drt 6903 a droit du commerce électronique thème 6 droit de la vie privée mardi 10 octobre 2006...
Post on 03-Apr-2015
105 Views
Preview:
TRANSCRIPT
DRT 6903 ADroit du commerce électronique
Thème 6
Droit de la vie privée
Mardi 10 octobre 2006
Z-215 Pavillon Claire McNicoll
© Vincent Gautrais
Principes de base en droit de la vie privée - références
Loi sur la protection des renseignements personnels dans le secteur privé (L.R.Q., chapitre P-39.1)
• Loi sur la protection des renseignements personnels et les documents électroniques (2000)
• Annexe 1 de la Loi sur la protection de la vie privée et les documents électroniques
•Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques
, Journal officiel n° L 201 du 31/07/2002 p. 0037 - 0047
•COPPA (1998)
• Voir un exemple de Politique de vie privée sur le site du cours
Intro
Vie privée existe depuis toujours même importante depuis peu
Mais la problématique change: maintenant, sur un support électronique
• Tellement facile de copier
• Tellement facile de vendre, céder, échanger ces informations
• Tellement facile de ne pas se rendre compte que des informations personnelles nous concernant circulent
• Tellement facile de les communiquer à autrui.
Quelques affaires retentissantes
• Double- Click (1998) : fusion de cette compagnie de nouvelles technologies avec une compagnie de vente par correspondance et échange des listes de clients
• Amazon (08/2000): Changements des conditions de la politique de vie privée en autorisant dorénavant la vente des renseignements personnels
• Real Net work et Real Audio (1998) : une belle politique de vie privée qui interdit la vente et une pratique contraire à ce qui dit le label Truste.
• Etc, etc, etc…
Mais, avant toute chose, c’est quoi un renseignement personnel?
• Définition dans C-6: « article 2: «renseignement personnel » Tout renseignement concernant un individu identifiable, à l'exclusion du nom et du titre d'un employé d'une organisation et des adresse et numéro de téléphone de son lieu de travail. »
• Cas particulier de la santé
• Définition dans la loi québécoise: Article 2: « Est un renseignement personnel, tout renseignement qui concerne une personne physique et permet de l'identifier. » (aucune restriction)
En pratique, un renseignement personnel c’est…
• Un numéro de carte de crédit • Des indications personnelles sur sa race, sa
santé, son crédit, etc… • Mais aussi… • Nom, prénom, courriel, âge, téléphone,
adresse, etc… • Il faut aussi parfois qu’il y ait un lien entre les
informations • Cela ne concerna pas non plus les éléments
qui sont du domaine public (titre par exemple)
Axes de normalisation
Et oui, encore des usages en vue…• OCDE à établi des principes (1980) • Les Nations-Unies aussi (1990) • Le Canadian Standard Association (CSA) et son
Code type de protection des renseignements personnels
• Truste et BBBonline• Etc…
Des lois et des projets de loi aussi• Quatre provinces (Manitoba, Nouvelle Écosse,
Colombie britannique, Québec)• Pas de lois aux États Unis (Pas encore) • Lois dans presque tous les pays d’Europe
Des traités. NON, c’est trop difficile
La problématique internationale
Vie privée en Amérique du nord (sauf Québec) • Droit économique• Auto-régulation• Grosse pression pour empêcher l’édiction de lois
Vie privée en Europe• Droit fondamental• Lois dans tous les pays• La vie privée est d’ordre public• Directive européenne de 1995
Perspectives d’entente difficile
Plan
Les sources applicables
Les principes nécessaires au respect de la vie privée
Les situations particulières
• La protection des enfants • La protection des employés • Vie privée et faillite • Vie privée et données publiques
1 - Les sources de droit en vie privée
C-6: Première tentative d’harmonisation pan-canadiennePas simplement sur la vie privée
– Documents électronique – Modifications loi sur la preuve
Historique– Avant, il y avait C-54– C-6 est apparu en 1999– Problèmes constitutionnels de cette loi– Problèmes entre Québec et reste du Canada
Aussi étrange que cela puisse être, il reste l’aval du Parlement européen
-Avis de la Commission européenne sur la Loi canadienne - Avis des pays tiers
Respect du calendrier
Calendrier
La partie 1 de la Loi entrera en vigueur le 1er janvier 2001. Elle sera mise en œuvre en deux étapes :
À compter du 1er janvier 2001, la partie 1 s'appliquera à toute organisation qui exerce ses activités dans le cadre d'un travail, d'une entreprise ou d'une affaire du gouvernement fédéral (y compris aux renseignements sur les employés de l'organisation) ou qui communique pour contre-partie des renseignements personnels à l'extérieur d'une province. Il existe une exception à ce calendrier. Pour les organisations qui traitent des renseignements personnels relatifs à la santé, la partie 1 s'appliquera à partir du 1er janvier 2002.
