Drt 6903A Droit du commerce électronique Cours 7 et 9 – Vie privée 14 et 28 octobre 2009 Eloïse Gratton

Présentation au sujet: "Drt 6903A Droit du commerce électronique Cours 7 et 9 – Vie privée 14 et 28 octobre 2009 Eloïse Gratton"— Transcription de la présentation:

1 Drt 6903A Droit du commerce électronique Cours 7 et 9 – Vie privée 14 et 28 octobre 2009 Eloïse Gratton eloise.gratton@mcmillan.ca

2 Plan des cours 7 et 9 Cours 7 –Vie privée sur Internet –Vie privée au Canada –Vie privée au travail (Canada) Cours 9 –Perspectives historiques (Etats-Unis et Europe) –Vie privée sur le plan international

3 COURS 7

4 Vie privée sur Internet

5 Introduction Vie privée existe depuis longtemps mais… La problématique change avec lélectronique – Tellement facile de copier – Tellement facile de vendre, céder, échanger ces informations – Tellement facile de ne pas se rendre compte que des informations personnelles nous concernant circulent – Tellement facile de les communiquer à autrui.

6 Introduction – Vie privée et Internet Scott McNealy, chairman of Sun Microsystems: –You have zero privacy anyway. Get over it. Larry Ellison, CEO of Oracle: –The privacy you're concerned about is largely an illusion. All you have to give up is your illusions, not any of your privacy. Google's lawyer team (Boring / Street View lawsuit): –Today's satellite-image technology means that even in today's desert, complete privacy does not exist.

7 Quest-ce quun renseignement personnel? Canada: –Art. 2 de la Loi sur la Protection des renseignements personnels dans le secteur privé (Québec) tout renseignement qui concerne une personne physique et permet de l'identifier. –Art. 2 de la LPRPDE (fédéral): tout renseignement concernant un individu identifiable, à lexclusion du nom et du titre dun employé dune organisation et des adresse et numéro de téléphone de son lieu de travail. Europe: Article 2 (a) Directive 95/46/CE toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale;

8 En pratique, un renseignement personnel cest: Un numéro de carte de crédit Des indications personnelles sur sa race, sa santé, son crédit, etc… Mais aussi… –Nom, prénom, courriel, âge, téléphone, adresse, etc… –Habitudes dachat –Il faut aussi parfois quil y ait un lien entre les informations –Cela ne concerna pas non plus les éléments qui sont du domaine public… –Etc.

9 TOUTEFOIS…….

10 Nouvelles données…. Informations relatives aux courriels –compte courriel Addresses IP –connectivité internet Données de type « Clickstream », données de recherches en ligne et autres données collectées par des logiciels témoin ou « cookies » –appareil connecté à linternet Noms dusagers –compte web

11 Nouvelles méthodes de collecte…. cookies (témoin) spyware (logiciel espion) web bugs etc…

12 Nouvelles méthodes pour identifier un individu…. Nouvelles méthodes de plus en plus sophistiquées Nouvelles pratiques de type « cross-website linkage »…. À quel point est-ce quune donnée est « identifiable »?

13 Nouveaux défis Les cours ne sentendent pas sur certaines types de nouvelles données, exemple: adresses IP Entre juridictions: Adresse IP est un renseignement personnel en Europe mais non aux États-unis –À lorigine de confrontations entre juridictions –Ex.: Juillet 2008, laffaire de Google/Viacom À lintérieur dune même juridiction: France –Avril 07: Cour d'appel de Paris – NON –Mai 07: Cour d'appel de Paris – NON –Juillet 07: Communiqué de la CNIL – OUI –Mai 08: Cour dappel Rennes – OUI –Janvier 09: Cour cassation – NON –Juin 09: Tribunal de grande instance Paris - OUI

14 Interprétation de renseignement personnel Interprétation restreinte: problème datteinte à la vie privée –Données de type Clickstream ou données de recherche Scandale dAOL (2006) –Addresses IP utilisées dans les enquêtes criminelles Canada: expectative de vie privée –BMG Canada Inc. v. John Doe (2005) –R. c. Kwok (2008), R. c. Ward (2008); R. v. Wilson (2008); Warman v. Wilkins-Fournier (2009); R. v. Vasic (2009) États-Unis: pas dexpectative de vie privée (exception dans laffaire Reid de 2008)

15 Interprétation de renseignement personnel Interprétation large: effet non souhaitable pour les entreprises faisant affaires enligne –Les nouvelles données sont collectés et utilisées par les fournisseurs de services Internet afin de: Offrir plus de valeur commerciale Faire respecter les droits de propriété intellectuelle Respecter certaines lois selon les juridictions Éviter le Internet click fraud –Implique lobligation dobtenir le consentement, questions dentreposage, de rétention, etc… –En matière de cloud computing: engagement très lourd et fardeau économique

16 Pause réflexion…… Et si les lois en matière de la protection de renseignements personnels étaient inadaptées? – Pierre TRUDEL, « De la surveillance à la qualité: les fondements actualisés du droit de la protection des données personnelles dans le gouvernement en ligne », 2005. – Vincent GAUTRAIS, « Le défi de la protection de la vie privée face aux besoins de circulation de linformation personnelle », (2004) 9-2 Lex Electronica

17 Vie privée au Canada

18 Sources juridiques - Canada QUÉBEC Loi sur la protection des renseignements personnels dans le secteur privé (1994) Loi concernant le cadre juridique des technologies de linformation (2001) C.C.Q., articles 35 et suiv. Charte des droits et libertés (article 5) Et dautres … CANADA (FÉDÉRAL) Loi sur la protection des renseignements personnels et les documents électroniques (2000) « LPRPDE » Annexe 1 de la précédente Loi (Principes énoncés dans la norme nationale du Canada intitulée code type sur la protection des renseignements personnels, CAN/CSA-Q830-96) Charte (article 8) AUTRES PROVINCES Lois substantiellement similaires à la LPRPDE: Colombie-Brittanique et Alberta

