2

protection des
renseignements personnels + web
vincent gautrais
professeur titulaire
directeur CRDP
titulaire de la chaire L.R. Wilson
facult de droit CRDP universit de montral
www.twitter.com/gautrais
www.gautrais.com

plan
introduction
les grands principes de la prp
les grandes oprations sous le contrle de
la loi
la prp en pratique
atelier

quelques propos d introduction

plan 1

introduction
les faits changent
le droit volue
la qute dquilibre
la dfinition dun r.p.
les sources juridiques

introduction
Vie prive existe depuis longtemps mais
La problmatique change avec llectronique
Tellement facile de copier
Tellement facile de vendre, cder, changer ces informations
Tellement facile de ne pas se rendre compte que des informations
personnelles nous concernant circulent
Tellement facile de les communiquer autrui.

 bon droit =

faits

droit

faits

Michel Serres
Les nouvelles technologies :

rvolution
culturelle et cognitive
7

faits

rvolution des faits

faits

rvolution de lconomie

faits

rvolution des technologies

10

faits

rvolution de la culture

11

immigrants

v. natives

faits

(Mark Prensky, Digital natives, Digital immigrants, 2001)

12

droit

PRP pc
(1970)

immobilisation RP

13

droit

PRP web 2.0

(2000+)

circulation RP

14

15

 bon droit de la vp =

individu

m/o

16

dfinition
Dfinition dans PIPEDA: article 2: renseignement
personnel Tout renseignement concernant un
individu identifiable, l'exclusion du nom et du titre
d'un employ d'une organisation et des adresse et
numro de tlphone de son lieu de travail.
Dfinition dans la loi qubcoise (secteur priv) : Article
2: Est un renseignement personnel, tout
renseignement qui concerne une personne physique
et permet de l'identifier. (aucune restriction)
Dfinition dans la loi qubcoise (secteur public): article
54. Dans un document, sont personnels les
renseignements qui concernent une personne physique
et permettent de l'identifier.

dfinition (Europe)
Article 4
(1) 'personal data' means any information relating
to an identified or identifiable natural person 'data
subject'; an identifiable person is one who can be
identified, directly or indirectly, in particular by
reference to an identifier such as a name, an
identification number, location data, online
identifier or to one or more factors specific to the
physical, physiological, genetic, mental,
economic, cultural or social identity of that person;

dfinition en pratique
Un numro de carte de crdit
Des indications personnelles sur sa race, sa sant, son
crdit, etc
Mais aussi

Nom, prnom, courriel, ge, tlphone, adresse, etc

Habitudes dachat
Il faut aussi parfois quil y ait un lien entre les informations
Cela ne concerna gnralement pas non plus les lments qui
sont du domaine public
Etc.

dfinition en pratique

la place du dommage ?

projet de loi S-4 (2014) (ici)

infraction si dommage

sources juridiques
Loi sur la protection des renseignements personnels dans le secteur priv (1994 Qubec)
Loi sur la protection des renseignements personnels et les documents lectroniques
(2000 - Canada) (Annexe 1 )
Loi concernant le cadre juridique des technologies de linformation (2001 - Qubec)
Loi sur l'accs aux documents des organismes publics et sur la protection d
es renseignements personnels
, LRQ, c A-2.1
Code civil du Qubec
Et autres

les grands principes de la prp

plan 2

les 10 grands principes gnraux

les 10 grands principes en pratique

principes gnraux
1. Responsabilits
2. Finalits
3. Consentement
4. Limitations de la collecte
5. Limitation de lutilisation, communication et de la
conservation
6. Exactitude
7. Scurit
8. Transparence
9. Accs
10. Recours

responsabilit (.qc)
1.

Responsabilit

8. La personne ayant la plus haute autorit au sein d'un organisme public

exerce les fonctions que la prsente loi confre la personne
responsable de l'accs aux documents ou de la protection des
renseignements personnels.
Toutefois, cette personne peut dsigner comme responsable un membre
de l'organisme public ou de son conseil d'administration, selon le cas, ou
un membre de son personnel de direction et lui dlguer tout ou partie de
ses fonctions.
60. Lorsqu'un organisme public communique un renseignement personnel
par suite d'une demande faite en vertu des paragraphes 1 4 de
l'article 59, le responsable de la protection des renseignements
personnels au sein de cet organisme doit enregistrer la communication.

responsabilit (.ca)
1. Responsabilit
Une organisation est responsable des renseignements personnels dont elle a
la gestion et doit dsigner une ou des personnes qui devront sassurer du respect
des principes noncs ci-dessous.
Les organisations doivent assurer la mise en uvre des politiques et des
pratiques destines donner suite aux principes, y compris :
a) la mise en uvre des procdures pour protger les renseignements
personnels ;
b) la mise en place des procdures pour recevoir les plaintes et les demandes
de renseignements et y donner suite ;
c) la formation du personnel et la transmission au personnel de linformation
relative aux politiques et pratiques de lorganisation ; et
d) la rdaction des documents explicatifs concernant leurs politiques et
procdures.

