protection des renseignements personnels + web

vincent gautraisprofesseur titulaire

directeur CRDPtitulaire de la chaire L.R. Wilson

faculté de droit – CRDP – université de montréalwww.twitter.com/gautrais

www.gautrais.com

2

plan

• introduction • les grands principes de la prp• les grandes opérations sous le contrôle de

la loi • la prp en pratique • atelier

1

quelques propos d’ introduction

plan 1

• introduction • les faits changent …• le droit évolue • la quête d’équilibre • la définition d’un r.p. • les sources juridiques

introduction

• Vie privée existe depuis longtemps mais…

• La problématique change avec l’électronique– Tellement facile de copier– Tellement facile de vendre, céder, échanger ces informations– Tellement facile de ne pas se rendre compte que des informations personnelles nous concernant circulent– Tellement facile de les communiquer à autrui.

« bon » droit = …

6

droitfaits

7

Michel SerresLes nouvelles technologies :

révolution culturelle et cognitive

faits

8

révolution des faits

faits

9

révolution de l’économie

faits

10

révolution des technologies

faits

11

révolution de la culture

faits

12

immigrants v. natives(Mark Prensky, Digital natives, Digital immigrants, 2001)

faits

13

PRP pc immobilisation RP (1970)

droit

14

PRP web 2.0 circulation RP (2000+)

droit

15

« bon » droit de la vp = …

16

m/oindividu

définition• Définition dans PIPEDA: «  article 2: «renseignement

personnel » Tout renseignement concernant un individu identifiable, à l'exclusion du nom et du titre d'un employé d'une organisation et des adresse et numéro de téléphone de son lieu de travail. »

• Définition dans la loi québécoise (secteur privé) : Article 2: « Est un renseignement personnel, tout renseignement qui concerne une personne physique et permet de l'identifier. » (aucune restriction)

• Définition dans la loi québécoise (secteur public): article 54. Dans un document, sont personnels les renseignements qui concernent une personne physique et permettent de l'identifier.

définition (Europe)Article 4(1) 'personal data' means any information relating to an identified or identifiable natural person 'data subject'; an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that person;

définition en pratique

• Un numéro de carte de crédit • Des indications personnelles sur sa race, sa santé, son

crédit, etc… • Mais aussi…

– Nom, prénom, courriel, âge, téléphone, adresse, etc… – Habitudes d’achat– Il faut aussi parfois qu’il y ait un lien entre les informations – Cela ne concerna généralement pas non plus les éléments qui

sont du domaine public– Etc.

définition en pratique

la place du dommage ?

projet de loi S-4 (2014) (ici)

infraction si dommage

sources juridiques Loi sur la protection des renseignements personnels dans le secteur privé (1994 - Québec) Loi sur la protection des renseignements personnels et les documents électroniques (2000 - Canada) (Annexe 1 )

Loi concernant le cadre juridique des technologies de l’information (2001 - Québec)

Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, LRQ, c A-2.1 Code civil du Québec

Et autres …

2

les grands principes de la prp

plan 2

• les 10 grands principes généraux

• les 10 grands principes en pratique

principes généraux1. Responsabilités 2. Finalités 3. Consentement 4. Limitations de la collecte 5. Limitation de l’utilisation, communication et de la conservation 6. Exactitude7. Sécurité 8. Transparence 9. Accès 10. Recours

responsabilité (.qc) 1. Responsabilité

8. La personne ayant la plus haute autorité au sein d'un organisme public exerce les fonctions que la présente loi confère à la personne responsable de l'accès aux documents ou de la protection des renseignements personnels.Toutefois, cette personne peut désigner comme responsable un membre de l'organisme public ou de son conseil d'administration, selon le cas, ou un membre de son personnel de direction et lui déléguer tout ou partie de ses fonctions.60. Lorsqu'un organisme public communique un renseignement personnel par suite d'une demande faite en vertu des paragraphes 1° à 4° de l'article 59, le responsable de la protection des renseignements personnels au sein de cet organisme doit enregistrer la communication.

responsabilité (.ca)1. Responsabilité« Une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner une ou des personnes qui devront s’assurer du respect des principes énoncés ci-dessous. »

« Les organisations doivent assurer la mise en œuvre des politiques et des pratiques destinées à donner suite aux principes, y compris :a) la mise en œuvre des procédures pour protéger les renseignements personnels ;b) la mise en place des procédures pour recevoir les plaintes et les demandes de renseignements et y donner suite ;c) la formation du personnel et la transmission au personnel de l’information relative aux politiques et pratiques de l’organisation ; etd) la rédaction des documents explicatifs concernant leurs politiques et procédures.

finalité (.qc)65.1. Un renseignement personnel ne peut être utilisé au sein d'un organisme public qu'aux fins pour lesquelles il a été recueilli.

