1 drt 6903a – section b droit du commerce électronique cours 3 vie privée 19 septembre 2012...

1

DRT 6903A – Section BDroit du commerce électronique

Cours 3Vie privée

19 septembre 2012

Eloïse [email protected]

2

Plan du cours 4

Partie 1– Vie privée au Canada et au Québec– Vie privée sur Internet– Vie privée au travail (Canada)

Partie 2– Perspectives historiques (États-Unis et

Europe)– Vie privée sur le plan international

3

Partie 1

4

Vie privée au Canada

5

Sources juridiques - CanadaQUÉBEC

Loi sur la protection des renseignements personnels dans le secteur privé (1994)

Loi concernant le cadre juridique des technologies de l’information (2001)

C.C.Q., articles 35 et suiv. Charte des droits et libertés (article 5) Et d’autres …

CANADA (FÉDÉRAL)

Loi sur la protection des renseignements personnels et les documents électroniques (2000) « LPRPDE »

Annexe 1 de la précédente Loi (Principes énoncés dans la norme nationale du Canada intitulée code type sur la protection des renseignements personnels, CAN/CSA-Q830-96)

Charte (article 8)

AUTRES PROVINCES

Lois substantiellement similaires à la LPRPDE: Colombie-Brittanique et Alberta

6

La loi fédérale LPRPDE C-6: Première tentative d’harmonisation pan-

canadienne Pas simplement sur la vie privée

– Documents électroniques – Modifications loi sur la preuve

Problèmes constitutionnels de cette loi– Problèmes entre Québec et le fédéral

Aussi étrange que cela puisse être, il reste l’aval du Parlement européen– Avis de la Commission européenne sur la

Loi canadienne – Avis des pays tiers

7

La loi fédérale LPRPDE Une substance controversée

– Manque de mordant en terme de procédure (action)

– Manque de mordant en terme de substance

Les articles de bases sont les articles • 5 (3) • 7 (1) 7 (2) 7 (3)

Document qui légitimise le Code type du CSA reproduit en Annexe 1 (exemple d’ une loi qui s’approprie les usages)

L’organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances.

Modèle Ombudsman

8

Lois provinciales - Québec Le Code civil (art. 35, 36, 37)

La Loi sur la protection des renseignements personnels dans le secteur privé

– 1993 – Première province à avoir une loi

– En fait, deux lois…. (secteur public également)

– Création d’une instance permanente (la Commission d’accès à l’information)

– Approche très européenne (comparaison avec le droit français)

– Approche très protectrice

– Fleuron du droit québécois face aux autres provinces ou aux autres pays

9

Loi provinciale (Québec) vs. LPRPDE S’applique aux employés Consentement doit être «manifeste» (pas

de consentement implicite ou de type opt-out?)

Transfert à des juridictions étrangères (art. 17)

Aucune exception pour les «transactions d’affaires» (comme en CB et en Alberta)

N’est pas un modèle de type « ombudsman »

Pénalités: amende et responsabilité des administrateurs et dirigeants

10

Lois provinciales - Québec Cueillette des renseignements personnels

Cueillette auprès de la personne concernée – sauf consentement (art. 6)– sauf si intérêt légitime (notion restrictive de l’intérêt

légitime)

Justifier la provenance (être capable de dire d’où vient l’information dans le fichier – art. 7)

Informer la personne concernée (art. 9) – Pourquoi (finalité) – Utilisation – Lieu de détention de l’information (art. 8 (3))

11

Lois provinciales - Québec Cueillette des renseignements personnels

Cueillette auprès de la personne concernée – sauf consentement (art. 6)– sauf si intérêt légitime (notion restrictive de l’intérêt

légitime)

Justifier la provenance (être capable de dire d’où vient l’information dans le fichier – art. 7)

Informer la personne concernée (art. 9) – Pourquoi (finalité) – Utilisation – Lieu de détention de l’information (art. 8 (3))

12

Lois provinciales - Québec

13

Lois provinciales - Québec Principe de base - dossiers sont

confidentiels et ne peuvent être communiqués (article 13)

Exception – consentement

Définition du consentement (article 14). « Le consentement à la communication ou à l’utilisation d’un RP doit être manifeste, libre, éclairé et être donné à des fins spécifiques. Ce consentement ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé. Un consentement qui n’est pas donné conformément au premier alinéa est sans effet. »

14

Loi provinciale - Québec Accès et rectification d’un dossier

– Procédure écrite (art. 30)

• 30 LPRPSP. Une demande d'accès ou de rectification ne peut être considérée que si elle est faite par écrit par une personne justifiant de son identité à titre de personne concernée, à titre de représentant, d'héritier, de successible de cette dernière, à titre de liquidateur de la succession, à titre de bénéficiaire d'assurance-vie ou d'indemnité de décès ou à titre de titulaire de l'autorité parentale même si l'enfant mineur est décédé.

15


– Le commerçant agit avec diligence, dans les trente jours (art. 32)

• 32 LPRPSP. La personne détenant le dossier qui fait l'objet d'une demande d'accès ou de rectification par la personne concernée doit donner suite à cette demande avec diligence et au plus tard dans les 30 jours de la date de réception de la demande.Refus.

• À défaut de répondre dans les 30 jours de la réception de la demande, la personne est réputée avoir refusé d'y acquiescer.

16


– Gratuité ou frais raisonnable (art. 33)

• 33 LPRPSP. L'accès aux renseignements personnels contenus dans un dossier est gratuit.

• Toutefois, des frais raisonnables peuvent être exigés du requérant pour la transcription, la reproduction ou la transmission de ces renseignements.Information préalable.

• La personne qui exploite une entreprise et qui entend exiger des frais en vertu du présent article doit informer le requérant du montant approximatif exigible, avant de procéder à la transcription, la reproduction ou la transmission de ces renseignements.

17

Loi provinciale - Québec Accès et rectification d’un dossier: Gratuité

ou frais raisonnable (art. 33)

• M.B. c. Investdirect HSBC, [2008] C.A.I. 224

– Principe: donner accès même si dette impayée

• A.D. c. Clinique de médicine podiatrique Daniel Simoni, [2009] C.A.I. 46

– Principe: 75 dollars pour un document de 14 pages n’est pas raisonnable. Doit donner le document gratuitement (punition)

18

Loi provinciale - QuébecAccès et rectification d’un dossier (suite) 28. Outre les droits prévus au premier alinéa de l'article 40 du

Code civil, la personne concernée peut faire supprimer un renseignement personnel la concernant si sa collecte n'est pas autorisée par la loi.

29. Toute personne qui exploite une entreprise et détient des dossiers sur autrui doit prendre les mesures nécessaires pour assurer l'exercice par une personne concernée des droits prévus aux articles 37 à 40 du Code civil ainsi que des droits conférés par la présente loi. Elle doit notamment porter à la connaissance du public l'endroit où ces dossiers sont accessibles et les moyens d'y accéder.

Article 40 C.c.Q.: « Toute personne peut faire corriger, dans un dossier qui la concerne, des renseignements inexacts, incomplets ou équivoques; elle peut aussi faire supprimer un renseignement périmé ou non justifié par l'objet du dossier, ou formuler par écrit des commentaires et les verser au dossier. La rectification est notifiée, sans délai, à toute personne qui a reçu les renseignements dans les six mois précédents et, le cas échéant, à la personne de qui elle les tient. Il en est de même de la demande de rectification, si elle est contestée.»

19

Loi provinciale - QuébecAccès et rectification d’un dossier (suite) Renseignement de nature subjective S.R. c. Côté, [2009] C.A.I. 172

– La rectification sera refusée si l’information à être modifiée est subjective (patient pas content de se faire qualifier de «déprimé»)

Principe généralement reconnu: – G.L. c. Centre hospitalier de l'Université de Sherbrooke, 2012

QCCAI 251.– M. C. c. Champoux, [2008] C.A.I. 587;– M. B. c. Anapharm inc., [2006] CAI 484;– Bilodeau c. Dr Benoit Goulet, [2004] CAI 366;– Chamberlain c. Association québécoise d’aide aux

personnes souffrant d’anorexie nerveuse et de boulimie, [2003] CAI 544;

– Ravinsky c. Équifax Canada inc., [2003] CAI 46;– Benoit c. Dr Maurice Leduc, [1995] CAI 270.

Loi provinciale - QuébecAccès et rectification d’un dossier (suite) – secteur

public Rectification prévue à l’article 89 de la Loi sur l’Accès aux

Documents des Organismes publics et sur la protection des renseignements personnels.– « Toute personne qui reçoit confirmation de l'existence

dans un fichier d'un renseignement personnel la concernant peut, s'il est inexact, incomplet ou équivoque, ou si sa collecte, sa communication ou sa conservation ne sont pas autorisées par la loi, exiger que le fichier soit rectifié.»

Même principe dans le secteur public (La rectification sera refusée si l’information à être modifiée est subjective): – J.B. c. Commission de la santé et de la sécurité du travail,

[2009] C.A.I. 43 – M.C. c. Champoux, [2008] C.A.I. 230

20

Demande d’accéder à conversation avec employé d’une entreprise

C.R. c. Loto-Québec, 2012 QCCAI 300

Faits: Un individu veut obtenir une copie d’une conversation téléphonique qu’il a eu avec un employé de Loto Québec (pour démontrer que l’on lui a donné des informations erronées). Loto-Quebec refuse en alléguant que dans la conversation, son employé s’identifie et donc qu’il s’agit de données biométriques (voix) règlementées par les sections 44 et 45 de la Loi concernant le cadre juridique des technologies de l’information.

Décision: La CAI ordonne à Loto-Quebec de communiquer la conversation en masquant la partie lors de laquelle son employé s’identifie. L’employé s’exprimait au nom de l’entreprise et de ce fait, consent implicitement à ce que les clients de sont employeur accèdent à sa voix. Comme Loto-Quebec n’a pas établi qu’il était difficile de faire un copie de la conversation, elle se doit de donner une copie à l’individu.

21

22

Vie privée sur Internet

23

Introduction

Vie privée existe depuis longtemps mais…

La problématique change avec l’électronique– Tellement facile de copier– Tellement facile de vendre, céder, échanger ces

informations– Tellement facile de ne pas se rendre compte

que des informations personnelles nous concernant circulent

– Tellement facile de les communiquer à autrui.