finalit (.qc)
65.1. Un renseignement personnel ne peut tre utilis au sein d'un organisme public qu'aux
fins pour lesquelles il a t recueilli.
L'organisme public peut toutefois utiliser un tel renseignement une autre fin avec le
consentement de la personne concerne ou, sans son consentement, dans les seuls cas
suivants:
1 lorsque son utilisation est des fins compatibles avec celles pour lesquelles il a t
recueilli;
2 lorsque son utilisation est manifestement au bnfice de la personne concerne;
3 lorsque son utilisation est ncessaire l'application d'une loi au Qubec, que cette
utilisation soit ou non prvue expressment par la loi.

Lien direct.
Pour qu'une fin soit compatible au sens du paragraphe 1 du deuxime alina, il doit y avoir
un lien pertinent et direct avec les fins pour lesquelles le renseignement a t recueilli.

finalit (.ca)
2. Finalits
Les fins auxquelles des renseignements personnels sont
recueillis doivent tre dtermines par lorganisation avant
la collecte ou au moment de celle-ci.

finalit (europe)
2. Finalits
5(b) collected for specified, explicit and legitimate purposes
and not further processed in a way incompatible with
those purposes; further processing of personal data for
archiving purposes in the public interest, or scientific
and historical research purposes or statistical purposes
shall, in accordance with Article 83(1), not be
considered incompatible with the initial purposes;
(purpose limitation);

consentement (.qc)

53. Les renseignements personnels sont confidentiels

sauf dans les cas suivants:
1 la personne concerne par ces renseignements
consent leur divulgation;

mais

consentement souvent nocif !

32

Encore des mots toujours des

mots
Les mmes mots
Rien que des mots
Des mots faciles des mots
fragiles
C'tait trop beau
Bien trop beau
Mais c'est fini le temps des
rves
Les souvenirs se fanent aussi
Quand on les oublie
33

consentement souvent inutile !

34

ex: visite chez le mdecin

35

consentement (.ca)
3. Consentement
Toute personne doit tre informe de toute collecte, utilisation
ou communication de renseignements personnels qui la
concernent et y consentir, moins quil ne soit pas appropri de
le faire.
EX: Selon une dcision du Commissariat la vie prive
(Conclusion #40, 2002 IIJCan 42369 (C.V.P.C.)), du 12 mars
2002, une banque ne peut exiger dune personne souhaitant
ouvrir un compte sans avoir un quelconque crdit (simplement
pour dposer des chques), une tude crdit classique avec
prsentation dun NAS.

consentement (europe)
3. Consentement (Article 7)
1.Where processing is based on consent, the controller shall be able to demonstrate that
consent was given by the data subject to the processing of their personal data.
2.If the data subject's consent is given in the context of a written declaration which also
concerns other matters, the request for consent must be presented in a manner which is
clearly distinguishable from the other matters, in an intelligible and easily accessible form,
using clear and plain language. Any part of the declaration which constitutes an infringement
of this Regulation that the data subject has given consent to shall not be binding.
3.The data subject shall have the right to withdraw his or her consent at any time. The
withdrawal of consent shall not affect the lawfulness of processing based on consent before
its withdrawal. Prior to giving consent, the data subject shall be informed thereof. It shall be as
easy to withdraw consent as to give it.
4.When assessing whether consent is freely given, utmost account shall be taken of the fact
whether, among others, the performance of a contract, including the provision of a service, is
made conditional on the consent to the processing of data that is not necessary for the
performance of this contract.

limitation collecte (.qc)

collecte ne peut tre faite que pour une

finalit donne. (proche du principe de la
finalit et de 65.1)

limitation collecte (.ca)

4. Limitation de la collecte
Lorganisation ne peut recueillir que les renseignements
personnels ncessaires aux fins dtermines et doit
procder de faon honnte et licite.

limitation traitement (.qc)

utilisation ne peut tre faite que pour une

finalit donne. (proche du principe de la
finalit et de 65.1)

limitation traitement (.qc)

5. Limitation du traitement
Les renseignements personnels ne doivent pas tre utiliss ou
communiqus des fins autres que celles auxquelles ils ont t
recueillis moins que la personne concerne ny consente ou que la
loi ne lexige. On ne doit conserver les renseignements personnels
quaussi longtemps que ncessaire pour la ralisation des fins
dtermines.
EX: Selon une dcision du Commissariat la vie prive (Conclusion
#121, 2003 IIJCan 33645 (C.V.P.C.)), du 23 janvier 2003, une banque
est responsable dun employ qui utilise des renseignements sur un
client pour commettre une fraude. En loccurrence, le
ddommagement offert par la banque est jug suffisant.

