La vie privée sur Internet

 

Au premier abord, la législation sur le droit à la vie privée peut sembler accablante, mais elle découle du bon sens. En assimilant convenablement les principes d’information équitable, vous serez mieux en mesure de mettre sur pied une politique de confidentialité adéquate. De plus, si vous retenez les conseils légaux appropriés, vos activités commerciales en ligne devraient pouvoir se faire avec le minimum de difficultés.

Introduction

Le droit à la vie privée est souvent défini comme le droit d’un individu à ne pas être importuné ou à ne pas voir des renseignements personnels recueillis ou utilisés ou dévoilés sans son consentement.

Ces dernières années, le droit à la vie privée est devenu un sujet brûlant. Les gouvernements du monde entier ont réagi en promulguant de nouvelles lois pour faire face aux dangers réels ou perçus découlant des technologies numériques et informatisées ainsi que la possibilité de traiter et d’organiser des données de manières innovatrices.

Étant donné la possibilité, non seulement de recueillir des renseignements personnels à l’insu des individus mais aussi de les diffuser partout dans le monde, le droit à la vie privée sur le Web est devenu une préoccupation majeure. La majorité des gens s’accordent à reconnaître que les renseignements personnels (définis comme les renseignements concernant l’identité d’une personne) sont vulnérables et qu’il est nécessaire d’instituer des moyens légaux ou autres pour garantir la vie privée des individus

Ce qui est intéressant, c’est que le droit à la vie privée ne s’applique qu’aux individus et non aux sociétés ou autres organismes. Les sociétés peuvent néanmoins avoir des droits, par exemple celui de la confidentialité des informations, découlant d’une entente de confidentialité ou d’un contrat d’embauche.

Importance de l’OCDE et de la législation Européenne

Au début des années 1980, l’Organisation de coopération et de développement économique, comprenant 30 pays en faveur de la démocratie et de la libre économie de marché, a réagi à l’utilisation croissante des ordinateurs et des bases de données en publiant des lignes directrices sur la protection de la vie privée à l’usage des organisations. Pour plus de renseignements, rendez-vous sur www.oecd.org.

Au cours des années 90, l’Union européenne a mis au point et a publié un Guide sur la protection des données (appelé Protection des données) visant à protéger les renseignements personnels des ressortissants européens. Une des dispositions de ce Guide interdit aux organismes européens d’échanger des renseignements personnels avec les organismes d’autres pays, à moins que lesdits pays n’aient eux-mêmes promulgué des lois garantissant le droit des individus à la vie privée. Vous pouvez consulter ce Guide à l’adresse Internet suivante : europa.eu.int/comm/internal_market/privacy/index_fr.htm.

Les 10 principes de la LPRPDÉ

En partie pour faire suite aux directives européennes, le Canada a promulgué la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ), qui est entrée en vigueur progressivement à partir de 2001. Au 1^er janvier 2004, étape finale, la LPRPDÉ s’applique à toutes les activités commerciales des organisations canadiennes, tant provinciales qu’internationales. « Organisation » fait référence non seulement aux sociétés et corporations mais aussi à vous en tant qu’individu si vous êtes engagé dans des activités commerciales.

La LPRPDÉ prévoit que certains organismes dans certaines provinces peuvent être exempts des dispositions contenues dans la Loi si ces provinces ont promulgué des lois substantiellement similaires à la LPRPDÉ. A ce jour, la Colombie-Britannique, l’Alberta et le Québec ont agi en conséquence et le gouvernement fédéral les a exemptés de l’application de la LPRPDÉ. Ceci ne s’applique néanmoins qu’aux activités à l’intérieur de ces provinces ; les activités hors des frontières provinciales peuvent toujours être couvertes par la LPRPDÉ. De la même manière, les organismes sous réglementation fédérale tels que les banques, les compagnies aériennes et de télécommunications ont toujours été et continuent d’être assujetties à la LPRPDÉ.

