1 / 48

drt 6929O droit des affaires électroniques cours 7 – vie privée en ligne

drt 6929O droit des affaires électroniques cours 7 – vie privée en ligne. Professeur agrégé Faculté de droit université de montréal chaire udm en droit de la sécurité et des affaires é lectroniques www.gau trais.com. plan. VP en général VP au travail. Sources juridiques.

lucien
Download Presentation

drt 6929O droit des affaires électroniques cours 7 – vie privée en ligne

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. drt 6929O droit des affaires électroniquescours 7 – vie privée en ligne Professeur agrégé Faculté de droit université de montréal chaire udm en droit de la sécurité et des affaires électroniques www.gautrais.com

  2. plan • VP en général • VP au travail

  3. Sources juridiques • Loi sur la protection des renseignements personnels dans le secteur privé(1994 - Québec) • Loi sur la protection des renseignements personnels et les documents électroniques(2000 - Canada) • Annexe 1de la précédente Loi (Principes énoncés dans la norme nationale du Canada intitulée code type sur la protection des renseignements personnels, CAN/CSA-Q830-96) • Loi concernant le cadre juridique des technologies de l’information (2001 - Québec) • CCQ, articles 2085 et suiv. • Et d’autres …

  4. Introduction • Vie privée existe depuis longtemps mais… • La problématique change avec l’électronique • Tellement facile de copier • Tellement facile de vendre, céder, échanger ces informations • Tellement facile de ne pas se rendre compte que des informations personnelles nous concernant circulent • Tellement facile de les communiquer à autrui.

  5. définition • Définition dans PEPIDA: « article 2: «renseignement personnel » Tout renseignement concernant un individu identifiable, à l'exclusion du nom et du titre d'un employé d'une organisation et des adresse et numéro de téléphone de son lieu de travail. » • Définition dans la loi québécoise: Article 2: « Est un renseignement personnel, tout renseignement qui concerne une personne physique et permetde l'identifier. » (aucune restriction)

  6. En pratique, un renseignement personnel c’est… • Un numéro de carte de crédit • Des indications personnelles sur sa race, sa santé, son crédit, etc… • Mais aussi… • Nom, prénom, courriel, âge, téléphone, adresse, etc… • Habitudes d’achat • Il faut aussi parfois qu’il y ait un lien entre les informations • Cela ne concerna pas non plus les éléments qui sont du domaine public • Etc.

  7. La problématique internationale • Vie privée en Amérique du nord (sauf Québec) • Droit économique • Auto-régulation • Grosse pression pour empêcher l’édiction de lois • Mais cela change... • Vie privée en Europe • Droit fondamental • Lois dans tous les pays • La vie privée est d’ordre public • Directive européenne de 1995 • Perspectives d’entente difficile

  8. 1 – Loi fédérale • C-6: Première tentative d’harmonisation pan-canadienne • Pas simplement sur la vie privée • Documents électroniques • Modifications loi sur la preuve • Historique • Avant, il y avait C-54 • C-6 est apparu en 1999 • Problèmes constitutionnels de cette loi • Problèmes entre Québec et ROC • Aussi étrange que cela puisse être, il reste l’aval du Parlement européen • Avis de la Commission européenne sur la Loi canadienne • Avis des pays tiers • Respect du calendrier

  9. 1 – Loi fédérale • Une substance controversée • Manque de mordant en terme de procédure (action) • Manque de mordant en terme de substance • Les articles de bases sont les articles • 5 (3) • 7 (1) 7 (2) 7 (3) • Document qui légitimise le Code type du CSA reproduit en annexe 1 (exemple d’ une loi qui s’approprie les usages)

  10. 2 – Lois provinciales • Le Code civil (art. 35, 36, 37) • La Loi sur les renseignements personnels dans le secteur privé • 1992 – Première province à avoir une loi • En fait, deux lois • Création d’une instance permanente (la Commission d’accès à l’information) • Approche très européenne (comparaison avec le droit français) • Approche très protectrice • Fleuron du droit québécois face aux autres provinces ou aux autres pays

  11. 2 – Lois provinciales • Cueillette des RP • Cueillette auprès de la personne concernée • sauf consentement (art. 6) • sauf si intérêt légitime (notion restrictive de l’intérêt légitime) • Ex: commerçant envoie des fleurs lors de l’anniversaire de la personne? • Envoi de pub seulement (sans doute que non?) • Justifier la provenance (être capable de dire d’où vient l’information dans le fichier – art. 7) • Informer la personne concernée (art. 9) • Pourquoi (finalité) • Utilisation • Lieu de détention de l’information