exactitude (.qc)

72. Un organisme public doit veiller ce

que les renseignements personnels qu'il
conserve soient jour, exacts et complets
pour servir aux fins pour lesquelles ils sont
recueillis ou utiliss.

exactitude (.ca)
6. Exactitude

Les renseignements personnels doivent tre aussi

exacts, complets et jour que lexigent les fins auxquelles
ils sont destins.

scurit (.qc)
voir la Loi sur laccs (76 (5); 63.1)
63.1. Un organisme public doit prendre les mesures de scurit propres
assurer la protection des renseignements personnels collects, utiliss,
communiqus, conservs ou dtruits et qui sont raisonnables compte tenu,
notamment, de leur sensibilit, de la finalit de leur utilisation, de leur
quantit, de leur rpartition et de leur support.

voir la lccjti (collecte conservation

communication utilisation)

scurit (.ca)
7. Mesures de scurit
Les renseignements personnels doivent tre protgs au moyen
de mesures de scurit correspondant leur degr de
sensibilit.
EX: Selon une dcision du Commissariat la vie prive
(Conclusion #177, 2003 IIJCan 38271 (C.V.P.C.)), du 05 juin 2003,
une banque ne peut laisser un ordinateur connect des
renseignements personnels dans une aire publique sans mot de
passe.
EX: Selon une dcision du Commissariat la vie prive
(Conclusion #289, 2005 IIJCan 15488 (C.V.P.C.)), du 03 fvrier
2005, une banque est responsable du vol dun ordinateur portatif
de lune de ses employes.

scurit (.ca)
7. Mesures de scurit

tendance forte vers + de scurit

scurit (europe)
7. Mesures de scurit
(30) Having regard to the state of the art and the costs of implementation and
taking into account the nature, scope, context and purposes of the processing as
well as the risk of varying likelihood and severity for the rights and freedoms of
individuals, the controller and the processor shall implement appropriate technical
and organisational measures, to ensure a level of security appropriate to the risk,
including inter alia, as appropriate:
(a) the pseudonymisation and encryption of personal data;
(b) the ability to ensure the ongoing confidentiality, integrity, availability and
resilience of systems and services processing personal data;
(c) the ability to restore the availability and access to data in a timely manner in
the event of a physical or technical incident;
(d) a process for regularly testing, assessing and evaluating the effectiveness of
technical and organisational measures for ensuring the security of the processing.

transparence (.qc)

9. Toute personne qui en fait la demande a

droit d'accs aux documents d'un
organisme public.

transparence (.ca)
8. Transparence
Une organisation doit faire en sorte que des renseignements prcis sur
ses politiques et ses pratiques concernant la gestion des renseignements
personnels soient facilement accessibles toute personne.
EX: Selon une dcision du Commissariat la vie prive (Conclusion #183,
2003 IIJCan 38064 (C.V.P.C.)), du 10 juillet 2003, une banque nest pas
tenue de publier ses politiques et ses pratiques concernant la gestion
des renseignements personnels. Il est notamment prcis que le
commissaire tait davis quune institution bancaire doit savoir de faon plus
gnrale quelles seront les consquences de la diffusion de dtails sur ses
politiques et pratiques. Il a trouv logique quune banque ne veuille pas
rendre public les tapes prcises suivies pour empcher la fraude, puisque
les criminels pourraient utiliser cette information pour djouer les mesures
de protection de linstitution .

accs (.qc)
83. Toute personne a le droit d'tre informe de l'existence, dans un
fichier de renseignements personnels, d'un renseignement
personnel la concernant.
89. Toute personne qui reoit confirmation de l'existence dans un
fichier d'un renseignement personnel la concernant peut, s'il est
inexact, incomplet ou quivoque, ou si sa collecte, sa
communication ou sa conservation ne sont pas autorises par la
loi, exiger que le fichier soit rectifi.
94. Une demande de communication ou de rectification ne peut tre
considre que si elle est faite par crit par une personne physique
justifiant de son identit titre de personne concerne ().
Elle est adresse au responsable de la protection des
renseignements personnels au sein de l'organisme public.

accs (.ca)
9. Accs
Une organisation doit informer toute personne qui en fait
la demande de lexistence de renseignements personnels
qui la concernent, de lusage qui en est fait et du fait quils
ont t communiqus des tiers, et lui permettre de les
consulter. Il sera aussi possible de contester lexactitude et
lintgralit des renseignements et dy faire apporter les
corrections appropries.

recours (.qc)

135. Une personne dont la demande crite a

t refuse en tout ou en partie par le
responsable de l'accs aux documents ou
de la protection des renseignements
personnels peut demander la Commission
(cad cai) de rviser cette dcision.

recours (.ca)
10. Plaintes

Toute personne doit tre en mesure de se plaindre du

non-respect des principes noncs ci-dessus en
communiquant avec le ou les personnes responsables
de les faire respecter au sein de lorganisation
concerne.

principes en pratique

1.

