités comme Airbnb, Facebook/Meta, Messenger, Metaverse et Discord. On a également dit que cette définition commence à être utilisée de plus en plus à l’échelle internationale à mesure qu’elle devient plus courante dans divers accords commerciaux avec les États-Unis et d’autres pays.

Quelques experts étaient d’avis que la définition large d’un SII comme « système ou service qui fournit ou permet l’accès électronique de multiples utilisateurs à un service informatique » pourrait s’appliquer de façon appropriée aux entités à réglementer et aider à aborder les technologies en évolution ou émergentes afin d’assurer la pérennité de la législation.

D’autres experts n’étaient pas d’accord avec cette approche puisqu’ils ne voulaient pas importer une définition ou un cadre américain. Ils ont fait remarquer qu’ils ne voulaient pas être liés à la définition américaine, car la jurisprudence qui y est associée est « chargée » et qu’ils ne voudraient pas imposer l’héritage et les conventions de ce cadre à la législation canadienne. Il a également été déclaré qu’une définition large comme celle d’un SII irait trop loin en dessous de la « pile supérieure » d’Internet – et réglementerait des entités que le gouvernement n’aurait pas l’intention de réglementer, comme les fournisseurs de DNS ou la transmission de données par les fournisseurs de services de télécommunications.

D’autres experts ont suggéré que la définition des entités réglementées s’harmonise davantage avec les modèles européens. Ils ont souligné qu’il y a plus de points communs juridiques dans la jurisprudence entre le Canada et l’Europe, par exemple, et que l’approche du Canada en matière de diffamation en vertu de la common law est similaire à la directive européenne sur le commerce électronique. Ils ont mentionné que le fait d’adopter trop rapidement une définition, telle que la définition d’un SII par exemple, limiterait la capacité d’examiner à fond les leçons tirées d’autres administrations, serait une occasion manquée. D’autres experts ont souligné l’importance qu’une définition canadienne soit conforme à l’accord commercial avec l’ACEUM, ainsi qu’à d’autres accords commerciaux que le Canada a conclus.

Thème B : Devoir de diligence et devoir d’agir de façon responsable

Approche systémique

La plupart des experts ont fait remarquer qu’une approche ex ante, « devoir de diligence », qui place la responsabilité et les obligations sur les plateformes serait la meilleure approche lorsqu’il s’agit de traiter avec des plateformes dont les modèles d’affaires varient. Il a été mentionné qu’une approche fondée sur les systèmes est particulièrement utile parce que les plateformes sont également la source d’innovation dans la conception de solutions, en particulier pour réduire les méfaits et pour s’attaquer à certains types de contenu plus licites, mais horribles. Dans cette optique, la réglementation devrait viser à créer des mesures incitatives pour lutter contre le contenu nuisible sur leurs plateformes, tout en jumelant ces mesures incitatives à des mécanismes de responsabilisation.

Quelques experts ont mentionné qu’ils ne font pas confiance aux grandes plateformes pour faire ce qu’ils devraient faire dans le cadre d’un modèle de « devoir de diligence ». Ils ont fortement déconseillé l’autoréglementation ou l’autosurveillance parce que, à leur avis, cela ne fonctionne tout simplement pas. Ils ont souligné que les outils dont disposent déjà les grandes entreprises pour lutter contre le contenu préjudiciable ne sont pas à la hauteur lorsqu’il s’agit de protéger les communautés minoritaires et les communautés vulnérables.

Devoir de diligence par rapport au devoir d’agir de façon responsable

Le Groupe consultatif d’experts a examiné la terminologie et la jurisprudence d’un modèle d’« obligation de diligence », tel qu’il est décrit dans les feuilles de travail et dans le Online Safety Bill (en anglais) du Royaume-Uni, par opposition au concept de l’« obligation d’agir de façon responsable ». Il a été noté que le « devoir de diligence » est un concept très ancien en droit, particulièrement en droit de la responsabilité délictuelle. Certains membres ont fait remarquer qu’au cours des deux dernières années, la Commission canadienne sur l’expression démocratique a développé l’idée d’une « obligation d’agir de façon responsable », par opposition à une obligation de diligence, et ont demandé des précisions sur le concept.

Il a été expliqué qu’une « obligation d’agir de façon responsable » vise à avoir une certaine résonance avec l’idée d’une « obligation de diligence » en plus de le présenter comme un concept juridique distinct dans la loi. Au lieu de s’inspirer des répercussions héritées associées à une « obligation de diligence », l’« obligation d’agir de façon responsable » pourrait constituer une obligation législative distincte de procéder, par exemple, à des évaluations des risques ou à la minimisation des risques.

De nombreux experts ont convenu que la terminologie de l’« obligation d’agir de façon responsable » donnerait une certaine marge de manœuvre par rapport au bagage et à la jurisprudence de l’expression « obligation de diligence », qui fait l’objet de litiges depuis des centaines d’années. Quelques autres ont ajouté qu’il pourrait y avoir de l’imprévisibilité et de l’incertitude associées au terme « devoir de diligence », dans la mesure où il pourrait être difficile pour ceux qui ont un devoir de comprendre ce que ce devoir implique et pourrait entraîner des conséquences négatives. L’incertitude pourrait être atténuée par une « obligation d’agir de façon responsable », qui pourrait énoncer clairement les obligations relatives à ce qu’une « obligation » implique.

