Les registres médicaux et la confidentialité

"Mémoire présenté à la Faculté des études supérieures en vue de l'obtention du grade de Maîtrise en LL.M. Droit - Recherche option Droit, Biotechnologies et Sociétés"

L'encadrement juridique du traitement des données personnelles sur les sites de commerce en ligne

"Thèse en vue de l'obtention du grade de docteur en droit de l'Université Panthéon-Assas (Paris II) et de docteur en droit de la faculté de droit de l'Université de Montréal en droit privé"

La surveillance de l'utilisation d'Internet au travail : guide des droits et obligations des employeurs

Tout employeur qui fournit l'accès Internet au sein de son entreprise a intérêt à surveiller l'usage qui en est fait par ses employés, que ce soit pour maximiser les avantages ou pour réduire les risques liés à l'utilisation d'Internet au travail. Tout employeur a d'ailleurs le droit d'exercer une telle surveillance, sous réserve toutefois des droits des personnes surveillées. La mise en place d'une surveillance de l'utilisation d'Internet au travail peut porter atteinte à la vie privée des employés ou à leur droit à des conditions de travail justes et raisonnables, et peut également porter atteinte au droit à la vie privée des tiers indirectement visés par la surveillance. Dans ce contexte, afin de s'assurer que la surveillance est exercée dans les limites de ses droits, l'employeur doit franchir deux étapes de réflexion essentielles. L'employeur doit en premier lieu déterminer le niveau d'expectative raisonnable de vie privée des personnes surveillées, lequel niveau s'apprécie à la lumière d'une série de facteurs. L'employeur doit par ailleurs respecter les critères de rationalité et de proportionnalité. Ces critères requièrent notamment que l'employeur identifie les motifs sous-jacents à la surveillance ainsi que la manière dont la surveillance sera exercée. Une fois ces deux étapes franchies, l'employeur sera en mesure d'identifier les obligations auxquelles il est soumis dans le cadre de la mise en place de la surveillance.

La protection des données de santé des athlètes dans le cadre de la lutte contre le dopage

Le dopage fait l’objet d’une intense lutte par les autorités sportives. Cet article s’intéresse à l’encadrement des renseignements personnels des athlètes qui y sont soumis. En effet, la lutte au dopage s’opère principalement par le traitement des nombreuses informations de santé que les athlètes fournissent dans le cadre de certaines procédures. L’article étudie dans une première partie les fondements de la lutte antidopage et la structure du sport aux niveaux international et canadien dans le but de contextualiser l’analyse de la protection des renseignements personnels. La seconde partie porte dans un premier temps sur le cadre général de la protection des renseignements personnels, puis sur les deux « outils » de la lutte au dopage : les autorisations pour usage à des fins thérapeutiques et les contrôles antidopage. Dans le premier cas, la protection des renseignements personnels s’effectue selon le modèle des aires de partage, où plusieurs personnes ont un accès simultané aux renseignements afin de fournir une prestation donnée. Dans le second cas, la protection est plus classique mais a la particularité de se confondre partiellement avec les mesures visant à protéger l’intégrité ­ et la validité ­ des contrôles.

Nature et impacts juridiques de la certification dans le commerce électronique sur Internet

