drt 6929O droit des affaires électroniques cours 7 – vie privée en ligne Professeur agrégé Faculté de droit université de montréal chaire udm en droit de la sécurité et des affaires électroniques

plan VP en général VP au travail

Sources juridiques Loi sur la protection des renseignements personnels dans le secteur privé ( Québec)Loi sur la protection des renseignements personnels dans le secteur privé Loi sur la protection des renseignements personnels et les documents électroniques ( Canada)Loi sur la protection des renseignements personnels et les documents électroniques Annexe 1 de la précédente Loi (Principes énoncés dans la norme nationale du Canada intitulée code type sur la protection des renseignements personnels, CAN/CSA- Q830-96)Annexe 1 Loi concernant le cadre juridique des technologies de linformation ( Québec)Loi concernant le cadre juridique des technologies de linformation CCQ, articles 2085 et suiv. Et dautres …

Introduction Vie privée existe depuis longtemps mais… La problématique change avec lélectronique – Tellement facile de copier – Tellement facile de vendre, céder, échanger ces informations – Tellement facile de ne pas se rendre compte que des informations personnelles nous concernant circulent – Tellement facile de les communiquer à autrui.

définition Définition dans PEPIDA: « article 2: «renseignement personnel » Tout renseignement concernant un individu identifiable, à l'exclusion du nom et du titre d'un employé d'une organisation et des adresse et numéro de téléphone de son lieu de travail. » Définition dans la loi québécoise: Article 2: « Est un renseignement personnel, tout renseignement qui concerne une personne physique et permet de l'identifier. » (aucune restriction)

En pratique, un renseignement personnel cest… Un numéro de carte de crédit Des indications personnelles sur sa race, sa santé, son crédit, etc… Mais aussi… –Nom, prénom, courriel, âge, téléphone, adresse, etc… –Habitudes dachat –Il faut aussi parfois quil y ait un lien entre les informations –Cela ne concerna pas non plus les éléments qui sont du domaine public –Etc.

La problématique internationale Vie privée en Amérique du nord (sauf Québec) – Droit économique – Auto-régulation – Grosse pression pour empêcher lédiction de lois – Mais cela change... Vie privée en Europe – Droit fondamental – Lois dans tous les pays – La vie privée est dordre public – Directive européenne de 1995 Perspectives dentente difficile

1 – Loi fédérale C-6: Première tentative dharmonisation pan-canadienne Pas simplement sur la vie privée – Documents électroniques – Modifications loi sur la preuve Historique – Avant, il y avait C-54 – C-6 est apparu en 1999 Problèmes constitutionnels de cette loi – Problèmes entre Québec et ROC Aussi étrange que cela puisse être, il reste laval du Parlement européen – Avis de la Commission européenne sur la Loi canadienneAvis de la Commission européenne sur la Loi canadienne – Avis des pays tiersAvis des pays tiers Respect du calendrier

1 – Loi fédérale Une substance controversée – Manque de mordant en terme de procédure (action) – Manque de mordant en terme de substance Les articles de bases sont les articles 5 (3) 7 (1) 7 (2) 7 (3) Document qui légitimise le Code type du CSA reproduit en annexe 1 (exemple d une loi qui sapproprie les usages)

2 – Lois provinciales Le Code civil (art. 35, 36, 37) La Loi sur les renseignements personnels dans le secteur privéLoi sur les renseignements personnels dans le secteur privé –1992 – Première province à avoir une loi –En fait, deux lois –Création dune instance permanente (la Commission daccès à linformation) –Approche très européenne (comparaison avec le droit français) –Approche très protectrice –Fleuron du droit québécois face aux autres provinces ou aux autres pays

2 – Lois provinciales Cueillette des RP Cueillette auprès de la personne concernée – sauf consentement (art. 6) – sauf si intérêt légitime (notion restrictive de lintérêt légitime) Ex: commerçant envoie des fleurs lors de lanniversaire de la personne? Envoi de pub seulement (sans doute que non?) Justifier la provenance (être capable de dire doù vient linformation dans le fichier – art. 7) Informer la personne concernée (art. 9) – Pourquoi (finalité) – Utilisation – Lieu de détention de linformation

2 – Lois provinciales Principe de base - dossiers sont confidentiels et ne peuvent être communiqués (article 13) Exception – consentement Définition du consentement (article 14). « Le consentement à la communication ou à lutilisation dun RP doit être manifeste, libre, éclairé et être donné à des fins spécifiques. Ce consentement ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé. Un consentement qui nest pas donné conformément au premier alinéa est sans effet. »