À compter du 1er janvier 2004, la partie 1 s'appliquera à toute organisation qui recueille, utilise ou communique des renseignements personnels dans le cadre d'activités commerciales.
Les sources – C-6 (suite)
Une substance controversée
Une substance décevante quant à la protection
Les articles de bases sont les articles
• 5 (3) • 7 (1) 7 (2) 7 (3)
Document qui légitimise le Code type du CSA précité (exemple d’ une loi qui s’approprie les usages)
Les sources – Les lois provinciales
La situation québécoise – le Code civil (art. 35, 36, 37)
La situation québécoise – la Loi sur les renseignements personnels dans le secteur privé• 1992 – Première province à avoir une loi• En fait, deux lois• Création d’une instance permanente (la commission d’accès à
l’information) • Approche très européenne (comparaison avec le droit
français) • Approche très protectrice• Fleuron du droit québécois face aux autres provinces ou aux
autres pays
La situation québécoise (suite)
• Définition large d’un renseignement personnel (article 2) • Cueillette auprès de la personne concernée sauf consentement (art. 6) sauf si intérêt légitime (notion restrictive de l’intérêt légitime)
• Ex: commerçant envoie des fleurs lors de l’anniversaire de la personne OK. Envoi de pub seulement (pas sûr ?)
• Commerçant doit être capable de dire d’où vient l’information dans le fichier (la source – art. 7)• Information de la personne concernée (art. 9)
– Pourquoi (finalité) – Utilisation – Lieu de détention de l’information
La situation québécoise (suite)
AUTRES PRINCIPES DE BASE
• Ces dossiers sont confidentiels et ne peuvent être communiqués (PRINCIPE) (art. 13)
• Sauf consentement (EXCEPTION)
• De plus la définition du consentement est claire et précise: « Le consentement à la communication ou à l’utilisation d’un RP doit être manifeste, libre, éclairé et être donné à des fins spécifiques. Ce consentement ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé.
• Un consentement qui n’est pas donné conformément au premier alinéa est sans effet. » (article 14).
La situation québécoise (suite)
Accès et rectification d’un dossier
• Procédure écrite (art. 30)
• Le commerçant agit avec diligence
• Gratuité ou frais raisonnable (art. 33)
Droit de retrancher des données
Les sources – Les lois provinciales
Autres provinces, certes…
Mais surtout pour la protection des administrés face à l’administration
Loi fédérale mais aussi uniquement dans le secteur public
Les sources
Le CSA et le Q830-96
L’OCDE
Les règles uniformes des Nations Unies
•Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel
(Conseil de l’Europe – 1981)
•United Nations guidelines concerning Computerized personal data files (ONU – 1990)
Les sources – Le droit américain
Il existe évidemment une protection mais pas par des lois
• Jurisprudence• Code de conduite • Les expériences Truste et BBBonline
Historique• En 1996 problèmes et menaces de Clinton• Création des labels de qualité• Amélioration? Pas vraiment étant donné la hausse du trafic • Menace encore de faire des lois
- Le rapport de la FTC en 1999- Le rapport de la FTC en 2000
2000 – Les accords avec l’Union européenne: la fin de la guerre de la vie privée?
Aparté: la guerre de la vie privée (Amérique / Europe)
Directive de 1995 (article 25) 1. Les États membres prévoient que le transfert vers un pays tiers de données à
caractère personnel faisant l'objet d'un traitement, ou destinées à faire l'objet d'un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat.
