Renseignements personnels et Internet: définitions, subtilités et enjeux Journée WebÉducation...
-
Upload
devereux-lefevre -
Category
Documents
-
view
103 -
download
0
Transcript of Renseignements personnels et Internet: définitions, subtilités et enjeux Journée WebÉducation...
Renseignements personnels et Internet: définitions, subtilités et enjeux
Journée WebÉducation
Julie Boucher, ll.b., conseillère
Direction de l’accès à l’information et de la
protection des renseignements personnels
Le 14 octobre 2010
2
Plan de présentation
Introduction Objectifs de la conférence
Cadre juridique
1. Les renseignements personnels et l’édition de contenu Web La notion
La protection
Les questions spécifiques aux moyens technologiques
2. Les renseignements personnels dans l’actualité Facebook
Cloud computing
3
Introduction
Objectifs de la présentation
Offrir une présentation complète et accessible des règles qui régissent la protection des renseignements personnels au sein des organismes publics
Permettre aux participants de développer les réflexes appropriés en matière de protection des renseignements personnels afin qu’ils bénéficient de cette plus-value dans l’élaboration et la mise en place de leurs prochains projets
4
Introduction
Cadre juridique
Charte des droits et libertés de la personne Art. 5 et art. 44
Code civil du Québec Art. 35 à 41
Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels
Loi sur la protection des renseignements personnels dans le secteur privé
Loi concernant le cadre juridique des technologies de l'information
Règlement sur la diffusion des l’information et la protection des renseignements personnels
5
1. Renseignements personnels et édition de contenu Web
1.1 La notion de renseignement personnel
1.1.1 Définition
1.1.2 Applications
1.1.3 Exemples
1.1.4 Exceptions
6
1.1 La notion de renseignement
personnel
1.1.1 La définition
Un renseignement personnel est : « un renseignement qui concerne une personne et qui permet de l’identifier »
Loi sur l’accès aux documents des organismes publics et sur la
protection des renseignements personnels (art. 54)
Loi sur la protection des renseignements personnels dans le
secteur privé (art. 2)
Avant 2006, on parlait de « renseignement nominatif »
7
1.1 La notion de renseignement
personnel
1.1.2 Applications
Pour être visé par la protection, il doit donc s’agir D’un renseignement
Qui concerne une personne physique
Qui permet de l’identifier
Contenu dans un document
8
1.1 La notion de renseignement personnel
1.1.2 Applications – le renseignement
Il peut s’agir d’une information qui identifie directement la personne Le nom, le numéro d’assurance-maladie
Les photos ou vidéos
Ou d’éléments qui ne sont pas significatifs mais qui renseignent sur la personne s’ils sont associés à son nom Comme l’âge, le poids, le niveau de scolarité
9
1.1 La notion de renseignement personnel
1.1.2 Applications – la personne physique
Seuls les individus bénéficient de la protection des renseignements les concernant Les renseignements relatifs aux biens ou aux immeubles ne
sont donc pas visés
Les renseignements qui concernent les personnes morales (compagnies, entreprises, associations, etc.) ne sont donc pas considérés comme des renseignements personnels par la jurisprudence De même que l’identité des personnes qui représentent une
personne morale
10
1.1 La notion de renseignement personnel
1.1.2 Applications – qui permet d’identifierIl n’est pas nécessaire que le renseignement permette de nommer la personne, il suffit qu’il permette de la distinguer des autres Ce serait le cas notamment de l’orientation sexuelle L’opinion personnelle exprimée sur un sujet ou une personne
en particulier est également un renseignement personnel
Il faut porter une attention particulière aux fichiers qualifiés «anonymes »
Surtout si un moyen logique permet de reconstituer l’identité des personnes concernées
11
1.1 La notion de renseignement personnel
1.1.2 Applications – contenu dans un document
Pour bénéficier de la protection de la Loi, le renseignement doit être inscrit dans un document détenu par l’organisme Toutefois, la divulgation peut quant à elle être verbale
Ex : références vs dossier de l’employé
La forme du document ou le support choisi n’a pas d’importance Le support informatique ou Web est donc visé autant que la
version papier
12
1.1 La notion de renseignement personnel
1.1.3 Exemples
On peut classer les renseignements personnels selon diverses catégories Renseignements d’identification
Renseignements de santé
Renseignements financiers
Renseignements relatifs au travail
Renseignements relatifs à l’éducation ou à la formation
Renseignements sociaux ou familiaux
13
1.1 La notion de renseignement personnel
1.1.4 Exceptions
Plusieurs types de renseignements relèvent d’exceptions et ne bénéficient pas de la protection de la Loi Nom d’une personne, s’il est utilisé seul (art. 56 Loi sur l’accès)
Renseignements à caractère public prévus par la Loi ( art. 55
et 57 Loi sur l’accès) ou d’autres lois particulières
Renseignements obtenus dans le cadre d’une fonction juridictionnelle (art. 53 (2o) Loi sur l’accès)
Exceptions jurisprudentielles
14
1. Renseignements personnels et édition de contenu Web
1.2 La protection accordée aux renseignements personnels
1.2.1 Principe
1.2.2 Applications
1.2.3 Cycle de vie
1.2.4 Exceptions
15
1.2 La protection des renseignements personnels
1.2.1 Principe
Tout individu a droit au respect de la confidentialité des renseignements qui le concernent et qui sont détenus par les organismes publics, à tout moment du cycle de vie de ces renseignements.
