Vie privée + technologies Notion de « renseignement personnel » Université de Montréal...

Vie privée + technologies Notion de « renseignement

personnel »

Université de MontréalConférence Droit civil + Technologies

Montréal, 18 février 2010

Plan

– 1) Perspective historique

– 2) Changements provoqués par l’Internet

– 3) Notion de renseignement personnel

Partie 1: Perspective historique

Qu’est-ce que la vie privée?

– « right to be let alone »(Warren et Brandeis, 1890)

– « immixtion dans la famille, le domicile ou la correspondance »(Déclaration Universelle des Droits de l’Homme, 1948)

– « contrôle d’un individu sur ses renseignements personnels »(Alan Westin (1967), Charles Fried (1968), Arthur Miller (1971), etc.)

Contrôle d’un individu sur ses renseignements personnels…..

….se trouvant dans une banque de données

automatisées

Contrôle d’un individu sur ses renseignements personnels…..

….se trouvant dans une banque de ….se trouvant dans une banque de donnéedonnée

automatiséeautomatisée

Vie privée

Protection des renseignements personnels

«Although the idea of privacy is very difficult to define, it is possible to tell when and how it may be infringed by the computerised use of personal data».*

__________________________________________________________*Parliamentary Assembly of the Council of Europe, Report on data processing and the protection of human rights, Presented by Committee on Science and Technology (Rapporteur: Mr. Holst , Doc. 4472), January 22, 1980, p. 5.

Partie 2: Changements provoqués par

l’Internet

Changements sur le plan technologique

1960 - 1970

1970 - 1980 - 1990…

…..Internet et nouveaux outils

Changements sur le plan social

Nouveaux modèles d’affaires

Nouvelles données…..

Partie 3: Notion de renseignement

personnel

renseignement concernant un individu identifiable

Définition de renseignement personnel

– Québec: Art. 2 LPRPSP– «tout renseignement qui concerne une personne

physique et permet de l'identifier.»

– Canada: Art. 2 LPRPDE – «tout renseignement concernant un individu

identifiable, à l’exclusion du nom et du titre d’un employé d’une organisation et des adresse et numéro de téléphone de son lieu de travail.»

– Europe: Article 2 (a) de la Directive 95/46/CE – «toute information concernant une personne

physique identifiée ou identifiable (personne concernée) (…).»

Cette définition vient des années….

– 80? Lignes directrices de l'OCDE et Convention 108 (1981)

Cette définition vient des années….

– 80? Lignes directrices de l'OCDE et Convention 108 (1981)

– 70??Conseil de l’Europe, résolutions 73 (22) et 74 (29) relatives à la protection de la vie privée des personnes physiques vis-à-vis des banques de données électroniques

Cette définition vient des années….

– 80? Lignes directrices de l'OCDE et Convention 108 (1981)

– 70??Conseil de l’Europe, résolutions 73 (22) et 74 (29) relatives à la protection de la vie privée des personnes physiques vis-à-vis des banques de données électroniques

– 60???Étude de 1968-1970 au niveau du Conseil de l’Europe suite à la Recommandation 509 du Comité des Ministres…

Nouvelles données

– Adresse IP

– Données collectées par des logiciels (cookies, etc.)

– Profils

– Données de localisation

– Puce RFID

La définition est-elle…

– Aucun besoin de démontrer une atteinte à la vie privée ou un dommage quelconque

– Nouvelles données: Article 29 Data Protection Working Party, Opinion 4/2007 on the concept of personal data, p. 17:

«So, unless the Internet Service Provider is in a position to distinguish with absolute certainty that the data correspond to users that cannot be identified, it will have to treat all IP information as personal data, to be on the safe side.»

trop large?

…. ou pas assez?

– Peut exclure des renseignements qui ne réfèrent pas nécessairement à un « individu identifiable » mais qui par ailleurs peuvent créer une certaine atteinte à la vie privée ou un dommage.

– Profils…. Identifiables ou non?

« individu identifiable » et incertitudes

NONNON

NON

OUI

OUI

OUI

« individu identifiable » et incertitudes

NONNON

NON

OUI

OUI

OUI

« individu identifiable » et incertitudes– Donnée qui identifie un outil (vs. un individu)…

– Exemple: Statut de l’adresse IP en France

• Avril 2007: Cour d'appel de Paris – Non• Mai 2007: Cour d'appel de Paris – Non• Juillet 2007: Communiqué de la CNIL – Oui• Mai 2008: Cour d’appel Rennes – Oui• Janvier 2009: Cour de cassation – Non• Juin 2009: Tribunal de grande instance Paris - Oui

« individu identifiable » et incertitudes

– Le renseignement doit-il être considéré en corrélation avec les autres renseignements qui existent ou sont disponibles?

Profil de l’utilisateur ------->

« individu identifiable » et incertitudes

Nom

John Smith

John Smith

John Smith

John Smith

John Smith

John Smith

John Smith

John Smith

---------> Adresse

John Smith

John Smith

John Smith

John Smith

John Smith

John Smith

John Smith

John Smith

---------> Date naissance

« individu identifiable » et incertitudes– Outil utilisé par un groupe: à quel moment est-ce que le

renseignement est « identifiable»?

« individu identifiable » et incertitudes– Quels sont les efforts / ressources devant être déployés

avant de déterminer si un renseignement identifie ou non un individu?

Eloïse GrattonMcMillan LLP+514 994-7417eloise.gratton@mcmillan.ca

Merci!