Résumé de la cinquième séance : approche basée sur le risque

Le Groupe consultatif d'experts sur la sécurité en ligne a tenu sa cinquième session le 13 mai, de 13 h à 16 h HAE, sur le thème d’une approche fondée sur le risque. Onze membres étaient présents. Des représentants des ministères du Patrimoine canadien, de la Justice, de l'Innovation, Sciences et Développement économique, de la Sécurité publique, des Femmes et Égalité des genres et du Bureau du Conseil privé se sont joints au Groupe consultatif. Des représentants de la Gendarmerie royale du Canada étaient également présents.

Le présent résumé donne un aperçu de la cinquième session. Conformément au mandat du groupe consultatif, ces sessions fonctionnent selon la règle de Chatham House. Ainsi, ce résumé n'attribue pas les opinions exprimées à un membre du groupe ou à une organisation en particulier. Il présente les points de vue exprimés au cours de la session, signale les domaines d'accord, de désaccord et de discussion, et organise la discussion en catégories thématiques. Il ne doit pas être considéré comme une récitation textuelle de la discussion

Cette séance a été ajoutée au programme initial après que le groupe d'experts ait exprimé le souhait d'explorer davantage les composantes d'un régime législatif et réglementaire fondé sur le risque.

Les feuilles de travail supplémentaire pour la session comprenaient trois objectifs :

1. Affiner la portée des entités réglementées ;
2. Affiner la portée du contenu réglementé ; et
3. Préciser les obligations que les services réglementés devraient avoir, et dans quelle mesure ces obligations devraient être prescriptives.

Le présent résumé rend compte des points de vue soulevés par rapport à ces objectifs et organise les points de discussion en fonction de thèmes spécifiques.^{Note de bas de page 1}

Thème A : Définition de l'« obligation d'agir de manière responsable »

Flexibilité de la définition

Le groupe a entamé la discussion sur une approche fondée sur le risque en explorant les différentes composantes d'un « devoir d'agir de manière responsable » et le niveau de spécificité requis lors de la définition des obligations législatives et réglementaires. Les experts ont exprimé des points de vue différents sur l'utilisation des termes « devoir de diligence » et « devoir d'agir de manière responsable ». Certains ont souligné que le « devoir de diligence » pourrait définir des attentes plus claires car il est bien établi dans le droit existant. D'autres experts se sont inquiétés du bagage juridique associé au terme « devoir de diligence », expliquant qu'une nouvelle norme serait préférable car elle offrirait plus de flexibilité.

La plupart des experts ont convenu que l'obligation légiférée devait être suffisamment souple pour ne pas être obsolète dans quelques années, compte tenu de la nature changeante des préjudices en ligne, mais qu'elle ne devait pas non plus être trop vague, car les services en ligne, en particulier les petites plateformes, doivent savoir ce qui est attendu d'elles. Certains experts ont fait valoir que si des obligations ambiguës ou mal définies peuvent être problématiques, elles peuvent aussi inciter les services réglementés à faire preuve de créativité et d'innovation pour trouver de nouveaux moyens de remplir leur devoir de garantir la sécurité de leurs utilisateurs. Quelques experts ont également expliqué qu'une définition souple permettrait au régulateur d'adapter les obligations aux nouveaux modèles commerciaux et aux nouvelles caractéristiques des services en ligne. Certains experts ont également partagé la crainte qu'une définition trop large de l'obligation d'agir de manière responsable puisse entraîner la suppression excessive de contenus relatifs à des voix diverses et marginalisées, des groupes qui sont déjà confrontés à des obstacles pour l'accès à la justice.

Concevoir le devoir d'agir de manière responsable avec l'exercice de droits positifs

Certains experts ont souligné qu'il était important de concevoir la sécurité en ligne comme allant au-delà de la simple suppression de contenu. Selon ces experts, la sécurité en ligne concerne également l'exercice de droits positifs, plus précisément les droits fondamentaux de l'homme à la libre expression, à la vie privée et à l'égalité. Certains experts ont fait valoir que l'un des objectifs du cadre devrait être de garantir l'égalité de valeur des droits fondamentaux des utilisateurs en ligne. D'autres experts ont souligné que le cadre devrait tenir compte du droit à la vie privée des utilisateurs, notamment lorsqu'il s'agit d'exiger des services réglementés qu'ils publient des rapports et partagent des données.