Existence dune politique

Reprendre les lments de base
Les respecter
crire une politique lisible
Disposer cette politique dans un endroit
stratgique (voir par exemple les exigences de
TrustE)

principe en pratique
(droit du travail)
1 Sanctions possibles si avertissements (politique)
De plus en plus un critre (clair au fdral moins au provincial)
tats-Unis: pas besoin
Europe (France): cela dpend
Attention donc au droit compar
2 Contrle possible de lemployeur si
Avertissements
Pas arbitraire
Raisonnable
3 Proportionnalit de la sanction
Pas forcment de sanctions graves la premire fois

4 Autres critres susceptibles dtre pris en compte

Proprit de lordinateur
Lieu du travail (tltravail?)

avertissements
Belisle c. Rawdon (Municipalit), 2005 QCCRT 453 (IIJCan) (il ny a
pas eu avertissement)
[168]
De surcrot, en labsence dune politique claire de lintime
quant lusage du matriel informatique et en labsence de preuve
dun prjudice quelconque lemployeur, ce motif ne saurait justifier le
congdiement du plaignant, comme le souligne la Cour du Qubec
dans laffaire Commission des normes du travail c. Bourse de Montral
(2002) R.J.D.T. 617
Commission des normes du travail c. Bourse de Montral, D.T.E.
2002T-373 (Qubec) il ny a pas eu avertissement)
Services d'administration P.C.R. Lte. c. Qubec (Commissaire du
travail), 2003 IIJCan 602 (QC C.S.) (il y a eu avertissement)
Syndicat canadien des communications, de lnergie et du papier,
Section locale 522 c. CAE lectronique Lte, D.T.E. 2000T-157 (T.A.)
(il y a eu avertissement)

avertissements
Mme si politique, peut ne pas marcher
Bell Canada c. Association canadienne des employs de
tlphone, D.T.E. 2000T-254 (T.A.)
Boisvert c. Industrie Machinex (2002)
Mme si absence de politique, employ peut tre
condamn

R. c. Cole, [2012] 3 RCS 34,

2012 CSC 53
[3] Bien que les politiques et les pratiques en vigueur dans le milieu
de travail puissent rduire lattente du particulier en matire de respect
de sa vie prive lgard dun ordinateur de travail, les ralits
oprationnelles de ce genre ne font pas elles seules disparatre
compltement lattente : la nature des renseignements en jeu expose
les prfrences, intrts, penses, activits, ides et recherches de
renseignements de lutilisateur individuel.
(non exclusion de preuves obtenues sans mandat)

contrle possible de
lemployeur si
1 Raisonnabilit
2 Mais attente raisonnable de vie prive de lemployeur
Srivastava
Bell Canada
Blais c. Socit des Loteries Vidos du Qubec Inc., 2003 QCCRT 14 (IIJCan)

3 Pas de congdiement prtexte

4 Charge de la preuve lemployeur
Alliance de la fonction publique du Canada c. Muse des beaux-arts du Canada
(2003)

proportionnalit
Alliance de la fonction publique du Canada c. Muse des
beaux-arts du Canada (2003)

Jacobs c. Mohawks Internet Technologies/Sports

Interaction (2004)

Pas de mise en garde (Syndicat des cols bleus)

critres aggravants
Haut niveau dindpendance de lemploy
Syndicat canadien des communications, de lnergie et du papier, Section locale
522 c. CAE lectronique Lte, D.T.E. 2000T-157 (T.A.)
Refus de collaboration faible anciennet mauvaise foi
Syndicat des spcialistes et professionnels dHydro-Qubec c. Hydro-Qubec, non
rapport, 2 septembre 2003
DiVito
Centre de radaptation Lethbridge
Proprit
Srivastava c. Hindu Mission of Canada, [2001] J.Q. 1913 (CA)
Arpin c. Grenier, 2004 IIJCan 11259 (QC C.Q.)
OUI
R. Cole 2012 CSC 53
OUI
(mais)

NON

Gravit
Syndicat canadien des communications, de lnergie et du papier, Section locale
522 c. CAE lectronique Lte, D.T.E. 2000T-157 (T.A.)
Perrault

critres exonrants
Anciennet / utilisation ponctuelle
Bell Canada c. Association canadienne des employs de tlphone, D.T.E. 2000T-254 (T.A.)
Larbitre note que lincident ne reprsente pas un cas isol et convient quil est comprhensible
que le temps et lquipement de lemployeur, tels le tlphone ou lInternet, soient parfois
utiliss des fins personnelles. Il y aura faute si lusage est frquent et prive la direction de
lexcution du travail. Malgr la drogation au code de conduite qui interdisait la transmission de
ce genre de messages, le dcideur considre que le salari na pas utilis exagrment le
temps de son employeur, que ce dernier accorde trop dimportance au contenu rotique des
fichiers et que leur transmission na pas affect sa rputation. Vu les neuf ans danciennet et le
dossier disciplinaire vierge, larbitre impose plutt une suspension de trois mois.

