Les registres médicaux et la confidentialité

"Mémoire présenté à la Faculté des études supérieures en vue de l'obtention du grade de Maîtrise en LL.M. Droit - Recherche option Droit, Biotechnologies et Sociétés"

La convergence de la sécurité informatique et de la protection des renseignements personnels : vers une nouvelle approche juridique

"Mémoire présenté à la Faculté des études supérieures en vue de l'obtention du grade de maîtrise en droit (LL.M.) option Nouvelles technologies de l'information"

L'encadrement juridique du traitement des données personnelles sur les sites de commerce en ligne

"Thèse en vue de l'obtention du grade de docteur en droit de l'Université Panthéon-Assas (Paris II) et de docteur en droit de la faculté de droit de l'Université de Montréal en droit privé"

Wireless privacy and personalized location-based services: the challenge of translating the legal framework into business practices

L'avancement des communications sans-fil permet l'obtention de nouveaux services bases sur l'habileté des fournisseurs de services sans-fil à déterminer avec précision, et avec l'utilisation de technologies de pistage, la localisation et position géographiquement d'appareils sans-fil Cette habileté permet d'offrir aux utilisateurs de sans-fil de nouveaux services bases sur la localisation et la position géographique de leur appareil. Le développement des services basés sur la localisation des utilisateurs de sans-fil soulevé certains problèmes relatifs à la protection de la vie privée qui doivent être considérés. En effet, l'appareil sans-fil qui suit et enregistre les mouvements de I 'utilisateur permet un système qui enregistre et entrepose tous les mouvements et activités d'un tel utilisateur ou encore qui permet l'envoi de messages non anticipes à ce dernier. Pour ce motif et afin de protéger la vie privée des utilisateurs de sans-fil, une compagnie désirant développer ou déployer une technologie permettant d'offrir ce genre de services personnalisés devra analyser l'encadrement légal touchant la protection des données personnelles--lequel est dans certains cas vague et non approprié à ce nouveau contexte--ainsi que la position de l'industrie dans ce domaine, et ce, afin d'être en mesure de traduire cet encadrement en pratiques commerciales. Cette analyse permettra d'éclairer le fournisseur de ces services sur la façon d'établir son modèle d'affaires et sur le type de technologie à développer afin d'être en mesure de remédier aux nouveaux problèmes touchant la vie privée tout en offrant ces nouveaux services aux utilisateurs de sans-fil.

Pour une utilisation optimale des données personnelles à des fins de recherche : vers un réseau de ressources collectives

Thèse par articles. Articles (4) annexés à la thèse en fichiers complémentaires.