Ce droit découle notamment de la Charte des droits et libertés de la personne, art. 5.
16
1.2 La protection des renseignements personnels
1.2.2 Applications
Pour le bénéficiaire Il s’agit d’une protection universelle
Elle est également automatique
Quant au choix et à la mise en œuvre des mesures nécessaires à la protection des renseignements personnels Cette responsabilité incombe à l’État (art. 63.1 Loi sur l’accès)
Le choix des mesures diffère en fonction notamment de la sensibilité du renseignement
17
1.2 La protection des renseignements personnels
1.2.3 Cycle de vie
La détention d’un renseignement personnel par un organisme procède par diverses étapes, qui ont chacune leurs règles propres Cueillette
Conservation
Utilisation
Communication
Destruction
18
1.2 La protection des renseignements personnels
1.2.3 Cycle de vie - cueillette
Le principe relatif à la cueillette des renseignements personnels est que l’organisme doit la limiter à ceux qui sont nécessaires (art. 64 Loi sur l’accès)
Définition de la nécessité
Nécessaire à ses attributions ou à un programme qu’il gère
Collaboration avec un autre organisme pour la prestation de services ou une mission commune
Obligations de l’organisme et transparence dans la cueillette (art. 65 Loi sur l’accès)
19
1.2 La protection des renseignements personnels
1.2.3 Cycle de vie - conservation
Pendant la période de conservation des renseignements personnels, l’organisme doit s’assurer de : Verser les renseignements dans un fichier de renseignements
personnels (art. 71 ss Loi sur l’accès)
Établir et maintenir à jour l’inventaire de ces fichiers (art. 76 Loi sur l’accès)
Mettre en place et respecter des mesures de sécurité
Tenir les renseignements personnels à jour, complets et exacts pour servir aux fins de leur cueillette (art. 72 Loi sur l’accès)
20
1.2 La protection des renseignements personnels
1.2.3 Cycle de vie - utilisation
Les principales mesures à prendre lors de l’utilisation des renseignements personnels pour assurer leur protection sont les suivantes : Limiter l’accès aux renseignements personnels aux seules
personnes autorisées au sein de l’organisme, et seulement dans l’exercice de leurs fonctions (art. 62 Loi sur l’accès)
Ne permettre l’utilisation des renseignements qu’aux seules fins pour lesquelles ils ont été recueillis (art. 65.1 Loi sur l’accès)
21
1.2 La protection des renseignements personnels
1.2.3 Cycle de vie - communication
La communication d’un renseignement personnel se définit par sa divulgation à un tiers, peu importe le moyen utilisé Renseignement communiqué verbalement ou par écrit
Conditions nécessaires à la communication: consentement (art. 53
et 59 Loi sur l’accès) et utilisation de moyens qui préservent la confidentialité
Exceptions prévues à la Loi sur l’accès (art. 59, 59.1, 61, 66, 67, 67.1, 67.2, 68 Loi sur l’accès)
Mesures particulières à la communication hors Québec (art. 70.1 Loi sur l’accès)
Tenue d’un registre accessible au public (art. 67.3 et 67.4 Loi sur l’accès)
22
1.2 La protection des renseignements personnels
1.2.3 Cycles de vie - destruction
La destruction doit être définitive, peu importe le type de support utilisé. Elle se fera soit : En conformité du calendrier de conservation
Ou dès que les fins pour lesquelles ils ont été recueillis ou conservés sont accomplies (art. 73 Loi sur l’accès)
23
1.2 La protection des renseignements personnels
1.2.4 Exceptions
Consentement Conditions de validité du consentement
Interdiction d’utiliser le consentement à l’encontre du principe de nécessité
Exceptions légales Utilisation à des fins compatibles (art. 65.1 Loi sur l’accès)
