DRT 6903 A Droit du commerce électronique Thème 6 Droit de la vie privée Mardi 10 octobre 2006 Z-215 Pavillon Claire McNicollPavillon Claire McNicoll © Vincent GautraisVincent Gautrais

Principes de base en droit de la vie privée - références Loi sur la protection des renseignements personnels dans le secteur privé Loi sur la protection des renseignements personnels dans le secteur privé (L.R.Q., chapitre P-39.1) Loi sur la protection des renseignements personnels et les documents électroniques (2000)Loi sur la protection des renseignements personnels et les documents électroniques Annexe 1 de la Loi sur la protection de la vie privée et les documents électroniquesAnnexe 1 Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, Journal officiel n° L 201 du 31/07/2002 p Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques COPPA (1998)COPPA Voir un exemple de Politique de vie privée sur le site du courssite du cours

Intro Vie privée existe depuis toujours même importante depuis peu Mais la problématique change: maintenant, sur un support électronique Tellement facile de copier Tellement facile de vendre, céder, échanger ces informations Tellement facile de ne pas se rendre compte que des informations personnelles nous concernant circulent Tellement facile de les communiquer à autrui.

Quelques affaires retentissantes Double- Click (1998) : fusion de cette compagnie de nouvelles technologies avec une compagnie de vente par correspondance et échange des listes de clients Amazon (08/2000): Changements des conditions de la politique de vie privée en autorisant dorénavant la vente des renseignements personnels Real Net work et Real Audio (1998) : une belle politique de vie privée qui interdit la vente et une pratique contraire à ce qui dit le label Truste. Etc, etc, etc…

Mais, avant toute chose, cest quoi un renseignement personnel? Définition dans C-6: « article 2: «renseignement personnel » Tout renseignement concernant un individu identifiable, à l'exclusion du nom et du titre d'un employé d'une organisation et des adresse et numéro de téléphone de son lieu de travail. » Cas particulier de la santé Définition dans la loi québécoise: Article 2: « Est un renseignement personnel, tout renseignement qui concerne une personne physique et permet de l'identifier. » (aucune restriction)

En pratique, un renseignement personnel cest… Un numéro de carte de crédit Des indications personnelles sur sa race, sa santé, son crédit, etc… Mais aussi… Nom, prénom, courriel, âge, téléphone, adresse, etc… Il faut aussi parfois quil y ait un lien entre les informations Cela ne concerna pas non plus les éléments qui sont du domaine public (titre par exemple)

Axes de normalisation Et oui, encore des usages en vue… OCDE à établi des principes (1980) Les Nations-Unies aussi (1990) Le Canadian Standard Association (CSA) et son Code type de protection des renseignements personnels Truste et BBBonline Etc… Des lois et des projets de loi aussi Quatre provinces (Manitoba, Nouvelle Écosse, Colombie britannique, Québec) Pas de lois aux États Unis (Pas encore) Lois dans presque tous les pays dEurope Des traités. NON, cest trop difficile

La problématique internationale Vie privée en Amérique du nord (sauf Québec) Droit économique Auto-régulation Grosse pression pour empêcher lédiction de lois Vie privée en Europe Droit fondamental Lois dans tous les pays La vie privée est dordre public Directive européenne de 1995 Perspectives dentente difficile

Plan Les sources applicables Les principes nécessaires au respect de la vie privée Les situations particulières La protection des enfants La protection des employés Vie privée et faillite Vie privée et données publiques

1 - Les sources de droit en vie privée C-6: Première tentative dharmonisation pan- canadienne Pas simplement sur la vie privée – Documents électronique – Modifications loi sur la preuve Historique – Avant, il y avait C-54 – C-6 est apparu en 1999 – Problèmes constitutionnels de cette loi – Problèmes entre Québec et reste du Canada Aussi étrange que cela puisse être, il reste laval du Parlement européen -Avis de la Commission européenne sur la Loi canadienneAvis de la Commission européenne sur la Loi canadienne - Avis des pays tiersAvis des pays tiers Respect du calendrier