24

Introduction – Vie privée et Internet 1999 Scott McNealy, chairman of Sun Microsystems:

– “You have zero privacy anyway. Get over it.” (nouvelle technology Jini)

2001 Larry Ellison, CEO of Oracle: – “The privacy you're concerned about is largely an

illusion. All you have to give up is your illusions, not any of your privacy.” (national ID card)

2008 Google's lawyer team (Boring / Street View lawsuit): – “Today's satellite-image technology means that even

in today's desert, complete privacy does not exist.” (photo d’une maison de Pittsburgh)

25

Qu’est-ce qu’un renseignement personnel? Canada:

– Art. 2 de la Loi sur la Protection des renseignements personnels dans le secteur privé (Québec)

• tout renseignement qui concerne une personne physique et permet de l'identifier.

– Art. 2 de la LPRPDE (fédéral): • tout renseignement concernant un individu

identifiable, à l’exclusion du nom et du titre d’un employé d’une organisation et des adresse et numéro de téléphone de son lieu de travail.

Europe: Article 2 (a) Directive 95/46/CE• toute information concernant une personne physique

identifiée ou identifiable (personne concernée); • est réputée identifiable une personne qui peut être

identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale;

Définition de « renseignement personnel »

Pas besoin de mentionner le “nom” de la personne pour être identifiable

– même si les noms des individus sont enlevés, les renseignements peuvent quand même être personnels s’ils identifient les individus (loi secteur public - Québec (Procureur général) c. Quigley Guérin Hébert inc. 2011 QCCQ 10488)

– un enregistrement sonore mentionnant l’âge d’un enfant ainsi que les mesures d’urgence prises constitue un dossier visé par la loi même si le nom de l’enfant n’est pas prononcé (X. c. Services préhospitaliers Laurentides Lanaudière Ltée, [1997] C.A.I. 138)

26


Le “nom” d’une personne n’est pas nécessairement suffisant pour être “identifiable”

Le nom d'une personne ne constitue pas un renseignement nominatif mais des renseignements revêtent ce caractère lorsqu'ils sont accolés à des noms de personnes. (Charest c. Le Manufacturier Granford inc., [1996] C.A.I. 11)

27

Définition de « renseignement personnel » Le renseignements relatifs à un employé ou un employé

potentiel sont en général des renseignements personnels

Le dossier d’un employé est visé par la loi (De Bellefeuille c. Canpar Transport Limitée, [1998] C.A.I. 178)

Les tests de pré-embauche et les entrevues sont des RP(Commission des droits de la personne et des droits de la jeunesse c. Institut Demers inc., REJB 1999-14673)

Une étude de profil de carrière d’un individu et évaluation faits par un « chasseur de tête » (suite à des tests psychologiques) est un RP (Pouliot c. Biochem Pharma inc. et al., EYB 1996-30366 (C.S., appel accueilli pour d’autres motifs)

Les notes évolutives faisant état des démarches effectuées par l’entreprise, pour le demandeur, dans le cadre du service de main-d’œuvre offert au demandeur sont des RP (X. c. S.E.M.O. Drummond inc., C.A.I. 98 06 09, AZ-98151053)

28


Le nom d’un employé d’une entreprise, pas toujours un renseignement personnel

Puisqu’une société ne peut agir que par l’entremise de ses employés, le nom de ceux- ci agissant comme mandataires de la société ne constitue pas des renseignements personnels. (Lavoie c. Pinkerton du Québec Ltée, [1996] CAI 67; Leblond c. Assurances générales des Caisses Desjardins, [2003] CAI 391 (appel accordé sur des questions de secret professionnel J.E. 2004-2148 (C.Q.)).

29

30

En pratique, un renseignement personnel c’est: Un numéro de carte de crédit Des indications personnelles sur sa race, sa

santé, son crédit, etc… Mais aussi…

– Nom, prénom, courriel, âge, téléphone, adresse, etc…

– Habitudes d’achat– Il faut aussi parfois qu’il y ait un lien entre

les informations – Cela ne concerna pas non plus les éléments

qui sont du domaine public…– Etc.

31

TOUTEFOIS…….

32

Nouvelles données…. Informations relatives aux courriels

– compte courriel, adresse courriel

Adresses IP – connectivité internet

Données de type « Clickstream », données de recherches en ligne et autres données collectées par des logiciels témoin ou « cookies »– appareil connecté à l’internet

Noms d’usagers– compte web

Affaire AOL – été 2006

Affaire Google v.

Viacom, 2008

[email protected]

vs. [email protected]

m

33

Nouveaux défis Les cours ne s’entendent pas sur certaines types

de nouvelles données, exemple: adresses IP

Entre juridictions: Adresse IP est un renseignement personnel en Europe mais non aux États-unis– À l’origine de confrontations entre juridictions– Ex.: Juillet 2008, l’affaire de Google/Viacom

À l’intérieur d’une même juridiction: France – Avril 07: Cour d'appel de Paris – NON– Mai 07: Cour d'appel de Paris – NON– Juillet 07: Communiqué de la CNIL – OUI– Mai 08: Cour d’appel Rennes – OUI– Janvier 09: Cour cassation – NON– Juin 09: Tribunal de grande instance Paris – OUI– 2010, etc…

34

Interprétation de renseignement personnel

Interprétation restreinte: problème d’atteinte à la vie privée– Données de type “Clickstream” ou données de

recherche• Scandale d’AOL (2006)

– Addresses IP utilisées dans les enquêtes criminelles • Canada: expectative de vie privée

– BMG Canada Inc. v. John Doe (2005)– R. c. Kwok (2008), R. c. Ward (2008); R. v.

Wilson (2008); Warman v. Wilkins-Fournier (2009); R. v. Vasic (2009)

• États-Unis: pas d’expectative de vie privée (exception dans l’affaire Reid de 2008)

35

Interprétation de renseignement personnel Interprétation large: effet non souhaitable

pour les entreprises faisant affaires enligne

– Les nouvelles données sont collectés et utilisées par les fournisseurs de services Internet afin de:• Offrir plus de valeur commerciale • Faire respecter les droits de propriété

intellectuelle• Respecter certaines lois selon les juridictions• Éviter le Internet “click fraud”

– Implique l’obligation d’obtenir le consentement, questions d’entreposage, de rétention, etc…

– En matière de cloud computing: engagement très lourd et fardeau économique

Comment le faire

si ne connaît

pas l’identité

?

36

Une nouvelle interprétation de la notion de “renseignement

personnel” est-elle nécessaire?

Aperçu historique ayant mené aux lois en matière de protection de données

personnelles

Évolution de la notion de vie privée– 1890 « Right to be Let Alone »– 1948 « Respect de la vie privée et familiale,

du domicile et de sa correspondance »– 1970 « Contrôle d’un individu sur ses

renseignements personnels » Définition:

– « renseignement concernant un individu identifiable »

Historique technologique influant sur les données personnelles

Augmentation du volume de données Nouveaux types d’outils de collecte de données

– cookies (témoin), spyware (logiciel espion), web bugs

Nouvelles méthodes d’identification

– méthodes de plus en plus sophistiquées

– nouvelles pratiques de type « cross-website linkage »…. (surtout avec facebook, etc..)

Nouvelles utilisations des données

Déconstruire la définition de donnée personnelles comme étant le

contrôle des données

La vie privée en tant que droit absolu

L’approche notification et choix mise à l’épreuve

Déconstruire la définition de donnée personnelles comme étant le

contrôle des données

Déconstruction de l’efficacité de la définition de donnée personnelle– Portée excessive et caractère trop peu

inclusif de la définition– L’incertitude engendrée par la définition– Désuétude de la notion

« d'identifiabilité » et de « donnée sensible »

Reconstruction tenant compte du risque de dommage sous-jacent

Utilisation d’une interprétation fondée sur l'objet visé– Une nouvelle interprétation de « donnée

personnelle » comme solution– Interprétation fondée sur l'objet visé (par

rapport à une méthode contextuelle)– Limites et avantages d’une interprétation

fondée sur l'objet visé La détermination du risque de dommage

en tant qu’objectif de la protection des données personnelles

Dommage Subjectif

Collecte

Divulgation– Dommage résultant de la divulgation :

subjectif (et psychologique)– Risque de dommage subjectif : réexamen

du critère de sensibilité• Identifiabilité des données• Nature intime des données• Disponibilité des données

Dommage Objectif

Dommage résultant de l’utilisation– Dommage objectif et métaphore de Kafka– Types de dommage objectif

Risque de dommage objectif : critères à prendre en considération– « Identifiabilité » remplacée par « impact

négatif sur l’individu »– Exactitude des données utilisées– Pertinence des données utilisées

44

Pause réflexion……

Et si les lois en matière de la protection de renseignements personnels étaient inadaptées?

– Pierre TRUDEL, « De la surveillance à la qualité: les fondements actualisés du droit de la protection des données personnelles dans le gouvernement en ligne », 2005.

– Vincent GAUTRAIS, « Le défi de la

protection de la vie privée face aux besoins de circulation de l’information personnelle », (2004) 9-2 Lex Electronica

45

Jurisprudence récente – VP - accès

L.D. c. Université de Montréal, 2010 QCCAI 8 (CanLII), 19 janvier 2010.

Mise en ligne sur un portail de renseignements personnels

Faits: Le demandeur adresse une demande de révision à la CAI suite au refus de la responsable de l’accès de l’UdeM d’acquiescer à sa demande de rectification. Il conteste que des renseignements personnels le concernant apparaissent sur le Portail de l’université (Intranet « Mon portail UdeM ») qui, sans son autorisation, les y a inscrits. Il a ajouté que l’organisme compromettait la sécurité de ces renseignements dont l’inscription sur le Portail n’était nullement nécessaire en vertu de la Loi sur l’accès.

Décision: La CAI rejette la demande de révision. Le droit de rectification prévu à la Loi sur l’accès comprend le retrait de renseignements personnels mais ce droit ne s’exerce qu’aux conditions prévues à l’article 89 de cette loi. La demande de rectification du demandeur n’indique pas que les renseignements personnels dont l’organisme lui donne communication à distance sont inexacts, incomplets ou équivoques ou encore que leur collecte, leur communication ou leur conservation ne sont pas autorisées par la loi. Le défaut d’obtenir l’autorisation de la personne concernée pour mettre en ligne des renseignements personnels la concernant ou l’inutilité subjective de ces renseignements pour cette personne ne font pas partie des conditions prévues à l’article 89.

