Résumé de la quatrième séance : pouvoirs de réglementation

Le groupe consultatif d’experts sur la sécurité en ligne a tenu sa quatrième séance le 6 mai de 13 h à 16 h, heure avancée de l’Est (HAE), sur les pouvoirs de réglementation. Onze membres étaient présents. Le groupe consultatif a été accompagné de représentants du gouvernement des ministères du Patrimoine canadien, de la Justice, de l’Innovation, des Sciences et du Développement économique et de la Sécurité publique, ainsi que du Bureau du Conseil privé. Des représentants de la Gendarmerie royale du Canada étaient également présents.

Le présent résumé donne un aperçu de la quatrième séance. Conformément au mandat du groupe consultatif, ces séances sont régies par la règle de Chatham House. À ce titre, le présent résumé n’attribue pas les opinions exprimées à un membre d’un groupe ou à une organisation quelconque. Il expose les opinions exprimées au cours de la séance, rend compte des domaines d’entente, de désaccord et de discussion, et organise la discussion selon des catégories thématiques. Il ne doit pas être considéré comme une récitation textuelle de la discussion.

Le sujet de l’atelier était « Quels pouvoirs et autorités seraient nécessaires pour qu’un commissaire à la sécurité numérique soit efficace? »

La feuille de travail de la séance comprenait les trois objectifs suivants :

1. Déterminer si les instruments d’application de la loi et de conformité proposés pour le commissaire à la sécurité numérique seraient efficaces et appropriés.
2. Examiner les éléments d’un régime d’application de la loi efficace et proportionné au moyen de sanctions administratives pécuniaires (SAP).
3. Déterminer la façon d’inclure des instruments d’application de la loi progressifs afin de s’attaquer à la non-conformité persistante ou flagrante.

Le présent résumé fait état des perspectives soulevées par rapport à ces objectifs et organise les points de discussion en fonction de thèmes précis.^{Note de bas de page 1}

Thème A : Commissaire à la sécurité numérique et pouvoirs requis

Il y a eu consensus sur la nécessité d’avoir un organisme de réglementation qui pourrait prendre la forme d’un commissaire à la sécurité numérique. Les experts ont convenu que le commissaire devrait avoir des pouvoirs d’audit, d’inspection, d’application de pénalités financières et d’ouverture d’enquêtes en vue d’assurer la conformité si une approche fondée sur les systèmes est adoptée, mais les avis divergeaient quant à l’étendue de ces pouvoirs. Quelques participants ont mentionné qu’il serait important de réfléchir à ce qui serait pratique et réalisable pour le rôle du commissaire. Certains ont indiqué qu’ils hésitaient à donner trop de pouvoirs au commissaire, mais d’autres ont mentionné que l’organisme de réglementation aurait besoin d’avoir du « mordant » pour imposer la conformité.

Deux modèles généraux pour un organisme de réglementation ont été proposés :

1. Un commissaire qui porte son attention sur les questions liées aux risques. Dans le cadre de cette option, le commissaire aurait des pouvoirs d’audit, d’inspection et de réalisation d’enquêtes.
2. Un commissaire qui porte son attention sur une approche conjointe ex ante et ex post. Cette option aurait une portée élargie. Le commissaire aurait des approches axées sur les risques et des approches ex ante comme première option, mais il pourrait aussi y avoir un volet ex post individuel fondé sur les plaintes

Certains experts ont fait remarquer que pour les deux options, le bureau du commissaire devrait inclure un volet de recherche, et non pas seulement avoir le mandat de réglementer et punir les plateformes. Un volet de recherche aiderait le commissaire à se tenir au courant de l’évolution de l’écosystème.

Thème B : Bureau du commissaire à la sécurité numérique

Ombudsman et commissaire à la sécurité numérique

Le groupe d’experts a examiné l’idée d’un ombudsman et la façon dont il pourrait être lié à un commissaire à la sécurité numérique. Les experts ont proposé un ombudsman qui porterait davantage son attention sur les plaintes individuelles ex post, si les utilisateurs n’étaient pas satisfaits de la façon dont un service donné répondait à leurs préoccupations, signalements ou plaintes. Dans ce système, le commissaire assumerait le rôle de l’organisme de réglementation ex ante, avec un mandat consacré aux pouvoirs de surveillance et d’application de la loi. Beaucoup ont fait valoir qu’un rôle d’ombudsman devrait être intégré au bureau du commissaire et que l’échange de renseignements entre ces fonctions serait utile. Quelques experts ont fait remarquer que le terme « ombudsman » serait reconnaissable partout au pays, car il s’agit d’un terme et d’une signification communs à d’autres régimes au Canada.