  12. 2 – Lois provinciales • Principe de base - dossiers sont confidentiels et ne peuvent être communiqués (article 13) • Exception – consentement • Définition du consentement (article 14). « Le consentement à la communication ou à l’utilisation d’un RP doit être manifeste, libre, éclairé et être donné à des fins spécifiques. Ce consentement ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé.  Un consentement qui n’est pas donné conformément au premier alinéa est sans effet. »

  13. 2 – Lois provinciales • Accès et rectification d’un dossier • Procédure écrite (art. 30) • Le commerçant agit avec diligence • Gratuité ou frais raisonnable (art. 33) • Droit de retrancher des données

  14. 3 – droit américain • Il existe évidemment une protection mais pas par des lois • Jurisprudence • Code de conduite • Les expériences Truste et BBBonline • Historique • En 1996 problèmes et menaces de Clinton • Création des labels de qualité • Amélioration? Pas vraiment étant donné la hausse du trafic • Menace encore de faire des lois • 2000 – Les accords avec l’Union européenne: la fin de la guerre de la vie privée? • Plusieurs lois sectorielles (enfants – finance – santé – etc.) • Plusieurs grosses entreprises demandent une loi

  15. guerre de la vie privée (USA / Europe) Directive de 1995 (article 25) 1.Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l'objet d'un traitement, ou destinées à faire l'objet d'un traitement aprèsleur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat. 2.Le caractère adéquat du niveau de protection offert par un pays tiers s'apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d'origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées. 4. Lorsque la Commission constate, conformément à la procédure prévue à l'article 31 paragraphe 2, qu'un pays tiers n'assure pas un niveau de protection adéquat au sens du paragraphe 2 du présent article, les États membres prennent les mesures nécessaires en vue d'empêcher tout transfert de même nature vers le pays tiers en cause.

  16. guerre de la vie privée (USA / Europe) • Bataille depuis 1997 • 08 / 2000: L’accord sur le « Safe Harbour » (ou les sphères de sécurité) • Toutes les entreprises déposent leurs politique au FTC • Chaque politique est analysée • Pouvoirs d’investigation et de sanction • Si pas de respect, on retire de la liste • Possibilité d’avoir des dérogation avec l’article 26

  17. 4 – droit européen • Directive de 1995 • Directive vie privée et communications électroniques (2002) • Voir plus généralement le site de la Commission européenne sur la vie privée

  18. principes • Il y a les principes généraux (10 principes) • Et il y a les principes spécifiques (10 principes) • Même si recoupements possibles

  19. principes généraux • Responsabilités • Finalités • Consentement • Limitations de la collecte • Limitation de l’utilisation, communication et de la conservation • Exactitude • Sécurité • Transparence • Accès • Recours

  20. principes généraux • Responsabilité « Une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner une ou des personnes qui devront s’assurer du respect des principes énoncés ci-dessous. » « Les organisations doivent assurer la mise en oeuvre des politiques et des pratiques destinées à donner suite aux principes, y compris : a) la mise en oeuvre des procédures pour protéger les renseignements personnels ; b) la mise en place des procédures pour recevoir les plaintes et les demandes de renseignements et y donner suite ; c) la formation du personnel et la transmission au personnel de l’information relative aux politiques et pratiques de l’organisation ; et d) la rédaction des documents explicatifs concernant leurs politiques et procédures.

  21. principes généraux 2. Finalités « Les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées par l’organisation avant la collecte ou au moment de celle-ci. »

  22. principes généraux 3. Consentement « Toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. » EX: Selon une décision du Commissariat à la vie privée (Conclusion #40, 2002 IIJCan 42369 (C.V.P.C.)), du 12 mars 2002, une banque ne peut exiger d’une personne souhaitant ouvrir un compte sans avoir un quelconque crédit (simplement pour déposer des chèques), une étude crédit classique avec présentation d’un NAS.

  23. principes généraux 4. Limitation de la collecte « L’organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées et doit procéder de façon honnête et licite.  »

  24. principes généraux 5. Limitation du traitement « Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n’y consente ou que la loi ne l’exige. On ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des fins déterminées. » EX: Selon une décision du Commissariat à la vie privée (Conclusion #121, 2003 IIJCan 33645 (C.V.P.C.)), du 23 janvier 2003, une banque est responsable d’un employé qui utilise des renseignements sur un client pour commettre une fraude. En l’occurrence, le dédommagement offert par la banque est jugé suffisant.