L'organisme public peut toutefois utiliser un tel renseignement à une autre fin avec le consentement de la personne concernée ou, sans son consentement, dans les seuls cas suivants:

 1° lorsque son utilisation est à des fins compatibles avec celles pour lesquelles il a été recueilli;

 2° lorsque son utilisation est manifestement au bénéfice de la personne concernée;

 3° lorsque son utilisation est nécessaire à l'application d'une loi au Québec, que cette utilisation soit ou non prévue expressément par la loi.

•Lien direct.

• Pour qu'une fin soit compatible au sens du paragraphe 1° du deuxième alinéa, il doit y avoir un lien pertinent et direct avec les fins pour lesquelles le renseignement a été recueilli.

finalité (.ca)2. Finalités

« Les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées par l’organisation avant la collecte ou au moment de celle-ci. »

finalité (europe)2. Finalités

5(b) collected for specified, explicit and legitimate purposes and not further processed in a way incompatible with those purposes; further processing of personal data for archiving purposes in the public interest, or scientific and historical research purposes or statistical purposes shall, in accordance with Article 83(1), not be considered incompatible with the initial purposes; (“purpose limitation”);

consentement (.qc)

53. Les renseignements personnels sont confidentiels sauf dans les cas suivants:

 1° la personne concernée par ces renseignements consent à leur divulgation;

32

mais…

consentement souvent nocif !

33

Encore des mots toujours des motsLes mêmes motsRien que des motsDes mots faciles des mots fragilesC'était trop beauBien trop beauMais c'est fini le temps des rêvesLes souvenirs se fanent aussiQuand on les oublie

34

consentement souvent inutile !

35

ex: visite chez le médecin

consentement (.ca)3. Consentement

« Toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. »

EX: Selon une décision du Commissariat à la vie privée (Conclusion #40, 2002 IIJCan 42369 (C.V.P.C.)), du 12 mars 2002, une banque ne peut exiger d’une personne souhaitant ouvrir un compte sans avoir un quelconque crédit (simplement pour déposer des chèques), une étude crédit classique avec présentation d’un NAS.

consentement (europe)3. Consentement (Article 7)

1.Where processing is based on consent, the controller shall be able to demonstrate that consent was given by the data subject to the processing of their personal data.2.If the data subject's consent is given in the context of a written declaration which also concerns other matters, the request for consent must be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear and plain language. Any part of the declaration which constitutes an infringement of this Regulation that the data subject has given consent to shall not be binding.3.The data subject shall have the right to withdraw his or her consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. Prior to giving consent, the data subject shall be informed thereof. It shall be as easy to withdraw consent as to give it.4.When assessing whether consent is freely given, utmost account shall be taken of the fact whether, among others, the performance of a contract, including the provision of a service, is made conditional on the consent to the processing of data that is not necessary for the performance of this contract.

limitation collecte (.qc)

collecte ne peut être faite que pour une finalité donnée. (proche du principe de la finalité et de 65.1)

limitation collecte (.ca)4. Limitation de la collecte

« L’organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées et doit procéder de façon honnête et licite.  »

limitation traitement (.qc)

utilisation ne peut être faite que pour une finalité donnée. (proche du principe de la finalité et de 65.1)

limitation traitement (.qc)5. Limitation du traitement « Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n’y consente ou que la loi ne l’exige. On ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des fins déterminées. »

EX: Selon une décision du Commissariat à la vie privée (Conclusion #121, 2003 IIJCan 33645 (C.V.P.C.)), du 23 janvier 2003, une banque est responsable d’un employé qui utilise des renseignements sur un client pour commettre une fraude. En l’occurrence, le dédommagement offert par la banque est jugé suffisant.

exactitude (.qc)

72. Un organisme public doit veiller à ce que les renseignements personnels qu'il conserve soient à jour, exacts et complets pour servir aux fins pour lesquelles ils sont recueillis ou utilisés.

exactitude (.ca)6. Exactitude

« Les renseignements personnels doivent être aussi exacts, complets et à jour que l’exigent les fins auxquelles ils sont destinés. »

sécurité (.qc)

voir la Loi sur l’accès (76 (5); 63.1) 63.1. Un organisme public doit prendre les mesures de sécurité propres à

assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.