Éléments d'un devoir d'agir de manière responsable

Certains experts ont indiqué que l'obligation d'agir de manière responsable devrait être considérée comme une « obligation d'agir sur le contenu ». Selon eux, agir sur les contenus ne signifie pas nécessairement les supprimer, mais plutôt perturber la création, le partage et la distribution de contenus préjudiciables par des solutions techniques telles que la limitation du partage, l'activation d'avertissements et de signalements, la rétrogradation, etc. Les experts ont noté que l'obligation d'agir sur le contenu pouvait varier en fonction du type de contenu préjudiciable en cause. Par exemple, ils ont expliqué que les contenus liés à des catégories traditionnellement illégales devraient être soumis à des obligations d'action plus strictes. D'autres experts ont considéré que l'obligation d'agir de manière responsable imposait aux services réglementés une « responsabilité » envers différentes parties prenantes, telles que le grand public, les journalistes, la société civile et les enfants.

Quelques experts ont exprimé le souhait de voir un préambule fort dans la législation qui soulignerait l'équilibre entre la réduction du préjudice subi et la protection des droits de l'homme. Selon ces experts, la législation devrait également définir clairement les termes utilisés, faisant office de guide de référence pour les personnes n'ayant pas de formation juridique.

Certains experts ont fait valoir que les obligations législatives devraient être complétées et détaillées par des règlements. Ils ont suggéré que la législation définisse les obligations de base liées au devoir d'agir de manière responsable, et que d'autres règlements et codes de pratiques soient élaborés pour permettre l'adaptation des obligations en fonction de l'entité réglementée. De nombreux experts ont déclaré que le devoir d'agir de manière responsable devrait inclure des obligations de transparence, d'évaluation des risques et d'adoption de mesures d'atténuation pour tout risque identifié.

La plupart des experts ont convenu que les services réglementés devraient être tenus d'être transparents à la fois sur leurs évaluations des risques et sur leurs mesures d'atténuation des risques. Ils ont également estimé que les services devraient être contraints de partager une série de données avec les agents publics, les journalistes, les chercheurs et la société civile. Certains experts ont suggéré que les services réglementés soient tenus de mener leurs propres audits indépendants pour s'assurer qu'ils identifient et gèrent les risques conformément à leurs obligations. Certains experts ont souligné que les services réglementés devraient être tenus de publier leurs manuels de modération de contenu. D'autres experts ont souligné qu'il y aura probablement des informations que les entreprises ne souhaiteront pas rendre publiques pour des raisons légitimes, par exemple s'il existe un risque que ces informations soient manipulées ou utilisées pour causer du tort. Ces experts ont suggéré d'autoriser les services réglementés à protéger certaines informations confidentielles.

Devoir d'agir de manière responsable pour les petites plateformes

Quelques experts ont averti qu'il serait important de tenir compte des petites plateformes lors de la conception des exigences réglementaires. Ils ont suggéré de mettre en place un guide décrivant une série d'étapes que ces services doivent adopter pour remplir leur devoir d'agir de manière responsable, ainsi que des espaces pour détailler ce que ces services font en plus des exigences de base ou pour expliquer davantage leur approche. Ils ont expliqué que l'autorité de régulation pourrait examiner les soumissions qu'elle reçoit des petits services pour les aider à s'assurer qu'ils remplissent leur devoir ou pour les guider dans la bonne direction.

Thème B : Nature différentielle des obligations en fonction du type de contenu

Matériel présentant des enfants victimes d’abus sexuels et protection des enfants

Certains experts ont fait valoir qu'un cadre de « sécurité dès la conception » pourrait être difficile à concilier avec la protection des enfants. Ils ont également expliqué que des obligations plus robustes seraient nécessaires pour traiter le matériel présentant des enfants victimes d’abus sexuels. Ils ont suggéré deux éléments pour aider à promouvoir la protection des enfants dans le cadre d'un système fondé sur le risque: 1) obliger les services à adopter la technologie existante de correspondance par hachage pour empêcher le matériel présentant des enfants victimes d’abus sexuels de refaire surface sur leurs plateformes ; et 2) obliger les services à utiliser des outils de modération du contenu pour compenser les lacunes de la détection par IA.

Certains experts ont également suggéré qu'il y ait un devoir général d'agir de manière responsable et un devoir de diligence spécifique pour les enfants (« devoir spécial de diligence ») puisque ces derniers ont droit à une protection plus élevée en vertu de la loi. L'obligation d'agir de manière responsable pourrait englober des obligations distinctes et plus strictes en matière de matériel présentant des enfants victimes d’abus sexuels et de protection des enfants puisque, selon les experts, les services en ligne ont un rôle de fiduciaire. De nombreux experts ont également soutenu l'idée d'ajouter « susceptible d'être consulté par un enfant » au cadre de risque.

