La fraude d’identité et la protection des renseignements personnels dans un organisme public

Rapport de stage présenté à la Faculté des arts et sciences en vue de l'obtention du grade de Maîtrise ès sciences (M. Sc.) en criminologie.

La protection de la vie privée sur le Web avec P3P : l'arrimage incertain du technique et du juridique

La protection des renseignements personnels est au cœur des préoccupations de tous les acteurs du Web, commerçants ou internautes. Si pour les uns trop de règles en la matière pourraient freiner le développement du commerce électronique, pour les autres un encadrement des pratiques est essentiel à la protection de leur vie privée. Même si les motivations de chacun sont divergentes, le règlement de cette question apparaît comme une étape essentielle dans le développement du réseau. Le Platform for Privacy Preference (P3P) propose de contribuer à ce règlement par un protocole technique permettant la négociation automatique, entre l’ordinateur de l’internaute et celui du site qu’il visite, d’une entente qui encadrera les échanges de renseignements. Son application pose de nombreuses questions, dont celle de sa capacité à apporter une solution acceptable à tous et surtout, celle du respect des lois existantes. La longue et difficile élaboration du protocole, ses dilutions successives et sa mise en vigueur partielle témoignent de la difficulté de la tâche à accomplir et des résistances qu’il rencontre. La première phase du projet se limite ainsi à l’encodage des politiques de vie privée des sites et à leur traduction en termes accessibles par les systèmes des usagers. Dans une deuxième phase, P3P devrait prendre en charge la négociation et la conclusion d’ententes devant lier juridiquement les parties. Cette tâche s’avère plus ardue, tant sous l’angle juridique que sous celui de son adaptation aux us et coutumes du Web. La consolidation des fonctions mises en place dans la première version apparaît fournir une solution moins risquée et plus profitable en écartant la possible conclusion d’ententes incertaines fondées sur une technique encore imparfaite. Mieux éclairer le consentement des internautes à la transmission de leurs données personnelles par la normalisation des politiques de vie privée pourrait être en effet une solution plus simple et efficace à court terme.

La protection des données personnelles en France

La notion de vie privée, et plus précisément le droit à la protection des renseignements personnels, est reconnue aussi bien dans les textes provinciaux, régionaux, nationaux et internationaux, que dans les politiques mises en place par les sites Web. Il est admis que toutes informations identifiant ou permettant d’identifier une personne peut porter atteinte à sa vie privée, à savoir son nom, prénom, numéro de téléphone, de carte bancaire, de sécurité sociale, ou encore ses adresses électronique et Internet. Cette protection, admise dans le monde réel, doit aussi exister sur les inforoutes, étant entendu que « l ’informatique (…) ne doit porter atteinte ni à l ’identité humaine, ni aux droits de l ’homme, ni à la vie privée, ni aux libertés individuelles ou publiques » (art. 1er de la Loi française dite « Informatique et Libertés » du 6 janvier 1978). Ce principe étant admis, il est pertinent de s’interroger sur les moyens envisagés pour parvenir à le réaliser. Faut-il avoir recours à la réglementation étatique, à l’autoréglementation ou à la corégulation ? Cette dernière notion « n’est pas à proprement parler une nouvelle forme de régulation », mais elle préconise une collaboration entre les acteurs du secteur public et privé. L’idée de partenariat semble retenir l’attention du gouvernement français dans sa mission d’adaptation du cadre législatif à la société de l’information, comme nous le montre le rapport Du droit et des libertés sur l’Internet remis dernièrement au Premier ministre. Par conséquent, cet article a pour objectif de dresser un tableau de la législation française, et de ses multiples rapports, applicables à la protection de la vie privée et, plus particulièrement, aux données personnelles sur le réseau des réseaux. En prenant en considération les solutions étatiques et non étatiques retenues depuis ces deux dernières décennies, nous envisagerons une étude de l’avant-projet de loi du Gouvernement visant à transposer en droit interne la Directive européenne du 24 octobre 1995 relative à la protection des données personnelles.