19 La loi fédérale LPRPDE C-6: Première tentative dharmonisation pan- canadienne Pas simplement sur la vie privée –Documents électroniques –Modifications loi sur la preuve Problèmes constitutionnels de cette loi –Problèmes entre Québec et le fédéral Aussi étrange que cela puisse être, il reste laval du Parlement européen –Avis de la Commission européenne sur la Loi canadienne –Avis des pays tiers

20 La loi fédérale LPRPDE Une substance controversée – Manque de mordant en terme de procédure (action) – Manque de mordant en terme de substance Les articles de bases sont les articles 5 (3) 7 (1) 7 (2) 7 (3) Document qui légitimise le Code type du CSA reproduit en Annexe 1 (exemple d une loi qui sapproprie les usages)

21 Lois provinciales - Québec Le Code civil (art. 35, 36, 37) La Loi sur la protection des renseignements personnels dans le secteur privé –1993 – Première province à avoir une loi –En fait, deux lois…. (secteur public également) –Création dune instance permanente (la Commission daccès à linformation) –Approche très européenne (comparaison avec le droit français) –Approche très protectrice –Fleuron du droit québécois face aux autres provinces ou aux autres pays

22 Loi provinciale (Québec) vs. LPRPDE Sapplique aux employés Consentement doit être «manifeste» (pas de consentement implicite ou de type opt-out?) Transfert à des juridictions étrangères (art. 17) Aucune exception pour les «transactions daffaires» (comme en CB et en Alberta) Nest pas un modèle de type « ombudsman » Pénalités: amende et responsabilité des administrateurs et dirigeants

23 Lois provinciales - Québec Cueillette des renseignements personnels Cueillette auprès de la personne concernée – sauf consentement (art. 6) – sauf si intérêt légitime (notion restrictive de lintérêt légitime) Justifier la provenance (être capable de dire doù vient linformation dans le fichier – art. 7) Informer la personne concernée (art. 9) – Pourquoi (finalité) – Utilisation – Lieu de détention de linformation

24 Lois provinciales - Québec Principe de base - dossiers sont confidentiels et ne peuvent être communiqués (article 13) Exception – consentement Définition du consentement (article 14). « Le consentement à la communication ou à lutilisation dun RP doit être manifeste, libre, éclairé et être donné à des fins spécifiques. Ce consentement ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé. Un consentement qui nest pas donné conformément au premier alinéa est sans effet. »

25 Loi provinciale - Québec Accès et rectification dun dossier –Procédure écrite (art. 30) –Le commerçant agit avec diligence, dans les trente jours (art. 32) –Gratuité ou frais raisonnable (art. 33) M.B. c. Investdirect HSBC, [2008] C.A.I. 224 A.D. c. Clinique de médicine podiatrique Daniel Simoni, [2009] C.A.I. 46 –Droit de retrancher des données (art. 40 C.c.Q.) S.R. c. Côté, [2009] C.A.I. 172

26 Loi provinciale - Québec Accès et rectification dun dossier S.R. c. Côté, [2009] C.A.I. 172 –La rectification sera refusée si linformation à être modifiée est subjective. Principe généralement reconnu: –M. C. c. Champoux, [2008] C.A.I. 587; –M. B. c. Anapharm inc., [2006] CAI 484; –Bilodeau c. Dr Benoit Goulet, [2004] CAI 366; –Chamberlain c. Association québécoise daide aux personnes souffrant danorexie nerveuse et de boulimie, [2003] CAI 544; –Ravinsky c. Équifax Canada inc., [2003] CAI 46; –Benoit c. Dr Maurice Leduc, [1995] CAI 270. Même principe dans le secteur public: –J.B. c. Commission de la santé et de la sécurité du travail, [2009] C.A.I. 43 –M.C. c. Champoux, [2008] C.A.I. 230

27 Loi provinciale - Québec Article 40 C.c.Q.: « Toute personne peut faire corriger, dans un dossier qui la concerne, des renseignements inexacts, incomplets ou équivoques; elle peut aussi faire supprimer un renseignement périmé ou non justifié par l'objet du dossier, ou formuler par écrit des commentaires et les verser au dossier. La rectification est notifiée, sans délai, à toute personne qui a reçu les renseignements dans les six mois précédents et, le cas échéant, à la personne de qui elle les tient. Il en est de même de la demande de rectification, si elle est contestée.» G.S. c. Proact, [2009] C.A.I. 15 and 16 –Demande de destruction seulement considérée si linformation nest plus utile. –Mais le demandeur peut ajouter des commentaires au dossier de lorganisation.