Le sujet sur lequel porte la présente étude est inspiré de la problématique à la base du développement du commerce électronique : la confiance. En effet, l’accroissement exponentiel du nombre d’internautes et des sites Web commerciaux pose un sérieux problème à ce niveau. Ces sites présentent au public une information et des services divers, mais peu vérifiables. Ainsi, le principal obstacle au développement du commerce électronique avec les particuliers est le manque de confiance qu’inspirent les lieux visités. En effet, comment savoir si l’entreprise existe, quelles sont ses politiques concernant la sécurité ou la gestion des renseignements personnels, etc. La vérification et la certification des sites apparaissent comme une solution de plus en plus attrayante et utilisée pour ajouter cet élément de confiance. Déjà, de nombreux sceaux de qualité sont apparus sur les sites commerciaux. Certains sceaux portent sur la confidentialité tandis que d’autres ciblent la protection des consommateurs. La certification peut provenir de la compagnie même, d’un tiers certificateur ou d’un organisme public. Ces éléments constituent des balises et repères importants pour le consommateur sur Internet. Toutefois, les incidences légales sont multiples et certains concepts demeurent flous. Pour apporter une réponse à ces questions, nous définirons le concept de certification des sites Web et ses enjeux dont plus particulièrement la problématique de la confiance des consommateurs. Les différents objets de la certification seront analysés, tant au niveau de l’entité, du contenu du site que de la dimension transactionnelle de celui-ci. Les processus possibles et les impacts de la certification occupent la seconde partie du travail. Il s’agit d’examiner successivement les étapes menant à la certification, soit l’établissement des standards, de l’évaluation de l’entité et de la certification elle-même. L’analyse des impacts de la certification, tant sur le plan de la portée, de la responsabilité légale et des effets sur la concurrence de la certification constitue quant à eux, l’aboutissement de la recherche, soit de savoir quel est l’impact juridique d’un tel mécanisme. Le but de la recherche est de permettre au lecteur de mieux cerner ce phénomène de l’utilisation de la certification sur Internet avec ses avantages et ses limites. Certes, cet outil peut s’avérer très utile pour bâtir la confiance des consommateurs, promouvoir l’essor du commerce électronique et constituer une forme d’autoréglementation. Toutefois, mal utilisé ou mal encadré, il peut engendrer l’effet inverse et détruire cette confiance si fragile à construire dans un environnement dématérialisé.

Étude de faisabilité du modèle de fournisseur de services de dépôt électronique

"Le présent rapport a pour objet de fournir un commentaire détaillé sur la faisabilité globale d'un portail unique de dépôt électronique hébergé par le secteur privé (modèle transactionnel central de dépôt électronique) fondé sur la norme LegalXML. Le résultat attendu principal est une opinion concernant la faisabilité du modèle à guichet unique (portail électronique). D'autres résultats attendus comprennent : une connaissance accrue chez les intéressés du modèle de fournisseur de services et une évaluation préliminaire de l'appui que le modèle reçoit. Nous avons utilisé deux véhicules d'analyse principaux pour réaliser les objectifs de l'étude susmentionnés : des analyses documentaires et des entretiens auprès d'intéressés. Les analyses visent explicitement à : examiner des approches différentes au dépôt électronique, notamment un système de dépôt électronique comme extension de chaque instance, et l'hébergement par le secteur privé par opposition au secteur public d'un guichet unique; recenser les questions et les facteurs de risque critiques se rapportant à la mise en place de services de dépôt électronique dans les cours, notamment la protection des renseignements personnels, la propriété intellectuelle et la sécurité, et en discuter; opposer chacun de ces points au modèle de FSA; faire des recommandations sur la stratégie permettant de régler les questions et les facteurs de risque critiques. L'étude a révélé que : de nombreux intéressés appuient le dépôt électronique; de nombreux intéressés (p. ex. les avocats) ne font aucune distinction entre les formes différentes de dépôt électronique, tandis que d'autres s'en soucient beaucoup (p. ex. administrateurs de certaines cours); un modèle de fournisseur de services de dépôt électronique (FSDE) à guichet unique offre quelques avantages importants par rapport à une approche de dépôt électronique individuelle, surtout pour ce qui concerne les coûts et la plate-forme de l'avenir; un modèle de FSDE du secteur privé offre des avantages considérables par rapport à un modèle de FSDE du secteur privé, surtout en matière de succès et de coût de la mise en œuvre."