Utilisation de la base de données nationale d'inscription par les firmes de courtage et les régulateurs canadiens : gestion des renseignements personnels

"Mémoire présenté à la Faculté des études supérieures en vue de l'obtention du grade de Maître en droit (LL.M.)"

L'efficacité du régime de responsabilité civile comme mesure de contrainte au respect de l'obligation de sécurité des renseignements personnels.

Dans un contexte où les renseignements personnels sont aujourd’hui une « devise » commerciale importante, il importe de s’attarder à la responsabilité de leur protection. Les lois encadrant la protection des renseignements personnels imposent notamment aux entreprises du secteur privé une obligation de sécurité. Par contre, elles ne prévoient pas de sanction monétaire en cas de violation. Il faut donc se tourner vers le droit de la responsabilité civile afin de contraindre les entreprises à adopter des mesures de sécurité. Or, le régime de responsabilité civile actuel est mal adapté aux obligations associées à la sécurité des renseignements personnels. Le flou normatif entourant le contenu de l’obligation de sécurité et les difficultés d’exercice du recours rendent peu efficace le régime de responsabilité civile compensatoire. Dans un souci d’améliorer son efficacité, deux propositions méritent d’être considérées, soit : la revalorisation des dommages-intérêts punitifs et l’encadrement statutaire d’une obligation de notification des atteintes à la sécurité des renseignements personnels. Ces deux propositions sanctionnent les violations à l’obligation de sécurité là où le régime de responsabilité civile compensatoire semble échouer. Par contre, elles ne sont elles-mêmes efficaces que si leur exercice respecte les fonctions qui leur sont sous-jacentes. Au final, la responsabilité de la sécurité des renseignements personnels ne repose pas seulement sur un régime responsabilité, mais sur une culture de responsabilité.

Soft Surveillance: The Growth of Mandatory Volunteerism in Collecting Personal Information “Hey Buddy Can You Spare a DNA?”

Le développement accéléré des technologies de communication, de saisie et de traitement de l’information durant les dernières années décennies ouvre la voie à de nouveaux moyens de contrôle social. Selon l’auteur Gary Marx ceux-ci sont de nature non coercitive et permettent à des acteurs privés ou publics d’obtenir des informations personnelles sur des individus sans que ceux-ci y consentent ou mêmes sans qu’ils en soient conscients. Ces moyens de contrôle social se fondent sur certaines valeurs sociales qui sont susceptibles de modifier le comportement des individus comme le patriotisme, la notion de bon citoyen ou le volontarisme. Tout comme les moyens coercitifs, elles amènent les individus à adopter certains comportements et à divulguer des informations précises. Toutefois, ces moyens se fondent soit sur le consentement des individus, consentement qui est souvent factice et imposée, soit l’absence de connaissance du processus de contrôle par les individus. Ainsi, l’auteur illustre comment des organisations privées et publiques obtiennent des informations privilégiées sur la population sans que celle-ci en soit réellement consciente. Les partisans de tels moyens soulignent leur importance pour la sécurité et le bien publique. Le discours qui justifie leur utilisation soutient qu’ils constituent des limites nécessaires et acceptables aux droits individuels. L’emploi de telles méthodes est justifié par le concept de l’intérêt public tout en minimisant leur impact sur les droits des individus. Ainsi, ces méthodes sont plus facilement acceptées et moins susceptibles d’être contestées. Toutefois, l’auteur souligne l’importance de reconnaître qu’une méthode de contrôle empiète toujours sur les droits des individus. Ces moyens de contrôle sont progressivement intégrés à la culture et aux modes de comportement. En conséquence, ils sont plus facilement justifiables et certains groupes en font même la promotion. Cette réalité rend encore plus difficile leur encadrement afin de protéger les droits individuels. L’auteur conclut en soulignant l’important décalage moral derrière l’emploi de ces méthodes non-coercitives de contrôle social et soutient que seul le consentement éclairé des individus peut justifier leur utilisation. À ce sujet, il fait certaines propositions afin d’encadrer et de rendre plus transparente l’utilisation de ces moyens de contrôle social.