Pas de prcdent
Bell Canada

Absence de dommages (sur des sites de hackers)

Commission des normes du travail c. Bourse de Montral inc., D.T.E. 2002T-373 (C.Q.)

principes en pratique
2.
Inscrire dans la politique la finalit de la collection,
lutilisation ou la communication des RP
3.

Amnager le consentement

OPT-IN: droit dopposition quant lutilisation ultrieure

Soit actif
Soit passif

OPT-OUT: droit de retrait

Nimporte quand
Ne plus utiliser les RP pour les finalits dj
consenties
Attention au formulaire de renonciation (idem contrat)

principes en pratique

4.

Utilisation des cookies. Sont-ils comestibles?

Quest-ce cest?
A quoi a sert?
Retracer
Scurit
Faciliter lutilisation (ex: panier dachat)
Expliquer ce que cest et dire comment sen prmuni
Approche franaise en 2015

principes en pratique
5.
Le droit daccs
6.
Le respect dune certaine scurit
7.
Mettre la liste des RP saisis sur le site et
ventuellement prciser ceux qui ne le sont pas
8.
ventuellement envisager des situations spciales selon
les spcificits du site
Enfants
Informations sur la sant
9.
ventuellement faire une mention de la loi
applicable
10.
ventuellement permettre un lien par courriel un
responsable des RP sur le site

3
les grandes oprations sous le
contrler de la loi

plan 3
communication
collecte
conservation
utilisation

contrle
ex: R. v. Patrick, 2009 SCC 17
[62] Nanmoins, jusquau moment o les ordures sont places la
limite du terrain ou la porte de quelquun se trouvant cette
limite, loccupant conserve une part de contrle sur la faon
dont il en sera dispos et on ne saurait dire quil les a
abandonnes de faon certaine, surtout si elles se trouvent sur
une galerie, dans un garage ou proximit immdiate de la
rsidence, o sappliquent les principes noncs dans les arrts
portant sur les perquisitions priphriques , tels Kokesch, Grant
et Wiley.
[63] () Toutefois, lorsque les ordures sont places la limite de la
proprit pour la collecte, jestime que le propritaire a
suffisamment renonc au droit et au contrle quil avait leur
gard pour quil ne subsiste plus aucun droit objectivement
raisonnable en matire de respect de sa vie prive

communication
(59) Un organisme public ne peut
communiquer un renseignement personnel
sans le consentement de la personne
concerne.

communication
transmission

ex: communication ?
4 M/O utilis pour la vrification

3 PEL Service
didentification

2 M/O

1 Citoyen

Service
recherch

communication

communication = connaissance + contrle

collecte
(64) Nul ne peut, au nom d'un organisme public,
recueillir un renseignement personnel si cela n'est pas
ncessaire l'exercice des attributions de cet
organisme ou la mise en uvre d'un programme dont il
a la gestion.
Un organisme public peut toutefois recueillir un
renseignement personnel si cela est ncessaire
l'exercice des attributions ou la mise en uvre d'un
programme de l'organisme public avec lequel il collabore
pour la prestation de services ou pour la ralisation d'une
mission commune.

collecte

collecte =
droit den prendre connaissance
+ contrle

74

75

collecte ?
non car
1)
2)
3)

pas de connaissance
+ pas de contrle
limite responsabilit de lhbergeur (22)

conservation
(1) La prsente loi s'applique aux documents dtenus
par un organisme public dans l'exercice de ses fonctions,
que leur conservation soit assure par l'organisme public
ou par un tiers.
(63.1) Un organisme public doit prendre les mesures
de scurit propres assurer la protection des
renseignements personnels collects, utiliss,
communiqus, conservs ou dtruits et qui sont
raisonnables compte tenu, notamment, de leur sensibilit,
de la finalit de leur utilisation, de leur quantit, de leur
rpartition et de leur support.

(19 lccjti) assurer le maintien de son

intgrit et voir la disponibilit du
matriel permettant de le rendre
accessible et de lutiliser aux fins
auxquelles il est destin .