  25. principes généraux 6. Exactitude « Les renseignements personnels doivent être aussi exacts, complets et à jour que l’exigent les fins auxquelles ils sont destinés. »

  26. principes généraux 7. Mesures de sécurité « Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. » EX: Selon une décision du Commissariat à la vie privée (Conclusion #177, 2003 IIJCan 38271 (C.V.P.C.)), du 05 juin 2003, une banque ne peut laisser un ordinateur connecté à des renseignements personnels dans une aire publique sans mot de passe. EX: Selon une décision du Commissariat à la vie privée (Conclusion #289, 2005 IIJCan 15488 (C.V.P.C.)), du 03 février 2005, une banque est resposable du vol d’un ordinateur portatif de l’une de ses employée.

  27. principes généraux 8. Transparence « Une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne. » EX: Selon une décision du Commissariat à la vie privée (Conclusion #183, 2003 IIJCan 38064 (C.V.P.C.)), du 10 juillet 2003, une banque n’est pas tenue de publier ses politiques et ses pratiques concernant la gestion des renseignements personnels. Il est notamment précisé que « le commissaire était d’avis qu’une institution bancaire doit savoir de façon plus générale quelles seront les conséquences de la diffusion de détails sur ses politiques et pratiques. Il a trouvé logique qu’une banque ne veuille pas rendre public les étapes précises suivies pour empêcher la fraude, puisque les criminels pourraient utiliser cette information pour déjouer les mesures de protection de l’institution ».

  28. principes généraux 9. Accès « Une organisation doit informer toute personne qui en fait la demande de l’existence de renseignements personnels qui la concernent, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers, et lui permettre de les consulter. Il sera aussi possible de contester l’exactitude et l’intégralité des renseignements et d’y faire apporter les corrections appropriées. »

  29. principes généraux 10. Plaintes « Toute personne doit être en mesure de se plaindre du non-respect des principes énoncés ci-dessus en communiquant avec le ou les personnes responsables de les faire respecter au sein de l’organisation concernée. »

  30. principes spécifiques 1. Existence d’une politique • Reprendre les éléments de base • Les respecter • Écrire une politique lisible • Disposer cette politique dans un endroit stratégique (voir par exemple les exigences de TrustE) 2. Inscrire dans la politique la finalité de la collection, l’utilisation ou la communication des RP

  31. principes spécifiques 3. Aménager le consentement • OPT-IN: droit d’opposition quant à l’utilisation ultérieure • Soit actif • Soit passif • OPT-OUT: droit de retrait • N’importe quand • Ne plus utiliser les RP pour les finalités déjà consenties • Attention au formulaire de renonciation (idem contrat)

  32. principes spécifiques 4. Utilisation des cookies. Sont-ils comestibles? • Qu’est-ce c’est? • A quoi ça sert? • Retracer • Sécurité • Faciliter l’utilisation (ex: panier d’achat) • Expliquer ce que c’est et dire comment s’en prémuni

  33. principes spécifiques 5. Le droit d’accès 6. Le respect d’une certaine sécurité 7. Mettre la liste des RP saisis sur le site et éventuellement préciser ceux qui ne le sont pas 8. Éventuellement envisager des situations spéciales selon les spécificités du site • Enfants • Informations sur la santé 9. Éventuellement faire une mention de la loi applicable 10. Éventuellement permettre un lien par courriel à un responsable des RP sur le site

  34. Pause réflexion ! • Et si tout cela était inadapté ? •  Pierre TRUDEL, « De la « surveillance » à la qualité : les fondements actualisés du droit de la protection des données personnelles dans le gouvernement en ligne », 2005. •  Vincent GAUTRAIS, « Le défi de la protection de la vie privée face aux besoins de circulation de l’information personnelle », (2004) 9-2 Lex Electronica

  35. VP et travail • 20% de loisirs au travail !!! • EX: Grief d’arbitrage le 28 janvier 2000 • Licenciement confirmé par l’arbitre • 329 heures sur Internet dont sites pornos • 223 utilisation de son mot de passe • OK, mais comment fait l’employeur pour avoir des données aussi précises et à quel prix? • Moyens de surveillance très élaborés • Logiciels spécialisés (Little Brother, Redhand, etc…) • Étude aux Etats-Unis de l’American Management Association International selon laquelle en 1998 • 63% des employeurs surveillent les courriels des employés • 23% ne le disent pas • Mais moyens de contourner de plus en plus fort aussi… • Crypto • Adresse ailleurs