46

Jurisprudence récente - VP A c. B, 2009 QCCQ 14676 (CanLII), 7 décembre 2009.

Diffamation et atteinte à la vie privée résultant de la diffusion fautive d’une notice sur un site de rencontres

Faits: La demanderesse très connue du public est informée que sa photographie a été vue sur Réseau Contact, un site Internet de rencontre rejoignant plus d’un million de membres inscrits. La fiche comporte sa photographie et plusieurs détails comme sa ville, sa taille, son poids, son apparence, la couleur des yeux, de ses cheveux, son état civil, le fait qu’elle est mère d’un enfant, sa religion, son ethnie, (etc..) de même que des informations fausses et grivoises. Elle fait retirer sa fiche qui aura paru 2 1/2 jours sur Réseau Contact mais la nouvelle est reprise par les medias. Elle poursuit le demandeur.

47

Jurisprudence récente - VP A c. B, 2009 QCCQ 14676 (CanLII), 7 décembre 2009.

(suite)

Diffamation et atteinte à la vie privée résultant de la diffusion fautive d’une notice sur un site de rencontres

Décision: Le défendeur a commis un geste fautif en élaborant une fiche sur son ordinateur et en la publiant sur Réseau Contact.– Attaque visant à nuire à l’honneur, à la dignité de la

demanderesse connue du public et à sa vie privée. – Pas de preuve que atteinte à sa réputation (pas

perdu son emploi), atteinte à sa dignité, à son honneur et à sa vie privée.

– Les renseignements publiés la rend très vulnérables aux personnes mal intentionnées.

– Caractère intentionnel de l’atteinte aux droits de la demanderesse, dommages punitifs de 7500$ en plus d’une condamnation pour dommages de 10000$.

48

Jurisprudence récente - VP Laliberté c. Transit Éditeur inc., 2009 QCCS 6177 (CanLII), 22

décembre 2009.

Violation de la vie privée découlant de l’utilisation fautive du nom et de l’image d’une personne dans un site Internet

Faits: Le demandeur se plaint d’une atteinte à sa vie privée du fait de la création d’un site Internet utilisant son nom et son identité dans le but de faire la promotion d’un livre publié par la défenderesse et présentant une biographie non autorisée du demandeur.

Le site Myspace indique au 6 juillet 2009 qu’il y a 910 amis inscrits et cent neuf d’entre eux ont écrit un message au demandeur. Il s’agit de messages d’amitié, de remerciements ou une réponse à une invitation que l’on suppose avoir été de devenir « un ami » du demandeur. L’un d’entre eux le remercie pour « la découverte de cette oeuvre littéraire».

Suite à de multiples échanges entre procureurs, ce site sera fermé, tous les « amis » sont transportés dans un nouveau site. L’ancien site indiquera que le site « se déplace à une autre adresse ». Au moment du « déménagement », le site compte 937 amis. On indique toujours qu’on peut envoyer des messages au demandeur et s’ajouter à ses « amis ».

L’illusion de contact personnel avec le demandeur atteint même un comble lorsqu’un blogue est mis en place.

49

Jurisprudence récente - VP Laliberté c. Transit Éditeur inc., 2009 QCCS 6177

(CanLII), 22 décembre 2009. (suite)

Violation de la vie privée découlant de l’utilisation fautive du nom et de l’image d’une personne dans un site Internet

Décision: Le tribunal estime que le site constitue une utilisation illicite du nom du demandeur qui n’est pas justifiée par l’information légitime du public. – Le tribunal ajoute qu’« Il n’y a aucune légitimité à

emprunter l’identité d’une personne pour laisser croire qu’il est le destinataire de la correspondance qui lui est adressée et qu’il est l’auteur des réponses qui y sont données ».

– Compte tenu du fait que le droit du demandeur est clair, que son préjudice est sérieux, le tribunal ordonne aux défendeurs et à toute personne agissant sous leurs ordres de désactiver les pages Internet visées.

– Il est aussi ordonné de ne pas importer, déménager ou rediriger les « amis » des pages désactivées.

Droit à l’Image et à la réputation Laforest c. Collins, 2012 QCCS 3078.

Faits: Le demandeur réclame des dommages et intente une injonction afin d’empêcher le défendeur de mettre des photos de lui en ligne ainsi que de mettre des commentaires diffamatoires. Le défendeur avait mis des photos du demandeur sur le site Picasa et avait écrit: – Must have put a lot of effort in to taking this photo as Luc Laforest

use it on a number of dating web sites and chat groups, sadly he was still married when he started doing that!

Décision: Le droit à la vie privée doit inclure le droit d’un individu de s’objecter à une intrusion dans sa vie privée ainsi que le droit de s’objecter à la diffusion de l’information qui a trait à sa vie privée incluant son nom et son image. Un montant de 30 000$ est accordé au demandeur (preuve que difficulté à obtenir un emploi et grand nombre d’accès donc de divulgations). Défendeur se fait ordonner de rédiger une lettre attestant que ce qu’il a écrit est faux et que le demandeur est un homme honnête.

51

Vie privée au travail

52

Vie privée et travail 20% de loisirs au travail !!!

Ex: Grief d’arbitrage le 28 janvier 2000 – Licenciement confirmé par l’arbitre – 329 heures sur Internet dont sites pornos– 223 utilisations de son mot de passe

OK, mais comment fait l’employeur pour avoir des données aussi précises et à quel prix? – Moyens de surveillance très élaborés– Logiciels spécialisés (Little Brother, Redhand, etc…) – Étude aux Etats-Unis de l’American Management

Association International selon laquelle en 1998:• 63% des employeurs surveillent les courriels des

employés• 23% ne le disent pas• Mais moyens de contourner de plus en plus forts

aussi… » Crypto» Adresse ailleurs

53

VP et travail : problématique juridique Vers la reconnaissance d’une vie privée au travail

– Charte canadienne des droits et libertés (art. 8 sur les fouilles pas explicite mais néanmoins présent)

– Charte québécoise (art. 5 « toute personne a droit à la protection de la vie privée ») et aussi 4 (dignité) 24 (fouilles) 46 (personne qui travaille a droit à des conditions justes et raisonnables…)

– C.c.Q. 3 (général) 35 et ss (vie privée) 2087 (dignité) 2858 (pas de preuve si atteinte aux droits fondamentaux)

54

VP et travail : problématique juridique Vers la reconnaissance d’une vie privée au travail

3 C.c.Q. Toute personne est titulaire de droits de la personnalité, tels le droit à la vie, à l'inviolabilité et à l'intégrité de sa personne, au respect de son nom, de sa réputation et de sa vie privée. Ces droits sont incessibles.

2087. L'employeur, outre qu'il est tenu de permettre l'exécution de la prestation de travail convenue et de payer la rémunération fixée, doit prendre les mesures appropriées à la nature du travail, en vue de protéger la santé, la sécurité et la dignité du salarié.

2858. Le tribunal doit, même d'office, rejeter tout élément de preuve obtenu dans des conditions qui portent atteinte aux droits et libertés fondamentaux et dont l'utilisation est susceptible de déconsidérer l'administration de la justice.Il n'est pas tenu compte de ce dernier critère lorsqu'il s'agit d'une violation du droit au respect du secret professionnel.

55

VP et travail : problématique juridique

En France, COMPARONS:

- Code pénal 226-1 (écoutes téléphoniques) 226-15 (violation du secret des correspondances privées)

- Code du travail 122-45 (idem) 121-8 (aucune information concernant personnellement un salarié ou un candidat à l’embauche ne peut être collectée par un dispositif qui n’a pas été portée personnellement à la connaissance du salarié)

56

Vie privée et travail : sur le plan pratique1) Les raisons d’un « monitoring » de l’employeur– L’efficacité de l’employé (diligence à 2088

C.c.Q.)– La fuite d’informations confidentielles

(exception: 1472 C.c.Q.) – La propriété intellectuelle

2) Le droit de l’employeur de contrôler le travail

Toute personne peut se dégager de sa responsabilité pour le préjudice causé à autrui par suite de la divulgation d'un secret commercial si elle prouve que

l'intérêt général l'emportait sur le maintien du secret et, notamment, que la divulgation de celui-ci était justifiée par des motifs liés à la santé ou à la sécurité

du public.

57

Vie privée et travail : sur le plan pratique

3) Le devoir de loyauté de l’employé (2088 / 1375 C.c.Q.)

2088 C.c.Q.. « Le salarié, outre qu'il est tenu d'exécuter son travail avec prudence et diligence, doit agir avec loyauté et ne pas faire usage de l'information à caractère confidentiel qu'il obtient dans l'exécution ou à l'occasion de son travail. Ces obligations survivent pendant un délai raisonnable après cessation du contrat, et survivent en tout temps lorsque l'information réfère à la réputation et à la vie privée d'autrui. »

1375 C.c.Q. « La bonne foi doit gouverner la conduite des parties, tant au moment de la naissance de l'obligation qu'à celui de son exécution ou de son extinction. »

58

Vie privée et travail : sur le plan pratique Les employés ont la possibilité d’utiliser leur poste à

des fins personnelles, jusqu’à impact sur leur prestation de travail (Art. 2085 C.c.Q.).

Un tel agissement de l’employé peut entraîner une rupture du lien de confiance.

Qu’est-ce que l’employeur doit tolérer et où doit-il sévir? Peut-il effectuer une surveillance de l’employé?

59

Les facteurs à considérer Usage personnel

1) La durée de l’utilisation.

2) La nature de l’utilisation à des fins personnelles.

3) Les facteurs aggravants et atténuants.

60

1) La durée de l’utilisation

L’employé a-t-il « volé » du temps?

Bourassa et Ville de La Tuque (2009 / C.R.T.)• Faits: 96% de l’utilisation du poste = fins

personnelles. Moyenne de 90 minutes par jour. L’employé est congédié. Une politique de contrôle existe et l’employé est au courant.

• Décision: La validité du congédiement sans progression des sanctions est confirmé.

Syndicat des employés municipaux de Beloeil et Ville de Beloeil (2007 / T.A.)