voir la lccjti (collecte – conservation – communication – utilisation)

sécurité (.ca)7. Mesures de sécurité« Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. »EX: Selon une décision du Commissariat à la vie privée (Conclusion #177, 2003 IIJCan 38271 (C.V.P.C.)), du 05 juin 2003, une banque ne peut laisser un ordinateur connecté à des renseignements personnels dans une aire publique sans mot de passe.EX: Selon une décision du Commissariat à la vie privée (Conclusion #289, 2005 IIJCan 15488 (C.V.P.C.)), du 03 février 2005, une banque est responsable du vol d’un ordinateur portatif de l’une de ses employées.

sécurité (.ca)7. Mesures de sécurité

tendance forte vers + de sécurité

sécurité (europe)7. Mesures de sécurité(30) Having regard to the state of the art and the costs of implementation and taking into account the nature, scope, context and purposes of the processing as well as the risk of varying likelihood and severity for the rights and freedoms of individuals, the controller and the processor shall implement appropriate technical and organisational measures, to ensure a level of security appropriate to the risk, including inter alia, as appropriate:(a) the pseudonymisation and encryption of personal data;(b) the ability to ensure the ongoing confidentiality, integrity, availability and resilience of systems and services processing personal data;(c) the ability to restore the availability and access to data in a timely manner in the event of a physical or technical incident;(d) a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures for ensuring the security of the processing.

transparence (.qc)

9. Toute personne qui en fait la demande a droit d'accès aux documents d'un organisme public.

transparence (.ca)8. Transparence « Une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne. »EX: Selon une décision du Commissariat à la vie privée (Conclusion #183, 2003 IIJCan 38064 (C.V.P.C.)), du 10 juillet 2003, une banque n’est pas tenue de publier ses politiques et ses pratiques concernant la gestion des renseignements personnels. Il est notamment précisé que « le commissaire était d’avis qu’une institution bancaire doit savoir de façon plus générale quelles seront les conséquences de la diffusion de détails sur ses politiques et pratiques. Il a trouvé logique qu’une banque ne veuille pas rendre public les étapes précises suivies pour empêcher la fraude, puisque les criminels pourraient utiliser cette information pour déjouer les mesures de protection de l’institution ».

accès (.qc)83. Toute personne a le droit d'être informée de l'existence, dans un

fichier de renseignements personnels, d'un renseignement personnel la concernant.

89. Toute personne qui reçoit confirmation de l'existence dans un fichier d'un renseignement personnel la concernant peut, s'il est inexact, incomplet ou équivoque, ou si sa collecte, sa communication ou sa conservation ne sont pas autorisées par la loi, exiger que le fichier soit rectifié.

94. Une demande de communication ou de rectification ne peut être considérée que si elle est faite par écrit par une personne physique justifiant de son identité à titre de personne concernée (…).Elle est adressée au responsable de la protection des renseignements personnels au sein de l'organisme public.

accès (.ca)9. Accès

« Une organisation doit informer toute personne qui en fait la demande de l’existence de renseignements personnels qui la concernent, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers, et lui permettre de les consulter. Il sera aussi possible de contester l’exactitude et l’intégralité des renseignements et d’y faire apporter les corrections appropriées. »

recours (.qc)

135. Une personne dont la demande écrite a été refusée en tout ou en partie par le responsable de l'accès aux documents ou de la protection des renseignements personnels peut demander à la Commission (cad cai) de réviser cette décision.

recours (.ca)10. Plaintes

« Toute personne doit être en mesure de se plaindre du non-respect des principes énoncés ci-dessus en communiquant avec le ou les personnes responsables de les faire respecter au sein de l’organisation concernée. »

principes en pratique

1. Existence d’une politique – Reprendre les éléments de base– Les respecter – Écrire une politique lisible– Disposer cette politique dans un endroit

stratégique (voir par exemple les exigences de TrustE)

principe en pratique (droit du travail)

1 – Sanctions possibles si avertissements (politique) –De plus en plus un critère (clair au fédéral – moins au provincial) –États-Unis: pas besoin –Europe (France): cela dépend… –Attention donc au droit comparé

2 – Contrôle possible de l’employeur si –Avertissements –Pas arbitraire–« Raisonnable »

3 – Proportionnalité de la sanction–Pas forcément de sanctions graves la première fois

4 – Autres critères susceptibles d’être pris en compte –Propriété de l’ordinateur –Lieu du travail (télétravail?)