La protection de la vie privée : brève analyse de la situation italienne

L'Italie a été l'avant-dernier pays européen, suivi seulement de la Grèce, à se doter d'une loi sur la protection de la vie privée (loi du 31 décembre 1996). Paradoxalement, c'est en Italie qu'ont été écrites quelques-uns des meilleurs ouvrages sur ce sujet, notamment ceux du professeur Rodotà. En dépit du retard du législateur italien, il doit être précisé que la loi de 1996, faisant suite à la Directive communautaire relative à la protection des données personnelles, introduit un concept moderne de la vie privée, qui ne se limite pas simplement à un « right to be let alone », selon la célèbre conception de la fin du dix-neuvième siècle, mais qui se réfère plutôt à la protection de la personne humaine. Le concept de vie privée, entendu comme l’interdiction d’accéder à des informations personnelles, se transforme en un contrôle des renseignements relatifs à la personne. De cette manière, se développe une idée de la vie privée qui pose comme fondements : le droit de contrôle, de correction et d'annulation d'informations sur la personne. À cet égard, il est important de souligner le double système d’autorisation pour le traitement licite des informations. Le consentement de l'intéressé est requis pour les données personnelles. Pour les données dites « sensibles », en revanche, l'autorisation du Garant sera nécessaire en plus de l'expression du consentement de l’intéressé. En revanche, aucune autorisation n'est requise pour le traitement de données n'ayant qu'un but exclusivement personnel, ainsi que pour les données dites « anonymes », à condition qu'elles ne permettent pas d'identifier le sujet concerné. Le type de responsabilité civile prévu par la loi de 1996 se révèle particulièrement intéressant : l'article 18 prévoit l'application de l'article 2050 du Code civil italien (exercice d'activités dangereuses), alors que l'article 29 prévoit, lui, l'octroi de dommages et intérêts pour les préjudices non patrimoniaux (cette disposition est impérative, conformément à l'article 2059 du Code civil italien). Le présent article se propose d'examiner l'application des normes évoquées ci-dessus à Internet.

Investigating the Impact of Personal, Temporal and Participation Factors on Code Review Quality

La révision du code est un procédé essentiel quelque soit la maturité d'un projet; elle cherche à évaluer la contribution apportée par le code soumis par les développeurs. En principe, la révision du code améliore la qualité des changements de code (patches) avant qu'ils ne soient validés dans le repertoire maître du projet. En pratique, l'exécution de ce procédé n'exclu pas la possibilité que certains bugs passent inaperçus. Dans ce document, nous présentons une étude empirique enquétant la révision du code d'un grand projet open source. Nous investissons les relations entre les inspections des reviewers et les facteurs, sur les plans personnel et temporel, qui pourraient affecter la qualité de telles inspections.Premiérement, nous relatons une étude quantitative dans laquelle nous utilisons l'algorithme SSZ pour détecter les modifications et les changements de code favorisant la création de bogues (bug-inducing changes) que nous avons lié avec l'information contenue dans les révisions de code (code review information) extraites du systéme de traçage des erreurs (issue tracking system). Nous avons découvert que les raisons pour lesquelles les réviseurs manquent certains bogues était corrélées autant à leurs caractéristiques personnelles qu'aux propriétés techniques des corrections en cours de revue. Ensuite, nous relatons une étude qualitative invitant les développeurs de chez Mozilla à nous donner leur opinion concernant les attributs favorables à la bonne formulation d'une révision de code. Les résultats de notre sondage suggèrent que les développeurs considèrent les aspects techniques (taille de la correction, nombre de chunks et de modules) autant que les caractéristiques personnelles (l'expérience et review queue) comme des facteurs influant fortement la qualité des revues de code.