• Faits: 3 heures d’utilisation personnelle par jour : 40% du temps de travail, l’employé est congédié. Existence d’une politique qui donne certaines permissions, mais le plaignant a dépassé les limites.

• Décision: La validité du congédiement sans progression des sanctions est confirmé.

61

1) La durée de l’utilisation

L’employé a-t-il « volé » du temps? (suite) Bell Canada et Association canadienne des

employés de téléphone (2000 / T.A.)

– Faits: Étalement sur plusieurs mois de l’envoi de courriels personnels, certains avec du matériel pornographique. L’employé est congédié.

– Décision: L’arbitre tient compte du peu de temps consacré à l’envoi d’un courriel. Le congédiement est annulé, suspension de trois mois. Aucune mention d’une politique dans la décision.

62

2) La nature de l’utilisation à des fins personnelles

La nature des sites consultés aura aussi un impact, par exemple:

• Consultation de sites à matériel pornographique ou offensant;

• Exploitation d’une entreprise personnelle à l’aide du matériel informatique.

La courte durée de l’utilisation sera alors moins pertinente…

63

2) La nature de l’utilisation à des fins personnelles (matériel porno).

Centre de réadaptation Lethbridge et Syndicat des physiothérapeutes et des thérapeutes en réadaptation physique du Québec (2004 / T.A.)

– Faits: Visite de certains sites pornographiques pendant une journée. L’employé connaissait très bien la politique, en ce qu’il avait siégé au comité qui l’avait adoptée.

– Décision: L’agissement de l’employé entraîne une suspension de cinq jours.

64

2) La nature de l’utilisation à des fins personnelles (matériel porno).

Syndicat des Cols bleus regroupés de Montréal, section locale 301 et La Ronde (Six Flags) (2004 / T.A.)

– Faits: Employé de La Ronde consulte des sites pornographiques.

– Décision: L’arbitre considère comme facteur aggravant le caractère « familial » de l’entreprise, donc la nature de l’emploi et de l’entreprise a aussi un impact.

65

Jurisprudence récente - France « Des fichiers porno sur le poste du salarié ne justifient pas

son licenciement », Legalis.net, 6 janvier 2010.

La présence de fichiers de porno sur un poste de travail n’est pas en soi un motif suffisant de congédiement – France

Faits (première instance): Des fichiers contenant des photos à caractère pornographique portant atteinte à la dignité humaine étaient enregistrés et conservés dans l’ordinateur du salarié et dans un fichier archive accessible par tout utilisateur. La Cour d’appel prend la position que cela suffisait pour établir le détournement par le salarié du matériel mis à sa disposition en violation des notes de service de l’employeur et constituait un risque de favoriser un commerce illicite en portant atteinte à l’image de marque de l’employeur.

Décision (appel): La Cour de cassation a estimé que la seule conservation de photos à caractère pornographique et zoophilique sur le poste informatique d’un salarié, en l’absence de constatation d’un usage abusif affectant son travail, ne constituait pas un manquement aux obligations résultant de son contrat pouvant justifier son licenciement. La Cour de cassation ne souscrit pas à ces motifs et renvoie plutôt l’affaire au tribunal de première instance pour statuer sur les seules conséquences du licenciement.

66

2) La nature de l’utilisation à des fins personnelles (exploitation d’une entreprise personnelle) Collège Ahuntsic et Syndicat du personnel de soutien du

Collège Ahuntsic (2007 / T.A.)

– Faits: L’employé exploite une entreprise et participe à une OSBL à partir de son poste de travail, ses cartes d’affaires pour l’entreprise personnelle comprennent même l’adresse courriel de l’employeur. Pas d’un vol de temps considérable mais l’employé réclame du temps supplémentaire.

– Décision: Suspension de l’employé de trois semaines est justifiée. À noter: il n’y avait aucune mention d’une politique claire.

67

3) Les facteurs aggravants et atténuants. Haut degré d’autonomie ou haut niveau

d’indépendance de l’employé– Syndicat canadien des communications, de

l’énergie et du papier, Section locale 522 c. CAE Électronique Ltée, D.T.E. 2000T-157 (T.A.)

• Faits: Employé charge ses heures supplémentaires mais passe son temps sur Internet. Politique mentionnant que le matériel informatique doit être utilisé pour le travail.

• Décision: Vol de temps et congédiement est justifié.

– L’usage personnel sera plus sévèrement puni dans une telle situation (plus grande confiance).

68

3) Les facteurs aggravants et atténuants. La gravité des agissements

– Perreault c. Syndicats des employés de soutien de l’Université de Sherbrooke, 2004 IIJCan 14513 (QC T.T.)

• Faits: Technicien en informatique quitte pour maladie ("burn-out") en 1991 après 4 ans. Revient au travail longtemps après et est suspendu après trois mois. Trois reproches, soit:

– "l'utilisation inappropriée du nom de l'Université de Sherbrooke« (pour les fins de son commerce de photographe, indiqué dans le journal nommé Liaison le fait qu'il était technicien à l'Université).

– "gestion du temps" (travail insuffisant)– l'"utilisation d'équipement informatique

appartenant à l'Université de Sherbrooke pour des fins personnelles » (téléchargement à tous les jours sur le disque dur de l'ordinateur un nombre considérable de photos de nature pornographique).

• Décision: congédiement confirmé

69

3) Les facteurs aggravants et atténuants. La gravité des agissements (suite)

– Syndicat canadien des communications, de l’énergie et du papier, Section locale 522 c. CAE Électronique Ltée, D.T.E. 2000T-157 (T.A.)

– « La question du vol de temps est relativement simple à traiter : la preuve révèle qu’entre les mois de janvier et mai, le plaignant a utilisé l’internet pas moins de 852 fois pour un total de 329 heures, soit l’équivalent d’un peu plus de huit (8) semaines de travail. Pour le seul mois de mars, le plaignant a utilisé l’internet durant 120 heures, soit l’équivalent de 3 semaines de travail. C’est non seulement beaucoup, c’est énorme ! »

– « La plaignant a voulu ramener à la baisse ces chiffres en affirmant qu’il n’utilisait l’internet qu’à hauteur d’environ une (1) demi-heure par jour (…) que l’internet pouvait rester ouvert sans qu’il le regarde. Rappelons à ce propos, sur un plan plus technique, que le chef de groupe de sécurité Stéphane BOISVERT a précisé que le temps d’activités des rapports produits est exprimé en temps réel puisque le relais internet est interrompu s’il s’écoule plus de quinze (15) minutes sans qu’aucune activité ne soit relayée au site visité. »

– « La gravité objective de la faute du plaignant a été amplement démontrée : non seulement a-t-il volé du temps à son employeur dans une proportion importante, mais en plus il l’a fait en dérogation des politiques et des règles en vigueur. »

70

3) Les facteurs aggravants et atténuants. Dossier disciplinaire vierge et l’ancienneté de l’employé.

– Bell Canada c. Association canadienne des employés de téléphone, D.T.E. 2000T-254 (T.A.) « L’arbitre note que l’incident ne représente pas un cas isolé et convient qu’il est compréhensible que le temps et l’équipement de l’employeur, tels le téléphone ou l’Internet, soient parfois utilisés à des fins personnelles. Il y aura faute si l’usage est fréquent et prive la direction de l’exécution du travail. Malgré la dérogation au code de conduite qui interdisait la transmission de ce genre de messages, le décideur considère que le salarié n’a pas utilisé exagérément le temps de son employeur, que ce dernier accorde trop d’importance au contenu érotique des fichiers et que leur transmission n’a pas affecté sa réputation. Vu les neuf ans d’ancienneté et le dossier disciplinaire vierge, l’arbitre impose plutôt une suspension de trois mois. »

Pas de précédent.– Bell Canada c. Association canadienne des employés de

téléphone, D.T.E. 2000T-254 (T.A.)

71


Refus de collaboration – faible ancienneté – mauvaise foi – Syndicat des spécialistes et professionnels

d’Hydro-Québec c. Hydro-Québec, non rapporté, 2 septembre 2003

– Centre de réadaptation Lethbridge c. Syndicat des physiothérapeute et des thérapeutes en réadaptation physique du Québec, (2004)

– DiVito c. MacDonald Dettwiler & Associates, [1996] B.C.J. 1436.

L’honnêteté et la bonne foi de l’employé sont déterminantes.

72


Le fait de cacher ses traces, d’effacer son historique de navigation. – Syndicat du personnel de soutien de la Seigneurie

des Mille-Îles et Commission scolaire de la Seigneurie des Mille-Îles (2008 / T.A.);

– Syndicat des spécialistes et professionnels d’Hydro-Québec et Hydro-Québec (2007 / T.A.).

– L’employé qui ment ou cache son usage personnel peut subir une sanction plus sévère.

73

3) Les facteurs aggravants et atténuants. L’attente raisonnable de vie privée

– Srivastava c. Hindu Mission of Canada, [2001] J.Q. 1913 (CA) – Bell Canada c. Association canadienne des employés de

téléphone, D.T.E. 2000T-254 (T.A.)– Blais c. Société des Loteries Vidéos du Québec Inc. , 2003

QCCRT 14 (IIJCan) • Décision: « Contrairement à ce qui est nécessairement

le cas lors d'une conversation téléphonique, la SLVQ n'a pas ici intercepté une communication en cours. Plutôt, alertée par un fichier qui se butait au firewall en raison de sa taille – dispositif de sécurité dont l'existence est connue de tous –, elle en a tout simplement vérifié le contenu, comme cela est la pratique, afin d'apprécier si le fichier pouvait être accepté malgré son volume important. Cet incident a bien sûr permis d'identifier le destinataire du courriel et d'effectuer des vérifications plus poussées. Mais l'essentiel de la preuve provient de la récupération d'informations stockées, étant acquis que l'entreprise procède, tous les jours, à la copie et à l'archivage sur disque compact du contenu des disques durs de tous les ordinateurs. On ne peut certes pas parler, dans ces circonstances, d'une « communication » au sens strict du terme, encore moins d'une « interception. » »

74


Absence de dommages – Commission des normes du travail c. Bourse de

Montréal inc., D.T.E. 2002T-373 (C.Q.)• Faits: Vincent Côté étudie le virus « I love you »,

va sur un site de piraterie pour voir s’il pouvait craquer son mot de passe.

