La protection de la vie privée sur le Web avec P3P : l'arrimage incertain du technique et du juridique

La protection des renseignements personnels est au cœur des préoccupations de tous les acteurs du Web, commerçants ou internautes. Si pour les uns trop de règles en la matière pourraient freiner le développement du commerce électronique, pour les autres un encadrement des pratiques est essentiel à la protection de leur vie privée. Même si les motivations de chacun sont divergentes, le règlement de cette question apparaît comme une étape essentielle dans le développement du réseau. Le Platform for Privacy Preference (P3P) propose de contribuer à ce règlement par un protocole technique permettant la négociation automatique, entre l’ordinateur de l’internaute et celui du site qu’il visite, d’une entente qui encadrera les échanges de renseignements. Son application pose de nombreuses questions, dont celle de sa capacité à apporter une solution acceptable à tous et surtout, celle du respect des lois existantes. La longue et difficile élaboration du protocole, ses dilutions successives et sa mise en vigueur partielle témoignent de la difficulté de la tâche à accomplir et des résistances qu’il rencontre. La première phase du projet se limite ainsi à l’encodage des politiques de vie privée des sites et à leur traduction en termes accessibles par les systèmes des usagers. Dans une deuxième phase, P3P devrait prendre en charge la négociation et la conclusion d’ententes devant lier juridiquement les parties. Cette tâche s’avère plus ardue, tant sous l’angle juridique que sous celui de son adaptation aux us et coutumes du Web. La consolidation des fonctions mises en place dans la première version apparaît fournir une solution moins risquée et plus profitable en écartant la possible conclusion d’ententes incertaines fondées sur une technique encore imparfaite. Mieux éclairer le consentement des internautes à la transmission de leurs données personnelles par la normalisation des politiques de vie privée pourrait être en effet une solution plus simple et efficace à court terme.

La protection des données personnelles en France

La notion de vie privée, et plus précisément le droit à la protection des renseignements personnels, est reconnue aussi bien dans les textes provinciaux, régionaux, nationaux et internationaux, que dans les politiques mises en place par les sites Web. Il est admis que toutes informations identifiant ou permettant d’identifier une personne peut porter atteinte à sa vie privée, à savoir son nom, prénom, numéro de téléphone, de carte bancaire, de sécurité sociale, ou encore ses adresses électronique et Internet. Cette protection, admise dans le monde réel, doit aussi exister sur les inforoutes, étant entendu que « l ’informatique (…) ne doit porter atteinte ni à l ’identité humaine, ni aux droits de l ’homme, ni à la vie privée, ni aux libertés individuelles ou publiques » (art. 1er de la Loi française dite « Informatique et Libertés » du 6 janvier 1978). Ce principe étant admis, il est pertinent de s’interroger sur les moyens envisagés pour parvenir à le réaliser. Faut-il avoir recours à la réglementation étatique, à l’autoréglementation ou à la corégulation ? Cette dernière notion « n’est pas à proprement parler une nouvelle forme de régulation », mais elle préconise une collaboration entre les acteurs du secteur public et privé. L’idée de partenariat semble retenir l’attention du gouvernement français dans sa mission d’adaptation du cadre législatif à la société de l’information, comme nous le montre le rapport Du droit et des libertés sur l’Internet remis dernièrement au Premier ministre. Par conséquent, cet article a pour objectif de dresser un tableau de la législation française, et de ses multiples rapports, applicables à la protection de la vie privée et, plus particulièrement, aux données personnelles sur le réseau des réseaux. En prenant en considération les solutions étatiques et non étatiques retenues depuis ces deux dernières décennies, nous envisagerons une étude de l’avant-projet de loi du Gouvernement visant à transposer en droit interne la Directive européenne du 24 octobre 1995 relative à la protection des données personnelles.

Direito a ser esquecido na internet

With the recent technological development, we have been witnessing a progressive loss of control over our personal information. Whether it is the speed in which it spreads over the internet or the permanent storage of information on cloud services, the means by which our personal information escapes our control are vast. Inevitably, this situation allowed serious violations of personal rights. The necessity to reform the European policy for protection of personal information is emerging, in order to adapt to the technological era we live in. Granting individuals the ability to delete their personal information, mainly the information which is available on the Internet, is the best solution for those whose rights have been violated. However, once supposedly deleted from the website the information is still shown in search engines. In this context, “the right to be forgotten in the internet” is invoked. Its implementation will result in the possibility for any person to delete and stop its personal information from being spread through the internet in any way, especially through search engines directories. This way we will have a more comprehensive control over our personal information in two ways: firstly, by allowing individuals to completely delete their information from any website and cloud service and secondly by limiting access of search engines to the information. This way, it could be said that a new and catchier term has been found for an “old” right.

Utilisation de la base de données nationale d'inscription par les firmes de courtage et les régulateurs canadiens : gestion des renseignements personnels

"Mémoire présenté à la Faculté des études supérieures en vue de l'obtention du grade de Maître en droit (LL.M.)"