Les experts ont fait valoir qu'un cadre législatif et réglementaire devrait imposer des évaluations de risques différenciées en fonction de l'âge de l'enfant.

Désinformation

De nombreux experts ont souligné l'importance de traiter la désinformation dans un cadre de sécurité en ligne. Ils ont toutefois reconnu qu'il était difficile d'évaluer et de définir ce type de contenu, étant donné qu'il dépend fortement du contexte ainsi que de la manière dont les individus interprètent et relient les faits. Ces experts ont expliqué que si les effets de la désinformation ne sont pas évidents au quotidien, ils peuvent avoir de graves conséquences au fil du temps. Certains experts ont suggéré d'exiger des services réglementés qu'ils élaborent un plan de gestion de crise dans leurs plans de sécurité numérique en cas de campagnes de désinformation massives présentant des risques graves pour la sécurité des Canadiens, comme une guerre ou une pandémie. Ils ont cité l'exemple du Protocole public en cas d'incident électoral, mais ont souligné que la surveillance des plateformes n'a lieu qu'en période électorale dans le cadre de ce protocole, laissant les acteurs malveillants continuer à être actifs et à influencer la perception des électeurs entre les élections. Les experts ont également évoqué d'autres programmes gouvernementaux, tels que l'Initiative de citoyenneté numérique, comme moyens potentiels d'accroître la littératie numérique des citoyens.

Contenu extrémiste

Quelques experts ont soulevé la question de l'accessibilité des contenus extrémistes sur les plateformes dans des langues autres que l'anglais. Ils ont indiqué que les contenus ISIS sont généralement supprimés des plateformes en anglais, mais qu'il est toujours possible de les découvrir dans d'autres langues, comme l'arabe. Ils ont suggéré que le cadre comprenne des exigences relatives à la modération des contenus dans des langues autres que l'anglais, mais qu'il garantisse également que ces activités de modération soient menées avec précision.

Ces experts ont également souligné qu'il existe un risque réel de voir les services réglementés exercer une surveillance excessive de leurs plateformes, en qualifiant de contenu extrémiste des contenus militants tels que ceux des campagnes Black Lives Matter. Ils ont expliqué qu'il existe des biais dans l'évaluation des contenus par les plateformes. Les experts ont suggéré que les mouvements sociaux soient identifiés dans le dispositif réglementaire comme une catégorie de contenu protégée.

Ces experts ont également indiqué que le Forum mondial de l'Internet pour la lutte contre le terrorisme (GIFCT) (en anglais) dispose d'un cadre de réponse aux crises, dans lequel de multiples plateformes coopèrent pour retirer du contenu après certains événements terroristes majeurs et que, selon eux, il fonctionne assez bien. Selon ces experts, le régime réglementaire pourrait inciter les plateformes à améliorer leurs pratiques sous ce cadre.

Définition du contenu réglementé

Certains experts ont exprimé qu'il existe un risque réel à ne pas définir clairement ce qui est considéré comme un contenu préjudiciable dans le cadre législatif et réglementaire. Selon eux, ne pas définir assez clairement le contenu préjudiciable pourrait conduire à ce que les activités de modération de contenu des services réglementés soient trop larges et portent atteinte à la liberté d'expression des utilisateurs. Certains experts ont suggéré que le régime législatif et réglementaire définisse les contenus préjudiciables de manière non exhaustive afin de permettre l'inclusion de nouveaux préjudices au fil du temps.

D’autres experts ont également soulevé que le terme « contenu scandaleux » en français n'est pas une traduction exacte de « egregious content » en anglais et qu'il ne passerait probablement pas le test du caractère raisonnable en tant que limite à la liberté d'expression.

Thème C : Un cadre plus large pour la sécurité en ligne

Certains experts ont souligné qu'un cadre législatif ne pouvait à lui seul résoudre le problème des contenus préjudiciables en ligne. Ils ont suggéré que le gouvernement explore l'idée d'un cadre à trois volets pour la sécurité en ligne, comprenant 1) des programmes de prévention, d'éducation et de connexion avec les organisations communautaires qui font de la recherche dans ce domaine ; 2) la protection des enfants et des autres citoyens vulnérables basée sur les cadres juridiques existants ; et 3) le cadre législatif et réglementaire des services en ligne discuté par le groupe d'experts. Quelques experts ont mentionné le modèle néo-zélandais comme pouvant servir d'inspiration, car il comprend une multitude d'outils d'éducation et de prévention.