• Décision: Pas de congédiement justifié, pas de malice et pas de dommages pour l’employeur

75


Absence de dommages

– Belisle c. Rawdon (Municipalité), 2005 QCCRT 453 (IIJCan)

• [168] De surcroît, en l’absence d’une politique claire de l’intimée quant à l’usage du matériel informatique et en l’absence de preuve d’un préjudice quelconque à l’employeur, ce motif ne saurait justifier le congédiement du plaignant, comme le souligne la Cour du Québec dans l’affaire Commission des normes du travail c. Bourse de Montréal (2002) R.J.D.T. 617

Regarder si l’usage d’Internet à des fins personnelles a eu un impact négatif sur la qualité du travail de l’employé ou sur l’employeur

76


Présence de politique et interdiction connue par l’employé…

– Belisle c. Rawdon (Municipalité), 2005 QCCRT 453 (IIJCan) (il n’y a pas eu avertissement)

• [168] De surcroît, en l’absence d’une politique claire de l’intimée quant à l’usage du matériel informatique et en l’absence de preuve d’un préjudice quelconque à l’employeur, ce motif ne saurait justifier le congédiement du plaignant, comme le souligne la Cour du Québec dans l’affaire Commission des normes du travail c. Bourse de Montréal (2002) R.J.D.T. 617

77


Présence de politique et interdiction connue par l’employé… (suite)

Commission des normes du travail c. Bourse de Montréal, D.T.E. 2002T-373 (Québec) (il n’y a pas eu avertissement) – Principe: l’existence d’une politique d’entreprise

sur l’utilisation d’Internet et du matériel électronique de l’entreprise est souvent un facteur déterminant dans les décisions jurisprudentielles récentes portant sur l’échange de courriels offensants.

– Selon cette décision, l’absence d’une telle politique pourrait mener à la modification ou même à l’annulation d’une sanction disciplinaire.

78

3) Les facteurs aggravants et atténuants. L’existence ou l’absence d’une politique d’utilisation

d’Internet a un impact sur les sanctions possibles en matière d’usage à des fins personnelles…..

……………………………..MAIS

79

3) Les facteurs aggravants et atténuants. Même si politique, peut ne pas marcher

– Bell Canada c. Association canadienne des employés de téléphone, D.T.E. 2000T-254 (T.A.)

– Boisvert c. Industrie Machinex (2002)

– Services d’administration P.C.R. Ltée. c. Québec (Commissaire du travail), 2003 IIJCan 602 (QC C.S.)

• « Selon le commissaire du travail, la preuve administrée par P.C.R. ne reproche pas à Jacques Fiset d’avoir mal fait son travail ni d’avoir utilisé l’équipement fourni par l’employeur pour transmettre des e-mail. P.C.R. reproche plutôt à M. Fiset d’avoir eu des communications par courrier électronique de nature amoureuse. Le commissaire du travail conclut que cela ne constitue pas une cause juste et suffisante de congédiement. C’est à lui seul à interpréter la preuve et cela fait partie de sa juridiction. »

80


Même si absence de politique, employé peut être condamné….

– Gilles et Ciba Spécialités chimiques Canada inc. (2008 / C.R.T.) :

• Le code de conduite de l’entreprise suggérait le congédiement;

• Mais aucune politique claire sur l’informatique;• Sanction moins sévère parce que l’employé ne

savait pas.

– L’employé utilisant Internet à des fins personnelles peut argumenter qu’il croyait que son comportement est toléré.

81

Jurisprudence récente (enregistrement employés)

Difficile d’utiliser en preuve les enregistrements car peut déconsidérer l’administration de la justice:

– Syndicat des employées et employés professionnels et de bureau and others, D.T.E. 2009T-170

– Syndicat des travailleuses et travailleurs du CSSS du Sud de Lanaudière (CSN) and others , D.T.E. 2009T-253.

– Syndicat des fonctionnaires municipaux et professionnels de la Ville de Sherbrooke et Sherbrooke (ville de), D.T.E. 2009T-309.

– Syndicat des employées et employés de métiers d’Hydro-Québec, section locale 1500 – SCFP (FTQ) et Hydro-Québec, D.T.E. 2009T-273

– Groupe Champlain inc. (Gatineau) et Syndicat québécois des employées et employés de service, section locale 298 (FTQ), D.T.E. 2009T-431 (tribunal d’arbitrage)

Surveillance des courriels Université Laval c. Association du personnel

administratif professionnel de l’Université Laval, 2011 CanLII 6949 (QC SAT).

Faits: Le syndicat demande des dommages punitifs de l’employeur pour atteinte à la vie privée de son employé pour avoir sans motif accéder aux échanges électroniques entre le syndicat et l’employé et ce, allant à l’encontre de la politique de l’Université qui reconnait la confidentialité des courriels sauf dans 3 situations précises non applicables.

Décision: Puisqu’il n’y a aucun doute que l’employé ne s’attendait pas à ce que sa déclaration d’une irrégularité au syndicat par courriel soit portée à la connaissance de son supérieur, l’employée avait une expectative de vie privée dans le message. Le droit à la vie privée s’étend au contenu du message mais aussi au sujet de ce dernier et à l’identité des deux parties qui communiquent. L’atteinte présente est intentionnelle (contraire aux conditions de la politique et à celles découlant de la jurisprudence ) donc des dommages punitifs sont octroyés.

82

83

Jurisprudence récente (France)Ouverture de courriel de salarié : la Cour de cassation affine sa jurisprudence », Legalis.net, 8 janvier 2010.

Ouverture du courriel d’un salarié par l’employeur – France

Faits: La décision concernait le congédiement d’un clerc de notaire pour faute grave suite à la découverte sur son ordinateur de courriels dénonçant le comportement et la gestion de son employeur auprès de tiers.

Décision: La Cour de cassation n’a pas considéré que le fait d’ouvrir des courriels sur le poste de travail d’un salarié dont la lecture de certains révélaient leur nature privée faisait tomber la présomption de leur caractère professionnel. Le salarié avait outrepassé sa liberté d’expression, en jetant le discrédit sur son employeur en des termes excessifs et injurieux justifiant la rupture immédiate du contrat de travail.

La Cour relève que les fichiers ouverts étaient intitulés « essais divers, essais divers B, essais divers B, essais divers restaurés ». Étant donné que le salarié ne les avait pas identifiés comme étant personnels, ils étaient présumés professionnels. Du coup, la Cour en conclut que l’employeur était en droit d’ouvrir les fichiers, même en l’absence de l’intéressé.

84

Forme d’une politique de vie privée1. Reprendre les éléments de base2. Les respecter 3. Écrire une politique lisible4. Disposer cette politique dans un endroit

stratégique5. La mise à la connaissance de l’employé6. Avis aux employés et modalités de mises à la

connaissance 7. Répétition des avis (programmation des accès

Internet) 8. Formation des employés9. Signature d’un document (électronique ou

papier) 10. Modalités de contrôle

85

Contenu d’une politique de vie privée Étendue des permissions

Étendue des interdictions (activités prohibées)

Propriété des outils de « production »

Protéger contre utilisation inappropriée

Protection des informations sensibles

Réserve des droits de l’employeur

Fréquence des contrôles

Prévoir sanctions si manquement

Prévoir si employé s’en va de l’entreprise

Etc…

86

Objectifs d’une politique de vie privée

Assurer un certain encadrement Éviter les abus Assurer une productivité Éviter que l’usage de l’informatique ne

devienne une source de responsabilité pour l’employeur

Éviter que l’usage de l’informatique par ses employés n’ait des effets néfastes sur la réputation de son entreprise.

87

Preuve – Caméra de surveillance Syndicat canadien des communications, de l'énergie et

du papier (SCEP) c. Emballages Rocktenn Canada, SEC, 2012 CanLII 36278.

Faits: Le syndicat conteste les mesures disciplinaires prises contre un employé et s’objecte à l’utilistaion de la preuve obtenue par la caméra de surveillance qui montre l’employé qui vandalise la machinerie.

Décision: La caméra de surveillance était installée afin d’obtenir des informations quant à l’auteur du vandalisme après plusieurs avertissments aux employés. La preuve obtenue est légale car ce n’était ni une caméra permanente et elle ne visait aucune station de travail en particulier.

88

Preuve – Caméra de surveillance

Boivin c. Syndicat des copropriétaires Terrasse Le jardin Durocher inc., 2011 QCCS 6110

Faits: Un co-propriétaire d’un immeuble résidentiel demande l’annulation d’une décision du syndicat des co-propriétaires d’installer des caméras de surveillance dans le garage de l’entrée de l’immeuble, car selon lui ces caméras portent atteinte à sa vie privée.

Décision: Les standars utilisés sont en conformités avec les recommendations de la CAI. Les délais de “rétention” doivent être courts et les enregistrements, visionnés seulement si une plainte est effectuée. L’atteinte est minimale et justifiée (protection de l’immeuble).

89

Preuve – Caméra de surveillance Résidence Angelica inc. et Desforges, 2012 QCCLP 487

Faits: Ayant deux rapports médicaux contradictoires relatifs à la blessure de son employée, un employeur engage une firme pour suivre l’employée afin de faire de la lumière sur son état de santé. L’employée prétend que ces agissements constituent une atteinte à sa vie privée.

Décision: Quoique prendre des photos de l’employée près de sa maison et suivre ses déplacements constituent une atteinte au sens de l’article 5 de la Charte, l’atteinte est justifiée et la preuve est admise.

90

Preuve – Caméra de surveillance Woloshen c. Innou, 2011 QCCQ 8730

Faits: Le défendeur accuse le demandeur d’avoir endommagé sa clôture et désire produire une vidéo en preuve (caméra cachée) mais cette preuve a été jugée comme irrecevable en première instance. Le demandeur poursuit alors le défendeur pour atteinte à sa vie privée (filmer sans consentement). Le défendeur en demande reconventionnelle demande des dommages pour bris de sa clôture et le droit de produire le vidéo en preuve.

Décision: Le vidéo ne porte pas atteinte à la vie privée du demandeur (il tond son gazon dans une section de son terrain visible de la rue). La demande en dommages du demandeur est donc rejetée. Le vidéo est accepté en preuve et démontre que des dommages ont en effets été causés à la clôture mais comme les dommages sont minimes, il n’y a aucun dommages accordés.