28 Vie privée au travail

29 Vie privée et travail 20% de loisirs au travail !!! Ex: Grief darbitrage le 28 janvier 2000 –Licenciement confirmé par larbitre –329 heures sur Internet dont sites pornos –223 utilisations de son mot de passe OK, mais comment fait lemployeur pour avoir des données aussi précises et à quel prix? –Moyens de surveillance très élaborés –Logiciels spécialisés (Little Brother, Redhand, etc…) –Étude aux Etats-Unis de lAmerican Management Association International selon laquelle en 1998: 63% des employeurs surveillent les courriels des employés 23% ne le disent pas Mais moyens de contourner de plus en plus forts aussi… »Crypto »Adresse ailleurs

30 VP et travail : problématique juridique Vers la reconnaissance dune vie privée au travail –Charte canadienne des droits et libertés (art. 8 sur les fouilles pas explicite mais néanmoins présent) –Charte québécoise (art. 5 « toute personne a droit à la protection de la vie privée ») et aussi 4 (dignité) 24 (fouilles) 46 (personne qui travaille a droit à des conditions justes et raisonnables…) –C.c.Q. 3 (général) 35 et ss (vie privée) 2087 (dignité) 2858 (pas de preuve si atteinte aux droits fondamentaux) En France, COMPARONS: - Code pénal 226-1 (écoutes téléphoniques) 226-15 (violation du secret des correspondances privées) - Code du travail 122-45 (idem) 121-8 (aucune information concernant personnellement un salarié ou un candidat à lembauche ne peut être collectée par un dispositif qui na pas été portée personnellement à la connaissance du salarié)

31 VP et travail : problématique juridique La jurisprudence canadienne fait souvent référence au droit américain et met des limites à la vie privée Quant au lieu –SAQ c. Syndicat (1983) TA 335 –Cour suprême pas si sûr (1988 dans Dyment) –Cour suprême ajuste (1984) (Hunter c. Southam) dépend des circonstances Quant au consentement implicite –Qui peut apparaître implicitement dans un contrat de travail Bridgestone c. Firestone (1999) (CA) (filature dun employé sensé être malade) Triple rupture –Valable même dans létablissement –Subordination nentraîne pas forcément renonciation implicite –Raisonnabilité de la surveillance

32 Vie privée et travail : sur le plan pratique 1) Les raisons dun « monitoring » de lemployeur –Lefficacité de lemployé (diligence à 2088 C.c.Q.) –La fuite dinformations confidentielles (exception: 1472 C.c.Q.) –La propriété intellectuelle 2) Le droit de lemployeur de contrôler le travail 3) Le devoir de loyauté de lemployé (2088 / 1375 C.c.Q.) 4) La protection des droits individuels : principes généraux (pas systématique et discriminatoire) 5) Étude de la jurisprudence : la spécificité de la protection de lemployé

33 Vie privée et travail : sur le plan pratique 1 – Sanctions possibles si avertissements (politique) –De plus en plus un critère (clair au fédéral – moins au provincial) –États-Unis: pas besoin –Europe (France): cela dépend… –Attention donc au droit comparé 2 – Contrôle possible de lemployeur si –Avertissements –Pas arbitraire –« Raisonnable » 3 – Proportionnalité de la sanction –Pas forcément de sanctions graves la première fois 4 – Autres critères susceptibles dêtre pris en compte –Propriété de lordinateur –Lieu du travail (télétravail?)

34 Avertissements (politique) Belisle c. Rawdon (Municipalité), 2005 QCCRT 453 (IIJCan) (il ny a pas eu avertissement) [168] De surcroît, en labsence dune politique claire de lintimée quant à lusage du matériel informatique et en labsence de preuve dun préjudice quelconque à lemployeur, ce motif ne saurait justifier le congédiement du plaignant, comme le souligne la Cour du Québec dans laffaire Commission des normes du travail c. Bourse de Montréal (2002) R.J.D.T. 617 Commission des normes du travail c. Bourse de Montréal, D.T.E. 2002T-373 (Québec) (il ny a pas eu avertissement) Services dadministration P.C.R. Ltée. c. Québec (Commissaire du travail), 2003 IIJCan 602 (QC C.S.) (il y a eu avertissement) Syndicat canadien des communications, de lénergie et du papier, Section locale 522 c. CAE Électronique Ltée, D.T.E. 2000T-157 (T.A.) (il y a eu avertissement)

35 Avertissements Même si politique, peut ne pas marcher –Bell Canada c. Association canadienne des employés de téléphone, D.T.E. 2000T-254 (T.A.) –Boisvert c. Industrie Machinex (2002) Même si absence de politique, employé peut être condamné

36 Contrôle possible de lemployeur si … 1 – Raisonnabilité 2 – Attente raisonnable de vie privée –Srivastava c. Hindu Mission of Canada, [2001] J.Q. 1913 (CA) –Bell Canada c. Association canadienne des employés de téléphone, D.T.E. 2000T-254 (T.A.) –Blais c. Société des Loteries Vidéos du Québec Inc., 2003 QCCRT 14 (IIJCan) 3 – Pas de congédiement prétexte 4 – Charge de la preuve à lemployeur – Alliance de la fonction publique du Canada c. Musée des beaux-arts du Canada (2003)

37 Critères aggravants Haut niveau dindépendance de lemployé Syndicat canadien des communications, de lénergie et du papier, Section locale 522 c. CAE Électronique Ltée, D.T.E. 2000T-157 (T.A.) Refus de collaboration – faible ancienneté – mauvaise foi Syndicat des spécialistes et professionnels dHydro-Québec c. Hydro- Québec, non rapporté, 2 septembre 2003 Centre de réadaptation Lethbridge c. Syndicat des physiothérapeute et des thérapeutes en réadaptation physique du Québec, (2004) DiVito c. MacDonald Dettwiler & Associates, [1996] B.C.J. 1436. Propriété Srivastava c. Hindu Mission of Canada, [2001] J.Q. 1913 (CA) NON Arpin c. Grenier, 2004 IIJCan 11259 (QC C.Q.) OUI Gravité Syndicat canadien des communications, de lénergie et du papier, Section locale 522 c. CAE Électronique Ltée, D.T.E. 2000T-157 (T.A.) Perreault c. Syndicats des employés de soutien de lUniversité de Sherbrooke, 2004 IIJCan 14513 (QC T.T.)