La responsabilité des prestataires techniques Internet au Québec

"Les prestataires techniques fournissant des services sur Internet (« FSI ») incluant le simple transporteur de documents technologiques, le prestataire offrant des services d’antémémorisation (ou services de caching) ou l’hébergeur peuvent être responsables face aux tiers ou face à leurs clients, et ce, à plusieurs niveaux. Les FSI peuvent dans certains cas être tenus responsables face aux tiers pour le caractère illicite de l’information qu’ils diffusent. Certaines informations circulant sur Internet peuvent affecter les droits d’auteur de tiers ou être diffamatoires envers certains individus et les FSI peuvent jouer un rôle dans la transmission de ces informations sur Internet. Face à leurs clients, les FSI qui ont accès à leurs renseignements personnels afin entre autres d’être en mesure d’offrir les services demandés peuvent dans certains cas être tenus responsables pour avoir fait une collecte, une utilisation ou une divulgation non autorisée de ces renseignements. Ils peuvent également être tenus responsables d’avoir fait parvenir des courriels publicitaires non sollicités à leurs clients ou pour avoir suspendu le compte d’un client qui envoie du spam dans certaines circonstances. Le présent article traite des questions de responsabilité des prestataires techniques Internet au Québec : envers les tiers en ce qui a trait au caractère illicite des documents transmis ou hébergés; et envers leurs clients relativement à leurs obligations de respect des renseignements personnels de ces clients et à leur responsabilité pour les questions relatives au spam."

Le défi de la protection de la vie privée face aux besoins de circulation de l'information personnelle

/Face à l’innovation apportée par les technologies de l’information, il est loisible de s’interroger sur la pertinence des concepts juridiques qui ont été arrêtés en un autre siècle et sous une autre technologie. Il s’agira donc dans une perspective préliminaire, d’envisager l’influence de ces innovations sur le droit de la vie privée. Aussi, en utilisant le concept de « neutralité technologique », nous mesurerons la réalité de son application dans ce domaine d’activité en vérifiant sa pertinence et en identifiant les éléments qui pourraient, au contraire, laisser croire à une différence de traitement entre le papier et l’électronique. Une fois ce constat fait, nous évaluerons les changements opérés respectivement sur le plan de la forme du droit et de sa substance. Concernant en premier lieu sa forme, nous examinerons principalement la façon de faire des lois en nous interrogeant sur l’attitude du législateur qui nous semble quelque peu varier dés lors qu’il s’agit d’encadrer la spécificité des renseignements personnels sur support électronique. Dans la seconde partie, si les principes généraux relatifs à la gestion des renseignements personnels sont désormais connus, il faudra s’interroger sur le fait de savoir si une évolution n’est pas nécessaire.

La protection de la vie privée sur le Web avec P3P : l'arrimage incertain du technique et du juridique

La protection des renseignements personnels est au cœur des préoccupations de tous les acteurs du Web, commerçants ou internautes. Si pour les uns trop de règles en la matière pourraient freiner le développement du commerce électronique, pour les autres un encadrement des pratiques est essentiel à la protection de leur vie privée. Même si les motivations de chacun sont divergentes, le règlement de cette question apparaît comme une étape essentielle dans le développement du réseau. Le Platform for Privacy Preference (P3P) propose de contribuer à ce règlement par un protocole technique permettant la négociation automatique, entre l’ordinateur de l’internaute et celui du site qu’il visite, d’une entente qui encadrera les échanges de renseignements. Son application pose de nombreuses questions, dont celle de sa capacité à apporter une solution acceptable à tous et surtout, celle du respect des lois existantes. La longue et difficile élaboration du protocole, ses dilutions successives et sa mise en vigueur partielle témoignent de la difficulté de la tâche à accomplir et des résistances qu’il rencontre. La première phase du projet se limite ainsi à l’encodage des politiques de vie privée des sites et à leur traduction en termes accessibles par les systèmes des usagers. Dans une deuxième phase, P3P devrait prendre en charge la négociation et la conclusion d’ententes devant lier juridiquement les parties. Cette tâche s’avère plus ardue, tant sous l’angle juridique que sous celui de son adaptation aux us et coutumes du Web. La consolidation des fonctions mises en place dans la première version apparaît fournir une solution moins risquée et plus profitable en écartant la possible conclusion d’ententes incertaines fondées sur une technique encore imparfaite. Mieux éclairer le consentement des internautes à la transmission de leurs données personnelles par la normalisation des politiques de vie privée pourrait être en effet une solution plus simple et efficace à court terme.