2 – Lois provinciales Accès et rectification dun dossier Procédure écrite (art. 30) Le commerçant agit avec diligence Gratuité ou frais raisonnable (art. 33) Droit de retrancher des données

3 – droit américain Il existe évidemment une protection mais pas par des lois Jurisprudence Code de conduite Les expériences Truste et BBBonlineTrusteBBBonline Historique En 1996 problèmes et menaces de Clinton Création des labels de qualité Amélioration? Pas vraiment étant donné la hausse du trafic Menace encore de faire des lois 2000 – Les accords avec lUnion européenne: la fin de la guerre de la vie privée? Plusieurs lois sectorielles (enfants – finance – santé – etc.) Plusieurs grosses entreprises demandent une loi

guerre de la vie privée (USA / Europe) Directive de 1995 Directive de 1995 (article 25) 1.Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l'objet d'un traitement, ou destinées à faire l'objet d'un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat. 2. Le caractère adéquat du niveau de protection offert par un pays tiers s'apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d'origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées. 4. Lorsque la Commission constate, conformément à la procédure prévue à l'article 31 paragraphe 2, qu'un pays tiers n'assure pas un niveau de protection adéquat au sens du paragraphe 2 du présent article, les États membres prennent les mesures nécessaires en vue d'empêcher tout transfert de même nature vers le pays tiers en cause.

guerre de la vie privée (USA / Europe) Bataille depuis / 2000: Laccord sur le « Safe Harbour » (ou les sphères de sécurité) –Toutes les entreprises déposent leurs politique au FTC –Chaque politique est analysée –Pouvoirs dinvestigation et de sanction –Si pas de respect, on retire de la liste Possibilité davoir des dérogation avec larticle 26

4 – droit européen Directive de 1995 Directive vie privée et communications électroniques (2002)Directive vie privée et communications électroniques Voir plus généralement le site de la Commission européenne sur la vie privéevie privée

principes Il y a les principes généraux (10 principes) Et il y a les principes spécifiques (10 principes) Même si recoupements possibles

principes généraux 1. Responsabilités 2. Finalités 3. Consentement 4. Limitations de la collecte 5. Limitation de lutilisation, communication et de la conservation 6. Exactitude 7. Sécurité 8. Transparence 9. Accès 10. Recours

principes généraux 1. Responsabilité « Une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner une ou des personnes qui devront sassurer du respect des principes énoncés ci-dessous. » « Les organisations doivent assurer la mise en oeuvre des politiques et des pratiques destinées à donner suite aux principes, y compris : a) la mise en oeuvre des procédures pour protéger les renseignements personnels ; b) la mise en place des procédures pour recevoir les plaintes et les demandes de renseignements et y donner suite ; c) la formation du personnel et la transmission au personnel de linformation relative aux politiques et pratiques de lorganisation ; et d) la rédaction des documents explicatifs concernant leurs politiques et procédures.

principes généraux 2. Finalités « Les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées par lorganisation avant la collecte ou au moment de celle-ci. »

principes généraux 3. Consentement « Toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins quil ne soit pas approprié de le faire. » EX: Selon une décision du Commissariat à la vie privée (Conclusion #40, 2002 IIJCan (C.V.P.C.)), du 12 mars 2002, une banque ne peut exiger dune personne souhaitant ouvrir un compte sans avoir un quelconque crédit (simplement pour déposer des chèques), une étude crédit classique avec présentation dun NAS.Conclusion #40, 2002 IIJCan (C.V.P.C.)

principes généraux 4. Limitation de la collecte « Lorganisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées et doit procéder de façon honnête et licite. »

principes généraux 5. Limitation du traitement « Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée ny consente ou que la loi ne lexige. On ne doit conserver les renseignements personnels quaussi longtemps que nécessaire pour la réalisation des fins déterminées. » EX: Selon une décision du Commissariat à la vie privée (Conclusion #121, 2003 IIJCan (C.V.P.C.)), du 23 janvier 2003, une banque est responsable dun employé qui utilise des renseignements sur un client pour commettre une fraude. En loccurrence, le dédommagement offert par la banque est jugé suffisant.Conclusion #121, 2003 IIJCan (C.V.P.C.)