38 Critères exonérants Ancienneté / utilisation ponctuelle –Bell Canada c. Association canadienne des employés de téléphone, D.T.E. 2000T-254 (T.A.) « Larbitre note que lincident ne représente pas un cas isolé et convient quil est compréhensible que le temps et léquipement de lemployeur, tels le téléphone ou lInternet, soient parfois utilisés à des fins personnelles. Il y aura faute si lusage est fréquent et prive la direction de lexécution du travail. Malgré la dérogation au code de conduite qui interdisait la transmission de ce genre de messages, le décideur considère que le salarié na pas utilisé exagérément le temps de son employeur, que ce dernier accorde trop dimportance au contenu érotique des fichiers et que leur transmission na pas affecté sa réputation. Vu les neuf ans dancienneté et le dossier disciplinaire vierge, larbitre impose plutôt une suspension de trois mois. » Pas de précédent –Bell Canada c. Association canadienne des employés de téléphone, D.T.E. 2000T-254 (T.A.) Absence de dommages (sur des sites de hackers) –Commission des normes du travail c. Bourse de Montréal inc., D.T.E. 2002T-373 (C.Q.)

39 Illustration - jurisprudence Alliance de la fonction publique du Canada c. Musée des beaux-arts du Canada (2003) Fiset c. Services dadministration P.C.R. (2003) Perreault c. Syndicats des employés de soutien de lUniversité de Sherbrooke (2004) Syndicat des cols bleus regroupés de Montréal, section locale 301 c. La Ronde (Six Flags) (2004) Jacobs c. Mohawks Internet Technologies/Sports Interaction (2004) Arpin c. Grenier (2004) Centre de réadaptation Lethbridge c. Syndicat des physiothérapeute et des thérapeutes en réadaptation physique du Québec (2004) Blais c. Société des loteries vidéo du Québec (2003) Boisvert c. Industrie Machinex (2002) DiVito c. MacDonald Dettwiler & Associates, [1996] B.C.J. 1436. Srivastava c. Hindu Mission of Canada, [2001] J.Q. 1913 (CA) Bell Canada c. Association canadienne des employés de téléphone, (2000) DTE T-254 (TA) Syndicat canadien des communications, de lénergie et du papier, section locale 522 c. CAE Électronique, (2000) DTE T-157 (TA) Commission des normes du travail c. Bourse de Montréal, (2002) DTE T0373 (CQ) Syndicat des spécialistes dHydro-Québec c. Hydro-Québec, non rapporté (2003)

40 Jurisprudence récente (utilisation ordinateur) Commission administrative des régimes de retraite et dassurances (CARRA) et Syndicat de la fonction publique du Québec (Mary-Line Langevin-Garneau), D.T.E. 2006T-20 ; Ghattas c. École nationale de théâtre du Canada, D.T.E. 2006T-296 ; Syndicat des spécialistes et professionnels dHydro-Québec, section locale 4250 SCFP et Hydro-Québec (François Durand), D.T.E. 2006T- 415 ; Syndicat des spécialistes et professionnels dHydro-Québec, section locale 4250 (SCFP-FTQ) et Hydro-Québec (Daniel Gosselin), D.T.E. 2007T-541 ; Sûreté du Québec et Association des policiers provinciaux du Québec (Jean-Marc Coulombe), D.T.E. 2007T-831 ; Collège Ahuntsic et Syndicat du personnel de soutien du Collège Ahuntsic (SylvainToupin), D.T.E. 2007T-889 ; Syndicat des employés municipaux de Beloeil (SCFP) et Beloeil (Ville de), (Daniel Nadeau), D.T.E. 2007T-874 ; Syndicat du personnel de soutien de la Seigneurie des Mille-Îles (CSN) et Commission scolaire de la Seigneurie-des-Mille-Ìles (Louis Marchand), D.T.E. 2008T-149 ; Gilles et Ciba Spécialités chimiques Canada inc., D.T.E. 2008T-330.

41 Jurisprudence récente (enregistrement employés) Difficile dutiliser en preuve les enregistrements car peut déconsidérer ladministration de la justice: –Syndicat des employées et employés professionnels et de bureau and others, D.T.E. 2009T-170 –Syndicat des travailleuses et travailleurs du CSSS du Sud de Lanaudière (CSN) and others, D.T.E. 2009T-253. –Syndicat des fonctionnaires municipaux et professionnels de la Ville de Sherbrooke et Sherbrooke (ville de), D.T.E. 2009T-309. –Syndicat des employées et employés de métiers dHydro- Québec, section locale 1500 – SCFP (FTQ) et Hydro-Québec, D.T.E. 2009T-273 –Groupe Champlain inc. (Gatineau) et Syndicat québécois des employées et employés de service, section locale 298 (FTQ), D.T.E. 2009T-431 (tribunal darbitrage)

42 Forme dune politique de vie privée 1. Reprendre les éléments de base 2. Les respecter 3. Écrire une politique lisible 4. Disposer cette politique dans un endroit stratégique 5. La mise à la connaissance de lemployé 6. Avis aux employés et modalités de mises à la connaissance 7. Répétition des avis (programmation des accès Internet) 8. Formation des employés 9. Signature dun document (électronique ou papier) 10. Modalités de contrôle

43 Contenu dune politique de vie privée Étendue des permissions Étendue des interdictions (activités prohibées) Propriété des outils de « production » Protéger contre utilisation inappropriée Protection des informations sensibles Réserve des droits de lemployeur Fréquence des contrôles Prévoir sanctions si manquement Prévoir si empoylé sen va de lentreprise Etc…

