LA CIRCULATION DES RENSEIGNEMENTS PERSONNELS DANS LES ENVIRONNEMENTS « WEB 2.0 » du e-gouvernement

Pierre Trudel - pierre.trudel@umontreal.caChaire L.R. Wilson sur le droit des technologies e l’informationCRDP – Université de Montréal

La circulation des renseignements personnels dans les réseaux

• de e-gouvernement

– Selon la législation du Québec –

• Loi concernant le cadre juridique des technologies de l’information (2001)

La Loi concernant le cadre juridique des technologies de l’information

• clarifie le régime de la responsabilité• à l’égard des « documents » technologiques• au sujet de la vie privée• de la biométrie• et celle incombant aux intermédiaires techniques• énonce les principes encadrant le déploiement des

réseaux du e-gouvernement

Dans les réseaux de e-government

• il y a des entités qui:• contrôlent l’information, • peuvent y accéder et • la communiquer à

d’autres

• il y a des entités qui assurent des fonctions d’intermédiaires, traitent l’information sans pour autant avoir le contrôle sur celle-ci.

Lorsque je poste une lettre:

Est-ce que Postes Canada « collecte » ou traite, ou contrôle mes renseignements personnels?

Elle les détient…

Elle les transmet

Mais ne les communique pas….

Alors…. dans un environnement Internet, il existe de pareils intermédiaires

Environnements de E-GOUV à contenu généré par l’utilisateur

Sites de dépôt de documents par l’usager

Ex.: http://www.cvcommun.net

Sites proposant des « espaces » aux usagers: exemple: certains sites de tourisme

La tendance « web 2.0 »

• l’information est: • placée par l’usager

diffusée par décision de l’usager

• l’usager dispose d’une capacité de CONTRÔLE sans précédent

des usagers…• de plus en plus actifs….• les organismes publics offrent de

plus en plus de services en ligne « contrôlés » par l’usager

• Mais est-ce que ces organismes « collectent » et « détiennent », traitent, contrôlent ..

• les renseignements personnels ainsi déposés par l’usager?

L’usager - plus que jamais CONTRÔLE

Contrôle

Maîtrise du sens : Rédaction

Introduction de données, d’informationsExercice d’un pouvoir de décision dans la

détermination des informations qui seront créées

Maîtrise de l’accès: Droit de déterminer qui aura accès à

l’information à un document Droit de régir l’usage du document

#### Maîtrise purement formelle ou mécanique :

Vérifications de la conformité à des standardsVérification de la présence ou non d’éléments

d’information Simple « gardien » du fichier

Non-contrôle

« contrôler » l’information• c’est exercer à son égard, les

prérogatives qui autorisent l’exercice des attributs qu’elle comporte.

• contrôle de facto : une personne obtient par exemple un fichier, le reproduit et le diffuse à d’autres personnes sans détenir les autorisations aux termes des lois sur la protection des renseignements personnels.

• contrôle de jure comme celui

permettant qu’une personne dispose d’un droit exclusif d’interdire la diffusion d’un fichier.

Dans un environnement en réseaude partage de renseignements par

plusieurs organismes publics

• l’information circule d’un point à l’autre. • mais la circulation de l’information n’emporte pas sa

communication à chacun des points dans lesquels elle est relayée

Tous n’ont pas le même rôle à l’égard des renseignements personnels

Ceux qui décident• de la teneur de

l’information• l’utilisent• décident de la rendre

disponible

Les intermédiaires• ceux qui procurent des

facilités pour traiter– conserver– héberger– retrouver l’information

• Mais qui, comme tel, ne CONTRÔLENT pas les documents détenus dans leurs environnements

Lorsque dans un RÉSEAU:un organisme se trouve en possession

physique d’un « document » comportant des renseignements personnels

Il faut qualifier cette possession

• À titre d’entité qui CONTRÔLE le renseignement?

• À titre d’intermédiaire:• hébergeur• transporteur…?