Quelques experts ont suggéré de fournir aux services en ligne des modèles explicatifs pour les aider à réaliser leurs évaluations des risques. Selon eux, les évaluations des risques devraient porter sur la nature du contenu et ses caractéristiques, les caractéristiques de la plateforme, la population ciblée par le contenu, les personnes qui diffusent le contenu, sa portée, le préjudice qu'il cause et son impact sur les droits de la personne.

Thème D : Étendue des entités réglementées

Les experts ne sont pas parvenus à un consensus sur les types de services qui devraient être réglementés. La plupart des experts ont convenu que les entités réglementées devraient refléter l'écosystème de l'internet où se déroulent les activités nuisibles. Un désaccord est apparu sur l'opportunité de réglementer les services de l'ensemble de la pile Internet.

Intermédiaires

Certains experts ont suggéré que le cadre réglemente les services qui jouent un rôle de médiation entre les utilisateurs. D'autres ont recommandé de réglementer les services qui ont une capacité de contrôle sur les contenus circulant sur leurs plateformes. Quelques experts ont noté que les intermédiaires, qui n'exercent pas de fonction éditoriale, ne peuvent être tenus pour responsables des contenus qu'ils hébergent qu'à partir du moment où il est démontré qu'ils avaient connaissance du caractère illicite de ces contenus.

Services de commerce en ligne

De nombreux experts ont fait référence à des plateformes comme Amazon et Airbnb, expliquant que ces services présentent des caractéristiques de commerce et seraient responsables des produits qu'ils vendent et des transactions qui ont lieu sur leurs sites web. Certains experts ont fait valoir que les services de commerce en ligne, compte tenu de leur nature commerciale et transactionnelle, sont soumis à d'autres lois applicables et ne devraient pas relever d'un régime législatif visant à traiter les préjudices en ligne en tant que tels. D'autres experts ont fait valoir que les services qui autorisent les commentaires et les évaluations sur leurs plateformes devraient relever du champ d'application de la réglementation.

Certains experts ont souligné que les services de commerce en ligne utilisent des algorithmes de recherche et de recommandation qui hiérarchisent les contenus, ce qui peut entraîner la diffusion de contenus préjudiciables. Ils ont suggéré que ces services soient réglementés et que des obligations concernant la responsabilité algorithmique leur soient imposées. Les experts ont expliqué que de telles obligations seraient bénéfiques non seulement pour un cadre de sécurité en ligne, mais aussi dans une optique plus large de protection des consommateurs. Certains experts ont soulevé le fait que de nombreuses plateformes seront probablement responsables devant de multiples organismes de réglementation tels que le Bureau de la concurrence, le Commissaire à la protection de la vie privée et un nouvel organisme de réglementation de la sécurité en ligne.

Entités réglementées fournissant plusieurs services en ligne

Les experts se sont également interrogés sur la meilleure façon d'aborder les services ayant des fonctions multiples, comme Amazon, un service qui gère une plateforme de marché avec des fonctions d'évaluation et de commentaires, mais qui fournit également des services d’infonuagique par le biais d'Amazon Web Services. Lorsqu'ils ont débattu de la question de savoir si ces entités devaient être tenues de remplir différentes évaluations des risques, certains experts ont fait référence au concept de matérialité dans le cadre du cadre environnemental, social et de gouvernance, où les rapports portent sur l’importance des risques. Selon ces experts, les conglomérats utilisent des outils tels que le risque matériel pour évaluer leur portefeuille et leurs différents secteurs d'activité.

Catégorisation des entités réglementées

Certains experts ont mis en garde contre le développement de catégories d'entités réglementées, car cela éloignerait le cadre d'une approche fondée sur le risque. Selon eux, le fait d'attacher des obligations spécifiques à des catégories de services réglementés pourrait conduire à un cadre rigide. Ils ont également évoqué le risque de déplacer le contenu d'une plateforme à l'autre. Ils estiment que la distinction entre les différents types de plateformes serait appropriée pour imposer des obligations réglementaires concernant l'évaluation des risques des services, mais qu'elle ne devrait pas être le point de départ de la fixation des obligations législatives.

Les prochaines étapes

La prochaine session du groupe consultatif d'experts aura lieu le vendredi 20 mai de 13h00 à 16h00 EDT. Les experts discuteront de la liberté d'expression et d'autres droits lors de cette session.