Towards a Privacy-enhanced Social Networking Site

L’avénement des réseaux sociaux, tel que Facebook, MySpace et LinkedIn, a fourni une plateforme permettant aux individus de rester facilement connectés avec leurs amis, leurs familles ou encore leurs collègues tout en les encourageant activement à partager leurs données personnelles à travers le réseau. Avec la richesse des activités disponibles sur un réseau social, la quantité et la variété des informations personnelles partagées sont considérables. De plus, de part leur nature numérique, ces informations peuvent être facilement copiées, modifiées ou divulguées sans le consentement explicite de leur propriétaire. Ainsi, l’information personnelle révélée par les réseaux sociaux peut affecter de manière concrète la vie de leurs utilisateurs avec des risques pour leur vie privée allant d’un simple embarras à la ruine complète de leur réputation, en passant par l’usurpation d’identité. Malheureusement, la plupart des utilisateurs ne sont pas conscients de ces risques et les outils mis en place par les réseaux sociaux actuels ne sont pas suffisants pour protéger efficacement la vie privée de leurs utilisateurs. En outre, même si un utilisateur peut contrôler l’accès à son propre profil, il ne peut pas contrôler ce que les autres révèlent à son sujet. En effet, les “amis” d’un utilisateur sur un réseau social peuvent parfois révéler plus d’information à son propos que celui-ci ne le souhaiterait. Le respect de la vie privée est un droit fondamental pour chaque individu. Nous pré- sentons dans cette thèse une approche qui vise à accroître la prise de conscience des utilisateurs des risques par rapport à leur vie privée et à maintenir la souveraineté sur leurs données lorsqu’ils utilisent un réseau social. La première contribution de cette thèse réside dans la classification des risques multiples ainsi que les atteintes à la vie privée des utilisateurs d’un réseau social. Nous introduisons ensuite un cadre formel pour le respect de la vie privée dans les réseaux sociaux ainsi que le concept de politique de vie privée (UPP). Celle-ci définie par l’utilisateur offre une manière simple et flexible de spécifier et communiquer leur attentes en terme de respect de la vie privée à d’autres utilisateurs, tiers parties ainsi qu’au fournisseur du réseau social. Par ailleurs, nous dé- finissons une taxonomie (possiblement non-exhaustive) des critères qu’un réseau social peut intégrer dans sa conception pour améliorer le respect de la vie privée. En introduisant le concept de réseau social respectueux de la vie privée (PSNS), nous proposons Privacy Watch, un réseau social respectueux de la vie privée qui combine les concepts de provenance et d’imputabilité afin d’aider les utilisateurs à maintenir la souveraineté sur leurs données personnelles. Finalement, nous décrivons et comparons les différentes propositions de réseaux sociaux respectueux de la vie privée qui ont émergé récemment. Nous classifions aussi ces différentes approches au regard des critères de respect de la vie privée introduits dans cette thèse.

PROTECT_U: Un système communautaire pour la protection des usagers de Facebook

Article publié dans le journal « Journal of Information Security Research ». March 2012.

Comment appliquer les règles de protection des données aux transferts de données personnelles dans une société à la fois globale mais également multi-économique et multiculturelle ?

Dans son texte, l’auteur répond à une question posée lors d’une Conférence organisée conjointement par l’US Department of Commerce et le Groupe de l’article 29 et qui appelle à déterminer la façon dont les règles de protection des données doivent s’appliquer lors des transferts de données personnelles dans une société globale, multi-économique et multiculturelle. La question est pertinente dans une telle société, caractérisée par le besoin, d’une part d’assurer, sans considération de frontières, un certain régime de protection des données et d’autre part, de respecter la diversité des réalités économiques et culturelles qui se côtoient de plus en plus. L’auteur rappelle d’abord comment l’Europe a progressivement mis en place le système du droit à la protection des données personnelles. Il explique ensuite comment l’Union européenne a considéré la question de la réglementation des flux transfrontières pour en arriver au développement d’un système de protection adéquat et efficace lors des transferts de données hors de l’Union européenne. Toutefois, un tel système mis en place ne semble plus répondre de nos jours à la réalité des flux transfrontières, d’où la nécessité éventuelle de le réformer.

Les modifications de la relation médecin/patient au contact de la télématique médicale: quelques réflexions à battons rompus

La relation entre un médecin et son patient a grandement évolué. Aujourd’hui le médecin, loin de jouer le rôle paternaliste d’autrefois, se voit obligé d’établir un dialogue avec son patient. Des informations sont transmises de l’un à l’autre et de l’autre à l’un, le tout dans une optique de cogestion de la santé du patient. D’un côté le patient doit fournir au médecin les informations suffisantes pour que celui-ci établisse un diagnostic. D’un autre côté le médecin doit informer le patient de son état de santé et des mesures qu’il compte prendre. Dans la foulée du développement des nouvelles technologies, les modes de transmission de telles informations présentent de nouvelles problématiques. L’auteur propose ici une étude de la relation patient/médecin lorsqu’il s’agit de la transmission de données relatives à l’état de santé par Internet ou un réseau privé et du rôle de chacune des parties dans ce réseau en regard de la Directive 95/46/CE. Il ressort de cette étude que le médecin se voit imposer certaines responsabilités à titre de responsable du traitement, notamment en ce qui concerne le traitement des données personnelles de son patient. Ce dernier, en tant que personne concernée au sens de la Directive, se voit donc octroyer des droits fondamentaux en matière de confidentialité. De plus il détermine, en collaboration avec le médecin, les finalités du traitement de ces données personnelles.