principes généraux 6. Exactitude « Les renseignements personnels doivent être aussi exacts, complets et à jour que lexigent les fins auxquelles ils sont destinés. »

principes généraux 7. Mesures de sécurité « Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. » EX: Selon une décision du Commissariat à la vie privée (Conclusion #177, 2003 IIJCan (C.V.P.C.)), du 05 juin 2003, une banque ne peut laisser un ordinateur connecté à des renseignements personnels dans une aire publique sans mot de passe.Conclusion #177, 2003 IIJCan (C.V.P.C.) EX: Selon une décision du Commissariat à la vie privée (Conclusion #289, 2005 IIJCan (C.V.P.C.)), du 03 février 2005, une banque est resposable du vol dun ordinateur portatif de lune de ses employée.Conclusion #289, 2005 IIJCan (C.V.P.C.)

principes généraux 8. Transparence « Une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne. » EX: Selon une décision du Commissariat à la vie privée (Conclusion #183, 2003 IIJCan (C.V.P.C.)), du 10 juillet 2003, une banque nest pas tenue de publier ses politiques et ses pratiques concernant la gestion des renseignements personnels. Il est notamment précisé que « le commissaire était davis quune institution bancaire doit savoir de façon plus générale quelles seront les conséquences de la diffusion de détails sur ses politiques et pratiques. Il a trouvé logique quune banque ne veuille pas rendre public les étapes précises suivies pour empêcher la fraude, puisque les criminels pourraient utiliser cette information pour déjouer les mesures de protection de linstitution ».Conclusion #183, 2003 IIJCan (C.V.P.C.)

principes généraux 9. Accès « Une organisation doit informer toute personne qui en fait la demande de lexistence de renseignements personnels qui la concernent, de lusage qui en est fait et du fait quils ont été communiqués à des tiers, et lui permettre de les consulter. Il sera aussi possible de contester lexactitude et lintégralité des renseignements et dy faire apporter les corrections appropriées. »

principes généraux 10. Plaintes « Toute personne doit être en mesure de se plaindre du non-respect des principes énoncés ci-dessus en communiquant avec le ou les personnes responsables de les faire respecter au sein de lorganisation concernée. »

principes spécifiques 1.Existence dune politique –Reprendre les éléments de base –Les respecter –Écrire une politique lisible –Disposer cette politique dans un endroit stratégique (voir par exemple les exigences de TrustE) 2. Inscrire dans la politique la finalité de la collection, lutilisation ou la communication des RP

principes spécifiques 3.Aménager le consentement OPT-IN: droit dopposition quant à lutilisation ultérieure »Soit actif »Soit passif OPT-OUT: droit de retrait »Nimporte quand »Ne plus utiliser les RP pour les finalités déjà consenties Attention au formulaire de renonciation (idem contrat)

principes spécifiques 4.Utilisation des cookies. Sont-ils comestibles? Quest-ce cest? A quoi ça sert? »Retracer »Sécurité »Faciliter lutilisation (ex: panier dachat) Expliquer ce que cest et dire comment sen prémuni

principes spécifiques 5.Le droit daccès 6.Le respect dune certaine sécurité 7.Mettre la liste des RP saisis sur le site et éventuellement préciser ceux qui ne le sont pas 8.Éventuellement envisager des situations spéciales selon les spécificités du site Enfants Informations sur la santé 9.Éventuellement faire une mention de la loi applicable 10.Éventuellement permettre un lien par courriel à un responsable des RP sur le site

Pause réflexion ! Et si tout cela était inadapté ? – Pierre TRUDEL, « De la « surveillance » à la qualité : les fondements actualisés du droit de la protection des données personnelles dans le gouvernement en ligne », 2005.De la « surveillance » à la qualité : les fondements actualisés du droit de la protection des données personnelles dans le gouvernement en ligne – Vincent GAUTRAIS, « Le défi de la protection de la vie privée face aux besoins de circulation de linformation personnelle », (2004) 9-2 Lex ElectronicaLe défi de la protection de la vie privée face aux besoins de circulation de linformation personnelle

VP et travail 20% de loisirs au travail !!! EX: Grief darbitrage le 28 janvier 2000 –Licenciement confirmé par larbitre –329 heures sur Internet dont sites pornos –223 utilisation de son mot de passe OK, mais comment fait lemployeur pour avoir des données aussi précises et à quel prix? –Moyens de surveillance très élaborés –Logiciels spécialisés (Little Brother, Redhand, etc…) –Étude aux Etats-Unis de lAmerican Management Association International selon laquelle en % des employeurs surveillent les courriels des employés 23% ne le disent pas Mais moyens de contourner de plus en plus fort aussi… »Crypto »Adresse ailleurs