Gestionnaire de vie privée : un cadre pour la protection de la vie privée dans les interactions entre apprenants

L’évolution continue des besoins d’apprentissage vers plus d’efficacité et plus de personnalisation a favorisé l’émergence de nouveaux outils et dimensions dont l’objectif est de rendre l’apprentissage accessible à tout le monde et adapté aux contextes technologiques et sociaux. Cette évolution a donné naissance à ce que l’on appelle l'apprentissage social en ligne mettant l'accent sur l’interaction entre les apprenants. La considération de l’interaction a apporté de nombreux avantages pour l’apprenant, à savoir établir des connexions, échanger des expériences personnelles et bénéficier d’une assistance lui permettant d’améliorer son apprentissage. Cependant, la quantité d'informations personnelles que les apprenants divulguent parfois lors de ces interactions, mène, à des conséquences souvent désastreuses en matière de vie privée comme la cyberintimidation, le vol d’identité, etc. Malgré les préoccupations soulevées, la vie privée en tant que droit individuel représente une situation idéale, difficilement reconnaissable dans le contexte social d’aujourd’hui. En effet, on est passé d'une conceptualisation de la vie privée comme étant un noyau des données sensibles à protéger des pénétrations extérieures à une nouvelle vision centrée sur la négociation de la divulgation de ces données. L’enjeu pour les environnements sociaux d’apprentissage consiste donc à garantir un niveau maximal d’interaction pour les apprenants tout en préservant leurs vies privées. Au meilleur de nos connaissances, la plupart des innovations dans ces environnements ont porté sur l'élaboration des techniques d’interaction, sans aucune considération pour la vie privée, un élément portant nécessaire afin de créer un environnement favorable à l’apprentissage. Dans ce travail, nous proposons un cadre de vie privée que nous avons appelé « gestionnaire de vie privée». Plus précisément, ce gestionnaire se charge de gérer la protection des données personnelles et de la vie privée de l’apprenant durant ses interactions avec ses co-apprenants. En s’appuyant sur l’idée que l’interaction permet d’accéder à l’aide en ligne, nous analysons l’interaction comme une activité cognitive impliquant des facteurs contextuels, d’autres apprenants, et des aspects socio-émotionnels. L'objectif principal de cette thèse est donc de revoir les processus d’entraide entre les apprenants en mettant en oeuvre des outils nécessaires pour trouver un compromis entre l’interaction et la protection de la vie privée. ii Ceci a été effectué selon trois niveaux : le premier étant de considérer des aspects contextuels et sociaux de l’interaction telle que la confiance entre les apprenants et les émotions qui ont initié le besoin d’interagir. Le deuxième niveau de protection consiste à estimer les risques de cette divulgation et faciliter la décision de protection de la vie privée. Le troisième niveau de protection consiste à détecter toute divulgation de données personnelles en utilisant des techniques d’apprentissage machine et d’analyse sémantique.

La protection des données personnelles en droit international privé

Les nouvelles technologies et l’arrivée de l’Internet ont considérablement facilité les échanges transnationaux de données entre les entreprises publiques et/ou privées et également entre les personnes elles-mêmes. Cependant cette révolution numérique n’a pas été sans conséquences sur l’utilisation de nos données personnelles puisque cette abondance de données à la portée de tiers peut conduire à des atteintes : la commercialisation des données personnelles sans le consentement de l’intéressé par des entreprises ou encore la diffusion de sa photographie, de son nom, de son prénom à son insu en sont des exemples. La question qui vient alors se poser est en cas de litige, c’est-à-dire en cas d’atteintes au droit à la protection de nos données personnelles, présentant un ou des éléments d’extranéité, quels tribunaux pouvons-nous saisir ? Et quelle est la loi qui sera applicable ? Les droits québécois, de l’Union européenne, et suisse présentent différents critères de rattachement intéressants et adaptés à des situations prenant place hors et sur internet. Le droit commun de chacun de ces systèmes est envisagé, puis appliqué aux données personnelles dans le cadre d’une situation normale, et ensuite à internet si la situation diffère. La doctrine est également analysée dans la mesure où certaines solutions sont tout à fait intéressantes, et cela notamment sur internet. Un premier chapitre est consacré à la compétence internationale des tribunaux et aux critères de rattachement envisageables en droit commun à savoir notamment : le tribunal de l’État de survenance du préjudice, le tribunal de l’État de la faute ou encore le tribunal du domicile de la victime. Et ceux prévus ou non par la doctrine tels que l’accessibilité et le ciblage par exemple. Les conflits de lois sont étudiés dans un deuxième chapitre avec également l’énumération les différents facteurs de rattachement envisageables en droit commun comme la loi de l’État du préjudice, la loi de l’État de la faute ou encore la loi de l’État favorisant la victime. Et également ceux prévus par la doctrine : la loi de l’État « offrant la meilleure protection des données à caractère personnel » ou encore la loi de l’État où est établi le « maître du fichier ». Le tribunal le plus compétent au regard des principes généraux de droit international privé en cas d’atteintes au droit de la protection des données personnelles hors et sur internet est le tribunal de l’État du domicile de la victime. Et la meilleure loi applicable est la loi de l’État du domicile ou de la résidence principale du demandeur et du défendeur à l’instance, et dans le cas où la situation ne présente pas d’éléments d’extranéité, la meilleure loi est la loi favorisant la victime.