Le respect de la vie privée et les inforoutes en République Démocratique du Congo

Le respect  de la vie privée est garanti dans presque tous les pays du monde, dont la République Démocratique du Congo. Les textes juridiques internes et internationaux qui assurent la protection de la vie privée ont généralement été édictés à une époque où l'on ne pouvait tenir compte de l’avènement des inforoutes. Cet article tend à rechercher, autant que faire se peut, les divers formes de violations de la vie privée pouvant être commises sur les réseaux numériques et les mécanismes de protection y relatifs. Sont abordées, en premier lieu, les violations effectuées par les pouvoirs publics. Nombreuses sont les atteintes à la vie privée autorisées par les normes juridiques étatiques pour raison de sécurité publique. Il en est ainsi des perquisitions électroniques, des visites de lieux et des saisies opérées par des agents des services étatiques porteurs des titres réguliers et dans le strict respect tant de la procédure que des lois. Toutefois, il arrive que les agents d'État débordent le cadre de l’objet de leur mission ou agissent sans titre régulier. Du côté des atteinte perpétrées par les personnes privées, l'on pourra citer, à titre indicatif, la commission des délits de presse et la violation du secret professionnel, la prise de connaissance ou la soustraction frauduleuse des données à caractère personnel. Ces atteintes procèdent de divers fondements, parmi lesquels on retrouvera les conceptions libertaires, les intérêts égoïstes, l’ignorance des législations étrangères, le principe de la liberté de l’information, les raisons scientifiques ou celles d’ordre public. Un certain nombre de mécanismes juridiques permet néanmoins de combattre ou de réfréner les violations de la vie privée. Tout semble graviter autour de la mise en œuvre d’une procédure pouvant enclencher des sanctions pénales, civiles, disciplinaires ou administratives, hormis l’existence de certains mécanismes de protection particuliers tel que le droit de réponse.

La protection de la vie privée : brève analyse de la situation italienne

L'Italie a été l'avant-dernier pays européen, suivi seulement de la Grèce, à se doter d'une loi sur la protection de la vie privée (loi du 31 décembre 1996). Paradoxalement, c'est en Italie qu'ont été écrites quelques-uns des meilleurs ouvrages sur ce sujet, notamment ceux du professeur Rodotà. En dépit du retard du législateur italien, il doit être précisé que la loi de 1996, faisant suite à la Directive communautaire relative à la protection des données personnelles, introduit un concept moderne de la vie privée, qui ne se limite pas simplement à un « right to be let alone », selon la célèbre conception de la fin du dix-neuvième siècle, mais qui se réfère plutôt à la protection de la personne humaine. Le concept de vie privée, entendu comme l’interdiction d’accéder à des informations personnelles, se transforme en un contrôle des renseignements relatifs à la personne. De cette manière, se développe une idée de la vie privée qui pose comme fondements : le droit de contrôle, de correction et d'annulation d'informations sur la personne. À cet égard, il est important de souligner le double système d’autorisation pour le traitement licite des informations. Le consentement de l'intéressé est requis pour les données personnelles. Pour les données dites « sensibles », en revanche, l'autorisation du Garant sera nécessaire en plus de l'expression du consentement de l’intéressé. En revanche, aucune autorisation n'est requise pour le traitement de données n'ayant qu'un but exclusivement personnel, ainsi que pour les données dites « anonymes », à condition qu'elles ne permettent pas d'identifier le sujet concerné. Le type de responsabilité civile prévu par la loi de 1996 se révèle particulièrement intéressant : l'article 18 prévoit l'application de l'article 2050 du Code civil italien (exercice d'activités dangereuses), alors que l'article 29 prévoit, lui, l'octroi de dommages et intérêts pour les préjudices non patrimoniaux (cette disposition est impérative, conformément à l'article 2059 du Code civil italien). Le présent article se propose d'examiner l'application des normes évoquées ci-dessus à Internet.

