28 juin 2014

Europe: avis du G29 sur la Loi québécoise sur la protection des renseignements personnels dans le secteur privé


Même si les dispositions de la loi québécoise renferment les principes énoncés par la Directive 95/46/CE, le G29 est d'avis qu’avant de pouvoir se prononcer sur l’adéquation de cette loi il convient de clarifier la question inhérente au partage des compétences entre le gouvernement fédéral et le Québec.
"Firstly, the Working Party stresses that the territorial scope of the Quebec Act in relation to the PIPEDA should be clearly defined before any decision on its adequacy is taken by the European Commission". 
(Source: Avis 7/2014, p. 17, voir également p. 4-5)
Le G29 considère également que la loi québécoise devrait entre autres  : 

- préciser la notion de responsable de la protection des renseignements personnels. 
Il est à noter que la Commission d'accès à l'information (CAI) du Québec, soit l'autorité chargée de surveiller l'application de cette loi, a fait une recommandation en ce sens dans son Rapport quinquennal de 2011 et qui se lit comme suit: 
"La Commission recommande que la Loi sur la protection des renseignements personnels dans le secteur privé prévoit la création de la fonction de responsable de l'accès et de la protection des renseignements personnels"
(Source: CAI, Rapport quinquennal 2011, p. 47) 
- préciser la notion de renseignements sensibles afin que la sensibilité des données ne soit pas seulement considérée au regard des mesures de sécurité qu’une entreprise doit mettre en œuvre. 
"Fourthly, the Working Party considers necessary any initiative, such as a legislation change or a Court ruling, offering a clear definition of the notion of “sensitive information”. In addition, the Working Party would welcome the systematic use of a highest level of protection when sensitive data is processed and encouraged the Quebec authorities and the CAI to work towards this goal. This higher level of protection should not be limited to security measures and could include adequate safeguards, such as the requirement of the explicit consent of the data subject for the processing". 
(Source: Avis 7/2014, p. 17, voir également p. 10)
- préciser les mécanismes permettant de s’assurer que la communication à l’extérieur du Québec des renseignements personnels répond aux exigences de la loi québécoise, en rendant par exemple obligatoire la conclusion d’un contrat entre les deux entités.
"Fifthly, the Working Party considers that the onward transfer principle needs to be clarified in Quebec’s law. In fact, any onward transfer should require the use of contractual or other binding provisions in order to provide a comparable level of protection with the protection awarded by EU law. A comparable level of protection refers to all data protection principles, and is not limited to the purposes of processing and the requirement of consent for further communication of the personal data. Consent should not be promoted as the general legal basis for onward transfers as the recipient then does not commit to take any action to ensure an adequate level of protection; this situation should thus remain an exception.
Sixthly, the Working Party would welcome the addition of a transfers section on the CAI Website which could provide more details concerning rules and practices for transfers and onward transfers outside Quebec".
(Source: Avis 7/2014, p. 17, voir également p. 9)
À suivre donc ...

Pour aller plus loin: 

18 juin 2014

Canada (CSC): anonymat et Internet

Le 13 juin dernier, dans l'arrêt R. c. Spencer (2014 CSC 43) la Cour Suprême du Canada (CSC) s'est prononcée sur une affaire dans laquelle la police, après avoir découvert, "l'adresse de protocole Internet (adresse IP) de l'ordinateur qu'une personne avait utilisé pour accéder à de la pornographie juvénile et pour la stocker à l'aide d'un programme de partage de fichiers, [...] a obtenu auprès du fournisseur de services Internet (FSI), sans autorisation judiciaire préalable, les renseignements relatifs à l'abonné à qui appartenait cette adresse IP" [par. 2].

Avant de présenter certains éléments d'analyse de la CSC, il convient de mentionner que même si elle considère que l'obtention de ces renseignements constitue une fouille [par. 6-67] abusive [par. 68-74], au regard de l'article 8 de la Charte canadienne des droits et des libertés, la CSC est d'avis que la preuve ainsi obtenu ne doit pas pour autant être écartée:
"Les infractions reprochées en l'espèce sont graves et sont punissables de peines minimales d'emprisonnement. La société a un intérêt manifeste à la fois à ce que l'affaire soit jugée et à ce que le fonctionnement du système de justice demeure irréprochable au regard des individus accusé de ces infractions graves. [...]
[J]'estime que c'est l'exclusion de la preuve, et non son admission, qui serait susceptible de déconsidérer l'administration de la justice et je suis d'avis de confirmer l'admission de cette preuve" [par. 80 et 81].
Dans cet arrêt, il convient notamment de souligner que la CSC rappelle que: 
- il existe "trois grandes catégories de droits en matière de vie privée, qui regroupent notamment les aspects qui ont trait aux lieux, à la personne et à l'information, et qui, malgré leur chevauchement fréquent, ont permis de préciser la nature des droits en matière de vie privée en jeu dans des situations particulières" [par. 35];
- le droit à la vie privée en ce qui a trait aux renseignements personnels "englobe au moins trois facettes qui se chevauchent, mais qui se distinguent sur le plan conceptuel. Il s'agit de la confidentialité, du contrôle et de l'anonymat" [par. 38]. "Le caractère privé des renseignements personnels est souvent assimilé à la confidentialité" [par. 39]. "Or, le droit à la vie privée comprend également la notion complexe, mais plus large, de contrôle sur l'accès à l'information et sur l'utilisation des renseignements" [par. 40]. "Il existe aussi une troisième conception de l'aspect informationnel du droit à la vie privée qui revêt une importance particulière dans le contexte de l'utilisation d'Internet. Il s'agit de l'anonymat" [par. 41].