Aterritorialité des atteintes face aux logiques territoriales de protection juridique et problème de l'absence d'homogénéité des législations protectrices

Au lendemain de l’adoption de la sphère de sécurité (ou Safe Harbor Principles) entre l’Union européenne et les États-Unis, il convient de revenir sur les principes mis de l’avant, après une longue période de discussion, pour encadrer le traitement des renseignements personnels entre ces deux systèmes juridiques. Ce rappel permettra de mieux mesurer la portée de ladite sphère de sécurité face aux logiques territoriales de protection des renseignements personnels et à l’absence d’homogénéité de celles-ci.

La convergence de la sécurité informatique et la protection des données à caractère personnel : vers une nouvelle approche juridique

Le développement exponentiel des réseaux informatiques a largement contribué à augmenter le volume des renseignements personnels disponibles et à remplacer les méthodes désuètes de collecte des renseignements par des méthodes plus rapides et plus efficaces. La vie privée et le contrôle sur les informations personnelles, tels que nous les connaissions il y a quelques décennies, sont des notions difficilement compatibles avec la société ouverte et commerciale comme la nôtre. Face à cette nouvelle réalité menaçante pour les droits et libertés de l’homme, il est essentiel de donner un cadre technique et légal stable qui garantisse une protection adéquate de ces données personnelles. Pour rester dans le marché ou bénéficier de la confiance des individus, les entreprises et les gouvernements doivent posséder une infrastructure de sécurité efficace. Cette nouvelle donne a tendance à devenir plus qu’une règle de compétitivité, elle se transforme en une authentique obligation légale de protéger les données à caractère personnel par des mesures de sécurité adéquates et suffisantes. Ce mémoire aborde justement ces deux points, soit l’étude du développement d’une obligation légale de sécurité et l’encadrement juridique de la mise en place d’un programme de sécurisation des données personnelles par des mesures de sécurités qui respectent les standards minimaux imposés par les textes législatifs nationaux et internationaux.

La protection des données personnelles en France

La notion de vie privée, et plus précisément le droit à la protection des renseignements personnels, est reconnue aussi bien dans les textes provinciaux, régionaux, nationaux et internationaux, que dans les politiques mises en place par les sites Web. Il est admis que toutes informations identifiant ou permettant d’identifier une personne peut porter atteinte à sa vie privée, à savoir son nom, prénom, numéro de téléphone, de carte bancaire, de sécurité sociale, ou encore ses adresses électronique et Internet. Cette protection, admise dans le monde réel, doit aussi exister sur les inforoutes, étant entendu que « l ’informatique (…) ne doit porter atteinte ni à l ’identité humaine, ni aux droits de l ’homme, ni à la vie privée, ni aux libertés individuelles ou publiques » (art. 1er de la Loi française dite « Informatique et Libertés » du 6 janvier 1978). Ce principe étant admis, il est pertinent de s’interroger sur les moyens envisagés pour parvenir à le réaliser. Faut-il avoir recours à la réglementation étatique, à l’autoréglementation ou à la corégulation ? Cette dernière notion « n’est pas à proprement parler une nouvelle forme de régulation », mais elle préconise une collaboration entre les acteurs du secteur public et privé. L’idée de partenariat semble retenir l’attention du gouvernement français dans sa mission d’adaptation du cadre législatif à la société de l’information, comme nous le montre le rapport Du droit et des libertés sur l’Internet remis dernièrement au Premier ministre. Par conséquent, cet article a pour objectif de dresser un tableau de la législation française, et de ses multiples rapports, applicables à la protection de la vie privée et, plus particulièrement, aux données personnelles sur le réseau des réseaux. En prenant en considération les solutions étatiques et non étatiques retenues depuis ces deux dernières décennies, nous envisagerons une étude de l’avant-projet de loi du Gouvernement visant à transposer en droit interne la Directive européenne du 24 octobre 1995 relative à la protection des données personnelles.