  36. Problématique juridique • Vers la reconnaissance d’une vie privée au travail • Charte canadienne des droits et libertés (art. 8 sur les fouilles pas explicite mais néanmoins présent) • Charte québécoise (art. 5 « toute personne a droit à la protection de la vie privée ») et aussi 4 (dignité) 24 (fouilles) 46 (personne qui travaille a droit à des conditions justes et raisonnables…) • C.c.Q. 5 (général) 35 et ss (vie privée) 2087 (dignité) 2058 (pas de preuve si atteinte aux droits fondamentaux) • EN France, COMPARONS • Code pénal 226-1 (écoutes téléphoniques) 226-15 (violation du secret des correspondances privées) • Code du travail 122-45 (idem) 121-8 (aucune information concernant personnellement un salarié ou un candidat à l’embauche ne peut être collectée par un dispositif qui n’a pas été portée personnellement à la connaissance du salarié)

  37. Problématique juridique • La jurisprudence canadienne fait souvent référence au droit américain et met des limites à la vie privée • Quant au lieu • SAQ c. Syndicat … (1983) TA 335 • Cour suprême pas si sûr (1988 dans Dyment) • Cour suprême ajuste (1984) Hunter c. Southam) dépend des circonstances • Quant au consentement implicite • Qui peut apparaître implicitement dans un contrat de travail • Bridgestone c. Firestone (1999) (CA) (filature d’un employé sensé être malade) Triple rupture • Valable même dans l’établissement • Subordination n’entraîne pas forcément renonciation implicite • Raisonnabilité de la surveillance

  38. sur le plan pratique 1) Les raisons d’un « monitoring » de l’employeur • i.      L’efficacité de l’employé (diligence à 2088 C.c.Q.) • ii.     La fuite d’informations confidentielles (exception: 1472 C.c.Q.) • iii.    La propriété intellectuelle 2) Le droit de l’employeur de contrôler le travail 3) Le devoir de loyauté de l’employé (2088 / 1375 C.c.Q.) 4) La protection des droits individuels : principes généraux (pas systématique et discriminatoire) 5) Étude de la jurisprudence : la spécificité de la protection de l’employé

  39. sur le plan pratique • 1 – Sanctions possibles si avertissements (politique) • De plus en plus un critère (clair au fédéral – moins au provincial) • États-Unis: pas besoin • Europe (France): cela dépend… • Attention donc au droit comparé • 2 – Contrôle possible de l’employeur si • Avertissements • Pas arbitraire • « Raisonnable » • 3 – Proportionnalité de la sanction • Pas forcément de sanctions graves la première fois • 4 – Autres critères susceptibles d’être pris en compte • Propriété de l’ordinateur • Lieu du travail (télétravail?)

  40. Avertissements • Belisle c. Rawdon (Municipalité), 2005 QCCRT 453 (IIJCan) (il n’y a pas eu avertissement) • [168]      De surcroît, en l’absence d’une politique claire de l’intimée quant à l’usage du matériel informatique et en l’absence de preuve d’un préjudice quelconque à l’employeur, ce motif ne saurait justifier le congédiement du plaignant, comme le souligne la Cour du Québec dans l’affaire Commission des normes du travail c. Bourse de Montréal (2002) R.J.D.T. 617 • Commission des normes du travail c. Bourse de Montréal, D.T.E. 2002T-373 (Québec) il n’y a pas eu avertissement) • Services d'administration P.C.R. Ltée. c. Québec (Commissaire du travail), 2003 IIJCan 602 (QC C.S.) (il y a eu avertissement) • Syndicat canadien des communications, de l’énergie et du papier, Section locale 522 c. CAE Électronique Ltée, D.T.E. 2000T-157 (T.A.) (il y a eu avertissement)

  41. Avertissements • Même si politique, peut ne pas marcher • Bell Canada c. Association canadienne des employés de téléphone, D.T.E. 2000T-254 (T.A.) • Boisvert c. Industrie Machinex (2002) • Même si absence de politique, employé peut être condamné

  42. Contrôle possible de l’employeur si … • 1 – Raisonnabilité • 2 – Mais attente raisonnable de vie privée de l’employeur • Srivastava • Bell Canada • Blais c. Société des Loteries Vidéos du Québec Inc., 2003 QCCRT 14 (IIJCan) • 3 – Pas de congédiement prétexte • 4 – Charge de la preuve à l’employeur • Alliance de la fonction publique du Canada c. Musée des beaux-arts du Canada (2003)