Problématique juridique Vers la reconnaissance dune vie privée au travail Charte canadienne des droits et libertés (art. 8 sur les fouilles pas explicite mais néanmoins présent) Charte québécoise (art. 5 « toute personne a droit à la protection de la vie privée ») et aussi 4 (dignité) 24 (fouilles) 46 (personne qui travaille a droit à des conditions justes et raisonnables…) C.c.Q. 5 (général) 35 et ss (vie privée) 2087 (dignité) 2058 (pas de preuve si atteinte aux droits fondamentaux) EN France, COMPARONS Code pénal (écoutes téléphoniques) (violation du secret des correspondances privées) Code du travail (idem) (aucune information concernant personnellement un salarié ou un candidat à lembauche ne peut être collectée par un dispositif qui na pas été portée personnellement à la connaissance du salarié)

Problématique juridique La jurisprudence canadienne fait souvent référence au droit américain et met des limites à la vie privée Quant au lieu –SAQ c. Syndicat … (1983) TA 335 –Cour suprême pas si sûr (1988 dans Dyment) –Cour suprême ajuste (1984) Hunter c. Southam) dépend des circonstances Quant au consentement implicite –Qui peut apparaître implicitement dans un contrat de travail Bridgestone c. Firestone (1999) (CA) (filature dun employé sensé être malade) Triple rupture »Valable même dans létablissement »Subordination nentraîne pas forcément renonciation implicite »Raisonnabilité de la surveillance

sur le plan pratique 1) Les raisons dun « monitoring » de lemployeur –i. Lefficacité de lemployé (diligence à 2088 C.c.Q.) –ii. La fuite dinformations confidentielles (exception: 1472 C.c.Q.) –iii. La propriété intellectuelle 2) Le droit de lemployeur de contrôler le travail 3) Le devoir de loyauté de lemployé (2088 / 1375 C.c.Q.) 4) La protection des droits individuels : principes généraux (pas systématique et discriminatoire) 5) Étude de la jurisprudence : la spécificité de la protection de lemployé

sur le plan pratique 1 – Sanctions possibles si avertissements (politique) –De plus en plus un critère (clair au fédéral – moins au provincial) –États-Unis: pas besoin –Europe (France): cela dépend… –Attention donc au droit comparé 2 – Contrôle possible de lemployeur si –Avertissements –Pas arbitraire –« Raisonnable » 3 – Proportionnalité de la sanction –Pas forcément de sanctions graves la première fois 4 – Autres critères susceptibles dêtre pris en compte –Propriété de lordinateur –Lieu du travail (télétravail?)

Avertissements Belisle c. Rawdon (Municipalité), 2005 QCCRT 453 (IIJCan) (il ny a pas eu avertissement)Belisle c. Rawdon (Municipalité), [168] De surcroît, en labsence dune politique claire de lintimée quant à lusage du matériel informatique et en labsence de preuve dun préjudice quelconque à lemployeur, ce motif ne saurait justifier le congédiement du plaignant, comme le souligne la Cour du Québec dans laffaire Commission des normes du travail c. Bourse de Montréal (2002) R.J.D.T. 617 Commission des normes du travail c. Bourse de Montréal, D.T.E. 2002T-373 (Québec) il ny a pas eu avertissement) Services d'administration P.C.R. Ltée. c. Québec (Commissaire du travail), 2003 IIJCan 602 (QC C.S.) (il y a eu avertissement)Services d'administration P.C.R. Ltée. c. Québec (Commissaire du travail), 2003 IIJCan 602 (QC C.S.) Syndicat canadien des communications, de lénergie et du papier, Section locale 522 c. CAE Électronique Ltée, D.T.E. 2000T-157 (T.A.) (il y a eu avertissement)

Avertissements Même si politique, peut ne pas marcher Bell Canada c. Association canadienne des employés de téléphone, D.T.E. 2000T-254 (T.A.) Boisvert c. Industrie Machinex (2002) Même si absence de politique, employé peut être condamné

Contrôle possible de lemployeur si … 1 – Raisonnabilité 2 – Mais attente raisonnable de vie privée de lemployeur Srivastava Bell Canada Blais c. Société des Loteries Vidéos du Québec Inc., 2003 QCCRT 14 (IIJCan)Blais c. Société des Loteries Vidéos du Québec Inc 3 – Pas de congédiement prétexte 4 – Charge de la preuve à lemployeur Alliance de la fonction publique du Canada c. Musée des beaux-arts du Canada (2003)

