LA CIRCULATION DES RENSEIGNEMENTS PERSONNELS DANS LES ENVIRONNEMENTS « WEB 2.0 » du...
description
Transcript of LA CIRCULATION DES RENSEIGNEMENTS PERSONNELS DANS LES ENVIRONNEMENTS « WEB 2.0 » du...
LA CIRCULATION DES RENSEIGNEMENTS PERSONNELS DANS LES ENVIRONNEMENTS « WEB 2.0 » du e-gouvernement
Pierre Trudel - [email protected] L.R. Wilson sur le droit des technologies e l’informationCRDP – Université de Montréal
La circulation des renseignements personnels dans les réseaux
• de e-gouvernement
– Selon la législation du Québec –
• Loi concernant le cadre juridique des technologies de l’information (2001)
La Loi concernant le cadre juridique des technologies de l’information
• clarifie le régime de la responsabilité• à l’égard des « documents » technologiques• au sujet de la vie privée• de la biométrie• et celle incombant aux intermédiaires techniques• énonce les principes encadrant le déploiement des
réseaux du e-gouvernement
Dans les réseaux de e-government
• il y a des entités qui:• contrôlent l’information, • peuvent y accéder et • la communiquer à
d’autres
• il y a des entités qui assurent des fonctions d’intermédiaires, traitent l’information sans pour autant avoir le contrôle sur celle-ci.
Lorsque je poste une lettre:
Est-ce que Postes Canada « collecte » ou traite, ou contrôle mes renseignements personnels?
Elle les détient…
Elle les transmet
Mais ne les communique pas….
Alors…. dans un environnement Internet, il existe de pareils intermédiaires
Environnements de E-GOUV à contenu généré par l’utilisateur
Sites de dépôt de documents par l’usager
Ex.: http://www.cvcommun.net
Sites proposant des « espaces » aux usagers: exemple: certains sites de tourisme
La tendance « web 2.0 »
• l’information est: • placée par l’usager
diffusée par décision de l’usager
• l’usager dispose d’une capacité de CONTRÔLE sans précédent
des usagers…• de plus en plus actifs….• les organismes publics offrent de
plus en plus de services en ligne « contrôlés » par l’usager
• Mais est-ce que ces organismes « collectent » et « détiennent », traitent, contrôlent ..
• les renseignements personnels ainsi déposés par l’usager?
L’usager - plus que jamais CONTRÔLE
Contrôle
Maîtrise du sens : Rédaction
Introduction de données, d’informationsExercice d’un pouvoir de décision dans la
détermination des informations qui seront créées
Maîtrise de l’accès: Droit de déterminer qui aura accès à
l’information à un document Droit de régir l’usage du document
#### Maîtrise purement formelle ou mécanique :
Vérifications de la conformité à des standardsVérification de la présence ou non d’éléments
d’information Simple « gardien » du fichier
Non-contrôle
« contrôler » l’information• c’est exercer à son égard, les
prérogatives qui autorisent l’exercice des attributs qu’elle comporte.
• contrôle de facto : une personne obtient par exemple un fichier, le reproduit et le diffuse à d’autres personnes sans détenir les autorisations aux termes des lois sur la protection des renseignements personnels.
• contrôle de jure comme celui
permettant qu’une personne dispose d’un droit exclusif d’interdire la diffusion d’un fichier.
Dans un environnement en réseaude partage de renseignements par
plusieurs organismes publics
• l’information circule d’un point à l’autre. • mais la circulation de l’information n’emporte pas sa
communication à chacun des points dans lesquels elle est relayée
Tous n’ont pas le même rôle à l’égard des renseignements personnels
Ceux qui décident• de la teneur de
l’information• l’utilisent• décident de la rendre
disponible
Les intermédiaires• ceux qui procurent des
facilités pour traiter– conserver– héberger– retrouver l’information
• Mais qui, comme tel, ne CONTRÔLENT pas les documents détenus dans leurs environnements
Lorsque dans un RÉSEAU:un organisme se trouve en possession
physique d’un « document » comportant des renseignements personnels
Il faut qualifier cette possession
• À titre d’entité qui CONTRÔLE le renseignement?