  43. Proportionnalité • Alliance de la fonction publique du Canada c. Musée des beaux-arts du Canada (2003) • Jacobs c. Mohawks Internet Technologies/Sports Interaction (2004) • Pas de mise en garde (Syndicat des cols bleus)

  44. critères aggravants Haut niveau d’indépendance de l’employé • Syndicat canadien des communications, de l’énergie et du papier, Section locale 522 c. CAE Électronique Ltée, D.T.E. 2000T-157 (T.A.)  Refus de collaboration – faible ancienneté – mauvaise foi • Syndicat des spécialistes et professionnels d’Hydro-Québec c. Hydro-Québec, non rapporté, 2 septembre 2003 • DiVito • Centre de réadaptation Lethbridge Propriété • Srivastava c. Hindu Mission of Canada, [2001] J.Q. 1913 (CA) NON • Arpin c. Grenier, 2004 IIJCan 11259 (QC C.Q.) OUI Gravité • Syndicat canadien des communications, de l’énergie et du papier, Section locale 522 c. CAE Électronique Ltée, D.T.E. 2000T-157 (T.A.)  • Perrault

  45. critères exonérants • Ancienneté / utilisation ponctuelle • Bell Canada c. Association canadienne des employés de téléphone, D.T.E. 2000T-254 (T.A.) • L’arbitre note que l’incident ne représente pas un cas isolé et convient qu’il est compréhensible que le temps et l’équipement de l’employeur, tels le téléphone ou l’Internet, soient parfois utilisés à des fins personnelles. Il y aura faute si l’usage est fréquent et prive la direction de l’exécution du travail. Malgré la dérogation au code de conduite qui interdisait la transmission de ce genre de messages, le décideur considère que le salarié n’a pas utilisé exagérément le temps de son employeur, que ce dernier accorde trop d’importance au contenu érotique des fichiers et que leur transmission n’a pas affecté sa réputation. Vu les neuf ans d’ancienneté et le dossier disciplinaire vierge, l’arbitre impose plutôt une suspension de trois mois. • Pas de précédent • Bell Canada • Absence de dommages (sur des sites de hackers) • Commission des normes du travail c. Bourse de Montréal inc., D.T.E. 2002T-373 (C.Q.) 

  46. Illustrations – Jurisprudence • Alliance de la fonction publique du Canada c. Musée des beaux-arts du Canada (2003) • Fiset c. Services d’administration P.C.R. (2003) • Perreault c. Syndicats des employés de soutien de l’Université de Sherbrooke (2004) • Syndicat des cols bleus regroupés de Montréal, section locale 301 c. La Ronde (Six Flags) (2004) • Jacobs c. Mohawks Internet Technologies/Sports Interaction (2004) • Arpin c. Grenier (2004) • Centre de réadaptation Lethbridge c. Syndicat des physiothérapeute et des thérapeutes en réadaptation physique du Québec (2004) • Blais c. Société des loteries vidéo du Québec (2003) • Boisvert c. Industrie Machinex (2002) • DiVito c. MacDonald Dettwiler & Associates, [1996] B.C.J. 1436. • Srivastava c. Hindu Mission of Canada, [2001] J.Q. 1913 (CA) • Bell Canada c. Association canadienne des employés de téléphone, (2000) DTE T-254 (TA) • Syndicat canadien des communications, de l’énergie et du papier, section locale 522 c. CAE Électronique, (2000) DTE T-157 (TA) • Commission des normes du travail c. Bourse de Montréal, (2002) DTE T0373 (CQ) • Syndicat des spécialistes d’Hydro-Québec c. Hydro-Québec, non rapporté (2003)

  47. Forme d’une politique de VP • Reprendre les éléments de base • Les respecter • Écrire une politique lisible • Disposer cette politique dans un endroit stratégique • La mise à la connaissance de l’employé • Avis aux employés et modalités de mises à la connaissance • Répétition des avis (programmation des accès Internet) • Formation des employés • Signature d’un document (électronique ou papier) • Modalités de contrôle

  48. Contenu d’une politique de VP • Étendue des permissions • Étendue des interdictions (activités prohibées) • Propriété des outils de « production » • Protéger contre utilisation inappropriée • Protection des informations sensibles • Réserve des droits de l’employeur • Fréquence des contrôles • Prévoir sanctions si manquement • Prévoir si empoylé s’en va de l’entreprise • Etc…

More Related