25 lccjti. La personne responsable de l'accs un

document technologique qui porte un
renseignement confidentiel doit prendre les
mesures de scurit propres en assurer la
confidentialit, notamment par un contrle d'accs
effectu au moyen d'un procd de visibilit rduite
ou d'un procd qui empche une personne non
autorise de prendre connaissance du
renseignement ou, selon le cas, d'avoir accs
autrement au document ou aux composantes qui
permettent d'y accder.

conservation ?

conservation

hbergement

pas de connaissance
+ pas de contrle

utilisation
65.1. Un renseignement personnel ne peut tre utilis au sein d'un
organisme public qu'aux fins pour lesquelles il a t recueilli.
L'organisme public peut toutefois utiliser un tel renseignement une
autre fin avec le consentement de la personne concerne ou, sans son
consentement, dans les seuls cas suivants:
1 lorsque son utilisation est des fins compatibles avec celles pour
lesquelles il a t recueilli;
2 lorsque son utilisation est manifestement au bnfice de la personne
concerne;
3 lorsque son utilisation est ncessaire l'application d'une loi au
Qubec, que cette utilisation soit ou non prvue expressment par la loi.
Pour qu'une fin soit compatible au sens du paragraphe 1 du deuxime
alina, il doit y avoir un lien pertinent et direct avec les fins pour
lesquelles le renseignement a t recueilli.

utilisation ?

utilisation

hbergement

pas de connaissance

la prp en pratique

nous avons vu les principes gnraux

prvus dans la loi

comment savoir que vous respectez ces

principes gnraux ?

objectivs
principes gnraux peuvent tre prciss
par une documentation

inventaire (76)

procduralisation
modlisation

documentation
privacy by design
procdures

politiques

76 loi sur laccs

76. Un organisme public doit tablir et maintenir jour un inventaire de ses
fichiers de renseignements personnels.
Cet inventaire doit contenir les indications suivantes:
1 la dsignation de chaque fichier, les catgories de renseignements qu'il
contient, les fins pour lesquelles les renseignements sont conservs et le
mode de gestion de chaque fichier;
2 la provenance des renseignements verss chaque fichier;
3 les catgories de personnes concernes par les renseignements verss
chaque fichier;
4 les catgories de personnes qui ont accs chaque fichier dans
l'exercice de leurs fonctions;
5 les mesures de scurit prises pour assurer la protection des
renseignements personnels.
Toute personne qui en fait la demande a droit d'accs cet inventaire, sauf
l'gard des renseignements dont la confirmation de l'existence peut tre
refuse en vertu des dispositions de la prsente loi.

ex: Canada

ex: Canada
Politique d'valuation des facteurs
relatifs la vie prive (2002)
Les ministres et les organismes doivent
effectuer une valuation des facteurs
relatifs la vie prive pour toutes les
propositions de nouveaux programmes ou
services qui soulvent des questions
relativement au respect de la vie prive.

ex: Canada

Lignes directrices sur l'valuation des

facteurs relatifs la vie prive - Cadre
de gestion des risques d'entrave la
vie prive (2002)

ex: Canada

CPVP Une question de confiance : Intgrer le

droit la vie prive aux mesures de scurit
publique au 21e sicle (2010)

10/2011

ex: France

ex: France
Un audit Informatique et liberts est un
audit dont les critres permettent de juger
de la conformit de traitements de
donnes caractre personnel la loi
no 78-17 du 6 janvier 1978 relative
linformatique, aux fichiers et aux liberts,
modifie par la loi no 2004-801 du 6 aot
2004.

2008

ex: Qubec

Rglement ne sapplique pas aux municipalits

responsable du prp doit

crer un comit
Sur prp (2)

assurer la mise
en uvre (2)

publier sur Internet

infos sur prp (4)

informer comit
des nouveaux
projets (7)

valuation des
risques (7)

sensibiliser le
personnel (2)

effectuer un
rapport (2)

11/2011

pas encore mais

recommandations de la cai (21)

politiques
plus simples (1)

ds la
conception (4)

dclaration de faille
De scurit (7)
favoriser
lopen data (13)
appliquer le
Rglement (12)

rglement europe 12/2015

Etc.

