Upload
helaine-tellier
View
111
Download
0
Embed Size (px)
Citation preview
LA CIRCULATION DES RENSEIGNEMENTS PERSONNELS DANS LES ENVIRONNEMENTS « WEB 2.0 »
Pierre Trudel
Dans les réseaux
• il y a des entités qui contrôlent l’information, peuvent y accéder et la communiquer à d’autres
• il y a des entités qui assurent des fonctions d’intermédiaires, traitent l’information sans pour autant avoir le contrôle sur celle-ci.
Lorsque je poste une lettre:
Est-ce que Postes Canada « collecte » mes renseignements personnels?
Elle les détient…
Elle les transmet
Elle les communique?
Alors…. dans un environnement Internet, il existe de pareils intermédiaires
Environnements à contenu généré par l’utilisateur
Sites de dépôt de documents par l’usager
Ex.: http://www.cvcommun.net
Sites proposant des « espaces » aux usagers: exemple: certains sites de tourisme
La tendance « web 2.0 »
• l’information est: • placée par l’usager
diffusée par décision de l’usager
• l’usager dispose d’une capacité de CONTRÔLE sans précédent
des usagers…• de plus en plus actifs….• les organismes publics
offrent de plus en plus de services en ligne « contrôlés » par l’usager
• Mais est-ce que ces organismes « collectent » et « détiennent » les RP ainsi déposés par l’usager?
L’usager - plus que jamais CONTRÔLE
Contrôle
Maîtrise du sens : Rédaction
Introduction de données, d’informations
Exercice d’un pouvoir de décision dans la détermination des
informations qui seront crééesMaîtrise de l’accès:
Droit de déterminer qui aura accès à l’information à un document
Droit de régir l’usage du document####
Maîtrise purement formelle ou mécanique :
Vérifications de la conformité à des standards
Vérification de la présence ou non d’éléments d’information
Simple « gardien » du fichier
Non-contrôle
« contrôler » l’information• c’est exercer à son égard, les
prérogatives qui autorisent l’exercice des attributs qu’elle comporte.
• contrôle de facto : une personne obtient par exemple un fichier, le reproduit et le diffuse à d’autres personnes sans détenir les autorisations aux termes des lois sur la protection des renseignements personnels.
• contrôle de jure comme celui
permettant qu’une personne dispose d’un droit exclusif d’interdire la diffusion d’un fichier.
Tous n’ont pas le même rôle à l’égard des renseignements personnels
Ceux qui décident• de la teneur de
l’information• l’utilisent• décident de la rendre
disponible
Les intermédiaires• ceux qui procurent des
facilités pour traiter– conserver– héberger– retrouver l’information
• Mais qui, comme tel, ne CONTRÔLENT pas les documents détenus dans leurs environnements
Lorsqu’un organisme se trouve en possession physique d’un « document »
comportant des renseignements personnels
Il faut qualifier cette possession
• À titre d’entité qui CONTRÔLE le renseignement?
• À titre d’intermédiaire:• hébergeur• transporteur…?
Pour être responsable, il faut être en position de « contrôle »
• Pour être tenu à des obligations en matière de renseignements personnels:
• il faut être en position de contrôle à l’égard des documents qui comportent de tels renseignements.
• « contrôler », c’est exercer un rôle actif.
• c’est maîtriser.
Différentes intensités dans le contrôle à l’égard de l’information
• Plus on a le contrôle sur un document….
• plus on en répond.
Des obligations différentes
• Obligations des entités en état de contrôle des RP:
• responsable• tenu aux obligations en
matière de PRP
• Obligations des entités en état de non contrôle des RP :
• a priori non responsable• doit respecter les
conditions prévues à l’article 26 LCJTI
article 22 Loi sur le cadre juridique des TI
• le prestataire de services qui agit à titre d'intermédiaire pour offrir des services de conservation de documents technologiques sur un réseau de communication
• n'est pas responsable des activités accomplies par l'utilisateur du service au moyen des documents remisés par ce dernier ou à la demande de celui-ci.
L’intermédiaire qui n’a pas le contrôle
À des obligations…
• Quiconque confie un document à un prestataire de services pour en assurer la garde doit informer ce dernier de la protection requise
• Personne responsable de l’accès à un document: doit prendre des mesures propres à en assurer la confidentialité
…différentes de l’entité qui « utilise » ou contrôle
• L’entité qui « utilise » ou « contrôle », assume l’ensemble des obligations en matière de protection des renseignements personnels
Analyser le contrôle permet de déterminer si on est en présence d’opérations visées dans les lois
sur la PRP • Collecte• Détention• Communication• Utilisation• Transmission• Conservation
La communication de documents comportant des RP
• Dans un environnement en réseau, l’information circule d’un point à l’autre.
• Mais la circulation de l’information n’emporte pas sa communication à chacun des points dans lesquels elle est relayée.
• Communiquer un renseignement ou un document implique de conférer un droit de prendre connaissance de la teneur du document ou du renseignement.
• Si le document est mis en possession physique ou juridique d’une entité, cela ne signifie pas que celle-ci ait obtenu communication du document ou du renseignement.
Collecte de RP
• La collecte de renseignements personnels s’entend:
• d’une opération par laquelle des renseignements sont placés sous le contrôle d’une entité qui du fait de cette opération acquiert, à l’égard des documents ou renseignements, un droit d’en prendre connaissance.
Transmission de RP
• Transmettre n’est pas « communiquer ».
• Transmettre un document, c’est l’expédier d’un point d’expédition à un point de réception. C’est le faire passer techniquement d’un point à l’autre.
Conservation de RP
• À titre de « contrôleur » ou à titre d’intermédiaire?
Détention de RP• Il est nécessaire de
qualifier la détention:
• est-elle à titre de « contrôleur » de l’information
ou • à titre d’intermédiaire?
situation dans laquelle une entité est en possession physique du support sur lequel est consigné un renseignement personnel.
L’utilisation de renseignements personnels
• L’entité qui n’utilise pas les renseignements personnels, n’est responsable qu’à titre d’intermédiaire
• Utiliser des renseignements personnels implique d’en avoir connaissance et de décider d’agir ou non à la lumière de la connaissance que ces renseignements confèrent.
Conclusion
• Les obligations en matière de PRP diffèrent selon qu’une entité exerce une fonction
• de contrôle des renseignements personnels– utilise les
renseignementsOU
• une fonction d’intermédiaire– n’utilise pas les
renseignements, ni n’a le contrôle
Pierre TrudelTitulaire de la Chaire L.R. Wilson sur le droit des technologies de l'information et du commerce électronique
Centre de recherche en droit publicFaculté de droitUniversité de Montréal
C.P. 6128, succursale Centre-villeMontréal QC Canada H3C 3J7téléphone: (514) 343-6263télécopieur: (514)343-7508
www.chairelrwilson.net