Calendrier La partie 1 de la Loi entrera en vigueur le 1er janvier Elle sera mise en œuvre en deux étapes : À compter du 1er janvier 2001, la partie 1 s'appliquera à toute organisation qui exerce ses activités dans le cadre d'un travail, d'une entreprise ou d'une affaire du gouvernement fédéral (y compris aux renseignements sur les employés de l'organisation) ou qui communique pour contre-partie des renseignements personnels à l'extérieur d'une province. Il existe une exception à ce calendrier. Pour les organisations qui traitent des renseignements personnels relatifs à la santé, la partie 1 s'appliquera à partir du 1er janvier À compter du 1er janvier 2004, la partie 1 s'appliquera à toute organisation qui recueille, utilise ou communique des renseignements personnels dans le cadre d'activités commerciales.

Les sources – C-6 (suite) Une substance controversée Une substance décevante quant à la protection Les articles de bases sont les articles 5 (3) 7 (1) 7 (2) 7 (3) Document qui légitimise le Code type du CSA précité (exemple d une loi qui sapproprie les usages)

Les sources – Les lois provinciales La situation québécoise – le Code civil (art. 35, 36, 37) La situation québécoise – la Loi sur les renseignements personnels dans le secteur privéLoi sur les renseignements personnels dans le secteur privé 1992 – Première province à avoir une loi En fait, deux lois Création dune instance permanente (la commission daccès à linformation) Approche très européenne (comparaison avec le droit français) Approche très protectrice Fleuron du droit québécois face aux autres provinces ou aux autres pays

La situation québécoise (suite) Définition large dun renseignement personnel (article 2) Cueillette auprès de la personne concernée sauf consentement (art. 6) sauf si intérêt légitime (notion restrictive de lintérêt légitime) Ex: commerçant envoie des fleurs lors de lanniversaire de la personne OK. Envoi de pub seulement (pas sûr ?) Commerçant doit être capable de dire doù vient linformation dans le fichier (la source – art. 7) Information de la personne concernée (art. 9) – Pourquoi (finalité) – Utilisation – Lieu de détention de linformation

La situation québécoise (suite) AUTRES PRINCIPES DE BASE Ces dossiers sont confidentiels et ne peuvent être communiqués (PRINCIPE) (art. 13) Sauf consentement (EXCEPTION) De plus la définition du consentement est claire et précise: « Le consentement à la communication ou à lutilisation dun RP doit être manifeste, libre, éclairé et être donné à des fins spécifiques. Ce consentement ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé. Un consentement qui nest pas donné conformément au premier alinéa est sans effet. » (article 14).

La situation québécoise (suite) Accès et rectification dun dossier Procédure écrite (art. 30) Le commerçant agit avec diligence Gratuité ou frais raisonnable (art. 33) Droit de retrancher des données

Les sources – Les lois provinciales Autres provinces, certes… Mais surtout pour la protection des administrés face à ladministration Loi fédérale mais aussi uniquement dans le secteur public

Les sources Le CSA et le Q LOCDE Les règles uniformes des Nations Unies Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (Conseil de lEurope – 1981) Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel United Nations guidelines concerning Computerized personal data files (ONU – 1990) United Nations guidelines concerning Computerized personal data files

Les sources – Le droit américain Il existe évidemment une protection mais pas par des lois Jurisprudence Code de conduite Les expériences Truste et BBBonlineTrusteBBBonline Historique En 1996 problèmes et menaces de Clinton Création des labels de qualité Amélioration? Pas vraiment étant donné la hausse du trafic Menace encore de faire des lois - Le rapport de la FTC en Le rapport de la FTC en 2000rapport de la FTC en – Les accords avec lUnion européenne: la fin de la guerre de la vie privée?

Aparté: la guerre de la vie privée (Amérique / Europe) Directive de 1995 Directive de 1995 (article 25) 1. Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l'objet d'un traitement, ou destinées à faire l'objet d'un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat. 2. Le caractère adéquat du niveau de protection offert par un pays tiers s'apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d'origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées. 3. Les États membres et la Commission s'informent mutuellement des cas dans lesquels ils estiment qu'un pays tiers n'assure pas un niveau de protection adéquat au sens du paragraphe 2.