The Jurisprudence of Surveillance:a Critical Look at the Laws of Intimacy

Affirmer que les citoyens des démocraties occidentales sont l’objet d’une surveillance systématique efficace et à grande échelle a de quoi provoquer une réaction incrédule. Démagogie, diront certains. Pourtant, les progrès réalisés dans les technologies de collecte, de traitement et de stockage d’information forcent une réflexion sur cette hypothèse. Il a été souligné justement que les coûts élevés liés aux moyens rudimentaires employés par les polices secrètes d’antan endiguaient en quelque sorte la menace. Les filatures, les infiltrations, les rapts nocturnes de dissidents pêchaient par manque de subtilité. Au contraire, le génie des techniques modernes vient de ce qu’elles n’entravent pas le quotidien des gens. Mais au-delà du raffinement technique, le contrôle panoptique de la masse atteint un sommet d’efficience dès lors que celle-ci est amenée à y consentir. Comme le faisait remarquer le professeur Raab : « [TRADUCTION] La surveillance prospère naturellement dans les régimes autoritaires qui ne s’exposent pas au débat public ni à la critique. Lorsqu’elle est utilisée dans des régimes dits démocratiques, elle est légitimée et circonscrite par des arguments de nécessité ou de justifications spéciales, tout comme la censure »[1]. Or, le droit, en tant que discours de rationalité, accomplit savamment ce travail de légitimation. C’est dans cet esprit qu’une analyse radicale des règles de droit encadrant le droit à la vie privée apporte une lucidité nouvelle sur notre faux sentiment de sécurité.

La sous-traitance des données du patient au regard de la Directive 95/46

La gestion des données du patient occupe une place significative dans la pratique de l’art de guérir. Il arrive fréquemment que des personnes participent à la production ou à la gestion des données du patient alors que, praticiens de la santé ou non, elles ne travaillent pas sous l’autorité ou la direction du praticien ou de l’équipe en charge du patient. Au regard de la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, ces tiers revêtent la qualité de sous–traitant lorsqu’ils traitent des données pour compte du responsable du traitement de données. Ce dernier doit choisir un sous–traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer, et il doit veiller au respect de ces mesures. L’existence de labels de sécurité pourrait faciliter le choix du sous–traitant. S’agissant de données très sensibles comme les données génétiques, il serait opportun d’envisager un contrôle préalable par l’autorité de contrôle ou par un détaché à la protection des données. Il demeure alors à déterminer le véritable responsable du traitement des données du patient, ce qui dépend fortement du poids socialement reconnu et attribué aux différents acteurs de la relation thérapeutique.

La convergence de la sécurité informatique et la protection des données à caractère personnel : vers une nouvelle approche juridique

Le développement exponentiel des réseaux informatiques a largement contribué à augmenter le volume des renseignements personnels disponibles et à remplacer les méthodes désuètes de collecte des renseignements par des méthodes plus rapides et plus efficaces. La vie privée et le contrôle sur les informations personnelles, tels que nous les connaissions il y a quelques décennies, sont des notions difficilement compatibles avec la société ouverte et commerciale comme la nôtre. Face à cette nouvelle réalité menaçante pour les droits et libertés de l’homme, il est essentiel de donner un cadre technique et légal stable qui garantisse une protection adéquate de ces données personnelles. Pour rester dans le marché ou bénéficier de la confiance des individus, les entreprises et les gouvernements doivent posséder une infrastructure de sécurité efficace. Cette nouvelle donne a tendance à devenir plus qu’une règle de compétitivité, elle se transforme en une authentique obligation légale de protéger les données à caractère personnel par des mesures de sécurité adéquates et suffisantes. Ce mémoire aborde justement ces deux points, soit l’étude du développement d’une obligation légale de sécurité et l’encadrement juridique de la mise en place d’un programme de sécurisation des données personnelles par des mesures de sécurités qui respectent les standards minimaux imposés par les textes législatifs nationaux et internationaux.