Il a été mentionné que l’ombudsman pourrait jouer un rôle plutôt adjudicatif qui se distinguerait du rôle de surveillance du commissaire, et aurait le pouvoir de faire retirer certains contenus des plateformes. Certains experts ont noté que cela procurerait un degré de confort aux victimes. Quelques experts se demandaient où se situerait la ligne de démarcation entre une plainte et un règlement en privé et la nécessité d’impliquer des autorités publiques.

Commissaire à la protection de la vie privée et commissaire à la sécurité numérique

Il a été mentionné que le commissaire à la protection de la vie privée pourrait avoir en grande partie les mêmes fonctions qu’un commissaire à la sécurité numérique, et qu’il pourrait être logique qu’un commissaire à la sécurité numérique fasse partie du bureau du commissaire à la protection de la vie privée. Il a été noté que le commissaire à la protection de la vie privée a une fonction d’enquête sur les plaintes, une fonction d’audit et de surveillance, une fonction de reddition de comptes et une fonction de leadership, qui sont toutes des fonctions qui pourraient se trouver sous le régime d’un commissaire à la sécurité numérique. Il a également été précisé que les risques et les dommages systémiques pouvaient être liés à la vie privée de plusieurs façons. Quelques experts ont indiqué que cela pourrait être une bonne façon de concilier les différentes considérations reliées à la sécurité et la protection de la vie privée en ligne avec des valeurs qui s’étendraient à l’ensemble du mandat (p. ex., la liberté d’expression, le droit à l’égalité, la protection de l’information et de la réputation).

It Il a été mentionné que cette idée serait s’inscrirait dans la lignée des défis que le commissaire à la protection de la vie privée a déjà rencontrés avec l’élargissement de son mandat. On a indiqué qu’il y avait de la réticence à placer toutes les ambitions réglementaires dans un bureau qui se bat déjà pour élargir son mandat, son pouvoir et ses ressources.

Le règlement général sur la protection des données (RGPD) de l’Union européenne a été proposé comme modèle à examiner. En vertu de ce règlement, les entreprises doivent nommer des personnes chargées de la mise en œuvre de la législation et des agents de protection de la vie privée au sein de leur organisation. Les agents reçoivent les plaintes et tentent de résoudre le problème en privé, et, s’il y a encore insatisfaction, la question est transmise aux autorités publiques. D’autres ont fait état des lacunes du RGPD, où d’autres administrations ont intégré ce modèle et se sont heurtées à des problèmes de capacité et de ressources dans son application.

Thème C : Mécanisme de recours et de plaintes

Le groupe d’experts est resté divisé sur la nécessité d’un mécanisme de recours externe indépendant pour les décisions de modération du contenu, ainsi que sur sa conception. Certains membres ont fait remarquer qu’un mécanisme de plaintes ou de recours serait nécessaire pour les plaintes individuelles, tandis que d’autres ont mentionné qu’une approche systémique bien pensée réduirait le besoin de cette approche. Il a été noté que si des mécanismes ex ante et ex post existaient, tels qu’un commissaire et un ombudsman, les rôles et les pouvoirs devraient être clairement définis.

Certains membres ont expliqué qu’il y a une grande quantité de contenu affiché en ligne tous les jours, et qu’un mécanisme de recours ouvert à toutes les plaintes serait impossible à réaliser. Ils ont noté que l’utilisation du mécanisme de recours pourrait être réduite si son mandat se limitait à la lutte contre le contenu illégal. Certains membres ont mentionné qu’il pourrait y avoir un test en plusieurs étapes pour le traitement des plaintes avant qu’elles ne soient transmises à un ombudsman, ce qui réduirait essentiellement le nombre de plaintes. Ils ont indiqué ce que les mesures pourraient comprendre comme première étape un mécanisme de traitement des plaintes de la plateforme (une approche axée sur les systèmes pourrait obliger les plateformes à en avoir un en place), et que le contenu devrait être illégal. Si la plainte respecte les étapes décrites, une tierce partie indépendante qui a des pouvoirs quasi judiciaires d’application de la loi pourrait faire supprimer le contenu de la plateforme. Il a également été suggéré qu’un audit par le commissaire pourrait être déclenché si l’ombudsman constate qu’il y a trop de plaintes provenant d’une seule plateforme.