avertissements•Belisle c. Rawdon (Municipalité), 2005 QCCRT 453 (IIJCan) (il n’y a pas eu avertissement) •[168]      De surcroît, en l’absence d’une politique claire de l’intimée quant à l’usage du matériel informatique et en l’absence de preuve d’un préjudice quelconque à l’employeur, ce motif ne saurait justifier le congédiement du plaignant, comme le souligne la Cour du Québec dans l’affaire Commission des normes du travail c. Bourse de Montréal (2002) R.J.D.T. 617 •Commission des normes du travail c. Bourse de Montréal, D.T.E. 2002T-373 (Québec) il n’y a pas eu avertissement) •Services d'administration P.C.R. Ltée. c. Québec (Commissaire du travail), 2003 IIJCan 602 (QC C.S.) (il y a eu avertissement) •Syndicat canadien des communications, de l’énergie et du papier, Section locale 522 c. CAE Électronique Ltée, D.T.E. 2000T-157 (T.A.) (il y a eu avertissement)

avertissements•Même si politique, peut ne pas marcher

• Bell Canada c. Association canadienne des employés de téléphone, D.T.E. 2000T-254 (T.A.)

• Boisvert c. Industrie Machinex (2002)

•Même si absence de politique, employé peut être condamné

R. c. Cole, [2012] 3 RCS 34, 2012 CSC 53

[3] Bien que les politiques et les pratiques en vigueur dans le milieu de travail puissent réduire l’attente du particulier en matière de respect de sa vie privée à l’égard d’un ordinateur de travail, les réalités opérationnelles de ce genre ne font pas à elles seules disparaître complètement l’attente : la nature des renseignements en jeu expose les préférences, intérêts, pensées, activités, idées et recherches de renseignements de l’utilisateur individuel.

(non exclusion de preuves obtenues sans mandat)

contrôle possible de l’employeur si …

1 – Raisonnabilité

2 – Mais attente raisonnable de vie privée de l’employeur – Srivastava– Bell Canada – Blais c. Société des Loteries Vidéos du Québec Inc., 2003 QCCRT 14 (IIJCan)

3 – Pas de congédiement prétexte

4 – Charge de la preuve à l’employeur

– Alliance de la fonction publique du Canada c. Musée des beaux-arts du Canada (2003)

proportionnalité

• Alliance de la fonction publique du Canada c. Musée des beaux-arts du Canada (2003)

• Jacobs c. Mohawks Internet Technologies/Sports Interaction (2004)

• Pas de mise en garde (Syndicat des cols bleus)

critères aggravants Haut niveau d’indépendance de l’employé • Syndicat canadien des communications, de l’énergie et du papier, Section locale 522 c. CAE Électronique Ltée, D.T.E. 2000T-157 (T.A.) 

Refus de collaboration – faible ancienneté – mauvaise foi • Syndicat des spécialistes et professionnels d’Hydro-Québec c. Hydro-Québec, non rapporté, 2 septembre 2003 • DiVito• Centre de réadaptation Lethbridge

Propriété • Srivastava c. Hindu Mission of Canada, [2001] J.Q. 1913 (CA) NON• Arpin c. Grenier, 2004 IIJCan 11259 (QC C.Q.) OUI• R. Cole 2012 CSC 53 OUI (mais)

Gravité • Syndicat canadien des communications, de l’énergie et du papier, Section locale 522 c. CAE Électronique Ltée, D.T.E. 2000T-157 (T.A.)  • Perrault

critères exonérants•Ancienneté / utilisation ponctuelle

• Bell Canada c. Association canadienne des employés de téléphone, D.T.E. 2000T-254 (T.A.) • L’arbitre note que l’incident ne représente pas un cas isolé et convient qu’il est compréhensible que le temps et l’équipement de l’employeur, tels le téléphone ou l’Internet, soient parfois utilisés à des fins personnelles. Il y aura faute si l’usage est fréquent et prive la direction de l’exécution du travail. Malgré la dérogation au code de conduite qui interdisait la transmission de ce genre de messages, le décideur considère que le salarié n’a pas utilisé exagérément le temps de son employeur, que ce dernier accorde trop d’importance au contenu érotique des fichiers et que leur transmission n’a pas affecté sa réputation. Vu les neuf ans d’ancienneté et le dossier disciplinaire vierge, l’arbitre impose plutôt une suspension de trois mois.