Les dispositions cadres de la CAN/CSA (Association canadienne de normalisation), comportant dix « principes de traitement de l’information » sont incorporées dans la LPRPDÉ. Ces dix principes peuvent se résumer comme suit :

1. Responsabilité – Les organisations doivent désigner une ou plusieurs personnes qui devront s’assurer du respect de la LPRPDÉ. Leurs coordonnées doivent également être accessibles au public. Ces personnes sont légalement responsables de la protection de tous les renseignements personnels détenus par l’organisation ou tout renseignement susceptible d’être communiqué à une tierce partie. Une telle responsabilité ne doit pas être prise à la légère. Votre « Agent responsable de la protection de la vie privée », une appellation générale pour le poste de cette personne, devrait également détenir l’autorité nécessaire pour remplir ses fonctions et ses obligations.
   
    
2. Détermination des fins de la collecte de renseignements – Au moment de la collecte et avant la collecte de renseignements personnels, les organisations doivent identifier les raisons pour lesquelles ceux-ci sont recueillis, ainsi que les fins d’utilisation et de diffusion desdits renseignements. Ceci veut dire identifier clairement les processus commerciaux en cause ainsi que leurs buts. Vous devriez les mettre par écrit, de sorte qu’ils soient transparents.
   
    
3. Consentement – La loi autorise quelques exceptions. Cependant, à moins qu’une exception soit applicable, le consentement individuel doit être obtenu avant et au moment de la collecte, et une autre fois si une nouvelle utilisation des renseignements personnels est envisagée. Ceci s’applique aux situations dans lesquelles les renseignements concernant un individu sont obtenus d’une tierce partie ou directement de l’individu lui-même. Dans certains cas, il est possible d’utiliser un mécanisme d’option de non-participation permettant de présumer le consentement à moins que la personne ne le refuse expressément, mais vous devriez prendre garde avant de faire appel à de telles méthodes.
   
    
4. Limitation de la collecte – Les renseignements personnels ne peuvent être recueillis que dans la mesure où ils sont nécessaires pour les fins déclarées et identifiées. Vous ne pouvez pas recueillir plus de renseignements que nécessaires.
   
    
5. Limitations de l’utilisation, de la communication et de la conservation – Les organisations doivent prévoir des lignes directrices et des procédures touchant l’utilisation, la conservation et la communication de renseignements personnels. L’utilisation, la conservation et la communication de renseignements personnels doivent également être limitées aux fins déclarées. Ceci veut dire que si vous ne pouvez pas justifier une pratique ou une procédure en particulier, vous ne devriez pas l’entreprendre.
   
    
6. Exactitude – Les organisations sont tenues de faire tous les efforts nécessaires pour éliminer la possibilité d’utiliser des renseignements personnels inexacts ou périmés. Vos renseignements devraient être récents, surtout si vous les utilisez pour prendre des décisions portant à conséquence.
   
    
7. Mesures de sécurité – Des mesures adéquates de sécurité doivent être instaurées pour prévenir la perte ou le vol, l’accès non autorisé, la divulgation, la reproduction, l’utilisation, la destruction ou la modification de renseignements personnels. Celles-ci comprennent non seulement la sécurité du réseau pour préserver l’intégrité des données contre l’intrusion des pirates informaticiens ou autres menaces du même type mais aussi la sécurité physique telle que des portes verrouillées et l’accès limité aux individus concernés.
   
    
8. Transparence – Les organisations doivent rédiger des politiques, procédures et pratiques de confidentialité, lesquelles doivent être aisément compréhensibles et accessibles au public.
   
    
9. Accès aux renseignements personnels – Règle générale, les individus doivent avoir accès sur demande à tout renseignement personnel, en votre possession ou sous votre contrôle, les concernant. Vous pouvez cependant refuser l’accès à certains renseignements tels que certaines informations confidentielles, et à d’autres dont la loi interdit la divulgation tels que les renseignements personnels concernant une autre personne.
   