Quelques experts ont fait remarquer qu’il est également important de définir ce qu’on entend par « devoir de diligence » ou « devoir d’agir de façon responsable » et à quoi ressemblerait une approche autour de ce concept en termes d’objectifs finaux. En particulier, les experts ont indiqué qu’un cadre éventuel devrait être très clair en ce qui concerne l’établissement des tâches, l’établissement d’une base de référence ou d’une norme de diligence acceptable, et des paramètres pour indiquer quand une entité réglementée ne respecte pas cette norme de diligence.

Thème C : catégorisation

Les membres ont discuté de l’idée de catégoriser les entités réglementées, de sorte que les obligations d’une entité réglementée puissent varier en fonction de sa taille, du volume de contenu ou du risque de préjudice. Les experts ont donné des points de vue divergents sur ce sujet.

Quelques experts ont mis en garde contre l’utilisation de catégories. Certains ont mentionné que les catégories pourraient être utiles lorsqu’il s’agit de services de contenu pour adultes ou de contenu comme le contenu sur l’exploitation sexuelle des enfants – parce qu’ils sont relativement clairs – mais qu’il serait difficile d’avoir des catégories claires pour d’autres types de services ou de contenu. Un autre expert a souligné que de multiples catégories réglementaires pourraient mener à des débats sur les entités qui appartiennent à quelles catégories, surtout si certaines entités se trouvent dans la zone grise entre les catégories, et miner l’efficacité du régime dans son ensemble.

D’autres ont indiqué que l’accent devrait d’abord être mis sur le risque plutôt que sur l’organisation des services par catégorie ou par type. Ils ont indiqué qu’en mettant l’accent sur l’évaluation des risques, il serait possible d’établir des lignes de faille naturelles et des catégories de risque de sorte que les catégories de risque faible, moyen et élevé feraient surface naturellement. Ils ont mentionné que, dans ce modèle, il incomberait aux plateformes de démontrer leur niveau de risque. Ils ont expliqué qu’il pourrait y avoir des obligations plus strictes pour les entités présentant le risque de préjudice le plus élevé, et un niveau d’obligation moins élevé pour les entités présentant le risque de préjudice le plus faible.

Thème D : Risques et évaluations des risques

La discussion sur la catégorisation réglementaire a mené à une discussion plus approfondie sur l’évaluation des risques.

De nombreux experts ont mentionné que les entités réglementées devraient avoir le « devoir d’agir de façon responsable », ce qui comprend la détermination du degré de risque sur leurs plateformes. Ils ont souligné l’importance d’une définition claire, large et accessible des risques qui serait gérée selon un modèle prospectif d’« obligation de diligence » ou d’« obligation d’agir de façon responsable ». Le groupe a discuté d’un cadre en quatre parties sur la façon de réfléchir aux définitions des risques et sur la façon de tenir compte des obligations pour les entités réglementées. Cette discussion a été organisée autour des concepts de risque, de droits, de devoir et de responsabilité. Il a été expliqué que l’accent mis sur l’évaluation des risques doit également être mis sur les droits de ceux qui utilisent le service, définir les obligations des services à respecter et définir la responsabilité pour les services qui ne respectent pas leurs obligations. À nouveau, un certain nombre d’experts se sont accordés sur un cadre de ce type en principe, mais ont souligné la nécessité de détails et de spécificité. Quelques experts ont fait remarquer que ces concepts sont multidimensionnels et qu’ils se recoupent avec d’autres, et qu’il faudrait peut-être les examiner comme une grille.

Certains experts ont souligné que le cadre devrait être très précis quant à ce qui constitue un contenu à risque. Ils ont demandé si c’était un risque pour l’utilisateur, la personne qui publie le contenu ou la plateforme. La gravité du préjudice causé par le contenu à risque justifie-t-elle la nature des règles et des règlements qui pourraient être mis en place? D’autres experts ont fortement indiqué que les entreprises de technologie ne devraient pas être aux commandes pour déterminer ce qui constitue un risque pour leurs services.

Quelques experts ont également souligné l’importance de réfléchir à la mise en œuvre et à la façon dont ces concepts se dérouleraient dans la pratique. Ils ont souligné la nécessité d’élaborer une approche qui ne dépasse pas les limites pratiques de la capacité du gouvernement à livrer et à exécuter. Ils ont également insisté sur la nécessité de ne pas dépasser la capacité du public de suivre et de comprendre.

Quelques experts ont fait remarquer qu’il faudrait également faire preuve de prudence lorsqu’il s’agit de mettre en œuvre une approche fondée sur le risque, car les règlements ou les mesures de mise en œuvre pourraient avoir des conséquences imprévues ou être biaisés contre les communautés marginalisées et diversifiées. Ils ont noté la possibilité que des voix soient privées de leurs droits et réduites au silence s’il y avait une utilisation importante des systèmes automatisés ou une surveillance excessive.