44 COURS 9: Vie privée sur le plan international

45 Plan du cours 1) Perspectives historiques: Vie privée aux États-Unis et en Europe 2) Introduction aux outils de gouvernance internationaux –Conseil de lEurope (Convention 108) –OCDE –Union européenne (Directives) –APEC –Security & Prosperity Partnership de lAmérique du Nord –Standards internationaux ISO 3) Quel est leur impact au Canada 4) Comment addresser les problèmes juridictionnels lors de transferts de données

46 1) Vie privée aux États-Unis et en Europe

47 Perspectives historiques États-Unis –1791: U.S. Bill of Rights, Fourth Amendment to U.S. Constitution –1890: Warren and Brandeis, « The Right to Privacy », Harvard Law Review, Vol. IV, December 15, No. 5. –1928: Olmstead v. United States – Cour suprême (Juge Brandeis dissident) –1967: Katz v. United States, 389 U.S. 347 (1967) –1968: Wiretap Act –1980s: Electronic Communications Privacy Act (ECPA) et Stored Communications Act (SCA) –Plus récemment: Plusieurs autres lois sectorielles (enfants – finance – santé – etc.) Il existe évidemment une protection mais pas toujours par des lois –Jurisprudence –Code de conduite –Les expériences Trustee et BBBonline

48 Perspectives historiques Olmstead v. United States, 277 U.S. 438, 474 (1928) (Juge Brandeis, dissident). –«Moreover, in the application of a Constitution, our contemplation cannot be only of what has been, but of what may be. The progress of science in furnishing the government with means of espionage is not likely to stop with wire tapping. Ways may some day be developed by which the government, without removing papers from secret drawers, can reproduce them in court, and by which it will be enabled to expose to a jury the most intimate occurrences of the home. (…) Can it be that the Constitution affords no protection against such invasions of individual security?»

49 Perspectives historiques Europe: –Fin des 1940s: Discussions reliées aux atrocitées de la deuxième guerre mondiale et adoption de la Convention européenne des droits de lhomme –Fin des années 1960: Inquiétude relative aux nouvelles technologies dont les ordinateurs et banques de données –Début des années 1970s: Deux résolutions Council of Europe, Committee of Ministers, Resolution (73) 22 on the protection of the privacy of individuals vis- avis electronic data banks in the private sector. Council of Europe, Committee of Ministers, Resolution (74) 29 on the protection of the privacy of individuals vis- avis electronic data banks in the public sector. –1980: Lignes de lOCDE et la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (« Convention 108 ») –1998 et 2002: Directives Européennes.

50 Problématique internationale Vie privée en Amérique du nord (sauf Québec) – Droit économique – Auto-régulation – Grosse pression pour empêcher lédiction de lois – Mais cela change... Vie privée en Europe – Droit fondamental – Lois dans tous les pays – La vie privée est dordre public – Directive européenne de 1995 Perspectives dentente difficile

51 Guerre de la vie privée: Directive Européenne de 1995 (article 25) « 1. Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l'objet d'un traitement, ou destinées à faire l'objet d'un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat. 2. Le caractère adéquat du niveau de protection offert par un pays tiers s'apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d'origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées. 4. Lorsque la Commission constate, conformément à la procédure prévue à l'article 31 paragraphe 2, qu'un pays tiers n'assure pas un niveau de protection adéquat au sens du paragraphe 2 du présent article, les États membres prennent les mesures nécessaires en vue d'empêcher tout transfert de même nature vers le pays tiers en cause.

52 Guerre de la vie privée: Bataille depuis 1997 08 / 2000: Laccord sur le « Safe Harbour » (ou les sphères de sécurité) aux États-Unis –Toutes les entreprises déposent leurs politiques en matière de vie privée au FTC –Chaque politique est analysée –Pouvoirs dinvestigation et de sanction –Si pas de respect, on retire de la liste Possibilité davoir des dérogation avec larticle 26

53 Test de «niveau de garantie adéquat»: Discriminatoire, au moins en apparence: –Yves Poullet, «Transborder Data Flows and Extraterritoriality : The European Position», p. 10 et 11 : «The great suppleness used to appreciate the adequate protection is definitively a good thing but might lead to risks of discrimination between third countries. So, Australia might consider that its country has been discriminated by the refusal of the EU Commission to consider its legislation as not adequate whilst, at the same time, the US Safe Harbour Principles have been considered as adequate.» –Peter Fleischer (CPO de Google), «The Need for Global Privacy Standards»: « The EUs formalistic criteria for determining adequacy have been widely criticized: why should Argentina be adequate, but not Japan? (..) In short, if we want to achieve global privacy standards, the European Commission will have to learn to demonstrate more respect for other countries' approach to privacy regimes.»

54 « Objectivité » du test Le Groupe de travail a émis un document expliquant la méthodologie pour évaluer ce test: –Commission européenne, Groupe de protection des personnes à légard du traitement des données à caractère personnel, Transferts de données personnelles vers des pays tiers: Application des articles 25 et 26 de la Directive relative à la protection des données. MAIS… un rapport de certains experts résume les difficultés, sur le plan pratique, quant au mécanisme permettant dévaluer adéquatement le niveau de protection dune loi étrangère: –Charles D. Raab, Colin J. Bennett, Robert Gellman, Nigel Waters, «Application of a Methodology Designed to Assess the Adequacy of the Level of Protection of Individuals with Regard to Processing Personal Data: Test of the Method on Several Categories of Transfer», Office for Official Publications of the European Commission, September 1998. Certains documents émanant de la Commission européenne soulignent dailleurs la difficulté à appliquer ce test dans plusieurs circonstances: –First Orientations on Transfers of Personal Data to Third Countries: Possible Ways Forward in Assessing Adequacy, document pour discussions adopté par le Groupe de travail; –Preparation of a Methodology for Evaluating the Adequacy of the Level of Protection of Individuals with Regard to the Processing of Personal Data, Annex to the Annual Report 1998 of the Working Party Established Under Article 29 of the Directive 95/46/EC, DG XV COM(98) D 5047.

