Documente Academic
Documente Profesional
Documente Cultură
protection des
renseignements personnels + web
vincent gautrais
professeur titulaire
directeur CRDP
titulaire de la chaire L.R. Wilson
facult de droit CRDP universit de montral
www.twitter.com/gautrais
www.gautrais.com
plan
introduction
les grands principes de la prp
les grandes oprations sous le contrle de
la loi
la prp en pratique
atelier
plan 1
introduction
les faits changent
le droit volue
la qute dquilibre
la dfinition dun r.p.
les sources juridiques
introduction
Vie prive existe depuis longtemps mais
La problmatique change avec llectronique
Tellement facile de copier
Tellement facile de vendre, cder, changer ces informations
Tellement facile de ne pas se rendre compte que des informations
personnelles nous concernant circulent
Tellement facile de les communiquer autrui.
bon droit =
faits
droit
faits
Michel Serres
Les nouvelles technologies :
rvolution
culturelle et cognitive
7
faits
faits
rvolution de lconomie
faits
10
faits
rvolution de la culture
11
immigrants
v. natives
faits
12
droit
PRP pc
(1970)
immobilisation RP
13
droit
circulation RP
14
15
bon droit de la vp =
individu
m/o
16
dfinition
Dfinition dans PIPEDA: article 2: renseignement
personnel Tout renseignement concernant un
individu identifiable, l'exclusion du nom et du titre
d'un employ d'une organisation et des adresse et
numro de tlphone de son lieu de travail.
Dfinition dans la loi qubcoise (secteur priv) : Article
2: Est un renseignement personnel, tout
renseignement qui concerne une personne physique
et permet de l'identifier. (aucune restriction)
Dfinition dans la loi qubcoise (secteur public): article
54. Dans un document, sont personnels les
renseignements qui concernent une personne physique
et permettent de l'identifier.
dfinition (Europe)
Article 4
(1) 'personal data' means any information relating
to an identified or identifiable natural person 'data
subject'; an identifiable person is one who can be
identified, directly or indirectly, in particular by
reference to an identifier such as a name, an
identification number, location data, online
identifier or to one or more factors specific to the
physical, physiological, genetic, mental,
economic, cultural or social identity of that person;
dfinition en pratique
Un numro de carte de crdit
Des indications personnelles sur sa race, sa sant, son
crdit, etc
Mais aussi
dfinition en pratique
la place du dommage ?
infraction si dommage
sources juridiques
Loi sur la protection des renseignements personnels dans le secteur priv (1994 Qubec)
Loi sur la protection des renseignements personnels et les documents lectroniques
(2000 - Canada) (Annexe 1 )
Loi concernant le cadre juridique des technologies de linformation (2001 - Qubec)
Loi sur l'accs aux documents des organismes publics et sur la protection d
es renseignements personnels
, LRQ, c A-2.1
Code civil du Qubec
Et autres
plan 2
principes gnraux
1. Responsabilits
2. Finalits
3. Consentement
4. Limitations de la collecte
5. Limitation de lutilisation, communication et de la
conservation
6. Exactitude
7. Scurit
8. Transparence
9. Accs
10. Recours
responsabilit (.qc)
1.
Responsabilit
responsabilit (.ca)
1. Responsabilit
Une organisation est responsable des renseignements personnels dont elle a
la gestion et doit dsigner une ou des personnes qui devront sassurer du respect
des principes noncs ci-dessous.
Les organisations doivent assurer la mise en uvre des politiques et des
pratiques destines donner suite aux principes, y compris :
a) la mise en uvre des procdures pour protger les renseignements
personnels ;
b) la mise en place des procdures pour recevoir les plaintes et les demandes
de renseignements et y donner suite ;
c) la formation du personnel et la transmission au personnel de linformation
relative aux politiques et pratiques de lorganisation ; et
d) la rdaction des documents explicatifs concernant leurs politiques et
procdures.
finalit (.qc)
65.1. Un renseignement personnel ne peut tre utilis au sein d'un organisme public qu'aux
fins pour lesquelles il a t recueilli.
L'organisme public peut toutefois utiliser un tel renseignement une autre fin avec le
consentement de la personne concerne ou, sans son consentement, dans les seuls cas
suivants:
1 lorsque son utilisation est des fins compatibles avec celles pour lesquelles il a t
recueilli;
2 lorsque son utilisation est manifestement au bnfice de la personne concerne;
3 lorsque son utilisation est ncessaire l'application d'une loi au Qubec, que cette
utilisation soit ou non prvue expressment par la loi.