• Pas de précédent

• Bell Canada

• Absence de dommages (sur des sites de hackers)

• Commission des normes du travail c. Bourse de Montréal inc., D.T.E. 2002T-373 (C.Q.) 

principes en pratique2. Inscrire dans la politique la finalité de la collection, l’utilisation ou la communication des RP

3. Aménager le consentement• OPT-IN: droit d’opposition quant à l’utilisation ultérieure

» Soit actif» Soit passif

• OPT-OUT: droit de retrait» N’importe quand » Ne plus utiliser les RP pour les finalités déjà

consenties• Attention au formulaire de renonciation (idem contrat)

principes en pratique

4. Utilisation des cookies. Sont-ils comestibles? • Qu’est-ce c’est? • A quoi ça sert?

» Retracer » Sécurité» Faciliter l’utilisation (ex: panier d’achat)

• Expliquer ce que c’est et dire comment s’en prémuni• Approche française en 2015

principes en pratique5. Le droit d’accès 6. Le respect d’une certaine sécurité 7. Mettre la liste des RP saisis sur le site et éventuellement préciser ceux qui ne le sont pas8. Éventuellement envisager des situations spéciales selon les spécificités du site

• Enfants• Informations sur la santé

9. Éventuellement faire une mention de la loi applicable10. Éventuellement permettre un lien par courriel à un responsable des RP sur le site

3

les grandes opérations sous le contrôler de la loi

plan 3

• communication

• collecte

• conservation

• utilisation

contrôleex: R. v. Patrick, 2009 SCC 17

[62]  Néanmoins, jusqu’au moment où les ordures sont placées à la limite du terrain ou à la portée de quelqu’un se trouvant à cette limite, l’occupant conserve une part de contrôle sur la façon dont il en sera disposé et on ne saurait dire qu’il les a abandonnées de façon certaine, surtout si elles se trouvent sur une galerie, dans un garage ou à proximité immédiate de la résidence, où s’appliquent les principes énoncés dans les arrêts portant sur les « perquisitions périphériques », tels Kokesch, Grant et Wiley.

[63]  (…)  Toutefois, lorsque les ordures sont placées à la limite de la propriété pour la collecte, j’estime que le propriétaire a suffisamment renoncé au droit et au contrôle qu’il avait à leur égard pour qu’il ne subsiste plus aucun droit objectivement raisonnable en matière de respect de sa vie privée

communication(59) « Un organisme public ne peut communiquer un renseignement personnel sans le consentement de la personne concernée. »

communication transmission

ex: communication ?

3 – PEL – Serviced’identification

1 – Citoyen

4 – M/O utilisé pour la vérification

2 – M/O

Servicerecherché

communication

communication = connaissance + contrôle

collecte« (64)  Nul ne peut, au nom d'un organisme public, recueillir un renseignement personnel si cela n'est pas nécessaire à l'exercice des attributions de cet organisme ou à la mise en œuvre d'un programme dont il a la gestion.

 Un organisme public peut toutefois recueillir un renseignement personnel si cela est nécessaire à l'exercice des attributions ou à la mise en œuvre d'un programme de l'organisme public avec lequel il collabore pour la prestation de services ou pour la réalisation d'une mission commune. »

collecte

collecte =

droit d’en prendre connaissance + contrôle

74

75

collecte ?

non car…

1) pas de connaissance2) + pas de contrôle3) limite responsabilité de l’hébergeur (22)

conservation« (1)  La présente loi s'applique aux documents détenus par un organisme public dans l'exercice de ses fonctions, que leur conservation soit assurée par l'organisme public ou par un tiers. »

(63.1) « Un organisme public doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. »

(19 lccjti) « assurer le maintien de son intégrité et voir à la disponibilité du matériel permettant de le rendre accessible et de l’utiliser aux fins auxquelles il est destiné ».

25 lccjti. La personne responsable de l'accès à un document technologique qui porte un renseignement confidentiel doit prendre les mesures de sécurité propres à en assurer la confidentialité, notamment par un contrôle d'accès effectué au moyen d'un procédé de visibilité réduite ou d'un procédé qui empêche une personne non autorisée de prendre connaissance du renseignement ou, selon le cas, d'avoir accès autrement au document ou aux composantes qui permettent d'y accéder.

conservation ?

conservation hébergement

pas de connaissance + pas de contrôle

utilisation• « 65.1. Un renseignement personnel ne peut être utilisé au sein d'un

organisme public qu'aux fins pour lesquelles il a été recueilli.L'organisme public peut toutefois utiliser un tel renseignement à une autre fin avec le consentement de la personne concernée ou, sans son consentement, dans les seuls cas suivants: 1° lorsque son utilisation est à des fins compatibles avec celles pour lesquelles il a été recueilli; 2° lorsque son utilisation est manifestement au bénéfice de la personne concernée; 3° lorsque son utilisation est nécessaire à l'application d'une loi au Québec, que cette utilisation soit ou non prévue expressément par la loi.  