• À titre d’intermédiaire:• hébergeur• transporteur…?
Pour être responsable, il faut être en position de « contrôle »
• Pour être tenu à des obligations en matière de renseignements personnels:
• il faut être en position de contrôle à l’égard des documents qui comportent de tels renseignements.
• « contrôler », c’est exercer un rôle actif.
• c’est maîtriser.
Différentes intensités dans le contrôle à l’égard de l’information
• Plus on a le contrôle sur un document….
• plus on en répond.
Des obligations différentes
• Obligations des entités en état de contrôle des RP:
• responsable• tenu aux obligations en
matière de PRP
• Obligations des entités en état de non contrôle des RP :
• a priori non responsable• doit respecter les conditions
prévues à l’article 26 LCJTI
article 22 Loi sur le cadre juridique des TI
• le prestataire de services qui agit à titre d'intermédiaire pour offrir des services de conservation de documents technologiques sur un réseau de communication
• n'est pas responsable des activités accomplies par l'utilisateur du service au moyen des documents remisés par ce dernier ou à la demande de celui-ci.
L’intermédiaire qui n’a pas le contrôle
À des obligations…
• Quiconque confie un document à un prestataire de services pour en assurer la garde doit informer ce dernier de la protection requise
• Personne responsable de l’accès à un document: doit prendre des mesures propres à en assurer la confidentialité
…différentes de l’entité qui « utilise » ou contrôle
• L’entité qui « utilise » ou « contrôle », assume l’ensemble des obligations en matière de protection des renseignements personnels
le contrôle:permet de déterminer si on est en présence
d’opérations visées dans les lois sur la protection des renseignements personnels
• Collecte• Détention• Communication• Utilisation• Transmission• Conservation
La communication de documents comportant des RP
• Dans un environnement en réseau, l’information circule d’un point à l’autre.
• Mais la circulation de l’information n’emporte pas sa communication à chacun des points dans lesquels elle est relayée.
• Communiquer un renseignement ou un document implique de conférer un droit de prendre connaissance de la teneur du document ou du renseignement.
• Si le document est mis en possession physique ou juridique d’une entité, cela ne signifie pas que celle-ci ait obtenu communication du document ou du renseignement.
Collecte de RP • La collecte de renseignements
personnels s’entend:• d’une opération par laquelle des
renseignements sont placés sous le contrôle d’une entité qui du fait de cette opération acquiert, à l’égard des documents ou renseignements, un droit d’en prendre connaissance.
Transmission de RP • Transmettre n’est pas
« communiquer ». • Transmettre un document,
c’est l’expédier d’un point d’expédition à un point de réception. C’est le faire passer techniquement d’un point à l’autre.
Conservation de RP
• À titre de « contrôleur » ou à titre d’intermédiaire?
Détention de RP• Il est nécessaire de
qualifier la détention:
• est-elle à titre de « contrôleur » de l’information
ou • à titre d’intermédiaire?
situation dans laquelle une entité est en possession physique du support sur lequel est consigné un renseignement personnel.
L’utilisation de renseignements personnels
• L’entité qui n’utilise pas les renseignements personnels, n’est responsable qu’à titre d’intermédiaire
• Utiliser des renseignements personnels implique d’en avoir connaissance et de décider d’agir ou non à la lumière de la connaissance que ces renseignements confèrent.
Conclusion
• Les obligations en matière de PRP diffèrent selon qu’une entité exerce une fonction
• de contrôle des renseignements personnels– utilise les
renseignementsOU
• une fonction d’intermédiaire– n’utilise pas les
renseignements, ni n’a le contrôle
Pierre TrudelTitulaire de la Chaire L.R. Wilson sur le droit des technologies de l'information et du commerce électronique
Centre de recherche en droit publicFaculté de droitUniversité de Montréal
C.P. 6128, succursale Centre-villeMontréal QC Canada H3C 3J7téléphone: (514) 343-6263télécopieur: (514)343-7508
www.chairelrwilson.net