55 Test de «niveau de garantie adéquat» Le fait que la Commission européenne ait reconnu le caractère « adéquat » des protections émises par les principes du Safe Harbour Agreement aux États-Unis contre la recommandation du Parlement européen a semé le doute chez plusieurs quant au caractère objectif du test: –Voir: Anna Shimanek, Note, «Do you want Milk with Those Cookies?, Complying with the Safe Harbor Principles», (2001) 26 Iowa J. Corp. L. 455, p. 458. Certains ont accusé lEurope davoir accepté des standards très bas pour les États-Unis afin de ne pas nuire aux échanges commerciaux entre ces deux juridictions: –Voir: Graham Greenleaf, «Death of the EU Privacy Directive? Choppy waters in the Safe Harbor», (1999) 6(6) PLPR 81 et «Safe Harbors low benchmark for adequacy: EU sells out privacy for US$», (2000) Austral. L. Inf. Inst. J. Certains rapportent que malgré la Directive 95/46, certaines divergences importantes persistent entre les lois européennes: –Joel Reidenberg, « E-commerce and Trans-Atlantic Privacy », (2001) 38 Houston L. Rev. 77; Joel R. Reidenberg et Paul M. Schwartz, Data protection law and online services: regulatory responses, delivered to Commission of the European Communities, Décembre 1998.

56 2) Introduction aux outils de gouvernance internationaux

57 OCDE Lignes directrices de l'OCDE sur la protection de la vie privée et les flux transfrontières de données de caractère personnel (1981) –Inquiétude : les différences entre les lois nationales en matière de protection de renseignements personnels peut affecter les flux transfrontières de données. –Utilisées fréquemment lors du développement et de lélaboration des lois en matière de protection de renseignements personnels pour les juridictions non- européennes –Représente la première codification des principes de « fair information practices » –Problèmes: aucune efficacité pour règlementer les flux transfrontières de données, aucune pénalité pour non- conformité

58 OCDE Autres documents pertinents pour le commerce- électronique: –Guidelines on the Security of Information Systems (1992) –Guidelines for Cryptography Policy (1997) –Study of Inventory of Instruments and Mechanisms for the protection of privacy (1999, updated 2003) –Privacy Statement Generator –Anti-Spam Toolkit of Recommended Policies and Measures (2006) –Beaucoup dinitiatives en matière de protection du consommateur

59 Conseil de lEurope Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (Convention 108) –Ratifiée par 25 pays et signée par 33 –Inspirée de la Convention européenne des droits de l'homme et des libertés fondamentales –But: étendre le droit au respect de la vie privée, eu égard à l'intensification de la circulation à travers les frontières des données à caractère personnel faisant l'objet de traitements automatisés –Principes de base similaires aux principes de « fair information practices » et donc aux Lignes directrices de l'OCDE –Problème : principes régigés en termes vagues Amendement à la Convention 108 (1999)

60 Union Européenne Directive 95/46/EC –Deux buts : protéger la vie privée des individus et faciliter les flux transfrontaliers des données à caractère personnel entre les états membres –Inquiétudes précédentes adressées: Moyens de mis en œuvre Rédaction de principes plus précis –Nouveau: « niveau de protection adéquat » est un prérequis pour les pays recevant les données à caractère personnel des européens Directive 02/58/EC (replace la directive 97/66/EC en matière de télécom) –Règlemente certaines activités reliées au réseau (« cookies », « traffic data », données de localisation, « spam », etc…)

61 Droit européen Il y a les principes généraux (10 principes) Et il y a les principes spécifiques (10 principes) Même si recoupements possibles

62 Droit européen – principes généraux 1. Responsabilités 2. Finalités 3. Consentement 4. Limitations de la collecte 5. Limitation de lutilisation, communication et de la conservation 6. Exactitude 7. Sécurité 8. Transparence 9. Accès 10. Recours

63 Droit européen – principes généraux 1. Responsabilité « Une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner une ou des personnes qui devront sassurer du respect des principes énoncés ci-dessous. » « Les organisations doivent assurer la mise en oeuvre des politiques et des pratiques destinées à donner suite aux principes, y compris : a) la mise en oeuvre des procédures pour protéger les renseignements personnels ; b) la mise en place des procédures pour recevoir les plaintes et les demandes de renseignements et y donner suite ; c) la formation du personnel et la transmission au personnel de linformation relative aux politiques et pratiques de lorganisation ; et d) la rédaction des documents explicatifs concernant leurs politiques et procédures.

64 Droit européen – principes généraux 2. Finalités « Les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées par lorganisation avant la collecte ou au moment de celle-ci. »

65 Droit européen – principes généraux 3. Consentement « Toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins quil ne soit pas approprié de le faire. » Ex: Selon une décision du Commissariat à la vie privée (Conclusion #40, 2002 IIJCan 42369 (C.V.P.C.)), du 12 mars 2002, une banque ne peut exiger dune personne souhaitant ouvrir un compte sans avoir un quelconque crédit (simplement pour déposer des chèques), une étude crédit classique avec présentation dun NAS.