91

Preuve – Facebook Landry et Provigo Québec inc. (Maxi & Cie), 2011 QCCLP

1802

Faits: La demanderesse porte une décision de la CSST en appel qui lui a refusé sa demande en harcèlement au travail. La demanderesse veut produire en preuve des extraits qui incluent des commentaires effectués par ses collègues à son sujet. Le défendeur s’objecte à la recevabilité de cette preuve, allégant que cela constitue une atteinte à sa vie privée (conversations privées).

Décision: La personne qui détient un compte Facebook permet à ses amis et donc aux amis de ces derniers d’accéder à ses commentaires et au contenu de son profil. En acceptant d’être ami avec un collègue, lequel était ami avec d’autres collègues, la demanderesse était en mesure de voir ce qui était dit à son sujet sur Facebook. Considérant le nombre de personnes pouvant accéder les commnetaires effectués par un utilisateur, Facebook ne peut pas être considéré comme faisant partie du domaine privé. La demanderesse pouvait donc produire les extraits en preuve (aucune atteinte à la vie privée).

92

Partie 2:Vie privée sur le plan international

93

Plan du cours 1) Perspectives historiques: Vie privée aux

États-Unis et en Europe

2) Introduction aux outils de gouvernance internationaux– Conseil de l’Europe (Convention 108)– OCDE– Union européenne (Directives)– APEC– Standards internationaux ISO

3) Quel est leur impact au Canada

4) Comment addresser les problèmes juridictionnels lors de transferts de données

94

1) Vie privée aux États-Unis et en Europe

95

Perspectives historiques États-Unis

– 1791: U.S. Bill of Rights, Fourth Amendment to U.S. Constitution

– 1890: Warren and Brandeis, « The Right to Privacy », Harvard Law Review, Vol. IV, December 15, No. 5.

– 1928: Olmstead v. United States – Cour suprême (Juge Brandeis dissident)

– 1967: Katz v. United States, 389 U.S. 347 (1967) – 1968: Wiretap Act – 1980s: Electronic Communications Privacy Act

(ECPA) et Stored Communications Act (SCA)– Plus récemment: Plusieurs autres lois

sectorielles (enfants – finance – santé – etc.)

96

Perspectives historiques Etats-Unis (suite)

Il existe évidemment une protection mais pas toujours par des lois– Jurisprudence– Code de conduite– Les expériences Trustee et BBBonline

97

Perspectives historiques Olmstead v. United States, 277 U.S. 438, 474

(1928) (Juge Brandeis, dissident). – «Moreover, in the application of a Constitution, our

contemplation cannot be only of what has been, but of what may be. The progress of science in furnishing the government with means of espionage is not likely to stop with wire tapping. Ways may some day be developed by which the government, without removing papers from secret drawers, can reproduce them in court, and by which it will be enabled to expose to a jury the most intimate occurrences of the home. (…) Can it be that the Constitution affords no protection against such invasions of individual security?»

98

Perspectives historiques Europe:

– Fin des 1940s: Discussions reliées aux atrocitées de la deuxième guerre mondiale et adoption de la Convention européenne des droits de l’homme

– Fin des années 1960: Inquiétude relative aux nouvelles technologies dont les ordinateurs et banques de données

– Début des années 1970s: Deux résolutions• Council of Europe, Committee of Ministers, Resolution

(73) 22 on the protection of the privacy of individuals vis-avis electronic data banks in the private sector.

• Council of Europe, Committee of Ministers, Resolution (74) 29 on the protection of the privacy of individuals vis-avis electronic data banks in the public sector.

– 1980: Lignes de l’OCDE et la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (« Convention 108 »)

– 1998 et 2002: Directives Européennes.

99

Problématique internationale Vie privée en Amérique du nord (sauf Québec)

– Droit économique– Auto-régulation– Grosse pression pour empêcher l’édiction de lois– Mais cela change...

Vie privée en Europe– Droit fondamental– Lois dans tous les pays– La vie privée est d’ordre public– Directive européenne de 1995

Perspectives d’entente difficile

100

Guerre de la vie privée: Directive Européenne de 1995 (article 25)

« 1. Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l'objet d'un traitement, ou destinées à faire l'objet d'un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat.2. Le caractère adéquat du niveau de protection offert par un pays tiers s'apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d'origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées.4. Lorsque la Commission constate, conformément à la procédure prévue à l'article 31 paragraphe 2, qu'un pays tiers n'assure pas un niveau de protection adéquat au sens du paragraphe 2 du présent article, les États membres prennent les mesures nécessaires en vue d'empêcher tout transfert de même nature vers le pays tiers en cause.”

101

Guerre de la vie privée: Bataille depuis 1997 08 / 2000: L’accord sur le « Safe Harbour »

(ou les sphères de sécurité) aux États-Unis– Toutes les entreprises déposent leurs

politiques en matière de vie privée au FTC– Chaque politique est analysée– Pouvoirs d’investigation et de sanction– Si pas de respect, on retire de la liste

Possibilité d’avoir des dérogation avec l’article 26

102

Test de «niveau de garantie adéquat»: Discriminatoire, au moins en apparence:

– Yves Poullet, «Transborder Data Flows and Extraterritoriality : The European Position», p. 10 et 11 : «The great suppleness used to appreciate the “adequate protection” is definitively a good thing but might lead to risks of discrimination between third countries. So, Australia might consider that its country has been discriminated by the refusal of the EU Commission to consider its legislation as not adequate whilst, at the same time, the “US Safe Harbour Principles” have been considered as adequate.»

– Peter Fleischer (CPO de Google), «The Need for Global Privacy Standards»: « The EU’s formalistic criteria for determining “adequacy” have been widely criticized: why should Argentina be “adequate”, but not Japan? (..) In short, if we want to achieve global privacy standards, the European Commission will have to learn to demonstrate more respect for other countries' approach to privacy regimes.»

103

« Objectivité » du test

Le Groupe de travail a émis un document expliquant la méthodologie pour évaluer ce test:

– Commission européenne, Groupe de protection des personnes à l’égard du traitement des données à caractère personnel, Transferts de données personnelles vers des pays tiers: Application des articles 25 et 26 de la Directive relative à la protection des données.

MAIS… un rapport de certains experts résume les difficultés, sur le plan pratique, quant au mécanisme permettant d’évaluer adéquatement le niveau de protection d’une loi étrangère:

– Charles D. Raab, Colin J. Bennett, Robert Gellman, Nigel Waters, «Application of a Methodology Designed to Assess the Adequacy of the Level of Protection of Individuals with Regard to Processing Personal Data: Test of the Method on Several Categories of Transfer», Office for Official Publications of the European Commission, September 1998.

104

« Objectivité » du test (suite)

Certains documents émanant de la Commission européenne soulignent d’ailleurs la difficulté à appliquer ce test dans plusieurs circonstances:

– First Orientations on Transfers of Personal Data to Third Countries: Possible Ways Forward in Assessing Adequacy, document pour discussions adopté par le Groupe de travail - note les difficultés à appliquer ce test aux États-Unis et aux autres pays qui n’ont pas de loi en la matière

– Preparation of a Methodology for Evaluating the Adequacy of the Level of Protection of Individuals with Regard to the Processing of Personal Data, Annex to the Annual Report 1998 of the Working Party Established Under Article 29 of the Directive 95/46/EC, DG XV COM(98) D 5047.

105

Test de «niveau de garantie adéquat» Le fait que la Commission européenne ait reconnu le caractère

« adéquat » des protections émises par les principes du Safe Harbour Agreement aux États-Unis contre la recommandation du Parlement européen a semé le doute chez plusieurs quant au caractère objectif du test:– Voir: Anna Shimanek, Note, «Do you want Milk with Those

Cookies?, Complying with the Safe Harbor Principles», (2001) 26 Iowa J. Corp. L. 455, p. 458.

Certains ont accusé l’Europe d’avoir accepté des standards très bas pour les États-Unis afin de ne pas nuire aux échanges commerciaux entre ces deux juridictions: – Voir: Graham Greenleaf (Graham: Professeur de droit à

l’Université de New South Wales, Syndney Autralia), «Death of the EU Privacy Directive? Choppy waters in the Safe Harbor», (1999) 6(6) PLPR 81 et «Safe Harbor’s low benchmark for ‘adequacy’: EU sells out privacy for US$», (2000) Austral. L. Inf. Inst. J.

106

Test de «niveau de garantie adéquat»

(suite) Certains rapportent que malgré la Directive 95/46, certaines

divergences importantes persistent entre les lois européennes: – Joel Reidenberg, « E-commerce and Trans-Atlantic Privacy

» , (2001) 38 Houston L. Rev. 77; Joel R. Reidenberg et Paul M. Schwartz, Data protection law and online services: regulatory responses, delivered to Commission of the European Communities, Décembre 1998.

107

2) Introduction aux outils de gouvernance internationaux

108

OCDE Lignes directrices de l'OCDE sur la protection de la vie

privée et les flux transfrontières de données de caractère personnel (1981)

– Inquiétude : les différences entre les lois nationales en matière de protection de renseignements personnels peut affecter les flux transfrontières de données.