Lien direct.
Pour qu'une fin soit compatible au sens du paragraphe 1 du deuxime alina, il doit y avoir
un lien pertinent et direct avec les fins pour lesquelles le renseignement a t recueilli.
finalit (.ca)
2. Finalits
Les fins auxquelles des renseignements personnels sont
recueillis doivent tre dtermines par lorganisation avant
la collecte ou au moment de celle-ci.
finalit (europe)
2. Finalits
5(b) collected for specified, explicit and legitimate purposes
and not further processed in a way incompatible with
those purposes; further processing of personal data for
archiving purposes in the public interest, or scientific
and historical research purposes or statistical purposes
shall, in accordance with Article 83(1), not be
considered incompatible with the initial purposes;
(purpose limitation);
consentement (.qc)
mais
32
34
35
consentement (.ca)
3. Consentement
Toute personne doit tre informe de toute collecte, utilisation
ou communication de renseignements personnels qui la
concernent et y consentir, moins quil ne soit pas appropri de
le faire.
EX: Selon une dcision du Commissariat la vie prive
(Conclusion #40, 2002 IIJCan 42369 (C.V.P.C.)), du 12 mars
2002, une banque ne peut exiger dune personne souhaitant
ouvrir un compte sans avoir un quelconque crdit (simplement
pour dposer des chques), une tude crdit classique avec
prsentation dun NAS.
consentement (europe)
3. Consentement (Article 7)
1.Where processing is based on consent, the controller shall be able to demonstrate that
consent was given by the data subject to the processing of their personal data.
2.If the data subject's consent is given in the context of a written declaration which also
concerns other matters, the request for consent must be presented in a manner which is
clearly distinguishable from the other matters, in an intelligible and easily accessible form,
using clear and plain language. Any part of the declaration which constitutes an infringement
of this Regulation that the data subject has given consent to shall not be binding.
3.The data subject shall have the right to withdraw his or her consent at any time. The
withdrawal of consent shall not affect the lawfulness of processing based on consent before
its withdrawal. Prior to giving consent, the data subject shall be informed thereof. It shall be as
easy to withdraw consent as to give it.
4.When assessing whether consent is freely given, utmost account shall be taken of the fact
whether, among others, the performance of a contract, including the provision of a service, is
made conditional on the consent to the processing of data that is not necessary for the
performance of this contract.
exactitude (.qc)
exactitude (.ca)
6. Exactitude
scurit (.qc)
voir la Loi sur laccs (76 (5); 63.1)
63.1. Un organisme public doit prendre les mesures de scurit propres
assurer la protection des renseignements personnels collects, utiliss,
communiqus, conservs ou dtruits et qui sont raisonnables compte tenu,
notamment, de leur sensibilit, de la finalit de leur utilisation, de leur
quantit, de leur rpartition et de leur support.
scurit (.ca)
7. Mesures de scurit
Les renseignements personnels doivent tre protgs au moyen
de mesures de scurit correspondant leur degr de
sensibilit.
EX: Selon une dcision du Commissariat la vie prive
(Conclusion #177, 2003 IIJCan 38271 (C.V.P.C.)), du 05 juin 2003,
une banque ne peut laisser un ordinateur connect des
renseignements personnels dans une aire publique sans mot de
passe.
EX: Selon une dcision du Commissariat la vie prive
(Conclusion #289, 2005 IIJCan 15488 (C.V.P.C.)), du 03 fvrier
2005, une banque est responsable du vol dun ordinateur portatif
de lune de ses employes.
scurit (.ca)
7. Mesures de scurit
scurit (europe)
7. Mesures de scurit
(30) Having regard to the state of the art and the costs of implementation and
taking into account the nature, scope, context and purposes of the processing as
well as the risk of varying likelihood and severity for the rights and freedoms of
individuals, the controller and the processor shall implement appropriate technical
and organisational measures, to ensure a level of security appropriate to the risk,
including inter alia, as appropriate:
(a) the pseudonymisation and encryption of personal data;
(b) the ability to ensure the ongoing confidentiality, integrity, availability and
resilience of systems and services processing personal data;
(c) the ability to restore the availability and access to data in a timely manner in
the event of a physical or technical incident;
(d) a process for regularly testing, assessing and evaluating the effectiveness of
technical and organisational measures for ensuring the security of the processing.
transparence (.qc)
transparence (.ca)
8. Transparence
Une organisation doit faire en sorte que des renseignements prcis sur
ses politiques et ses pratiques concernant la gestion des renseignements
personnels soient facilement accessibles toute personne.