66 Droit européen – principes généraux 4. Limitation de la collecte « Lorganisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées et doit procéder de façon honnête et licite. »

67 Droit européen – principes généraux 5. Limitation du traitement « Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée ny consente ou que la loi ne lexige. On ne doit conserver les renseignements personnels quaussi longtemps que nécessaire pour la réalisation des fins déterminées. » Ex: Selon une décision du Commissariat à la vie privée (Conclusion #121, 2003 IIJCan 33645 (C.V.P.C.)), du 23 janvier 2003, une banque est responsable dun employé qui utilise des renseignements sur un client pour commettre une fraude. En loccurrence, le dédommagement offert par la banque est jugé suffisant.

68 Droit européen – principes généraux 6. Exactitude « Les renseignements personnels doivent être aussi exacts, complets et à jour que lexigent les fins auxquelles ils sont destinés. »

69 Droit européen – principes généraux 7. Mesures de sécurité « Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. » Ex: Selon une décision du Commissariat à la vie privée (Conclusion #177, 2003 IIJCan 38271 (C.V.P.C.)), du 05 juin 2003, une banque ne peut laisser un ordinateur connecté à des renseignements personnels dans une aire publique sans mot de passe. Ex: Selon une décision du Commissariat à la vie privée (Conclusion #289, 2005 IIJCan 15488 (C.V.P.C.)), du 03 février 2005, une banque est resposable du vol dun ordinateur portatif de lune de ses employée.

70 Droit européen – principes généraux 8. Transparence « Une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne. » Ex: Selon une décision du Commissariat à la vie privée (Conclusion #183, 2003 IIJCan 38064 (C.V.P.C.)), du 10 juillet 2003, une banque nest pas tenue de publier ses politiques et ses pratiques concernant la gestion des renseignements personnels. Il est notamment précisé que « le commissaire était davis quune institution bancaire doit savoir de façon plus générale quelles seront les conséquences de la diffusion de détails sur ses politiques et pratiques. Il a trouvé logique quune banque ne veuille pas rendre public les étapes précises suivies pour empêcher la fraude, puisque les criminels pourraient utiliser cette information pour déjouer les mesures de protection de linstitution ».

71 Droit européen – principes généraux 9. Accès « Une organisation doit informer toute personne qui en fait la demande de lexistence de renseignements personnels qui la concernent, de lusage qui en est fait et du fait quils ont été communiqués à des tiers, et lui permettre de les consulter. Il sera aussi possible de contester lexactitude et lintégralité des renseignements et dy faire apporter les corrections appropriées. »

72 Droit européen – principes généraux 10. Plaintes « Toute personne doit être en mesure de se plaindre du non-respect des principes énoncés ci- dessus en communiquant avec le ou les personnes responsables de les faire respecter au sein de lorganisation concernée. »

73 Droit européen – principes spécifiques 1. Existence dune politique –Reprendre les éléments de base –Les respecter –Écrire une politique lisible –Disposer cette politique dans un endroit stratégique 2.Inscrire dans la politique la finalité de la collection, lutilisation ou la communication des RP

74 Droit européen – principes spécifiques 3. Aménager le consentement OPT-IN: droit dopposition quant à lutilisation ultérieure »Soit actif »Soit passif OPT-OUT: droit de retrait »Nimporte quand »Ne plus utiliser les renseignements personnels pour les finalités déjà consenties Attention au formulaire de renonciation (idem contrat)

75 Droit européen – principes spécifiques 4. Utilisation des cookies. Sont-ils comestibles? Quest-ce cest? A quoi ça sert? »Retracer »Sécurité »Faciliter lutilisation (ex: panier dachat) Expliquer ce que cest et dire comment sen prémuni

76 Droit européen – principes spécifiques 5.Le droit daccès 6.Le respect dune certaine sécurité 7.Mettre la liste des RP saisis sur le site et éventuellement préciser ceux qui ne le sont pas 8.Éventuellement envisager des situations spéciales selon les spécificités du site Enfants Informations sur la santé 9.Éventuellement faire une mention de la loi applicable 10.Éventuellement permettre un lien par courriel à un responsable des RP sur le site

77 APEC APEC: 21 économies (incluant Canada, États-unis, Chine, Japon, Autralie, etc.) Privacy Framework (2005) - But: promouvoir un approche flexible en matière de protection de renseignements personnels pour les membres, tout en éviter de créér des barrière inutiles aux flux transfrontaliers Le APEC Privacy Framework en tant que solution globale? –Peter Fleischer (CPO de Google): « To my mind, the APEC Framework is the most promising foundation on which to build, especially since competing models are flawed (the USA model is too complex and too much of a patchwork, the EU model is too bureaucratic and inflexible)» Un (seul?) avantage: modèle de base pour les pays de lAPEC sans lois en matière de protection de renseignements personnels (la plupart des membres de lAPEC)…

78 Inquiétudes relatives aux principes de lAPEC Plusieurs désavantages (Bennett, Greenleaf, Pounder, Waters, etc.): –Moins sévères que les principes de lOCDE –Aucune constitution –Aucun mécanisme clair de mise en œuvre –Certains nouveaux principes potentiellement dangereux –La compatibilité avec lEurope ignorée –Lexpérience locale ignorée –Aucun standard clair pour les exportateurs de renseignements personnels

79 Neuf principes de lAPEC Preventing Harm Notice Collection limitation Uses of personal information Choice Integrity of personal information Security safeguards Access and correction Accountability

80 Security & Prosperity Partnership Mis sur pied en mars 2005 entre les gouvernements du Canada, Etats-Unis et Mexique Mandat: augmenter la sécurité et la prospérité entre les 3 pays par lentremise dune plus grande coopération 2005 Framework of Common Principles for Electronic Commerce: –« recognize the crucial role e-commerce plays in stimulating economic growth and fostering international trade » –« countering illegal spam and other threats to e- commerce » –« electronic authentication and certification » –« coordinate approaches in certain areas: privacy protection »