Code of Conduct
(38)

Impact Assessment
(33)

Prior Consultation
(34)
Designation of the
data protection officer
(35)

Certification
(39)

documentation

Politique de scurit

valuation des risques

identifier si rp
identifier le niveau de risque
des rp (sensibilit)
des oprations

identifier les partenaires

valuation des risques

valuation des besoins

valuation en documentation
valuation du cycle de vie des documents
valuation des risques proprement
parler
Reprendre les 10 principes gnraux

politiques de scurit
ex: ISO/IEC 17799:2005

security policy;
organization of information security;
asset management;
human resources security;
physical and environmental security;
communications and operations management;
access control;
information systems acquisition, development and maintenance;
information security incident management;
business continuity management;
compliance.

politiques avec clients

identifier un responsable de la prp
modalits pr-contractuelles (confidentialit)
modalits contractuelles

dfinition
application de la Loi
finalits
utilisation / communication / collecte
scurit / confidentialit (selon sensibilit)
localisation des serveurs (ex: patriot act)
sous-contractant
dure de conservation
audit / inspection
notification si bris de scurit
accs
etc.

politiques avec employs

utilisation des ordinateurs / logiciels

usage
scurit
logiciel
fichiers personnels
imprimantes
priphriques

utilisation dinternet

utilisation personnelle
utilisation acceptable
politique de blocage
politique de tlchargement
politique pour blogues / mdias sociaux (un peu diffrent!)

utilisation du courriel

utilisation acceptable
confidentialit
gestion des courriels
signature

forme dune politique de VP

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.

Reprendre les lments de base

Les respecter
crire une politique lisible
Disposer cette politique dans un endroit stratgique
La mise la connaissance de lemploy
Avis aux employs et modalits de mises la connaissance
Rptition des avis (programmation des accs Internet)
Formation des employs
Signature dun document (lectronique ou papier)
Modalits de contrle

contenu dune politique de VP

tendue des permissions

tendue des interdictions (activits prohibes)
Proprit des outils de production
Protger contre utilisation inapproprie
Protection des informations sensibles
Rserve des droits de lemployeur
Frquence des contrles
Prvoir sanctions si manquement
Prvoir si employ sen va de lentreprise
Etc

politiques de gestion des t.i.

en vrac
gestion des mots de passe
verrouillage des ordinateurs, portables, blackberrys et tlphones
cellulaires
conservation de documents contenant des renseignements
confidentiels ou personnels
communications lectroniques et envoi et rception de documents par
tlcopieur
destruction de documents contenant des renseignements confidentiels
ou personnels
dlai de rtention
hypothse de fin demploi
etc.

audit

reconsidrer lensemble des politiques

le faire valider soit linterne soit

lexterne

documentation

Politique sur courriel

politiques sur site internet

rp qui sont collects

rp qui ne sont pas collects
finalits de leur utilisation
consentement ventuel
accs
personne contact

 politiques sur courriel

identifier les finalits

identifier les modalits dutilisation
identifier les modalits de destruction
identifier une clause qui va permettre de limiter
sa responsabilit
Please be careful whenever sending personal information to us via email. E-mail is generally not a secure means of transferring information.
We therefore cannot guarantee that this information will not be lost or
used in a fraudulent manner and we encourage the use of e-mail
encryption to communicate with us.

atelier pratique

 Faits: Lors de la dernire mise jour dun site web, un virus

informatique sest gliss dans le portail de scurit. Ce virus a fait
en sorte que pour une priode denviron 20 jours, Monsieur X a
hberg sur le site Web dun cabinet dassurances, les liens
informatiques, codes dutilisateur et mots de passe de son frre,
agent en assurance de dommages, rattach et ddi socit
mutuelle dassurance Y, alors que laccs ceux-ci ntait pas
protg, permettant ainsi, notamment tout visiteur davoir accs
des renseignements personnels de plus de 12 000 clients de Y
(noms, adresses, dtails sur primes dassurances). Ds que X fut
inform de cette situation, il prit les mesures ncessaires pour y
remdier. X est un jeune nayant pas une formation informatique
trs pousse. Aucun individu ne sest plaint du fait que ses
renseignements personnels taient accessibles pour cette priode.
Question (1): Y a-t-il responsabilit au sens de larticle 25
LCCJTI et pourquoi?
Question (2): La brche doit-elle tre divulgue aux assurs
dont les informations taient accessibles durant cette priode?

question (1): Y a-t-il responsabilit au

sens de larticle 25 LCCJTI et pourquoi ?

25 LCCJTI. La personne responsable de l'accs un

document technologique qui porte un renseignement
confidentiel doit prendre les mesures de scurit
propres en assurer la confidentialit, notamment
par un contrle d'accs effectu au moyen d'un
procd de visibilit rduite ou d'un procd qui
empche une personne non autorise de prendre
connaissance du renseignement ou, selon le cas,
d'avoir accs autrement au document ou aux
composantes qui permettent d'y accder.

Chambre de l'assurance de dommages

c. Kotliaroff, 2008 CanLII 19078 (QC
CDCHAD)

Le Comit de discipline, chambre de

lassurance de dommages, en 2008 a
dit.. responsable!
mais circonstances particulires

Chambre de l'assurance de dommages c.