Thème E : Communications privées et communications publiques

Les experts se sont demandé si la législation devrait faire la distinction entre les communications privées et publiques, et comment cette différenciation pourrait fonctionner dans la pratique. Ils avaient des points de vue partagés sur cette notion et ont fourni diverses explications à l’appui de leurs conclusions.

Les experts s’entendaient pour dire qu’il y a une zone grise importante entre les communications privées et publiques et qu’il serait difficile de trancher entre les communications privées et les communications publiques en matière de réglementation. Les experts ont parlé, par exemple, de la taille des groupes Facebook ou des discussions de groupe dans Facebook Messenger. Ils se sont demandé comment ils trancheraient entre un groupe privé et groupe public et quels facteurs, comme la taille du groupe, devraient être pris en compte au moment de faire la distinction.

De nombreux experts ont appuyé l’idée que les communications privées devraient être incluses dans le cadre législatif. Certains experts ont souligné que, bien souvent, un niveau élevé de contenu préjudiciable, comme du contenu terroriste ou de la pornographie juvénile, est partagé dans des communications privées plutôt que sur des tribunes publiques, et que l’exclusion de ces types de communications laisserait la place à beaucoup de contenu préjudiciable. Certains experts ont fait remarquer qu’un cadre fondé sur les systèmes et des évaluations fondées sur les risques pourrait traiter du contenu préjudiciable dans les communications privées, où la plateforme a le devoir d’agir de façon responsable pour créer un environnement plus sûr dans tous les aspects de sa plateforme. Par exemple, les plateformes pourraient mettre en place des outils, comme des mécanismes ou des outils de rapport pour accepter ou refuser un message avant de le voir, ou des outils qui atténueraient le risque avant qu’il ne surgisse. Ils ont fait remarquer que, de cette façon, les règlements n’auraient pas besoin d’imposer une obligation de surveillance proactive aux plateformes pour surveiller les communications privées afin d’atténuer les préjudices. D’autres ont mentionné que l’inconvénient de tels outils est que le fardeau de la preuve incombe à ceux qui sont aux prises avec ces problèmes. Il a été mentionné qu’il faudra un équilibre entre le droit à la vie privée et le droit de recours.

Par ailleurs, certains experts ont indiqué qu’il faut des définitions opérationnelles sur les fonctions – publiques, privées, chiffrées ou hybrides – qui devraient faire partie du régime, et sur les fonctions qui ne devraient pas en faire partie. D’autres ont fait remarquer que les applications de messagerie privée devraient être exclues, car de nombreuses plateformes surveillent déjà les espaces privés pour y trouver du contenu haineux, par exemple, lorsque vous envoyez une vidéo QAnon par l’entremise d’un message privé sur Twitter, le récepteur recevra un avertissement de « contenu nuisible ». Ils ont suggéré que les messages privés pourraient être inclus dans une approche plus large de l’obligation de diligence, ce qui pourrait faire en sorte que les entités réglementées assurent une obligation de diligence pour tout le contenu sur leurs plateformes en général.

Thème F : Contenu pour adultes

Les membres discutent de la question de savoir si le contenu pour adultes et les services de contenu pour adultes devraient être réglementés ou traités différemment des autres contenus et services.

De nombreux experts ont suggéré que le contenu relatif à l’exploitation sexuelle des enfants devrait être traité de la même façon que les autres types de contenu et ne devrait pas constituer une catégorie distincte. Les experts ont mentionné qu’il est possible d’aborder ce type de contenu dans un cadre axé sur les risques. Ils ont indiqué qu’un traitement différent pourrait créer une pente glissante – de sorte que, dans la pratique, les services réglementés pousseraient d’autres catégories de contenu préjudiciable à être traitées de façon unique également.

Quelques experts ont mentionné que, bien qu’ils ne pensent pas que le contenu relatif à l’exploitation sexuelle des enfants devrait être traité séparément, il pourrait y avoir des obligations différentes en place ou des mécanismes utilisés pour prendre des mesures plus immédiates à son égard et à l’égard du contenu extrêmement préjudiciable. Par exemple, des mécanismes comme l’intelligence artificielle fonctionnent bien avec certains types de contenu, comme le contenu sur l’exploitation sexuelle des enfants, l’utilisation d’algorithmes de hachage et de vastes bases de données pour permettre une action rapide. Certains experts ont fait remarquer que les mécanismes qui fonctionnent bien pour certains types de contenu pourraient ne pas fonctionner aussi bien avec d’autres types de contenu et qu’il pourrait y avoir d’autres façons de traiter ces types de contenu.

Prochaines étapes

La prochaine séance du Groupe consultatif d’experts aura lieu le jeudi 21 avril de 13 h à 16 h, HAE. Au cours de cette séance, les experts discuteront de la feuille de travail sur les types de contenus à réglementer.

Détails de la page

Date de modification :