EX: Selon une dcision du Commissariat la vie prive (Conclusion #183,
2003 IIJCan 38064 (C.V.P.C.)), du 10 juillet 2003, une banque nest pas
tenue de publier ses politiques et ses pratiques concernant la gestion
des renseignements personnels. Il est notamment prcis que le
commissaire tait davis quune institution bancaire doit savoir de faon plus
gnrale quelles seront les consquences de la diffusion de dtails sur ses
politiques et pratiques. Il a trouv logique quune banque ne veuille pas
rendre public les tapes prcises suivies pour empcher la fraude, puisque
les criminels pourraient utiliser cette information pour djouer les mesures
de protection de linstitution .
accs (.qc)
83. Toute personne a le droit d'tre informe de l'existence, dans un
fichier de renseignements personnels, d'un renseignement
personnel la concernant.
89. Toute personne qui reoit confirmation de l'existence dans un
fichier d'un renseignement personnel la concernant peut, s'il est
inexact, incomplet ou quivoque, ou si sa collecte, sa
communication ou sa conservation ne sont pas autorises par la
loi, exiger que le fichier soit rectifi.
94. Une demande de communication ou de rectification ne peut tre
considre que si elle est faite par crit par une personne physique
justifiant de son identit titre de personne concerne ().
Elle est adresse au responsable de la protection des
renseignements personnels au sein de l'organisme public.
accs (.ca)
9. Accs
Une organisation doit informer toute personne qui en fait
la demande de lexistence de renseignements personnels
qui la concernent, de lusage qui en est fait et du fait quils
ont t communiqus des tiers, et lui permettre de les
consulter. Il sera aussi possible de contester lexactitude et
lintgralit des renseignements et dy faire apporter les
corrections appropries.
recours (.qc)
recours (.ca)
10. Plaintes
principes en pratique
1.
principe en pratique
(droit du travail)
1 Sanctions possibles si avertissements (politique)
De plus en plus un critre (clair au fdral moins au provincial)
tats-Unis: pas besoin
Europe (France): cela dpend
Attention donc au droit compar
2 Contrle possible de lemployeur si
Avertissements
Pas arbitraire
Raisonnable
3 Proportionnalit de la sanction
Pas forcment de sanctions graves la premire fois
avertissements
Belisle c. Rawdon (Municipalit), 2005 QCCRT 453 (IIJCan) (il ny a
pas eu avertissement)
[168]
De surcrot, en labsence dune politique claire de lintime
quant lusage du matriel informatique et en labsence de preuve
dun prjudice quelconque lemployeur, ce motif ne saurait justifier le
congdiement du plaignant, comme le souligne la Cour du Qubec
dans laffaire Commission des normes du travail c. Bourse de Montral
(2002) R.J.D.T. 617
Commission des normes du travail c. Bourse de Montral, D.T.E.
2002T-373 (Qubec) il ny a pas eu avertissement)
Services d'administration P.C.R. Lte. c. Qubec (Commissaire du
travail), 2003 IIJCan 602 (QC C.S.) (il y a eu avertissement)
Syndicat canadien des communications, de lnergie et du papier,
Section locale 522 c. CAE lectronique Lte, D.T.E. 2000T-157 (T.A.)
(il y a eu avertissement)
avertissements
Mme si politique, peut ne pas marcher
Bell Canada c. Association canadienne des employs de
tlphone, D.T.E. 2000T-254 (T.A.)
Boisvert c. Industrie Machinex (2002)
Mme si absence de politique, employ peut tre
condamn
contrle possible de
lemployeur si
1 Raisonnabilit
2 Mais attente raisonnable de vie prive de lemployeur
Srivastava
Bell Canada
Blais c. Socit des Loteries Vidos du Qubec Inc., 2003 QCCRT 14 (IIJCan)
proportionnalit
Alliance de la fonction publique du Canada c. Muse des
beaux-arts du Canada (2003)
critres aggravants
Haut niveau dindpendance de lemploy
Syndicat canadien des communications, de lnergie et du papier, Section locale
522 c. CAE lectronique Lte, D.T.E. 2000T-157 (T.A.)
Refus de collaboration faible anciennet mauvaise foi
Syndicat des spcialistes et professionnels dHydro-Qubec c. Hydro-Qubec, non
rapport, 2 septembre 2003
DiVito
Centre de radaptation Lethbridge
Proprit
Srivastava c. Hindu Mission of Canada, [2001] J.Q. 1913 (CA)
Arpin c. Grenier, 2004 IIJCan 11259 (QC C.Q.)