L'efficacité du régime de responsabilité civile comme mesure de contrainte au respect de l'obligation de sécurité des renseignements personnels.

Dans un contexte où les renseignements personnels sont aujourd’hui une « devise » commerciale importante, il importe de s’attarder à la responsabilité de leur protection. Les lois encadrant la protection des renseignements personnels imposent notamment aux entreprises du secteur privé une obligation de sécurité. Par contre, elles ne prévoient pas de sanction monétaire en cas de violation. Il faut donc se tourner vers le droit de la responsabilité civile afin de contraindre les entreprises à adopter des mesures de sécurité. Or, le régime de responsabilité civile actuel est mal adapté aux obligations associées à la sécurité des renseignements personnels. Le flou normatif entourant le contenu de l’obligation de sécurité et les difficultés d’exercice du recours rendent peu efficace le régime de responsabilité civile compensatoire. Dans un souci d’améliorer son efficacité, deux propositions méritent d’être considérées, soit : la revalorisation des dommages-intérêts punitifs et l’encadrement statutaire d’une obligation de notification des atteintes à la sécurité des renseignements personnels. Ces deux propositions sanctionnent les violations à l’obligation de sécurité là où le régime de responsabilité civile compensatoire semble échouer. Par contre, elles ne sont elles-mêmes efficaces que si leur exercice respecte les fonctions qui leur sont sous-jacentes. Au final, la responsabilité de la sécurité des renseignements personnels ne repose pas seulement sur un régime responsabilité, mais sur une culture de responsabilité.

Acesso à informação e intimidade : um dilema do Estado Democrático de Direito

Dissertação (mestrado)—Universidade de Brasília, Faculdade de Direito, Programa de Pós-Graduação em Direito, 2016.

Openness and privacy in Ontario: an evaluation of the implementation of FIPPA : (The Freedom of Information and Protection of Privacy Act, 1987, Chapter 25 and Ontario Regulation 532/87) /

Since the early 1970's, Canadians have expressed many concerns about the growth of government and its impact on their daily lives. The public has requested increased access to government documents and improved protection of the personal information which is held in government files and data banks. At the same time, both academics and practitioners in the field of public administration have become more interested in the values that public servants bring to their decisions and recommendations. Certain administrative values, such as accountability and integrity, have taken on greater relative importance. The purpose of this thesis is to examine the implementation of Ontario's access and privacy law. It centres on the question of whether or not the Freedom of Information and Protection of Privacy Act, 1987, (FIPPA) has answered the demand for open access to government while at the same time protecting the personal privacy of individual citizens. It also assesses the extent to which this relatively new piece of legislation has made a difference to the people of Ontario. The thesis presents an overview of the issues of freedom of information and protection of privacy in Ontario. It begins with the evolution of the legislation and a description of the law itself. It focuses on the structures and processes which have been established to meet the procedural and administrative demands of the Act. These structures and processes are evaluated in two ways. First, the thesis evaluates how open the Ontario government has become and, second, it determines how Ill carefully the privacy rights of individuals are safeguarded. An analytical framework of administrative values is used to evaluate the overall performance of the government in these two areas. The conclusion is drawn that, overall, the Ontario government has effectively implemented the Freedom of Information and Protection of Privacy Act, particularly by providing access to most government-held documents. The protection of individual privacy has proved to be not only more difficult to achieve, but more difficult to evaluate. However, the administrative culture of the Ontario bureaucracy is shown to be committed to ensuring that the access and privacy rights of citizens are respected.

The Ontario Municipal Freedom of Information and Protection of Individual Privacy Act: an analysis of its application to school boards