2. Le caractère adéquat du niveau de protection offert par un pays tiers s'apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d'origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées.
3. Les États membres et la Commission s'informent mutuellement des cas dans lesquels ils estiment qu'un pays tiers n'assure pas un niveau de protection adéquat au sens du paragraphe 2.
Aparté: la guerre de la vie privée (Amérique / Europe) (suite)
4. Lorsque la Commission constate, conformément à la procédure prévue à l'article 31 paragraphe 2, qu'un pays tiers n'assure pas un niveau de protection adéquat au sens du paragraphe 2 du présent article, les États membres prennent les mesures nécessaires en vue d'empêcher tout transfert de même nature vers le pays tiers en cause.
5. La Commission engage, au moment opportun, des négociations en vue de remédier à la situation résultant de la constatation faite en application du paragraphe 4.
6. La Commission peut constater, conformément à la procédure prévue à l'article 31 paragraphe
2, qu'un pays tiers assure un niveau de protection adéquat au sens du paragraphe 2 du présent article, en raison de sa législation interne ou de ses engagements internationaux, souscrits notamment à l'issue des négociations visées au paragraphe 5, en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes. Les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.
Aparté: la guerre de la vie privée (Amérique / Europe) (suite)
Bataille depuis 199708 / 2000: L’accord sur le « Safe Harbour » (ou
les sphères de sécurité) • Toutes les entreprises déposent leurs
politique au FTC• Chaque politique est analysée• Pouvoirs d’investigation et de sanction• Si pas de respect, on retire de la liste
Possibilité d’avoir des dérogation avec l’article 26
Les sources – La situation européenne
• Directive de 1995
• Directive vie privée et communications électroniques (2002)
• Voir plus généralement le site de la Commission européenne sur la vie privée
2 – Les principes concernant la vie privée à respecter Récapitulons !
• Il y a les principes généraux (10 principes)
• Et il y a les principes spécifiques (10 principes)
• Même si recoupements possibles
2.1 - Les principes généraux
1. La responsabilité du détenteur du document (ou banque de données) contenant des RP
2. La finalité du document
3. Le consentement
4. La limitation de la collecte à ce qui est nécessaire
5. La limitation de la collecte, de la communication, de la conservation
2.1 - Les principes généraux (suite)
6) Le devoir d’exactitude des RP
7) Le devoir de sécurité
8) La transparence
9) Le droit d’accès
10) Les recours
2.2 - Les principes spécifiques à Internet
• Existence d’une politique 1. Reprendre les éléments de base
2. Les respecter
3. Écrire une politique lisible
4. Disposer cette politique dans un endroit stratégique (voir par exemple les exigences de TrustE)
• Inscrire dans la politique la finalité de la collection, l’utilisation ou la communication des RP
2.2 - Les principes spécifiques à Internet (suite)
• Aménager le consentement• OPT-IN: droit d’opposition quant à l’utilisation ultérieure
» Soit actif» Soit passif
• OPT-OUT: droit de retrait» N’importe quand » Ne plus utiliser les RP pour les finalité.s déjà consenties
• Attention au formulaire de renonciation (idem contrat)
• Utilisation des cookies. Sont-ils comestibles?
• Qu’est-ce c’est? • A quoi ça sert?
» Retracer » Sécurité» Faciliter l’utilisation (ex: panier d’achat)
• Expliquer ce que c’est et dire comment s’en prémunir
2.2 - Les principes spécifiques à Internet (suite)
• Le droit d’accès • Le respect d’une certaine sécurité • Mettre la liste des RP saisis sur le site et
éventuellement préciser ceux qui ne le sont pas• Éventuellement envisager des situations spéciales
selon les spécificités du site• Enfants
• Informations sur la santé • Éventuellement faire une mention de la loi applicable• Éventuellement permettre un lien par courriel à un
responsable des RP sur le site
Pause réflexion !
• Et si tout cela était inadapté ? • Lire
• Pierre TRUDEL, « De la « surveillance » à la qualité : les fondements actualisés du droit de la protection des données personnelles dans le gouvernement en ligne », 2005.