OUI
R. Cole 2012 CSC 53
OUI
(mais)
NON
Gravit
Syndicat canadien des communications, de lnergie et du papier, Section locale
522 c. CAE lectronique Lte, D.T.E. 2000T-157 (T.A.)
Perrault
critres exonrants
Anciennet / utilisation ponctuelle
Bell Canada c. Association canadienne des employs de tlphone, D.T.E. 2000T-254 (T.A.)
Larbitre note que lincident ne reprsente pas un cas isol et convient quil est comprhensible
que le temps et lquipement de lemployeur, tels le tlphone ou lInternet, soient parfois
utiliss des fins personnelles. Il y aura faute si lusage est frquent et prive la direction de
lexcution du travail. Malgr la drogation au code de conduite qui interdisait la transmission de
ce genre de messages, le dcideur considre que le salari na pas utilis exagrment le
temps de son employeur, que ce dernier accorde trop dimportance au contenu rotique des
fichiers et que leur transmission na pas affect sa rputation. Vu les neuf ans danciennet et le
dossier disciplinaire vierge, larbitre impose plutt une suspension de trois mois.
Pas de prcdent
Bell Canada
principes en pratique
2.
Inscrire dans la politique la finalit de la collection,
lutilisation ou la communication des RP
3.
Amnager le consentement
principes en pratique
4.
Quest-ce cest?
A quoi a sert?
Retracer
Scurit
Faciliter lutilisation (ex: panier dachat)
Expliquer ce que cest et dire comment sen prmuni
Approche franaise en 2015
principes en pratique
5.
Le droit daccs
6.
Le respect dune certaine scurit
7.
Mettre la liste des RP saisis sur le site et
ventuellement prciser ceux qui ne le sont pas
8.
ventuellement envisager des situations spciales selon
les spcificits du site
Enfants
Informations sur la sant
9.
ventuellement faire une mention de la loi
applicable
10.
ventuellement permettre un lien par courriel un
responsable des RP sur le site
3
les grandes oprations sous le
contrler de la loi
plan 3
communication
collecte
conservation
utilisation
contrle
ex: R. v. Patrick, 2009 SCC 17
[62] Nanmoins, jusquau moment o les ordures sont places la
limite du terrain ou la porte de quelquun se trouvant cette
limite, loccupant conserve une part de contrle sur la faon
dont il en sera dispos et on ne saurait dire quil les a
abandonnes de faon certaine, surtout si elles se trouvent sur
une galerie, dans un garage ou proximit immdiate de la
rsidence, o sappliquent les principes noncs dans les arrts
portant sur les perquisitions priphriques , tels Kokesch, Grant
et Wiley.
[63] () Toutefois, lorsque les ordures sont places la limite de la
proprit pour la collecte, jestime que le propritaire a
suffisamment renonc au droit et au contrle quil avait leur
gard pour quil ne subsiste plus aucun droit objectivement
raisonnable en matire de respect de sa vie prive
communication
(59) Un organisme public ne peut
communiquer un renseignement personnel
sans le consentement de la personne
concerne.
communication
transmission
ex: communication ?
4 M/O utilis pour la vrification
3 PEL Service
didentification
2 M/O
1 Citoyen
Service
recherch
communication
collecte
(64) Nul ne peut, au nom d'un organisme public,
recueillir un renseignement personnel si cela n'est pas
ncessaire l'exercice des attributions de cet
organisme ou la mise en uvre d'un programme dont il
a la gestion.
Un organisme public peut toutefois recueillir un
renseignement personnel si cela est ncessaire
l'exercice des attributions ou la mise en uvre d'un
programme de l'organisme public avec lequel il collabore
pour la prestation de services ou pour la ralisation d'une
mission commune.
collecte
collecte =
droit den prendre connaissance
+ contrle
74
75
collecte ?
non car
1)
2)
3)
pas de connaissance
+ pas de contrle
limite responsabilit de lhbergeur (22)
conservation
(1) La prsente loi s'applique aux documents dtenus
par un organisme public dans l'exercice de ses fonctions,
que leur conservation soit assure par l'organisme public
ou par un tiers.
(63.1) Un organisme public doit prendre les mesures
de scurit propres assurer la protection des
renseignements personnels collects, utiliss,
communiqus, conservs ou dtruits et qui sont
raisonnables compte tenu, notamment, de leur sensibilit,
de la finalit de leur utilisation, de leur quantit, de leur
rpartition et de leur support.
conservation ?
conservation
hbergement
pas de connaissance
+ pas de contrle
utilisation
65.1. Un renseignement personnel ne peut tre utilis au sein d'un
organisme public qu'aux fins pour lesquelles il a t recueilli.