– Utilisées fréquemment lors du développement et de l’élaboration des lois en matière de protection de renseignements personnels pour les juridictions non-européennes

– Représente la première codification des principes de « fair information practices »

– Problèmes: aucune efficacité pour règlementer les flux transfrontières de données, aucune pénalité pour non-conformité

109

OCDE Autres documents pertinents pour le commerce-

électronique: – Guidelines on the Security of Information

Systems (1992)– Guidelines for Cryptography Policy (1997)– Study of Inventory of Instruments and

Mechanisms for the protection of privacy (1999, updated 2003)

– Privacy Statement Generator – Anti-Spam Toolkit of Recommended Policies and

Measures (2006)– Beaucoup d’initiatives en matière de protection

du consommateur

110

Conseil de l’Europe Convention pour la protection des personnes à

l'égard du traitement automatisé des données à caractère personnel (Convention 108)

– Ratifiée par 25 pays et signée par 33– Inspirée de la Convention européenne des droits

de l'homme et des libertés fondamentales – But: étendre le droit au respect de la vie privée,

eu égard à l'intensification de la circulation à travers les frontières des données à caractère personnel faisant l'objet de traitements automatisés

– Principes de base similaires aux principes de « fair information practices » et donc aux Lignes directrices de l'OCDE

– Problème : principes rédigés en termes vagues

Amendement à la Convention 108 (1999)

111

Union Européenne Directive 95/46/EC

– Deux buts : protéger la vie privée des individus et faciliter les flux transfrontaliers des données à caractère personnel entre les états membres

– Inquiétudes précédentes adressées: • Moyens de mis en œuvre• Rédaction de principes plus précis

– Nouveau: « niveau de protection adéquat » est un prérequis pour les pays recevant les données à caractère personnel des européens

Directive 02/58/EC (replace la directive 97/66/EC en matière de télécom)– Règlemente certaines activités reliées au réseau

(« cookies », « traffic data », données de localisation, « spam », etc…)

112

Droit européen Il y a les principes généraux (10 principes)

Et il y a les principes spécifiques (10 principes)

Même si recoupements possibles

113

Droit européen – principes généraux

1. Responsabilités 2. Finalités 3. Consentement 4. Limitations de la collecte 5. Limitation de l’utilisation, communication et

de la conservation 6. Exactitude7. Sécurité 8. Transparence 9. Accès 10. Recours

114


1. Responsabilité« Une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner une ou des personnes qui devront s’assurer du respect des principes énoncés ci-dessous. »

« Les organisations doivent assurer la mise en oeuvre des politiques et des pratiques destinées à donner suite aux principes, y compris :

a) la mise en oeuvre des procédures pour protéger les renseignements personnels ;b) la mise en place des procédures pour recevoir les plaintes et les demandes de renseignements et y donner suite ;c) la formation du personnel et la transmission au personnel de l’information relative aux politiques et pratiques de l’organisation ; etd) la rédaction des documents explicatifs concernant leurs politiques et procédures.

115


2. Finalités

« Les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées par l’organisation avant la collecte ou au moment de celle-ci. »

116


3. Consentement

« Toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. »

117


4. Limitation de la collecte

« L’organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées et doit procéder de façon honnête et licite. »

Ex: Selon une décision du Commissariat à la vie privée (Conclusion #40, 2002 IIJCan 42369 (C.V.P.C.)), du 12 mars 2002, une banque ne peut exiger d’une personne souhaitant ouvrir un compte sans avoir un quelconque crédit (simplement pour déposer des chèques), une étude crédit classique avec présentation d’un NAS.

Ex: Décision CIPPIC- Facebook été 2009

118

Droit européen – principes généraux4. Limitation de la collecte

Conclusion #40, 2002 IIJCan 42369 (C.V.P.C.)), du 12 mars 2002.

Faits: Le plaignant ne voulait qu'un compte bancaire de base, où il pourrait déposer des chèques et des espèces (pas de compte de chèques ni de crédit sous quelque forme que ce soit). La banque requiert deux pièces d'identité et son NAS, et une autorisation à effectuer une vérification de son crédit. Il a refusé de signer l'autorisation, et la banque a refusé de lui ouvrir un compte. La banque justifie cette politique par la nécessité d'obtenir des renseignements à deux fins : (1) l'observation du Règlement sur le recyclage des produits de la criminalité; et (2) l'atténuation du risque croissant de fraude pour la banque.

Décision: Plainte est bien fondée. Comme il ne voulait aucune forme de crédit, la banque devrait adapter ses procédures d'ouverture de compte:

– « La banque n'avait pas démontré à la satisfaction du commissaire que l'ouverture d'un compte dans les conditions que le plaignant avait proposées aurait posé un grave risque pour elle ou que la méthode d'atténuation du risque que privilégiait la banque (c.-à-d. les vérifications du crédit) se seraient révélées plus efficaces que la méthode proposée par le plaignant. (…)»

119


5. Limitation du traitement « Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n’y consente ou que la loi ne l’exige. On ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des fins déterminées. »

Ex: Selon une décision du Commissariat à la vie privée (Conclusion #121, 2003 IIJCan 33645 (C.V.P.C.)), du 23 janvier 2003, une banque est responsable d’un employé qui utilise des renseignements sur un client pour commettre une fraude. En l’occurrence, le dédommagement offert par la banque est jugé suffisant.

120


5. Limitation du traitement Conclusion #121, 2003 IIJCan 33645 (C.V.P.C.)), du 23 janvier 2003,

Faits: Une personne s'est aperçu que le solde de sa marge de crédit personnelle était anormalement élevé. La banque a effectué une enquête, puis a découvert qu'un employé avait eu accès au compte du plaignant et avait changé l'adresse, émis des chèques à la fausse adresse et fait plusieurs chèques à partir de la marge de crédit. La banque a fermé le compte, annule la dette contractée et a offert un règlement monétaire, lequel a été refusé affirmant que le règlement n'était pas proportionnel à la gravité de l'incident. L’employé a été mis à pied (son casier judiciaire avait été vérifié et il avait participé à la formation sur la protection des renseignements personnels obligatoire pour tous les employés).

Décision : Plainte fondée. Le commissaire a noté que la banque avait offert une indemnisation au plaignant qui semblait appropriée dans les circonstances.

121


6. Exactitude

« Les renseignements personnels doivent être aussi exacts, complets et à jour que l’exigent les fins auxquelles ils sont destinés. »

122


7. Mesures de sécurité

« Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. »

Voir comme exemples: - Conclusion #177, 2003 IIJCan 38271 (C.V.P.C.)), du 05 juin 2003- Conclusion #289, 2005 IIJCan 15488 (C.V.P.C.)), du 03 février 2005

123

Droit européen – principes généraux7. Mesures de sécurité

Conclusion #177, 2003 IIJCan 38271 (C.V.P.C.)), du 05 juin 2003.

Faits: Une banque laisse un ordinateur connecté dans une aire publique; une cliente obtient des renseignements sensibles relatifs à un compte personnel sans mot de passe. Ses craintes quant aux procédures de sécurité de la banque se sont accentuées lorsque l'employé de la banque l'a plus tard laissée regarder pendant qu'il tapait son mot de passe lequel, dit-elle, est apparu en clair à l'écran pendant qu'il procédait à une ouverture de session sur un autre ordinateur.

Elle se plaint des mesures de sécurité appropriées. La banque a qualifié l'incident de simple erreur commise par un employé.

Suite à la plainte, la banque a pris deux mesures

correctives (sensibilisation des employés et a installé un nouveau système informatique, se ferme si reste inactif pendant 15 minutes).

124


7. Mesures de sécuritéConclusion #177, 2003 IIJCan 38271 (C.V.P.C.)), du 05 juin 2003.

Décision: La plainte est fondée. Le commissaire a donc conclu que la banque avait clairement contrevenu au principe 4.7 (sécurité).

Les mesures correctives sont-elles adéquates? Fermeture automatique de l'écran de l'ordinateur après 15 minutes: pas une mesure de sécurité adéquate pour la protection des renseignements personnels sensibles.

Adoption de politique et sensibilisation: pas suffisant, employé peut négliger de suivre la règle, surtout s’il se fie à une fonction de fermeture automatique après 15 minutes d'attente (les employés pourraient se fier là-dessus au lieu de clore la session manuellement).

125

Droit européen – principes généraux7. Mesures de sécurité

Conclusion #289, 2005 IIJCan 15488 (C.V.P.C.), du 03 février 2005, une banque est responsable du vol d’un ordinateur portatif de l’une de ses employée.

Faits: Au début de 2004, un ordinateur portatif contenant les renseignements personnels de 960 clients de la banque a disparu du véhicule d'une employée planificatrice ou conseillère financière qui l'avait verrouillé après l'avoir stationné dans le garage souterrain de son domicile. La banque a contacté le plaignant pour l’aviser que ses renseignements (nom, son adresse, no de téléphone et no de compte de fonds mutuels (mais pas le solde) avaient été potentiellement divulgués. Le plaignant ne croyait pas que la planificatrice financière avait non plus besoin des numéros de compte des clients sur son ordinateur pour contacter des clients.

La liste ne comprenait pas les noms de clients qui avaient demandé de ne pas être sollicités pour d'autres services ou produits bancaires. Le plaignant ne s’étant pas retiré de la liste, ses informations se trouvaient sur la liste. Les normes de sécurité établies par la banque à l'égard de ses ordinateurs portatifs énoncent des précautions générales à prendre par les utilisateurs et elles déconseillaient expressément de laisser des ordinateurs portatifs dans les véhicules.

126


7. Mesures de sécurité

Conclusion #289, 2005 IIJCan 15488 (C.V.P.C.), du 03 février 2005, une banque est responsable du vol d’un ordinateur portatif de l’une de ses employée. (suite)

Décision: Plainte non fondée quant à la divulgation illicite (le plaignant aurait du se retirer de la liste) donc consentement implicite pour inclure son nom sur la liste.

Mais plainte fondée sur la question de la sécurité. La planificatrice financière n'avait pas suivi les recommandations de la banque concernant la sécurité matérielle et avait laissé l'ordinateur sans surveillance sur le siège de sa voiture.

127

Droit européen – principes généraux8. Transparence

« Une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne. »

Ex: Selon une décision du Commissariat à la vie privée (Conclusion #183, 2003 IIJCan 38064 (C.V.P.C.)), du 10 juillet 2003, une banque n’est pas tenue de publier ses politiques et ses pratiques concernant la gestion des renseignements personnels.

128

Droit européen – principes généraux8. Transparence

Conclusion #183, 2003 IIJCan 38064 (C.V.P.C.), du 10 juillet 2003

Faits: Victime d'un vol d'identité de la part d'un employé de la banque, le plaignant a demandé à l'institution bancaire copie de ses politiques et pratiques contre la fraude. Il semble qu'un autre employé de la banque l'aurait informé que son cas avait incité l'institution à revoir ses politiques et pratiques. Il désirait comparer l'« ancienne » version des politiques à la « nouvelle » pour s'assurer que la banque avait améliorer ses méthodes de prévention de la fraude. La banque a refusé car elles sont liées aux opérations internes.

Décision: Plainte non fondée. Il est notamment précisé que « le commissaire était d’avis qu’une institution bancaire doit savoir de façon plus générale quelles seront les conséquences de la diffusion de détails sur ses politiques et pratiques. Il a trouvé logique qu’une banque ne veuille pas rendre public les étapes précises suivies pour empêcher la fraude, puisque les criminels pourraient utiliser cette information pour déjouer les mesures de protection de l’institution ».