In Canada freedom of information must be viewed in the context of governing -- how do you deal with an abundance of information while balancing a diversity of competing interests? How can you ensure people are informed enough to participate in crucial decision-making, yet willing enough to let some administrative matters be dealt with in camera without their involvement in every detail. In an age when taxpayers' coalition groups are on the rise, and the government is encouraging the establishment of Parent Council groups for schools, the issues and challenges presented by access to information and protection of privacy legislation are real ones. The province of Ontario's decision to extend freedom of information legislation to local governments does not ensure, or equate to, full public disclosure of all facts or necessarily guarantee complete public comprehension of an issue. The mere fact that local governments, like school boards, decide to collect, assemble or record some information and not to collect other information implies that a prior decision was made by "someone" on what was important to record or keep. That in itself means that not all the facts are going to be disclosed, regardless of the presence of legislation. The resulting lack of information can lead to public mistrust and lack of confidence in those who govern. This is completely contrary to the spirit of the legislation which was to provide interested members of the community with facts so that values like political accountability and trust could be ensured and meaningful criticism and input obtained on matters affecting the whole community. This thesis first reviews the historical reasons for adopting freedom of information legislation, reasons which are rooted in our parliamentary system of government. However, the same reasoning for enacting such legislation cannot be applied carte blanche to the municipal level of government in Ontario, or - ii - more specifially to the programs, policies or operations of a school board. The purpose of this thesis is to examine whether the Municipal Freedom of Information and Protection of Privacy Act, 1989 (MFIPPA) was a neccessary step to ensure greater openness from school boards. Based on a review of the Orders made by the Office of the Information and Privacy Commissioner/Ontario, it also assesses how successfully freedom of information legislation has been implemented at the municipal level of government. The Orders provide an opportunity to review what problems school boards have encountered, and what guidance the Commissioner has offered. Reference is made to a value framework as an administrative tool in critically analyzing the suitability of MFIPPA to school boards. The conclusion is drawn that MFIPPA appears to have inhibited rather than facilitated openness in local government. This may be attributed to several factors inclusive of the general uncertainty, confusion and discretion in interpreting various provisions and exemptions in the Act. Some of the uncertainty is due to the fact that an insufficient number of school board staff are familiar with the Act. The complexity of the Act and its legalistic procedures have over-formalized the processes of exchanging information. In addition there appears to be a concern among municipal officials that granting any access to information may be violating personal privacy rights of others. These concerns translate into indecision and extreme caution in responding to inquiries. The result is delay in responding to information requests and lack of uniformity in the responses given. However, the mandatory review of the legislation does afford an opportunity to address some of these problems and to make this complex Act more suitable for application to school boards. In order for the Act to function more efficiently and effectively legislative changes must be made to MFIPPA. It is important that the recommendations for improving the Act be adopted before the government extends this legislation to any other public entities.

Privacy invasive geo-mashups : privacy 2.0 and the limits of first generation information privacy laws

Online technological advances are pioneering the wider distribution of geospatial information for general mapping purposes. The use of popular web-based applications, such as Google Maps, is ensuring that mapping based applications are becoming commonplace amongst Internet users which has facilitated the rapid growth of geo-mashups. These user generated creations enable Internet users to aggregate and publish information over specific geographical points. This article identifies privacy invasive geo-mashups that involve the unauthorized use of personal information, the inadvertent disclosure of personal information and invasion of privacy issues. Building on Zittrain’s Privacy 2.0, the author contends that first generation information privacy laws, founded on the notions of fair information practices or information privacy principles, may have a limited impact regarding the resolution of privacy problems arising from privacy invasive geo-mashups. Principally because geo-mashups have different patterns of personal information provision, collection, storage and use that reflect fundamental changes in the Web 2.0 environment. The author concludes by recommending embedded technical and social solutions to minimize the risks arising from privacy invasive geo-mashups that could lead to the establishment of guidelines for the general protection of privacy in geo-mashups.

Soft Surveillance: The Growth of Mandatory Volunteerism in Collecting Personal Information “Hey Buddy Can You Spare a DNA?”

Le développement accéléré des technologies de communication, de saisie et de traitement de l’information durant les dernières années décennies ouvre la voie à de nouveaux moyens de contrôle social. Selon l’auteur Gary Marx ceux-ci sont de nature non coercitive et permettent à des acteurs privés ou publics d’obtenir des informations personnelles sur des individus sans que ceux-ci y consentent ou mêmes sans qu’ils en soient conscients. Ces moyens de contrôle social se fondent sur certaines valeurs sociales qui sont susceptibles de modifier le comportement des individus comme le patriotisme, la notion de bon citoyen ou le volontarisme. Tout comme les moyens coercitifs, elles amènent les individus à adopter certains comportements et à divulguer des informations précises. Toutefois, ces moyens se fondent soit sur le consentement des individus, consentement qui est souvent factice et imposée, soit l’absence de connaissance du processus de contrôle par les individus. Ainsi, l’auteur illustre comment des organisations privées et publiques obtiennent des informations privilégiées sur la population sans que celle-ci en soit réellement consciente. Les partisans de tels moyens soulignent leur importance pour la sécurité et le bien publique. Le discours qui justifie leur utilisation soutient qu’ils constituent des limites nécessaires et acceptables aux droits individuels. L’emploi de telles méthodes est justifié par le concept de l’intérêt public tout en minimisant leur impact sur les droits des individus. Ainsi, ces méthodes sont plus facilement acceptées et moins susceptibles d’être contestées. Toutefois, l’auteur souligne l’importance de reconnaître qu’une méthode de contrôle empiète toujours sur les droits des individus. Ces moyens de contrôle sont progressivement intégrés à la culture et aux modes de comportement. En conséquence, ils sont plus facilement justifiables et certains groupes en font même la promotion. Cette réalité rend encore plus difficile leur encadrement afin de protéger les droits individuels. L’auteur conclut en soulignant l’important décalage moral derrière l’emploi de ces méthodes non-coercitives de contrôle social et soutient que seul le consentement éclairé des individus peut justifier leur utilisation. À ce sujet, il fait certaines propositions afin d’encadrer et de rendre plus transparente l’utilisation de ces moyens de contrôle social.