81 Principes de SPP en matière de commerce- électronique Importance of trilateral cooperation to address privacy issues based on the following principles: –Governments should encourage the private sector to develop and implement: self-regulatory mechanisms, including industry guidelines privacy practices appropriate to their business requirements and to the needs of their clients and the general public –Governments should provide enforcement backstop mechanisms necessary to complement industry Inquiétude : ce pacte na jamais été débattu publiquement ou voté dans aucun des 3 pays

82 Standards internationaux: ISO Standards ISO en matière de sécurité (27001, 15408, 18014-1, 19772, 15446) et vie privée – services financiers (22307) Standards ISO en matière de vie privée ( en développement): –ISO 29101 – A Privacy Reference Architecture (best practices for consistent technical implementation of privacy principles); –ISO 29100 – A Privacy Framework (defining privacy requirements for processing of personal information in any jurisdiction); and –ISO 24760 – A Framework for Identity Management (for secure and privacy compliant management of identity information). Resolution on Development of International Standards (29th International Conference of Data Protection and Privacy Commissioners)

83 Nations Unies UN Guidelines for the Regulation of Computerized Personal Data Files (adoptées par assemblée générale en 1990), selon larticle 12 de la Déclaration universelle des droits de lhomme : –« No one shall be subjected to arbitrary interference with his privacy, family, home or correspondence, nor to attacks upon his honour and reputation. Everyone has the right to the protection of the law against such interference or attacks. »

84 Autres initiatives… International Conference of Data Protection and Privacy Commissioners Montreux (2005) –Montreux Declaration: First official written attempt to encourage every government in the world to get involved London (2006) –The London Initiative: statement entitled « Communicating Data Protection and making it more Effective » Canada (2007) –Resolution on the Development of International Standards Strasbourg (2008) –Resolution on the urgent need for protecting privacy in a borderless world, and for reaching a joint proposal for setting international standards on privacy and personal data protection Madrid (2009) –À venir…

85 3) Quel est leur impact au Canada?

86 Harmonisation des lois nationales? Les outils de gouvernance internationaux (sauf celui de lAPEC) –Ont été utilisés par plusieurs juridictions incluant le Canada lors de ladoption de lois en matière de protection de renseignements personnels –Jusquà un certain point, ont joué un rôle « harmonisateur » quant au contenu des différentes lois nationales Ex.: En réponse à la Directive 95/46/EC : –Canada : LPRPDE –États-unis : Safe Harbour Agreement –Se sont construits les uns sur les autres afin dadresser les inquiétudes des outils précédents: Mécanisme de mise en œuvre Principes rédigés en termes plus précis Adresse les questions de flux transfrontaliers

87 Faciliter les transferts trans-nationaux? Directive Européenne de 1995 (article 25) 1.Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l'objet d'un traitement, ou destinées à faire l'objet d'un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat. 2. Le caractère adéquat du niveau de protection offert par un pays tiers s'apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d'origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées.

88 Transferts trans-nationaux pour les non- Européens La Directive 95/46/EC et les flux transfrontaliers pour les non-membres –Solution réaliste dans le contexte de lInternet? commerce électronique services de type « cloud computing » sites internet: exportation de renseignements personnels? (affaire Lindqvist) –Augmentation de coûts de conformité

89 Initiatives de lAPEC et du SSP APEC: principes moins sévères que ceux émis par les lois canadiennes en la matière –LPRPDE et les lois provinciales substantiellement similaires –PAS une solution pour les juridictions canadiennes quant aux transferts à lintérieur des membres de lAPEC … SPPNA: coordination defforts entre le Canada, les Etats-Unis et le Mexique dans certains domaines: –Spam: lois différentes entre le Canada et les États-unis –Pratiques en matière de vie privée pour le secteur privé: Lois déjà existantes au Canada –Commerce électronique: plusieurs lois ou initiatives existent déjà au Canada

90 4) Comment addresser les problèmes juridictionnels lors de transferts de données

91 À lintérieur du Canada Canada: –Fédéral: LPRPDE –Lois provinciales qui sont substantiellement similaires (Quebec, Alberta et Colombie-Brittanique) Comment traiter des différences entre les lois? –Considérer les principes les plus sévères peut être néfaste au point de vue « affaires »: définitions de « renseignement personnel » sont différentes les lois provinciales sappliquent aux renseignements demployés la notion de « consentement » diffère selon les juridictions les questions dexception en cas de transactions commerciales ne sont pas présentes dans toutes les lois

92 Lors de lexportation de données à lextérieur du Canada Canada : protection contractuelle lors de transfert de données –Canada: principes 4.1.3 et 4.8 de lAnnexe 1 –Quebec: art. 17 Comment adresser le fait que les renseignements seront sujets aux lois étrangère une fois transférées? –Ex: Transfert aux Etats-Unis (Patriot Act) –Interprétation par la commissaire à la vie privée au niveau fédéral: Conclusion no 394 (19 septembre 2008); Conclusion no 333 (19 juillet 2006); Conclusion no 313 (19 octobre 2005) –Solution: inclure une disposition dans la politique de confidentialité de lorganisation divulguant cette éventualité

93 Lorsquune organisation fait affaires partout au monde…. Utiliser les standards les plus sévères européens? Les lois nationales européennes diffèrent à plusieurs égards (Schwartz & Reidenberg, 1998) Lorsque lon opère un site web: –Mettre de linformation en ligne = exportation de linformation? –Europe: Décision de laffaire Lindqvist dit NON, mais certains experts européens disent OUI (Poullet, 2007), mais les deux interprétations ne fonctionnent pas bien en pratique …