Aparté: la guerre de la vie privée (Amérique / Europe) (suite) 4. Lorsque la Commission constate, conformément à la procédure prévue à l'article 31 paragraphe 2, qu'un pays tiers n'assure pas un niveau de protection adéquat au sens du paragraphe 2 du présent article, les États membres prennent les mesures nécessaires en vue d'empêcher tout transfert de même nature vers le pays tiers en cause. 5. La Commission engage, au moment opportun, des négociations en vue de remédier à la situation résultant de la constatation faite en application du paragraphe La Commission peut constater, conformément à la procédure prévue à l'article 31 paragraphe 2, qu'un pays tiers assure un niveau de protection adéquat au sens du paragraphe 2 du présent article, en raison de sa législation interne ou de ses engagements internationaux, souscrits notamment à l'issue des négociations visées au paragraphe 5, en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes. Les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.

Aparté: la guerre de la vie privée (Amérique / Europe) (suite) Bataille depuis / 2000: Laccord sur le « Safe Harbour » (ou les sphères de sécurité) Toutes les entreprises déposent leurs politique au FTC Chaque politique est analysée Pouvoirs dinvestigation et de sanction Si pas de respect, on retire de la liste Possibilité davoir des dérogation avec larticle 26

Les sources – La situation européenne Directive de 1995 Directive vie privée et communications électroniques (2002)Directive vie privée et communications électroniques Voir plus généralement le site de la Commission européenne sur la vie privéevie privée

2 – Les principes concernant la vie privée à respecter Récapitulons ! Il y a les principes généraux (10 principes) Et il y a les principes spécifiques (10 principes) Même si recoupements possibles

2.1 - Les principes généraux 1. La responsabilité du détenteur du document (ou banque de données) contenant des RP 2. La finalité du document 3. Le consentement 4. La limitation de la collecte à ce qui est nécessaire 5. La limitation de la collecte, de la communication, de la conservation

2.1 - Les principes généraux (suite) 6) Le devoir dexactitude des RP 7) Le devoir de sécurité 8) La transparence 9) Le droit daccès 10) Les recours

2.2 - Les principes spécifiques à Internet Existence dune politique 1.Reprendre les éléments de base 2.Les respecter 3.Écrire une politique lisible 4.Disposer cette politique dans un endroit stratégique (voir par exemple les exigences de TrustE) Inscrire dans la politique la finalité de la collection, lutilisation ou la communication des RP

2.2 - Les principes spécifiques à Internet (suite) Aménager le consentement OPT-IN: droit dopposition quant à lutilisation ultérieure »Soit actif »Soit passif OPT-OUT: droit de retrait »Nimporte quand »Ne plus utiliser les RP pour les finalité.s déjà consenties Attention au formulaire de renonciation (idem contrat) Utilisation des cookies. Sont-ils comestibles? Quest-ce cest? A quoi ça sert? »Retracer »Sécurité »Faciliter lutilisation (ex: panier dachat) Expliquer ce que cest et dire comment sen prémunir

2.2 - Les principes spécifiques à Internet (suite) Le droit daccès Le respect dune certaine sécurité Mettre la liste des RP saisis sur le site et éventuellement préciser ceux qui ne le sont pas Éventuellement envisager des situations spéciales selon les spécificités du site Enfants Informations sur la santé Éventuellement faire une mention de la loi applicable Éventuellement permettre un lien par courriel à un responsable des RP sur le site

Pause réflexion ! Et si tout cela était inadapté ? Lire Pierre TRUDEL, « De la « surveillance » à la qualité : les fondements actualisés du droit de la protection des données personnelles dans le gouvernement en ligne », 2005.De la « surveillance » à la qualité : les fondements actualisés du droit de la protection des données personnelles dans le gouvernement en ligne Vincent GAUTRAIS, « Le défi de la protection de la vie privée face aux besoins de circulation de linformation personnelle », (2004) 9-2 Lex ElectronicaLe défi de la protection de la vie privée face aux besoins de circulation de linformation personnelle

