Renseignements personnels et Internet: définitions, subtilités et enjeux Journée WebÉducation Julie Boucher, ll.b., conseillère Direction de laccès à linformation

Renseignements personnels et Internet: définitions, subtilités et enjeux

Journée WebÉducation

Julie Boucher, ll.b., conseillère

Direction de l’accès à l’information et de la

protection des renseignements personnels

Le 14 octobre 2010

2

Plan de présentation

Introduction Objectifs de la conférence

Cadre juridique

1. Les renseignements personnels et l’édition de contenu Web La notion

La protection

Les questions spécifiques aux moyens technologiques

2. Les renseignements personnels dans l’actualité Facebook

Google

Cloud computing

3

Introduction

Objectifs de la présentation

Offrir une présentation complète et accessible des règles qui régissent la protection des renseignements personnels au sein des organismes publics

Permettre aux participants de développer les réflexes appropriés en matière de protection des renseignements personnels afin qu’ils bénéficient de cette plus-value dans l’élaboration et la mise en place de leurs prochains projets

4

Introduction

Cadre juridique

Charte des droits et libertés de la personne Art. 5 et art. 44

Code civil du Québec Art. 35 à 41

Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels

Loi sur la protection des renseignements personnels dans le secteur privé

Loi concernant le cadre juridique des technologies de l'information

Règlement sur la diffusion des l’information et la protection des renseignements personnels

5

1. Renseignements personnels et édition de contenu Web

1.1 La notion de renseignement personnel

1.1.1 Définition

1.1.2 Applications

1.1.3 Exemples

1.1.4 Exceptions

6

1.1 La notion de renseignement

personnel

1.1.1 La définition

Un renseignement personnel est : « un renseignement qui concerne une personne et qui permet de l’identifier »

Loi sur l’accès aux documents des organismes publics et sur la

protection des renseignements personnels (art. 54)

Loi sur la protection des renseignements personnels dans le

secteur privé (art. 2)

Avant 2006, on parlait de « renseignement nominatif »

7

1.1 La notion de renseignement

personnel

1.1.2 Applications

Pour être visé par la protection, il doit donc s’agir D’un renseignement

Qui concerne une personne physique

Qui permet de l’identifier

Contenu dans un document

8


1.1.2 Applications – le renseignement

Il peut s’agir d’une information qui identifie directement la personne Le nom, le numéro d’assurance-maladie

Les photos ou vidéos

Ou d’éléments qui ne sont pas significatifs mais qui renseignent sur la personne s’ils sont associés à son nom Comme l’âge, le poids, le niveau de scolarité

9


1.1.2 Applications – la personne physique

Seuls les individus bénéficient de la protection des renseignements les concernant Les renseignements relatifs aux biens ou aux immeubles ne

sont donc pas visés

Les renseignements qui concernent les personnes morales (compagnies, entreprises, associations, etc.) ne sont donc pas considérés comme des renseignements personnels par la jurisprudence De même que l’identité des personnes qui représentent une

personne morale

10


1.1.2 Applications – qui permet d’identifierIl n’est pas nécessaire que le renseignement permette de nommer la personne, il suffit qu’il permette de la distinguer des autres Ce serait le cas notamment de l’orientation sexuelle L’opinion personnelle exprimée sur un sujet ou une personne

en particulier est également un renseignement personnel

Il faut porter une attention particulière aux fichiers qualifiés «anonymes »

Surtout si un moyen logique permet de reconstituer l’identité des personnes concernées

11


1.1.2 Applications – contenu dans un document

Pour bénéficier de la protection de la Loi, le renseignement doit être inscrit dans un document détenu par l’organisme Toutefois, la divulgation peut quant à elle être verbale

Ex : références vs dossier de l’employé

La forme du document ou le support choisi n’a pas d’importance Le support informatique ou Web est donc visé autant que la

version papier

12


1.1.3 Exemples

On peut classer les renseignements personnels selon diverses catégories Renseignements d’identification

Renseignements de santé

Renseignements financiers

Renseignements relatifs au travail

Renseignements relatifs à l’éducation ou à la formation

Renseignements sociaux ou familiaux

13


1.1.4 Exceptions

Plusieurs types de renseignements relèvent d’exceptions et ne bénéficient pas de la protection de la Loi Nom d’une personne, s’il est utilisé seul (art. 56 Loi sur l’accès)

Renseignements à caractère public prévus par la Loi ( art. 55

et 57 Loi sur l’accès) ou d’autres lois particulières

Renseignements obtenus dans le cadre d’une fonction juridictionnelle (art. 53 (2o) Loi sur l’accès)

Exceptions jurisprudentielles

14


1.2 La protection accordée aux renseignements personnels

1.2.1 Principe

1.2.2 Applications

1.2.3 Cycle de vie

1.2.4 Exceptions

15

1.2 La protection des renseignements personnels

1.2.1 Principe

Tout individu a droit au respect de la confidentialité des renseignements qui le concernent et qui sont détenus par les organismes publics, à tout moment du cycle de vie de ces renseignements.

Ce droit découle notamment de la Charte des droits et libertés de la personne, art. 5.