Sur cette question de l'anonymat, la CSC indique que "le simple fait qu'une personne quitte l'intimité de sa résidence et pénètre dans un lieu public ne signifie pas qu'elle renonce à tous ses droits en matière de vie privée, même si, en pratique, il se peut qu'elle ne soit pas en mesure d'exercer un contrôle à l'égard des personnes qui l'observent en public. Par conséquent, pour protéger les droits en matière de vie privée dans certains contextes, il nous faut reconnaître l'anonymat comme une des conceptions de la vie privée" [par. 44]. Et, "s'agissant de l'utilisation d'Internet, [il lui] semble particulièrement important de reconnaître que l'anonymat s'inscrit parmi les conceptions de l'aspect informationnel du droit à la vie privée" [par. 45 - notre soulignement].
 
À ce sujet, elle retient le fait que "Internet a augmenté de façon exponentielle la qualité et la quantité des renseignements stockés concernant les internautes. L'historique de navigation, par exemple, permet d'obtenir des renseignements détaillés sur les intérêts et les préoccupations des utilisateurs. Les moteurs de recherche peuvent recueillir des renseignements sur les termes recherchés par les utilisateurs. Les annonceurs peuvent suivre les utilisateurs à travers les réseaux de sites Web et obtenir un aperçu de leurs intérêts et de leurs préoccupations. Les fichiers témoins peuvent être utilisés pour suivre les habitudes de consommation et peuvent fournir des renseignements sur les options sélectionnées dans un site Web, sur les pages Web consultées avant et après avoir visité le site d'accueil et tout autre renseignement personnel fourni. [...] L''utilisateur n'est pas en mesure d'exercer un contrôle total à l'égard de la personne qui peut observer le profil de ses activités en ligne et il n'est pas toujours informé de l'identité de celle-ci. Or, sous le couvert de l'anonymat - en protégeant le lien entre l'information et l'identité de la personne qu'elle concerne - l'utilisateur peut en grande partie être assuré que ses activités demeurent confidentielles " [par. 46]. Elle est d'avis qu'"il faut reconnaître que l'identité d'une personne liée à son utilisation d'Internet donne naissance à un intérêt en matière de vie privée qui a une portée plus grande que celui inhérent à son nom, à son adresse et à son numéro de téléphone qui figurent parmi les renseignements relatifs à l'abonné" [par. 47 - notre soulignement]. Elle ajoute que "la reconnaissance de la possibilité qu'il existe un intérêt en matière de vie privée à l'égard de l'anonymat, selon les circonstances, ne suffit pas pour reconnaître le "droit" à l'anonymat et n'a pas pour effet de menacer l'efficacité des autorités d'application de la loi relativement aux infractions commises sur Internet" [par. 49]
 
Partant, la CSC considère que "la demande de la police dans le but d'établir un lien entre une adresse IP donnée et les renseignements relatifs à l'abonnée visait en fait à établir un lien entre une personne précise [...] et des activités en ligne précise. Ce genre de demande porte sur l'aspect informationnel du droit à la vie privée relatif à l'anonymat en cherchant à établir un lien entre le suspect et des activités entreprises en ligne, sous le couvert de l'anonymat, activités qui, comme la Cour l'a reconnu dans d'autres circonstances, mettent en jeu d'importants droits en matière de vie privée" [par. 50].  
 
Dans cet arrêt, la CSC analyse également les cadres contractuel et réglementaire [par. 55 et suiv.], les pouvoirs en matières de fouilles, de perquisitions ou de saisies de la police [par. 68 et suiv.], la possible déconsidération de l'administration de la justice [par. 75 et suiv.] ou encore l'élément de faute de l'infraction de "rendre accessible" [par. 82 et suiv.].

11 juin 2014

9 juin 2014

Canada: nouveau commissaire au CPVPC

Le 5 juin dernier, Me Daniel Therrien a été nommé pour agir à titre de commissaire à la protection de la vie privée du Canada.