Cas particuliers 3.1 – La vie privée des enfants 3.2 – La vie privée dans le milieu du travail (la problématique en jeu) 3.3 – La vie privée et les faillites des «.com » 3.4 – La vie privée et les données publiques

3.1 – La vie privée des enfants Pas de législation au Canada mais… Donc principes généraux sappliquent Il y en a une aux États-Unis (seul exemple dans le monde) À titre dillustration dun principe bien établi, il est prévu dans la COPPA:COPPA « It is unlawful for an operator of a website or online service directed to children, or any operator that has actually knowledge that it is collecting personal information from a child, to collect personal information from a child in a manner that violates the regulations prescribed under subsection (b). »

Mais avant tout chose, le domaine dapplication Personne qui diffuse de linformation « that is harmful for the minors » La COPPA reprend un vieux texte de 1934 (Communication Act) (art. 102 et tout le TITRE 1) - En a connaissance - En est responsable Personne qui diffuse de linformation destinée aux mineurs (TITRE 2) - Sauf entité sans but lucratif

Les principes de base Obligation denvoyer la politique aux enfants ou aux parents Avoir le consentement des parents (du moins sassurer de lavoir de manière raisonnable) (verifiable parental consent) Réactualiser le consentement si changement Permettre aux parents de vérifier linformation collectée sur leur enfants Permettre aux parents de révoquer leur consentement et deffacer linformation concernée Inscrire la finalité de la collecte et sen tenir à cette seule finalité (ne pas demander de linformation non nécessaire) Mettre en place des procédures de sécurité raisonnable (confidentialité, sécurité et intégrité)

Exceptions au consentement Requête judiciaire à cet effet (EX: dans un contexte tout différent (pas celui des enfants): Phillip Service c. Weslink, (1998) (Ontario Court) la cour ordonne didentifier des usagers anonymes parce quil faisait de la diffamation et menaces. AOL a donc du divulguer. RP utilisés que pour une seule réponse (one- time basis) Permettre de donner des informations aux parents

Commentaires généraux Encore une référence aux « Safe Harbors » et donc aux normes de la communautéSafe Harbors Cette loi sur les enfants est aussi protectrice que la loi québécoise par exemple qui prévaut pour tous les individus (enfants et adultes) (mis-à-part peut être la notion de Verifiable Parental consent et encore…) Disney aurait dépensé 12 Millions de dollars pour mettre son site en conformité Est-ce suffisant?

La situation au Québec non pas sur la vie privée mais sur la publicité Art. 249 LPC: « Nul ne peut faire de la –publicité à but commercial destinée à des personnes de moins de 13 ans. Pour déterminer si un message est ou non destiné à des personnes de moins de 13 ans, on doit tenir compte du contexte de sa présentation et notamment: a) de la nature et de la destination du bien annoncé; b) de la manière de présenter ce message publicitaire; c) du moment ou de lendroit ou il apparaît. »

Québec (suite) et reste du Canada Voir aussi le règlement dapplication de la LPC (art. 88 à 91) Pas dexagération Pas minimiser le degré dhabilité Contrôle des emplois de superlatifs Pas présenter des habitudes sociales répréhensibles Etc… Le Code Canadien des normes de la publicité (art. 12) Même principe Sanction encore plus forte: le bannissement

Application de règles de TV très bien suivies sur Internet? OUI Les textes sont suffisamment larges Pas de raisons de ne pas le faire NON Les acteurs sont beaucoup plus grands Pas de communauté homogène

3.2 - La vie privée des employés Pas traité

3.3 – La vie privée et les faillites des «.com » Pas traité

3.4 – Vie privée et données publiques Pas traité

Lecture: BMG Canada Inc. v. John Doe (2004) CF 488)BMG Canada Inc. v. John Doe Lecture: CCH Canadienne Ltée c. Barreau du Haut-Canada, [2004] 1 R.C.S. 339, 2004 CSC 13CCH Canadienne Ltée c. Barreau du Haut-Canada