• Vincent GAUTRAIS, « Le défi de la protection de la
vie privée face aux besoins de circulation de l’information personnelle », (2004) 9-2 Lex Electronica
Cas particuliers
3.1 – La vie privée des enfants
3.2 – La vie privée dans le milieu du travail (la problématique en jeu)
3.3 – La vie privée et les faillites des « .com »
3.4 – La vie privée et les données publiques
3.1 – La vie privée des enfants
Pas de législation au Canada mais… Donc principes généraux s’appliquentIl y en a une aux États-Unis (seul exemple dans le
monde) • À titre d’illustration d’un principe bien établi, il est prévu dans
la COPPA: « It is unlawful for an operator of a website or online service directed to children, or any operator that has actually knowledge that it is collecting personal information from a child, to collect personal information from a child in a manner that violates the regulations prescribed under subsection (b). »
Mais avant tout chose, le domaine d’application
Personne qui diffuse de l’information « that is harmful for the minors »
• La COPPA reprend un vieux texte de 1934 (Communication Act) (art. 102 et tout le TITRE 1)
- En a connaissance
- En est responsable
• Personne qui diffuse de l’information destinée aux mineurs (TITRE 2)
- Sauf entité sans but lucratif
Les principes de base
• Obligation d’envoyer la politique aux enfants ou aux parents • Avoir le consentement des parents (du moins s’assurer de
l’avoir de manière raisonnable) (verifiable parental consent) • Réactualiser le consentement si changement• Permettre aux parents de vérifier l’information collectée sur
leur enfants• Permettre aux parents de révoquer leur consentement et
d’effacer l’information concernée• Inscrire la finalité de la collecte et s’en tenir à cette seule
finalité (ne pas demander de l’information non nécessaire) • Mettre en place des procédures de sécurité raisonnable
(confidentialité, sécurité et intégrité)
Exceptions au consentement
• Requête judiciaire à cet effet (EX: dans un contexte tout différent (pas celui des enfants): Phillip Service c. Weslink, (1998) (Ontario Court) la cour ordonne d’identifier des usagers anonymes parce qu’il faisait de la diffamation et menaces. AOL a donc du divulguer.
• RP utilisés que pour une seule réponse (one-time basis)
• Permettre de donner des informations aux parents
Commentaires généraux
• Encore une référence aux « Safe Harbors » et donc aux normes de la communauté
• Cette loi sur les enfants est aussi protectrice que la loi québécoise par exemple qui prévaut pour tous les individus (enfants et adultes) (mis-à-part peut être la notion de Verifiable Parental consent et encore…)
• Disney aurait dépensé 12 Millions de dollars pour mettre son site en conformité
• Est-ce suffisant?
La situation au Québec non pas sur la vie privée mais sur la publicité
Art. 249 LPC: « Nul ne peut faire de la –publicité à but commercial destinée à des personnes de moins de 13 ans.
Pour déterminer si un message est ou non destiné à des personnes de moins de 13 ans, on doit tenir compte du contexte de sa présentation et notamment:
a) de la nature et de la destination du bien annoncé;
b) de la manière de présenter ce message publicitaire;
c) du moment ou de l’endroit ou il apparaît. »
Québec (suite) et reste du Canada
Voir aussi le règlement d’application de la LPC (art. 88 à 91) • Pas d’exagération • Pas minimiser le degré d’habilité• Contrôle des emplois de superlatifs• Pas présenter des habitudes sociales répréhensibles• Etc…
Le Code Canadien des normes de la publicité (art. 12)• Même principe• Sanction encore plus forte: le bannissement
Application de règles de TV très bien suivies sur Internet?
OUI•Les textes sont suffisamment larges•Pas de raisons de ne pas le faire
NON•Les acteurs sont beaucoup plus grands•Pas de communauté homogène
3.2 - La vie privée des employés
Pas traité
3.3 – La vie privée et les faillites des « .com »
Pas traité
3.4 – Vie privée et données publiques
Pas traité
• Lecture: BMG Canada Inc. v. John Doe (2004) CF 488)
• Lecture: CCH Canadienne Ltée c. Barreau du Haut-Canada, [2004] 1 R.C.S. 339, 2004 CSC 13
top related