D’autre part, les membres n’étaient pas certains de la façon dont un tel organisme gérerait le contenu légal, mais préjudiciable. Quelques participants ont mentionné qu’il faudrait décider, à un moment donné, où tracer la ligne avec un mécanisme de recours et déterminer le type de contenu qui serait filtré par ce mécanisme.

Quelques experts ont souligné qu’il pourrait être nécessaire d’avoir un troisième élément, en plus du commissaire et d’un ombudsman – un régime d’avis et de retrait. Ils ont expliqué que s’il y avait un mécanisme de recours pour statuer sur le contenu, il faudrait disposer d’un régime pour émettre des avis aux plateformes et agir sur les demandes de retrait de contenu. Les experts ont mentionné que cet élément pourrait peut-être se limiter au contenu d’abus sexuel d’enfants et au contenu très clairement violent, pour lesquels il est nécessaire de mettre en place des mécanismes plus rapides ou plus stricts pour gérer ce contenu.

Certains experts ont dit qu’il serait important de s’assurer que le régime réglementaire n’entraîne pas une augmentation de la privatisation de l’application de la loi. Ils ont précisé qu’il devrait y avoir un juste équilibre des pouvoirs, en vertu duquel il faudrait éviter d’accorder trop de pouvoir à la plateforme ou au gouvernement pour décider du contenu à supprimer. Certains experts ont dit qu’il serait utile d’observer d’autres administrations internationales comme l’Australie, l’Allemagne et la Nouvelle-Zélande pour l’examen et la conception d’un mécanisme de recours efficace.

Quelques membres ont indiqué qu’une capacité et un financement à grande échelle seraient nécessaires pour appuyer un mécanisme de recours. Ce mécanisme devrait être entièrement financé et disposer des ressources et de l’expertise nécessaires pour statuer correctement et agir rapidement.

Thème D : Mécanismes d’application de la loi

Le groupe consultatif d’experts a convenu que des sanctions devraient être appliquées sur les plateformes en cas de défaillance systémique et de non-respect. Quelques experts croient qu’il pourrait y avoir une plus grande conformité de la part des plateformes si les pénalités énoncées dans le cadre réglementaire au Canada correspondaient à celles des administrations internationales.

Sanctions administratives pécuniaires (SAP)

Il y a eu un consensus sur l’utilisation des sanctions administratives pécuniaires sur les plateformes en cas de non-conformité. Les experts ont mentionné que les SAP sont utilisées dans d’autres pays et que les montants des SAP et les façons et les raisons de les émettre varient. Par exemple, le Royaume-Uni a la capacité d’émettre une SAP à hauteur de 6 % des revenus mondiaux de l’entreprise, tandis que la proposition suggère un taux de 3 % des revenus mondiaux. Les experts ont noté que la quantité devrait être suffisamment élevée pour avoir du « mordant » et forcer la conformité.

Certains experts ont mentionné qu’il pourrait y avoir deux niveaux différents de SAP, mais les opinions divergeaient sur la façon de déterminer ces niveaux. Quelques-uns ont mentionné que l’entreprise pourrait se voir imposer une SAP à un niveau inférieur pour défaut de se conformer à l’obligation d’agir de manière responsable et à un niveau supérieur pour des violations graves. D’autres ont mentionné qu’il pourrait y avoir un différend sur la façon de déterminer si l’entité se trouvait au niveau faible ou élevé. D’autres experts encore ont indiqué que le montant devrait être souple et déterminé selon une échelle variable, et qu’il devrait revenir au commissaire de déterminer l’importance des violations. De nombreux experts ont indiqué qu’on pourrait prévoir des amendes faibles pour les infractions individuelles et des amendes importantes pour des comportements répétés ou des infractions flagrantes. Le commissaire aurait la capacité de déterminer si l’amende devrait être à l’extrémité inférieure ou supérieure de l’échelle.

De nombreux experts ont suggéré que les SAP devraient pouvoir être adaptées en fonction d’un certain nombre de facteurs et quelques-uns ont suggéré que la SAP soit réinvestie pour aider les victimes et les petites plateformes. Ils ont mentionné que le caractère adaptable des SAP devrait être basé sur la taille de la plateforme, la capacité de payer et la gravité de la violation. On a mentionné que les SAP recueillies des plateformes en raison d’une non-conformité pourraient être réinvesties dans les groupes de victimes ou dans des plateformes plus petites pour les aider à développer des ressources et mieux gérer leur contenu. Cela rendra l’entreprise non seulement juridiquement, mais aussi socialement responsable de ses actions.