129


9. Accès

« Une organisation doit informer toute personne qui en fait la demande de l’existence de renseignements personnels qui la concernent, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers, et lui permettre de les consulter. Il sera aussi possible de contester l’exactitude et l’intégralité des renseignements et d’y faire apporter les corrections appropriées. »

- Corrections d’informations objectives. Voir OPCC, Report of Findings, Complaint under PIPEDA against Accusearch Inc., doing business as Abika.com (31 July 2009)

130


10. Plaintes

« Toute personne doit être en mesure de se plaindre du non-respect des principes énoncés ci-dessus en communiquant avec le ou les personnes responsables de les faire respecter au sein de l’organisation concernée. »

131

APEC APEC: 21 économies (incluant Canada, États-unis,

Chine, Japon, Autralie, etc.)

Privacy Framework (2005) - But: promouvoir un approche flexible en matière de protection de renseignements personnels pour les membres, tout en éviter de créér des barrière inutiles aux flux transfrontaliers

Le APEC Privacy Framework en tant que solution globale?

– Peter Fleischer (CPO de Google): « To my mind, the APEC Framework is the most promising foundation on which to build, especially since competing models are flawed (the USA model is too complex and too much of a patchwork, the EU model is too bureaucratic and inflexible)»

Un (seul?) avantage: modèle de base pour les pays de l’APEC sans lois en matière de protection de renseignements personnels (la plupart des membres de l’APEC)…

132

Inquiétudes relatives aux principes de l’APEC Plusieurs désavantages (Bennett, Greenleaf, Pounder,

Waters, etc.):

– Moins sévères que les principes de l’OCDE

– Aucune constitution

– Aucun mécanisme clair de mise en œuvre

– Certains nouveaux principes potentiellement dangereux

– La compatibilité avec l’Europe ignorée

– L’expérience locale ignorée

– Aucun standard clair pour les exportateurs de renseignements personnels

133

Neuf principes de l’APEC

Preventing Harm Notice Collection limitation Uses of personal information Choice Integrity of personal information Security safeguards Access and correction Accountability

134

Standards internationaux: ISO

Standards ISO en matière de sécurité (27001, 15408, 18014-1, 19772, 15446) et vie privée – services financiers (22307)

Standards ISO en matière de vie privée ( en développement):

– ISO 29101 – A Privacy Reference Architecture (best practices for consistent technical implementation of privacy principles);

– ISO 29100 – A Privacy Framework (defining privacy requirements for processing of personal information in any jurisdiction); and

– ISO 24760 – A Framework for Identity Management (for secure and privacy compliant management of identity information).

Resolution on Development of International Standards (29th International Conference of Data Protection and Privacy Commissioners)

135

Nations Unies

UN Guidelines for the Regulation of Computerized Personal Data Files (adoptées par assemblée générale en 1990), selon l’article 12 de la Déclaration universelle des droits de l’homme :

– « No one shall be subjected to arbitrary interference with his privacy, family, home or correspondence, nor to attacks upon his honour and reputation. Everyone has the right to the protection of the law against such interference or attacks. »

136

3) Quel est leur impact au Canada?

137

Harmonisation des lois nationales? Les outils de gouvernance internationaux (sauf celui

de l’APEC)

– Ont été utilisés par plusieurs juridictions incluant le Canada lors de l’adoption de lois en matière de protection de renseignements personnels

– Jusqu’à un certain point, ont joué un rôle « harmonisateur » quant au contenu des différentes lois nationales• Ex.: En réponse à la Directive 95/46/EC :

– Canada : LPRPDE– États-unis : Safe Harbour Agreement

– Se sont construits les uns sur les autres afin d’adresser les inquiétudes des outils précédents: • Mécanisme de mise en œuvre• Principes rédigés en termes plus précis• Adresse les questions de flux transfrontaliers

138

Faciliter les transferts trans-nationaux?

Directive Européenne de 1995 (article 25) 1.Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l'objet d'un traitement, ou destinées à faire l'objet d'un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat.

2. Le caractère adéquat du niveau de protection offert par un pays tiers s'apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d'origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées.

139

Transferts trans-nationaux pour les non-Européens La Directive 95/46/EC et les flux transfrontaliers pour

les non-membres

– Solution réaliste dans le contexte de l’Internet?• commerce électronique• services de type « cloud computing »• gestion de sites internet: exportation de

renseignements personnels?

L’affaire Lindqvist

140

Transferts trans-nationaux pour les non-Européens – L’affaire Lindqvist La Cour de Justice européenne: la portée extra-territoriale de la Directive

95/46 ne s’appliquait pas au contenu d’un site web européen. Certains experts européens critiquent cette décision pour le motif que

les normes de la Directive 95/46 devraient s’appliquer au contenu d’un site web européen car même si le site n’exporte pas de données à caractère personnel comme tel, il crée un risque d’exportation en rendant l’information disponible sur son site (donc art. 25 et 26 sont applicables).

Défi: – Si les dispositions de la Directive 95/46 traitant de la portée extra-

territoriale ne s’appliquent pas au contenu d’un site web européen, alors mettre des données en ligne pourrait être une façon de contourner les exigences de la Directive 95/46, ces données pouvant se retrouver dans une juridiction étrangère sans aucune protection.

– Si au contraire les dispositions de la Directive 95/46 traitant de la portée extra-territoriale s’appliquent au contenu d’un site web européen, ceci pourrait impliquer qu’à défaut de pouvoir s’assurer que toutes les lois étrangères offrent une protection adéquate, les sites web européens se doivent de s’abstenir de rendre disponibles, sur leurs sites, des données à caractère personnel ou encore qu’ils doivent bloquer l’accès à leur site aux utilisateurs étrangers.

Bref, cette portée extra-territoriale, peu importe l’interprétation qu’on lui donne, est potentiellement irréaliste sur le plan pratique dans le contexte du web.

141

Transferts trans-nationaux pour les non-Européens

Augmentation de coûts de conformité

– Institutions financières, systèmes de réservations pour les hôtels ou les lignes aériennes, organisations opérant dans le domaine des assurances ou pharmaceutique, ainsi que les entreprises qui vendent leurs produits en ligne à des consommateurs situés partout au monde.

– Dans bien des cas, la condition de protection adéquate sera remplie par la partie importatrice des données à caractère personnel s’engageant contractuellement à respecter certaines conditions. Des coûts seront donc encourus pour la rédaction et la négociation des contrats pertinents.

– Lorsque General Motors a mis sur pied son livret téléphonique pour tous les employés de ses bureaux locaux et internationaux, cela lui aurait pris six mois pour s’assurer qu’elle rencontrait toutes les exigences réglementaires de chaque état membre européen.

142

Initiatives de l’APEC

APEC: principes moins sévères que ceux émis par les lois canadiennes en la matière

– LPRPDE et les lois provinciales substantiellement similaires

– PAS une solution pour les juridictions canadiennes quant aux transferts à l’intérieur des membres de l’APEC …

143

4) Comment addresser les problèmes juridictionnels lors de transferts de données

144

À l’intérieur du Canada Canada:

– Fédéral: LPRPDE– Lois provinciales qui sont substantiellement

similaires (Quebec, Alberta et Colombie-Brittanique)

Comment traiter des différences entre les lois? – Considérer les principes les plus sévères peut être

néfaste au point de vue « affaires »:• définitions de « renseignement personnel » sont

différentes• les lois provinciales s’appliquent aux

renseignements d’employés • la notion de « consentement » diffère selon les

juridictions• les questions d’exception en cas de transactions

commerciales ne sont pas présentes dans toutes les lois

145

Lors de l’exportation de données à l’extérieur du Canada

Canada : protection contractuelle lors de transfert de données

Canada: principes 4.1.3 et 4.8 de l’Annexe 1

– 4.1.3 Une organisation est responsable des renseignements personnels qu’elle a en sa possession ou sous sa garde, y compris les renseignements confiés à une tierce partie aux fins de traitement. L’organisation doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie.

– 4.8 Huitième principe — Transparence Une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne.

146


Canada : protection contractuelle lors de transfert de données

Quebec: art. 17– 17. La personne qui exploite une entreprise au Québec et qui

communique à l'extérieur du Québec des renseignements personnels ou qui confie à une personne à l'extérieur du Québec la tâche de détenir, d'utiliser ou de communiquer pour son compte de tels renseignements doit au préalable prendre tous les moyens raisonnables pour s'assurer:

– 1° que les renseignements ne seront pas utilisés à des fins non pertinentes à l'objet du dossier ni communiqués à des tiers sans le consentement des personnes concernées sauf dans des cas similaires à ceux prévus par les articles 18 et 23;

– 2° dans le cas de listes nominatives, que les personnes concernées aient une occasion valable de refuser l'utilisation des renseignements personnels les concernant à des fins de prospection commerciale ou philanthropique et de faire retrancher, le cas échéant, ces renseignements de la liste.

– Si la personne qui exploite une entreprise estime que les renseignements visés au premier alinéa ne bénéficieront pas des conditions prévues aux paragraphes 1° et 2°, elle doit refuser de communiquer ces renseignements ou refuser de confier à une personne ou à un organisme à l'extérieur du Québec la tâche de les détenir, de les utiliser ou de les communiquer pour son compte.

147


Comment adresser le fait que les renseignements seront sujets aux lois étrangère une fois transférées?

– Ex: Transfert aux Etats-Unis (Patriot Act)

– Interprétation par la commissaire à la vie privée au niveau fédéral: • Conclusion no 394 (19 septembre 2008);

Conclusion no 333 (19 juillet 2006); Conclusion no 313 (19 octobre 2005)

– Solution: inclure une disposition dans la politique de confidentialité de l’organisation divulguant cette éventualité

148

Lorsqu’une organisation fait affaires partout au monde….

Utiliser les standards les plus sévères européens?

Les lois nationales européennes diffèrent à plusieurs égards (Schwartz & Reidenberg, 1998)

Lorsque l’on opère un site web:

– Mettre de l’information en ligne = exportation de l’information?

– Europe: Décision de l’affaire Lindqvist dit NON, mais certains experts européens disent OUI (Poullet, 2007), mais les deux interprétations ne fonctionnent pas bien en pratique …

Questions?

149