Le traitement des données personnelles dans les

services en ligne

Pierre TRUDELpierre.trudel@umontreal.ca

Responsabilité pour la protection de la vie privée

• Lorsque des renseignements sur des personnes

• Sont collectés, conservés, diffusés

• Dans le cadre de l’exploitation d’un environnement internet

La responsabilité, la biométrie et la protection de

la vie privée 

La responsabilité, la biométrie et la protection de

la vie privée 

Loi concernant le cadre juridique

des technologies de l’information

Art. 17, 19, 20, 21, 22,23, 24, 25,26, 27, 34, 36, 37, 43, 44, 45

La responsabilité découlant de la maîtrise de l’information

• La qualité– Intégrité

• possibilité de vérifier que l'information n'en est pas altérée et qu'elle est maintenue dans son intégralité

• et le support portant l’information procure à celle-ci la stabilité et la pérennité voulue

– Équité des interactions• Lors d’usage de documents pré-programmés, art

35.

Les obligations du gardien de l’information

• La maîtrise du support physique ou logique de l’information emporte des devoirs

• Qui sont le pendant/limite des droits affirmés– Obligations lors de l’accès/consultation

– Obligations découlant de la transmission

– Obligations relatives à la conservation

– Obligations de destruction et lors de la destruction

La responsabilité découlant de la connaissance

• Lorsqu’on n’a pas la maîtrise de l’information: pas d’obligation de surveillance

• Mais la responsabilité commence avec la connaissance de l’information– Connaissance effective ou fortes raisons de

croire

Responsabilité pour la détention

• Qui détient?

• Qu’est ce que détenir dans un réseau?

• Notion de contrôle « éditorial » d’un document

La Loi concernant le cadre juridique des technologies de l’information

• clarifie le régime de la responsabilité

• à l’égard des documents

• au sujet de la vie privée

• de la biométrie

Mesures biométriques

• celles qui concernent l'ensemble des caractéristiques personnelles distinctives d’une personne. Elles peuvent être lues par des systèmes informatiques et utilisées afin d'identifier une personne.

• principe: seulement ce qui est nécessaire• défense de conserver sans motif• surveillance des banques de données

biométriques par la CAI

Usages permis de la biométrie

• interdit d’exiger que l'identité d'une personne soit établie au moyen d'un procédé ou d'un dispositif qui porte atteinte à son intégrité physique.

• nul ne peut exiger qu'une personne soit liée à un dispositif qui permet de savoir où elle se trouve. – Sauf si la loi le prévoît -en vue de protéger la

santé des personnes ou la sécurité publique

Interdit d’exiger sans consentement exprès

• de la personne, • que la vérification ou la confirmation de son

identité soit faite au moyen d'un procédé permettant de saisir des caractéristiques ou des mesures biométriques

• principe du minimum de caractéristiques• interdiction d’usage de renseignements

secondaires

Pouvoirs de la CAI enmatière de biométrie

• l’existence d'une banque de caractéristiques ou de mesures biométriques doit lui être préalablement divulguée

– peut rendre toute ordonnance concernant de telles banques afin d'en déterminer la confection, l'utilisation, la consultation, la communication et la conservation y compris l'archivage ou la destruction des mesures ou caractéristiques prises pour établir l'identité d'une personne.

• elle peut aussi suspendre ou interdire la mise en service d'une telle banque ou en ordonner la destruction.

La responsabilité de protéger

la vie privée

• lors de la garde

• la conservation

• la consultation

• la transmission

• le transfert de support

Responsabilité lors de la garde d’un document (art. 19)

• pendant toute la période où on est tenu de conserver un document : – En assurer le maintien de son intégrité et voir

à la disponibilité du matériel qui permet de le rendre accessible et intelligible et de l'utiliser aux fins auxquelles il est destiné

– En assurer la confidentialité s’il est confidentiel

Responsabilités lors de la conservation (art. 21 et 26)

• Si une modification est faite au document– Documenter la modification

• Conservation par un prestataire– Celui qui confie la garde doit informer le

prestataire– Le prestataire doit prendre les moyens

d’assurer l’intégrité et la confidentialité du document

Responsabilités lors de la consultation (art 24 et 25)

• Limitation de la recherche extensive– à ce qui est nécessaire afin d’assurer le respect de la

finalité pour laquelle ces documents ont été rendus publics

– à supposer que le caractère public ait une finalité spécifique

• Protection de la confidentialité

Responsabilité lors de la transmission (art. 34)

• Lorsque la loi déclare confidentiels des renseignements que comporte un document, leur confidentialité doit être protégée par un moyen approprié au mode de transmission, y compris sur des réseaux de communication.

• La documentation expliquant le mode de transmission, incluant les moyens pris pour assurer la confidentialité doit être disponible pour production en preuve, le cas échéant.

Transfert de support (art. 20) -

les conditions de destruction • préparer et de tenir à jour des règles préalables à la

destruction des documents ayant fait l'objet d'un transfert; (sauf si c’est un particulier)

• s'assurer de la protection des renseignements confidentiels et personnels

• si documents en possession de l'État ou d'une personne morale de droit public, s’assurer que la destruction est faite selon le calendrier de conservation établi selon la Loi sur les archives

La responsabilité de ceux qui mettent l’information en

réseau

• Publier, éditer = décider de la teneur du document

• la fonction éditoriale implique:– le pouvoir de choisir ce qui sera diffusé,– de décider de le diffuser et – de décider à qui ou auprès de qui

l’information sera diffusée

Obligations des responsables de l’accès à un document technologique - rappel

• qui porte un renseignement confidentiel: • prendre les mesures de sécurité propres à en assurer la

confidentialité• notamment par un contrôle d'accès effectué au moyen

d'un procédé de visibilité réduite ou d'un procédé qui empêche une personne non autorisée de prendre connaissance du renseignement

• ou, selon le cas, d'avoir accès autrement au document ou aux composantes qui permettent d'y accéder.

Distinction avec le dépositaire de l’art. 26

• L’intermédiaire (visé à l’art. 37) qui conserve n’a pas de contrôle intellectuel sur le document

• Le dépositaire doit en contrôler l’accès, en maintenir la confidentialité etc.

Conclusion

• les personnes et entreprises doivent s’assurer que leurs pratiques sont conformes aux exigences des dispositions de la loi en matière de responsabilité.

• nécessité de mettre en place les précautions susceptibles de garantir qu’on s’en tient à un rôle compatible avec les responsabilités qu’on est prêt à assumer.

Pierre Trudel, professeurCentre de recherche en droit public,

Faculté de droitUniversité de Montréal

C.P. 6128, succursale Centre-villeMontréal (Québec) CANADA

H3C 3J7Tél : (514) 343-6263Fax : (514) 343-7508

Courriel : pierre.trudel@umontreal.caURL: http://www.crdp.umontreal.ca