Pour être responsable, il faut être en position de « contrôle »

• Pour être tenu à des obligations en matière de renseignements personnels:

• il faut être en position de contrôle à l’égard des documents qui comportent de tels renseignements.

• « contrôler », c’est exercer un rôle actif.

• c’est maîtriser.

Différentes intensités dans le contrôle à l’égard de l’information

• Plus on a le contrôle sur un document….

• plus on en répond.

Des obligations différentes

• Obligations des entités en état de contrôle des RP:

• responsable• tenu aux obligations en

matière de PRP

• Obligations des entités en état de non contrôle des RP :

• a priori non responsable• doit respecter les conditions

prévues à l’article 26 LCJTI

article 22 Loi sur le cadre juridique des TI

• le prestataire de services qui agit à titre d'intermédiaire pour offrir des services de conservation de documents technologiques sur un réseau de communication

• n'est pas responsable des activités accomplies par l'utilisateur du service au moyen des documents remisés par ce dernier ou à la demande de celui-ci.

L’intermédiaire qui n’a pas le contrôle

À des obligations…

• Quiconque confie un document à un prestataire de services pour en assurer la garde doit informer ce dernier de la protection requise

• Personne responsable de l’accès à un document: doit prendre des mesures propres à en assurer la confidentialité

…différentes de l’entité qui « utilise » ou contrôle

• L’entité qui « utilise » ou « contrôle », assume l’ensemble des obligations en matière de protection des renseignements personnels

le contrôle:permet de déterminer si on est en présence

d’opérations visées dans les lois sur la protection des renseignements personnels

• Collecte• Détention• Communication• Utilisation• Transmission• Conservation

La communication de documents comportant des RP

• Dans un environnement en réseau, l’information circule d’un point à l’autre.

• Mais la circulation de l’information n’emporte pas sa communication à chacun des points dans lesquels elle est relayée.

• Communiquer un renseignement ou un document implique de conférer un droit de prendre connaissance de la teneur du document ou du renseignement.

• Si le document est mis en possession physique ou juridique d’une entité, cela ne signifie pas que celle-ci ait obtenu communication du document ou du renseignement.

Collecte de RP • La collecte de renseignements

personnels s’entend:• d’une opération par laquelle des

renseignements sont placés sous le contrôle d’une entité qui du fait de cette opération acquiert, à l’égard des documents ou renseignements, un droit d’en prendre connaissance.

Transmission de RP • Transmettre n’est pas

« communiquer ». • Transmettre un document,

c’est l’expédier d’un point d’expédition à un point de réception. C’est le faire passer techniquement d’un point à l’autre.

Conservation de RP

• À titre de « contrôleur » ou à titre d’intermédiaire?

Détention de RP• Il est nécessaire de

qualifier la détention:

• est-elle à titre de « contrôleur » de l’information

ou • à titre d’intermédiaire?

situation dans laquelle une entité est en possession physique du support sur lequel est consigné un renseignement personnel.

L’utilisation de renseignements personnels

• L’entité qui n’utilise pas les renseignements personnels, n’est responsable qu’à titre d’intermédiaire

• Utiliser des renseignements personnels implique d’en avoir connaissance et de décider d’agir ou non à la lumière de la connaissance que ces renseignements confèrent.

Conclusion

• Les obligations en matière de PRP diffèrent selon qu’une entité exerce une fonction

• de contrôle des renseignements personnels– utilise les

renseignementsOU

• une fonction d’intermédiaire– n’utilise pas les

renseignements, ni n’a le contrôle

Pierre TrudelTitulaire de la Chaire L.R. Wilson sur le droit des technologies de l'information et du commerce électronique

pierre.trudel@umontreal.ca

Centre de recherche en droit publicFaculté de droitUniversité de Montréal

C.P. 6128, succursale Centre-villeMontréal QC Canada H3C 3J7téléphone: (514) 343-6263télécopieur: (514)343-7508

www.chairelrwilson.net