Proportionnalité Alliance de la fonction publique du Canada c. Musée des beaux-arts du Canada (2003) Jacobs c. Mohawks Internet Technologies/Sports Interaction (2004) Pas de mise en garde (Syndicat des cols bleus)

critères aggravants Haut niveau dindépendance de lemployé Syndicat canadien des communications, de lénergie et du papier, Section locale 522 c. CAE Électronique Ltée, D.T.E. 2000T-157 (T.A.) Refus de collaboration – faible ancienneté – mauvaise foi Syndicat des spécialistes et professionnels dHydro-Québec c. Hydro- Québec, non rapporté, 2 septembre 2003 DiVito Centre de réadaptation Lethbridge Propriété Srivastava c. Hindu Mission of Canada, [2001] J.Q (CA) NON Arpin c. Grenier, 2004 IIJCan (QC C.Q.) OUIArpin c. Grenier, Gravité Syndicat canadien des communications, de lénergie et du papier, Section locale 522 c. CAE Électronique Ltée, D.T.E. 2000T-157 (T.A.) Perrault

critères exonérants Ancienneté / utilisation ponctuelle Bell Canada c. Association canadienne des employés de téléphone, D.T.E. 2000T-254 (T.A.) Larbitre note que lincident ne représente pas un cas isolé et convient quil est compréhensible que le temps et léquipement de lemployeur, tels le téléphone ou lInternet, soient parfois utilisés à des fins personnelles. Il y aura faute si lusage est fréquent et prive la direction de lexécution du travail. Malgré la dérogation au code de conduite qui interdisait la transmission de ce genre de messages, le décideur considère que le salarié na pas utilisé exagérément le temps de son employeur, que ce dernier accorde trop dimportance au contenu érotique des fichiers et que leur transmission na pas affecté sa réputation. Vu les neuf ans dancienneté et le dossier disciplinaire vierge, larbitre impose plutôt une suspension de trois mois. Pas de précédent Bell Canada Absence de dommages (sur des sites de hackers) Commission des normes du travail c. Bourse de Montréal inc., D.T.E. 2002T-373 (C.Q.)

Illustrations – Jurisprudence Alliance de la fonction publique du Canada c. Musée des beaux-arts du Canada (2003) Fiset c. Services dadministration P.C.R. (2003)Fiset c. Services dadministration P.C.R. Perreault c. Syndicats des employés de soutien de lUniversité de Sherbrooke (2004) Syndicat des cols bleus regroupés de Montréal, section locale 301 c. La Ronde (Six Flags) (2004) Jacobs c. Mohawks Internet Technologies/Sports Interaction (2004) Arpin c. Grenier (2004) Centre de réadaptation Lethbridge c. Syndicat des physiothérapeute et des thérapeutes en réadaptation physique du Québec (2004) Blais c. Société des loteries vidéo du Québec (2003)Blais c. Société des loteries vidéo du Québec Boisvert c. Industrie Machinex (2002) DiVito c. MacDonald Dettwiler & Associates, [1996] B.C.J Srivastava c. Hindu Mission of Canada, [2001] J.Q (CA) Bell Canada c. Association canadienne des employés de téléphone, (2000) DTE T-254 (TA) Syndicat canadien des communications, de lénergie et du papier, section locale 522 c. CAE Électronique, (2000) DTE T-157 (TA) Commission des normes du travail c. Bourse de Montréal, (2002) DTE T0373 (CQ) Syndicat des spécialistes dHydro-Québec c. Hydro-Québec, non rapporté (2003)

Forme dune politique de VP 1.Reprendre les éléments de base 2.Les respecter 3.Écrire une politique lisible 4.Disposer cette politique dans un endroit stratégique 5.La mise à la connaissance de lemployé 6.Avis aux employés et modalités de mises à la connaissance 7.Répétition des avis (programmation des accès Internet) 8.Formation des employés 9.Signature dun document (électronique ou papier) 10.Modalités de contrôle

Contenu dune politique de VP Étendue des permissions Étendue des interdictions (activités prohibées) Propriété des outils de « production » Protéger contre utilisation inappropriée Protection des informations sensibles Réserve des droits de lemployeur Fréquence des contrôles Prévoir sanctions si manquement Prévoir si empoylé sen va de lentreprise Etc…