• Pour qu'une fin soit compatible au sens du paragraphe 1° du deuxième alinéa, il doit y avoir un lien pertinent et direct avec les fins pour lesquelles le renseignement a été recueilli.

utilisation ?

utilisation hébergement

pas de connaissance

4

la prp en pratique

nous avons vu les principes généraux prévus dans la loi …

comment savoir que vous respectez ces principes généraux ?

objectivésprincipes généraux peuvent être précisés par

une documentation

documentation

procédures

privacy by design

modélisation

procéduralisation

politiques

inventaire (76)

76 loi sur l’accès

76. Un organisme public doit établir et maintenir à jour un inventaire de ses fichiers de renseignements personnels.Cet inventaire doit contenir les indications suivantes: 1° la désignation de chaque fichier, les catégories de renseignements qu'il contient, les fins pour lesquelles les renseignements sont conservés et le mode de gestion de chaque fichier; 2° la provenance des renseignements versés à chaque fichier; 3° les catégories de personnes concernées par les renseignements versés à chaque fichier; 4° les catégories de personnes qui ont accès à chaque fichier dans l'exercice de leurs fonctions; 5° les mesures de sécurité prises pour assurer la protection des renseignements personnels.Toute personne qui en fait la demande a droit d'accès à cet inventaire, sauf à l'égard des renseignements dont la confirmation de l'existence peut être refusée en vertu des dispositions de la présente loi.

ex: Canada

ex: Canada

Politique d'évaluation des facteurs relatifs à la vie privée (2002)

« Les ministères et les organismes doivent effectuer une évaluation des facteurs relatifs à la vie privée pour toutes les propositions de nouveaux programmes ou services qui soulèvent des questions relativement au respect de la vie privée. »

ex: Canada

Lignes directrices sur l'évaluation des facteurs relatifs à la vie privée - Cadre de gestion des risques d'entrave à la vie privée (2002)

ex: Canada

CPVP – Une question de confiance : Intégrer le droit à la vie privée aux mesures de sécurité

publique au 21e siècle (2010)

10/2011 ex: France

ex: France

Un audit «Informatique et libertés» est un audit dont les critères permettent de juger de la conformité de traitements de données à caractère personnel à la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi no 2004-801 du 6 août 2004.

2008 ex: Québec

Règlement ne s’applique pas aux municipalités

responsable du prp doit…

effectuer un rapport (2)

publier sur Internetinfos sur prp (4)

assurer la mise en œuvre (2)

créer un comité Sur prp (2)

sensibiliser le personnel (2)

informer comité des nouveaux projets (7)

évaluation des risques (7)

11/2011 pas encore mais …

recommandations de la cai (21)

appliquer le Règlement (12)

favoriser l’open data (13)

politiques plus simples (1)

dès la conception (4)

déclaration de failleDe sécurité (7)

règlement europe 12/2015

Impact Assessment(33)

Prior Consultation(34)

Designation of the data protection officer

(35)

Code of Conduct(38)

Certification(39)

Etc.

documentation

Politique de sécurité

évaluation des risques

• identifier si rp

• identifier le niveau de risque – des rp (sensibilité)– des opérations

• identifier les partenaires

évaluation des risques

• évaluation des besoins• évaluation en documentation • évaluation du cycle de vie des documents • évaluation des risques à proprement

parler– Reprendre les 10 principes généraux

politiques de sécurité

ex: ISO/IEC 17799:2005 • security policy;• organization of information security;• asset management;• human resources security;• physical and environmental security;• communications and operations management;• access control;• information systems acquisition, development and maintenance;• information security incident management;• business continuity management;• compliance.

politiques avec clients• identifier un responsable de la prp• modalités pré-contractuelles (confidentialité) • modalités contractuelles

– définition – application de la Loi – finalités– utilisation / communication / collecte – sécurité / confidentialité (selon sensibilité)– localisation des serveurs (ex: patriot act) – sous-contractant – durée de conservation – audit / inspection – notification si bris de sécurité– accès – etc.

politiques avec employés• utilisation des ordinateurs / logiciels

– usage – sécurité – logiciel – fichiers personnels– imprimantes– périphériques

• utilisation d’internet– utilisation personnelle– utilisation acceptable – politique de blocage – politique de téléchargement– politique pour blogues / médias sociaux (un peu différent!)