L'organisme public peut toutefois utiliser un tel renseignement une
autre fin avec le consentement de la personne concerne ou, sans son
consentement, dans les seuls cas suivants:
1 lorsque son utilisation est des fins compatibles avec celles pour
lesquelles il a t recueilli;
2 lorsque son utilisation est manifestement au bnfice de la personne
concerne;
3 lorsque son utilisation est ncessaire l'application d'une loi au
Qubec, que cette utilisation soit ou non prvue expressment par la loi.
Pour qu'une fin soit compatible au sens du paragraphe 1 du deuxime
alina, il doit y avoir un lien pertinent et direct avec les fins pour
lesquelles le renseignement a t recueilli.
utilisation ?
utilisation
hbergement
pas de connaissance
la prp en pratique
objectivs
principes gnraux peuvent tre prciss
par une documentation
inventaire (76)
procduralisation
modlisation
documentation
privacy by design
procdures
politiques
ex: Canada
ex: Canada
Politique d'valuation des facteurs
relatifs la vie prive (2002)
Les ministres et les organismes doivent
effectuer une valuation des facteurs
relatifs la vie prive pour toutes les
propositions de nouveaux programmes ou
services qui soulvent des questions
relativement au respect de la vie prive.
ex: Canada
ex: Canada
10/2011
ex: France
ex: France
Un audit Informatique et liberts est un
audit dont les critres permettent de juger
de la conformit de traitements de
donnes caractre personnel la loi
no 78-17 du 6 janvier 1978 relative
linformatique, aux fichiers et aux liberts,
modifie par la loi no 2004-801 du 6 aot
2004.
2008
ex: Qubec
assurer la mise
en uvre (2)
informer comit
des nouveaux
projets (7)
valuation des
risques (7)
sensibiliser le
personnel (2)
effectuer un
rapport (2)
11/2011
ds la
conception (4)
dclaration de faille
De scurit (7)
favoriser
lopen data (13)
appliquer le
Rglement (12)
Code of Conduct
(38)
Impact Assessment
(33)
Prior Consultation
(34)
Designation of the
data protection officer
(35)
Certification
(39)
documentation
Politique de scurit
politiques de scurit
ex: ISO/IEC 17799:2005
security policy;
organization of information security;
asset management;
human resources security;
physical and environmental security;
communications and operations management;
access control;
information systems acquisition, development and maintenance;
information security incident management;
business continuity management;
compliance.
dfinition
application de la Loi
finalits
utilisation / communication / collecte
scurit / confidentialit (selon sensibilit)
localisation des serveurs (ex: patriot act)
sous-contractant
dure de conservation
audit / inspection
notification si bris de scurit
accs
etc.
usage
scurit
logiciel
fichiers personnels
imprimantes
priphriques
utilisation dinternet
utilisation personnelle
utilisation acceptable
politique de blocage
politique de tlchargement
politique pour blogues / mdias sociaux (un peu diffrent!)
utilisation du courriel
utilisation acceptable
confidentialit
gestion des courriels
signature
audit
documentation
atelier pratique
circonstances attnuantes :
circonstances aggravantes :
La gravit objective des infractions reproches lintim;
La protection du public en matire de renseignements
confidentiels.
Obligations dontologiques
[33] Dans le prsent dossier, lintim, en hbergeant, sur son propre site
internet, les liens informatiques, code dutilisateur et mot de passe de son frre
(chef no. 1), sans protger adquatement laccs ceux-ci, na pas, de toute
vidence, respecter les obligations qui lui taient imposes par larticle 25
de la Loi concernant le cadre juridique des technologies de linformation,
soit celles de prendre les mesures de scurit propres en assurer la
confidentialit, notamment par un contrle daccs effectu au moyen
dun procd de visibilit rduite ou dun procd qui empche une
personne non autorise de prendre connaissance du renseignement;
[34] Il est probable que le recours au service dune entreprise spcialise
dans la cration de site web aurait permis lintim dviter le bris de
confidentialit qui lui est, aujourdhui, reproch dans la prsente plainte;
Potentiellement
assurance-vie
1)
conclusion
conclusion
conclusion
protection des
renseignements personnels + web
vincent gautrais
professeur titulaire
directeur CRDP
titulaire de la chaire L.R. Wilson
facult de droit CRDP universit de montral
www.twitter.com/gautrais
www.gautrais.com