The Macroeconomic Effects of Infrequent Information with Adjustment Costs

In the last decade, the potential macroeconomic effects of intermittent large adjustments in microeconomic decision variables such as prices, investment, consumption of durables or employment – a behavior which may be justified by the presence of kinked adjustment costs – have been studied in models where economic agents continuously observe the optimal level of their decision variable. In this paper, we develop a simple model which introduces infrequent information in a kinked adjustment cost model by assuming that agents do not observe continuously the frictionless optimal level of the control variable. Periodic releases of macroeconomic statistics or dividend announcements are examples of such infrequent information arrivals. We first solve for the optimal individual decision rule, that is found to be both state and time dependent. We then develop an aggregation framework to study the macroeconomic implications of such optimal individual decision rules. Our model has the distinct characteristic that a vast number of agents tend to act together, and more so when uncertainty is large. The average effect of an aggregate shock is inversely related to its size and to aggregate uncertainty. We show that these results differ substantially from the ones obtained with full information adjustment cost models.

The Credibility and Authoritativeness of Documentary Information in Determining Refugee Status: The Canadian Experience

This article reviews the origins of the Documentation, Information and Research Branch (the 'Documentation Center') of Canada's Immigration and Refugee Board (IRB), established in 1988 as a part of a major revision of the procedure for determination of refugee status. The Documentation Center conducts research to produce documents describing conditions in refugee-producing countries, and also disseminates information from outside. The information is available to decision-makers, IRB staff, counsel and claimants. Given the importance of decisions on refugee status, the article looks at the credibility and the authoritativeness of the information, by analyzing the structure of information used. It recalls the different types of information 'package' produced, such as a country profiles and the Question and Answer Series, the Weekly Madia Review, the 'Perspectives' series, Responses to Information Requests and Country files, and considers the trend towards standardization across the country. The research process is reviewed, as are the hiring criteria for researchers, the composition of the 'collection', how acquisitions are made, and the development of databases, particularly on country of origin (human rights material) and legal information, which are accessible on-line. The author examines how documentary information can be used by decision-makers to draw conclusions as to whether the claim has a credible basis or the claimant has a well-founded fear of persecution. Relevant caselaw is available to assess and weigh the claim. The experience of Amnesty International in similar work is cited for comparative purposes. A number of 'safeguards' are mentioned, which contribute to the goal of impartiality in research, or which otherwise enhance the credibility of the information, and the author suggests that guidelines might be drafted to explain and assist in the realization of these aims. Greater resources might also enable the Center to undertake the task of 'certifying' the authoritativeness of sources. The author concludes that, as a new institution in Canadian administrative law, the Documentation Center opens interesting avenues for the future. Beacause it ensures an acceptable degree of impartiality of its research and the documents it produces, it may be a useful model for others tribunals adjudicating in fields where evidence is either difficult to gather, or is otherwise complex.