• utilisation du courriel – utilisation acceptable – confidentialité– gestion des courriels – signature

forme d’une politique de VP1. Reprendre les éléments de base2. Les respecter 3. Écrire une politique lisible4. Disposer cette politique dans un endroit stratégique5. La mise à la connaissance de l’employé6. Avis aux employés et modalités de mises à la connaissance 7. Répétition des avis (programmation des accès Internet) 8. Formation des employés9. Signature d’un document (électronique ou papier) 10. Modalités de contrôle

contenu d’une politique de VP• Étendue des permissions • Étendue des interdictions (activités prohibées) • Propriété des outils de « production »• Protéger contre utilisation inappropriée• Protection des informations sensibles• Réserve des droits de l’employeur• Fréquence des contrôles• Prévoir sanctions si manquement• Prévoir si employé s’en va de l’entreprise • Etc…

politiques de gestion des t.i.

en vrac … – gestion des mots de passe – verrouillage des ordinateurs, portables, blackberrys et téléphones

cellulaires– conservation de documents contenant des renseignements

confidentiels ou personnels– communications électroniques et envoi et réception de documents par

télécopieur– destruction de documents contenant des renseignements confidentiels

ou personnels– délai de rétention – hypothèse de fin d’emploi – etc.

audit

• reconsidérer l’ensemble des politiques

• le faire valider soit à l’interne soit à l’externe

documentation

Politique sur courriel

politiques sur site internet

• rp qui sont collectés• rp qui ne sont pas collectés • finalités de leur utilisation • consentement éventuel• accès • personne contact

« politiques » sur courriel

• identifier les finalités • identifier les modalités d’utilisation• identifier les modalités de destruction • identifier une clause qui va permettre de limiter

sa responsabilité – “Please be careful whenever sending personal information to us via e-

mail. E-mail is generally not a secure means of transferring information. We therefore cannot guarantee that this information will not be lost or used in a fraudulent manner and we encourage the use of e-mail encryption to communicate with us.”

5

atelier pratique

• Faits: Lors de la dernière mise à jour d’un site web, un virus informatique s’est glissé dans le portail de sécurité. Ce virus a fait en sorte que pour une période d’environ 20 jours, Monsieur X a hébergé sur le site Web d’un cabinet d’assurances, les liens informatiques, codes d’utilisateur et mots de passe de son frère, agent en assurance de dommages, rattaché et dédié à société mutuelle d’assurance Y, alors que l’accès à ceux-ci n’était pas protégé, permettant ainsi, notamment à tout visiteur d’avoir accès à des renseignements personnels de plus de 12 000 clients de Y (noms, adresses, détails sur primes d’assurances). Dès que X fut informé de cette situation, il prit les mesures nécessaires pour y remédier. X est un jeune n’ayant pas une formation informatique très poussée. Aucun individu ne s’est plaint du fait que ses renseignements personnels étaient accessibles pour cette période.

• Question (1): Y a-t-il responsabilité au sens de l’article 25 LCCJTI et pourquoi?

• Question (2): La brèche doit-elle être divulguée aux assurés dont les informations étaient accessibles durant cette période?

question (1): Y a-t-il responsabilité au sens de l’article 25 LCCJTI et pourquoi ?

25 LCCJTI. La personne responsable de l'accès à un document technologique qui porte un renseignement confidentiel doit prendre les mesures de sécurité propres à en assurer la confidentialité, notamment par un contrôle d'accès effectué au moyen d'un procédé de visibilité réduite ou d'un procédé qui empêche une personne non autorisée de prendre connaissance du renseignement ou, selon le cas, d'avoir accès autrement au document ou aux composantes qui permettent d'y accéder.

Chambre de l'assurance de dommages c. Kotliaroff, 2008 CanLII 19078 (QC CDCHAD)

Le Comité de discipline, chambre de l’assurance de dommages, en 2008 a dit….. responsable!

mais circonstances particulières…

Chambre de l'assurance de dommages c. Kotliaroff, 2008 CanLII 19078 (QC CDCHAD)Infraction au Code de déontologie des représentants en assurance de dommages et autres lois et codes similaires.

Les parties se sont entendues sur la recommandation commune d’une amende de 2,000$ (admission de responsabilité).

Le Comité pas liée par la recommandation et considère que la recommandation commune constitue une sanction juste et raisonnable puisqu’elle tient compte de toutes les circonstances particulières de la présente affaire….