Kotliaroff, 2008 CanLII 19078 (QC CDCHAD)
Infraction au Code de dontologie des reprsentants en
assurance de dommages et autres lois et codes similaires.
Les parties se sont entendues sur la recommandation
commune dune amende de 2,000$ (admission de
responsabilit).
Le Comit pas lie par la recommandation et considre que la
recommandation commune constitue une sanction juste et
raisonnable puisquelle tient compte de toutes les
circonstances particulires de la prsente affaire.

Chambre de l'assurance de dommages

c. Kotliaroff, 2008 CanLII 19078 (QC
CDCHAD)

circonstances attnuantes :

Labsence dantcdents disciplinaires de lintim;

Le plaidoyer de culpabilit enregistr ds la premire occasion;
La collaboration de lintim lenqute de la syndic;
Les moyens entrepris par lintim pour corriger cette situation,
ds quil en fut inform;
Labsence dintention malhonnte de lintim;

circonstances aggravantes :
La gravit objective des infractions reproches lintim;
La protection du public en matire de renseignements
confidentiels.
Obligations dontologiques

Chambre de l'assurance de dommages c.

Kotliaroff, 2008 CanLII 19078 (QC
CDCHAD)
Motifs du jugement:

[33] Dans le prsent dossier, lintim, en hbergeant, sur son propre site
internet, les liens informatiques, code dutilisateur et mot de passe de son frre
(chef no. 1), sans protger adquatement laccs ceux-ci, na pas, de toute
vidence, respecter les obligations qui lui taient imposes par larticle 25
de la Loi concernant le cadre juridique des technologies de linformation,
soit celles de prendre les mesures de scurit propres en assurer la
confidentialit, notamment par un contrle daccs effectu au moyen
dun procd de visibilit rduite ou dun procd qui empche une
personne non autorise de prendre connaissance du renseignement;
[34] Il est probable que le recours au service dune entreprise spcialise
dans la cration de site web aurait permis lintim dviter le bris de
confidentialit qui lui est, aujourdhui, reproch dans la prsente plainte;

Question (2): La brche doit-elle tre

divulgue aux assurs dont les
informations taient accessibles durant
cette priode ?

1) Les renseignements sont ils sensibles?

Potentiellement

2) Quels sont les prjudices prvisibles pour les

personnes concernes?
Vol? Fraude?
3) Quel est le contexte li aux renseignements
personnels en cause?
4) Les renseignements personnels sont ils
convenablement chiffrs, dpersonnaliss
ou difficiles daccs?
NON
5) Comment les renseignements personnels
peuventils tre utiliss? Assurance
dommages vs.
6) Linformation peutelle servir des fins frauduleuses
ou autrement prjudiciables?
Potentiellement

assurance-vie

1)

cause et tendue de la brche

dans les renseignements
Y personnels
atil un risque que des brches se reproduisent

ou que les renseignements soient davantage

compromis?
NON
2) Quelle a t ltendue de laccs non autoris aux renseignements
personnels ou de la collecte, de
lutilisation ou de la communication non autorise
de tels renseignements? 12 000 assurs
3) Linformation atelle t perdue ou vole?
N/A - pas vole
4) Les renseignements personnels ont-ils t
retrouvs?
N/A
5) Quelles mesures ont t prises pour attnuer les prjudices?
6) Sagitil dun problme systmique ou
dun incident isol?
Incident isol

Personnes concernes par la

brche dans les renseignements
personnels
Quelle est la quantit de renseignements personnels
compromis par la brche et quelles personnes sont
concernes par la brche?
Prjudices prvisibles dcoulant de la brche pour
personnes concernes et pour lorganisation

- Assurance dommages vs assurance-vie

Prjudice que la notification de la brche dans les
renseignements personnels pourrait causer au public

 Si l'atteinte la vie prive pose un risque de prjudice pour

les personnes concernes, celles-ci devraient en tre
notifies rapidement afin de leur permettre de prendre des
mesures pour se protger.
Chaque incident doit tre examin au cas par cas afin de
dterminer si l'atteinte la vie prive doit faire l'objet d'une
notification.
Pour dcider sil convient de notifier les personnes
concernes, il faut :
se demander si la notification est ncessaire pour viter
ou attnuer les prjudices; et
tenir compte de la capacit des personnes prendre des
mesures prcises pour rduire tout autre prjudice.

conclusion

droit vieux (dfinition loi 10 principes)

droit neuf (procduralisation autorgulation)

conclusion

La transparence comme solution et comme

dveloppement de la confiance

La peur de ce qui est opaque

conclusion

ex: google street view

protection des
renseignements personnels + web
vincent gautrais
professeur titulaire
directeur CRDP
titulaire de la chaire L.R. Wilson
facult de droit CRDP universit de montral
www.twitter.com/gautrais
www.gautrais.com