The Legal Implications of Internet Marketing : Exploiting the Digital Marketplace Within the Boundaries of the Law

Au cours des dernières années, le domaine de la consommation a grandement évolué. Les agents de marketing ont commencé à utiliser l’Internet pour influencer les consommateurs en employant des tactiques originales et imaginatives qui ont rendus possible l’atteinte d'un niveau de communication interpersonnelle qui avait précédemment été insondable. Leurs interactions avec les consommateurs, en utilisant la technologie moderne, se manifeste sous plusieurs formes différentes qui sont toutes accompagnés de leur propre assortiment de problèmes juridiques. D’abord, il n'est pas rare pour les agents de marketing d’utiliser des outils qui leur permettent de suivre les actions des consommateurs dans le monde virtuel ainsi que dans le monde physique. Les renseignements personnels recueillis d'une telle manière sont souvent utilisés à des fins de publicité comportementale en ligne – une utilisation qui ne respecte pas toujours les limites du droit à la vie privée. Il est également devenu assez commun pour les agents de marketing d’utiliser les médias sociaux afin de converser avec les consommateurs. Ces forums ont aussi servi à la commission d’actes anticoncurrentiels, ainsi qu’à la diffusion de publicités fausses et trompeuses – deux pratiques qui sont interdites tant par la loi sur la concurrence que la loi sur la protection des consommateurs. Enfin, les agents de marketing utilisent diverses tactiques afin de joindre les consommateurs plus efficacement en utilisant diverses tactiques qui les rendent plus visible dans les moteurs de recherche sur Internet, dont certaines sont considérés comme malhonnêtes et pourraient présenter des problèmes dans les domaines du droit de la concurrence et du droit des marques de commerce. Ce mémoire offre une description détaillée des outils utilisés à des fins de marketing sur Internet, ainsi que de la manière dont ils sont utilisés. Il illustre par ailleurs les problèmes juridiques qui peuvent survenir à la suite de leur utilisation et définit le cadre législatif régissant l’utilisation de ces outils par les agents de marketing, pour enfin démontrer que les lois qui entrent en jeu dans de telles circonstances peuvent, en effet, se révéler bénéfiques pour ces derniers d'un point de vue économique.

Facebook et les dispositifs de traçabilité vus sous l’angle du droit canadien

Aujourd’hui, on parle du Web social. Facebook par exemple, porte bien la marque de son époque ; il est devenu le réseau social le plus convoité dans le monde. Toutefois, l’entreprise a été souvent critiquée en raison de sa politique qui porte atteinte à la vie privée des personnes. Par le truchement de ses modules sociaux, Facebook a le potentiel de collecter et d’utiliser des informations considérables sur les internautes à leur insu et sans leur consentement. Ce fait est malheureusement méconnu de la majorité d’entre eux. Certes, l’entreprise doit vivre économiquement et l’exploitation des renseignements personnels constitue pour elle une source de revenu. Toutefois, cette quête de subsistance ne doit pas se faire au détriment de la vie privée des gens. En dépit des outils juridiques dont le Canada dispose en matière de protection de la vie privée, des entreprises du Web à l’image de Facebook réussissent à les contourner.

La protection de la vie privée au temps de la biosécurité

Cette thèse s’intéresse à la protection de la vie privée informationnelle dans le contexte de la biosécurité. La biosécurité se définit comme le processus qui vise à prendre en charge, dans une optique de sécurité nationale, les menaces et dangers que représentent les épidémies de maladies infectieuses pour la santé des populations humaines et la sécurité de l’État. Notre projet remet en question l’idée selon laquelle la conduite des activités de surveillance de la santé publique implique nécessairement une diminution de la protection offerte aux renseignements personnels sur la santé. Nos recherches tendent à démontrer que la conciliation de la surveillance de la santé et la protection de la vie privée est non seulement possible, mais qu’elle est surtout nécessaire. Nous portons plus précisément notre attention sur le cas de la collecte et de l’utilisation de renseignements dépersonnalisés sur la santé par les systèmes de surveillance syndromique. Bien calibrée et soigneusement réglementée, cette forme novatrice et particulière de surveillance offrirait le double avantage de réduire les risques d’atteintes à la vie privée des individus et d’augmenter de manière considérable l’efficacité des capacités étatiques en matière de détection des épidémies.