16


1.2.2 Applications

Pour le bénéficiaire Il s’agit d’une protection universelle

Elle est également automatique

Quant au choix et à la mise en œuvre des mesures nécessaires à la protection des renseignements personnels Cette responsabilité incombe à l’État (art. 63.1 Loi sur l’accès)

Le choix des mesures diffère en fonction notamment de la sensibilité du renseignement

17


1.2.3 Cycle de vie

La détention d’un renseignement personnel par un organisme procède par diverses étapes, qui ont chacune leurs règles propres Cueillette

Conservation

Utilisation

Communication

Destruction

18


1.2.3 Cycle de vie - cueillette

Le principe relatif à la cueillette des renseignements personnels est que l’organisme doit la limiter à ceux qui sont nécessaires (art. 64 Loi sur l’accès)

Définition de la nécessité

Nécessaire à ses attributions ou à un programme qu’il gère

Collaboration avec un autre organisme pour la prestation de services ou une mission commune

Obligations de l’organisme et transparence dans la cueillette (art. 65 Loi sur l’accès)

19


1.2.3 Cycle de vie - conservation

Pendant la période de conservation des renseignements personnels, l’organisme doit s’assurer de : Verser les renseignements dans un fichier de renseignements

personnels (art. 71 ss Loi sur l’accès)

Établir et maintenir à jour l’inventaire de ces fichiers (art. 76 Loi sur l’accès)

Mettre en place et respecter des mesures de sécurité

Tenir les renseignements personnels à jour, complets et exacts pour servir aux fins de leur cueillette (art. 72 Loi sur l’accès)

20


1.2.3 Cycle de vie - utilisation

Les principales mesures à prendre lors de l’utilisation des renseignements personnels pour assurer leur protection sont les suivantes : Limiter l’accès aux renseignements personnels aux seules

personnes autorisées au sein de l’organisme, et seulement dans l’exercice de leurs fonctions (art. 62 Loi sur l’accès)

Ne permettre l’utilisation des renseignements qu’aux seules fins pour lesquelles ils ont été recueillis (art. 65.1 Loi sur l’accès)

21


1.2.3 Cycle de vie - communication

La communication d’un renseignement personnel se définit par sa divulgation à un tiers, peu importe le moyen utilisé Renseignement communiqué verbalement ou par écrit

Conditions nécessaires à la communication: consentement (art. 53

et 59 Loi sur l’accès) et utilisation de moyens qui préservent la confidentialité

Exceptions prévues à la Loi sur l’accès (art. 59, 59.1, 61, 66, 67, 67.1, 67.2, 68 Loi sur l’accès)

Mesures particulières à la communication hors Québec (art. 70.1 Loi sur l’accès)

Tenue d’un registre accessible au public (art. 67.3 et 67.4 Loi sur l’accès)

22


1.2.3 Cycles de vie - destruction

La destruction doit être définitive, peu importe le type de support utilisé. Elle se fera soit : En conformité du calendrier de conservation

Ou dès que les fins pour lesquelles ils ont été recueillis ou conservés sont accomplies (art. 73 Loi sur l’accès)

23


1.2.4 Exceptions

Consentement Conditions de validité du consentement

Interdiction d’utiliser le consentement à l’encontre du principe de nécessité

Exceptions légales Utilisation à des fins compatibles (art. 65.1 Loi sur l’accès)

Utilisation au bénéfice de la personne concernée

Nécessaire à l’application d’une loi au Québec

24


1.3 Les questions spécifiques à l’utilisation des moyens technologiques

1.3.1 Confiance des citoyens en l’État

1.3.2 Distinction entre sécurité et protection des renseignements personnels

1.3.3 La communication de renseignements personnels par courriel

1.3.4 Utilisation d’Internet

1.3.5 Mise en ligne de contenu Web

25


1.3.1 Confiance des citoyens en l’État

Les responsables des services en ligne et de la mise en page des sites Internet du Gouvernement jouent un rôle de première ligne entre l’État et le citoyen

La protection des renseignements personnels confiés à l’État est primordiale afin de s’assurer que les citoyens continuent de faire confiance aux institutions gérées par l’État

La prestation de service en ligne aux citoyens est également dépendante de cette confiance que les gens doivent avoir envers la protection accordée à leurs renseignements personnels

26


1.3.2 Sécurité de l’information

Il ne faut pas confondre la sécurité avec la protection des renseignements personnels

La protection des renseignements personnels repose notamment sur la mise en place de mesures de sécurité:

Mesures physiques: classeurs, serrures

Mesures logiques: journalisation des accès, cryptage

Garantie de disponibilité, intégrité et confidentialité (DIC)

27


1.3.3 Communication par courriel

Il est acquis que le courriel n’est pas le mode de communication le plus sécuritaire

Mesures de sécurité de base qui peuvent être utilisées

Documents ou renseignements qui ne devraient pas faire l’objet d’une communication par courriel

28


1.3.4 Utilisation d’Internet

La possibilité de favoriser la circulation de l’information via l’utilisation d’Internet soulève certaines questions éthiques et de nouveaux enjeux reliés à la protection des renseignements personnels Réseau de la santé

Organismes scolaires

Municipalités

Organismes publics

29


1.3.5 Mise en ligne de contenu Web

Chaque nouveau projet de mise en ligne de contenu Web devrait faire l’objet d’une évaluation de ses impacts sur la protection des renseignements personnels, si de tels renseignements sont en cause Conformément au Règlement sur la diffusion de l’information et

sur la protection des renseignements personnels (art. 7)

Il faut que les webmestres développent le réflexe de demander une évaluation des risques d’atteinte dès les débuts du projet, dans l’étude de faisabilité

Le responsable de l’accès de l’organisme et son comité sur l’accès sont vos alliers dans cette tâche

30

2. Les renseignements personnels dans l’actualité

2.1 Facebook

2.2 Google

2.3 Cloud Computing

31


2.1 Facebook

2.1.1 Problématique face aux renseignements personnels

2.1.2 Situation au Canada

2.1.3 Situation internationale

32


2.2 Google




33


2.3 Cloud computing




34

Des questions?