Il a été mentionné que les tribunaux pourraient avoir besoin d’être impliqués pour la perception de montants élevés. Les experts ont expliqué que la probabilité que l’entreprise paie la SAP pourrait être faible, prendre beaucoup de temps, ou avoir un autre effet. Il a été précisé qu’il serait également important de mettre en place d’autres mécanismes pour assurer la conformité.

Quelques experts ont souligné l’importance de penser aux petites entreprises au cours de l’élaboration du régime des SAP. Le pourcentage de la pénalité frapperait probablement plus durement les petites entreprises que les grandes entreprises comme Facebook, ce qui pourrait entraîner la fermeture de ces sociétés.

Responsabilité

De nombreux experts n’étaient pas d’accord avec l’idée d’une responsabilité des dirigeants, selon laquelle le dirigeant d’un service réglementé pourrait être poursuivi au criminel pour non-conformité. Il a été mentionné que le déploiement de ce régime et la désignation d’un cadre supérieur pouvaient être injustement déterminés au sein d’une société. On a précisé que ce système ne pouvait entraîner que peu de changements au sein de l’entreprise, car le cadre pourrait simplement être écarté du rôle et de l’entreprise afin de « se débarrasser des pommes pourries » et ainsi protéger la réputation de l’entreprise. Il y a aussi eu des questions au sujet de la résidence de cet employé et sur la nécessité que la personne nommée habite au Canada. Quelques experts ont mentionné qu’il existe déjà au Canada des régimes de réglementation semblables qui désignent un cadre supérieur responsable. D’autres ont indiqué qu’il pourrait y avoir obligation pour les services réglementés de nommer plutôt un agent de la conformité, ce qui pourrait assurer la conformité sans imposer de pénalités en matière de responsabilité.

La notion de mesures de protection pour la responsabilité intermédiaire a également été évoquée. La responsabilité intermédiaire explique l’idée que les plateformes ne sont généralement pas responsables des dommages causés par le contenu généré par l’utilisateur et que la responsabilité revient principalement à la personne qui a publié le contenu. Un autre expert a également mentionné l’idée d’imposer des amendes aux personnes qui téléversent le contenu, mais a noté que cela pourrait être une mesure difficile à faire respecter.

Blocage de site Web

Certains experts ont mentionné qu’on pourrait prévoir un petit ensemble de circonstances extrêmes où une autorisation de blocage pourrait être utilisée en dernier recours. Dans ces cas, la plateforme ne pourrait être bloquée que pendant un certain temps et le pouvoir de blocage ne devait être utilisé que dans des circonstances extrêmes où les droits humains fondamentaux sont affectés. Il a également été noté que les pouvoirs de blocage ne devraient être utilisés qu’après un contrôle judiciaire. On a mentionné que les tribunaux avaient déjà la compétence inhérente pour émettre une injonction.

Un exemple partagé a laissé entendre que le blocage de sites Web a déjà lieu au Canada, et ce, depuis plusieurs d’années. Par exemple, le Projet Cleanfeed Canada, en partenariat avec Cyberaide.ca, bloque l’accès à des centaines de sites Web de contenus depornographie juvénile, en particulier des sites Web étrangers qui hébergent le matériel le plus flagrant d’abus sexuels d’enfants. Ce projet a été élaboré dans le cadre d’un processus de consultation intensif et est appuyé par les principaux fournisseurs de services de télécommunication.

Publication des cas de non-conformité

L’idée de publier les cas de non-conformité pour la consommation publique a été abordée par quelques experts. Il a été noté que des dommages à l’image de marque de l’entreprise pourraient accroître la conformité. Par exemple, le commissaire pourrait rendre publics des cas de pornographie juvénile sur la plateforme d’une entreprise. Les rapports publics ne seront peut-être pas efficaces à chaque fois, mais ils pourraient avoir du mordant.

Prochaines étapes

La prochaine séance du groupe consultatif d’experts aura lieu le vendredi 13 mai de 13 h à 16 h HAE. Les experts discuteront d’une approche axée sur les risques au cours de cette séance.