Chambre de l'assurance de dommages c. Kotliaroff, 2008 CanLII 19078 (QC CDCHAD)

• circonstances atténuantes :– L’absence d’antécédents disciplinaires de l’intimé;– Le plaidoyer de culpabilité enregistré dès la première occasion;– La collaboration de l’intimé à l’enquête de la syndic;– Les moyens entrepris par l’intimé pour corriger cette situation,

dès qu’il en fut informé;– L’absence d’intention malhonnête de l’intimé;

• circonstances aggravantes :– La gravité objective des infractions reprochées à l’intimé;– La protection du public en matière de renseignements

confidentiels.– Obligations déontologiques

Chambre de l'assurance de dommages c. Kotliaroff, 2008 CanLII 19078 (QC CDCHAD)

Motifs du jugement:• [33]  Dans le présent dossier, l’intimé, en hébergeant, sur son propre site

internet, les liens informatiques, code d’utilisateur et mot de passe de son frère (chef no. 1), sans protéger adéquatement l’accès à ceux-ci, n’a pas, de toute évidence, respecter les obligations qui lui étaient imposées par l’article 25 de la Loi concernant le cadre juridique des technologies de l’information, soit celles «de prendre les mesures de sécurité propres à en assurer la confidentialité, notamment par un contrôle d’accès effectué au moyen d’un procédé de visibilité réduite ou d’un procédé qui empêche une personne non autorisée de prendre connaissance du renseignement»;

• [34]  Il est probable que le recours au service d’une entreprise spécialisée dans la création de site web aurait permis à l’intimé d’éviter le bris de confidentialité qui lui est, aujourd’hui, reproché dans la présente plainte;

Question (2): La brèche doit-elle être divulguée aux assurés dont les informations étaient accessibles durant cette période ?

1) Les renseignements sont‑ils sensibles? Potentiellement

2) Quels sont les préjudices prévisibles pour les personnes concernées?     Vol? Fraude?

3) Quel est le contexte lié aux renseignements personnels en cause?

4) Les renseignements personnels sont‑ils convenablement chiffrés, dépersonnalisés

ou difficiles d’accès? NON

5) Comment les renseignements personnels peuvent‑ils être utilisés? Assurance dommages vs. assurance-vie

6) L’information peut‑elle servir à des fins frauduleuses ou autrement préjudiciables? Potentiellement

1) Y a‑t‑il un risque que des brèches se reproduisent ou que les renseignements soient davantage compromis? NON

2) Quelle a été l’étendue de l’accès non autorisé aux renseignements personnels ou de la collecte, de l’utilisation ou de la communication non autorisée de tels renseignements? 12 000 assurés

3) L’information a‑t‑elle été perdue ou volée? N/A - pas volée 4) Les renseignements personnels ont-ils été retrouvés?   N/A5) Quelles mesures ont été prises pour atténuer les préjudices? 6) S’agit‑il d’un problème systémique ou

d’un incident isolé? Incident isolé

cause et étendue de la brèche dans les renseignements personnels

• Quelle est la quantité de renseignements personnels compromis par la brèche et quelles personnes sont concernées par la brèche?

• Préjudices prévisibles découlant de la brèche pour personnes concernées et pour l’organisation

- Assurance dommages vs assurance-vie

• Préjudice que la notification de la brèche dans les renseignements personnels pourrait causer au public

Personnes concernées par la brèche dans les renseignements personnels

• Si l'atteinte à la vie privée pose un risque de préjudice pour les personnes concernées, celles-ci devraient en être notifiées rapidement afin de leur permettre de prendre des mesures pour se protéger.

• Chaque incident doit être examiné au cas par cas afin de déterminer si l'atteinte à la vie privée doit faire l'objet d'une notification.

• Pour décider s’il convient de notifier les personnes concernées, il faut :

– se demander si la notification est nécessaire pour éviter ou atténuer les préjudices; et

– tenir compte de la capacité des personnes à prendre des mesures précises pour réduire tout autre préjudice.

conclusion

• droit « vieux » (définition – loi – 10 principes)

• droit « neuf » (procéduralisation – autorégulation)

conclusion

• La transparence comme solution et comme développement de la confiance

• La peur de ce qui est opaque

conclusion

ex: google street view

protection des renseignements personnels + web

vincent gautraisprofesseur titulaire

directeur CRDPtitulaire de la chaire L.R. Wilson

faculté de droit – CRDP – université de montréalwww.twitter.com/gautrais

www.gautrais.com

2