Utilisation au bénéfice de la personne concernée
Nécessaire à l’application d’une loi au Québec
24
1. Renseignements personnels et édition de contenu Web
1.3 Les questions spécifiques à l’utilisation des moyens technologiques
1.3.1 Confiance des citoyens en l’État
1.3.2 Distinction entre sécurité et protection des renseignements personnels
1.3.3 La communication de renseignements personnels par courriel
1.3.4 Utilisation d’Internet
1.3.5 Mise en ligne de contenu Web
25
1.3 Les questions spécifiques à l’utilisation des moyens technologiques
1.3.1 Confiance des citoyens en l’État
Les responsables des services en ligne et de la mise en page des sites Internet du Gouvernement jouent un rôle de première ligne entre l’État et le citoyen
La protection des renseignements personnels confiés à l’État est primordiale afin de s’assurer que les citoyens continuent de faire confiance aux institutions gérées par l’État
La prestation de service en ligne aux citoyens est également dépendante de cette confiance que les gens doivent avoir envers la protection accordée à leurs renseignements personnels
26
1.3 Les questions spécifiques à l’utilisation des moyens technologiques
1.3.2 Sécurité de l’information
Il ne faut pas confondre la sécurité avec la protection des renseignements personnels
La protection des renseignements personnels repose notamment sur la mise en place de mesures de sécurité:
Mesures physiques: classeurs, serrures
Mesures logiques: journalisation des accès, cryptage
Garantie de disponibilité, intégrité et confidentialité (DIC)
27
1.3 Les questions spécifiques à l’utilisation des moyens technologiques
1.3.3 Communication par courriel
Il est acquis que le courriel n’est pas le mode de communication le plus sécuritaire
Mesures de sécurité de base qui peuvent être utilisées
Documents ou renseignements qui ne devraient pas faire l’objet d’une communication par courriel
28
1.3 Les questions spécifiques à l’utilisation des moyens technologiques
1.3.4 Utilisation d’Internet
La possibilité de favoriser la circulation de l’information via l’utilisation d’Internet soulève certaines questions éthiques et de nouveaux enjeux reliés à la protection des renseignements personnels Réseau de la santé
Organismes scolaires
Municipalités
Organismes publics
29
1.3 Les questions spécifiques à l’utilisation des moyens technologiques
1.3.5 Mise en ligne de contenu Web
Chaque nouveau projet de mise en ligne de contenu Web devrait faire l’objet d’une évaluation de ses impacts sur la protection des renseignements personnels, si de tels renseignements sont en cause Conformément au Règlement sur la diffusion de l’information et
sur la protection des renseignements personnels (art. 7)
Il faut que les webmestres développent le réflexe de demander une évaluation des risques d’atteinte dès les débuts du projet, dans l’étude de faisabilité
Le responsable de l’accès de l’organisme et son comité sur l’accès sont vos alliers dans cette tâche
30
2. Les renseignements personnels dans l’actualité
2.1 Facebook
2.2 Google
2.3 Cloud Computing
31
2. Les renseignements personnels dans l’actualité
2.1 Facebook
2.1.1 Problématique face aux renseignements personnels
2.1.2 Situation au Canada
2.1.3 Situation internationale
32
2. Les renseignements personnels dans l’actualité
2.2 Google
2.2.1 Problématique face aux renseignements personnels
2.2.2 Situation au Canada
2.2.3 Situation internationale
33
2. Les renseignements personnels dans l’actualité
2.3 Cloud computing
2.3.1 Problématique face aux renseignements personnels
2.3.2 Situation au Canada
2.3.3 Situation internationale
34
Des questions?