    
10. Possibilité de porter plainte à l’égard du non-respect des principes – Les organisations doivent prévoir des procédures de plainte simples et accessibles. Elles doivent faire enquête sur toutes les plaintes reçues et, lorsque la plainte s’avère valide, apporter les changements nécessaires aux pratiques et politiques de traitement des informations.

Si vous comprenez ces principes, vous avez déjà acquis une bonne connaissance de la Loi sur la protection de la vie privée. Pour plus de renseignements, vous pouvez vous rendre sur le site Web du Commissaire à la protection de la vie privée du Canada au www.privcom.gc.ca.

Il est également très important de se rappeler que la législation sur le droit à la vie privée ne s’applique pas uniquement aux activités commerciales en ligne ; elle s’applique tout aussi bien à tout document sur papier et aux classeurs de rangement.

Législation provinciale

Plusieurs provinces au Canada ont promulgué leurs propres lois touchant le droit à la vie privée.

• En fait, le Québec a promulgué en 1994 la première législation en Amérique du Nord sur le droit à la vie privée.
• L’Alberta et la Colombie-Britannique ont adopté des lois similaires intitulées Personal Information Protection Act, ou PIPA.
• Bien qu’organisées différemment, les stipulations contenues dans ces lois sont très similaires à celles de la LPRPDÉ.
• De plus, la Colombie-Britannique, la Saskatchewan, le Manitoba et le Québec ont adopté des lois qui font de l’intrusion dans la vie privée un délit civil. Un délit civil est un délit qui donne le droit d’intenter un procès pour dommages et intérêts. Dans ces quatre provinces, par conséquent, une personne dont le droit à la vie privée a été enfreint peut intenter une poursuite en dommages et intérêts.

Bien que ceci n’ait jamais été testé dans une cour de justice, le Code criminel du Canada prévoit également qu’intercepter et lire le courrier électronique ou observer les habitudes de navigation sur le Web, de vos employé(e)s par exemple, et placer une table d’écoute illégale peuvent constituer des activités criminelles, à moins d’obtenir le consentement d’au moins une des parties en cause ou une ordonnance de la cour.

Législations dans les autres pays

Vous devez bien comprendre que même si vous n’êtes pas physiquement présent, vous ne pouvez pas ignorer la législation des autres pays. Ceci est un domaine légal complexe. Vous devriez cependant garder à l’esprit que :

• De graves infractions à la législation d’un autre pays peuvent autoriser ce pays à demander votre arrestation au Canada et votre déportation (c’est-à-dire que vous êtes exilée dans ce pays pour répondre aux accusations).
• Les parties en cause dans l’autre pays peuvent être en mesure de vous poursuivre ici, au Canada, pour dommages et intérêts.
• Dans certains cas, les cours canadiennes peuvent reconnaître et appliquer les jugements de cour d’un autre pays.

Enjeux en ligne

En plus de la manière dont la législation sur le droit à la vie privée est appliquée dans le « vrai » monde, certains éléments ne peuvent pas être omis quand il s’agit de l’Internet et du cybercommerce.

Politiques de confidentialité sur les sites Web

Vous devez bien comprendre comment votre site Web répond aux exigences de la loi sur le droit à la vie privée.

• Si vous recueillez des renseignements personnels sur votre site Web, que ce soit en demandant le nom, le numéro de téléphone, l’adresse électronique, l’adresse postale, etc., vous devez prévoir une politique adéquate et légale respectant la législation sur le droit à la vie privée et l’afficher visiblement sur votre site Web.
• Si vous utilisez des mouchards électroniques ou toute autre méthode similaire d’identification des visiteurs, selon la manière dont vous le faites, vous devez quand même élaborer et afficher une politique.
• En fonction des circonstances, le profilage en ligne peut nécessiter le consentement des individus.

N’oubliez pas que les visiteurs aux sites Web cherchent à connaître les politiques de confidentialité et sans elle, vous risquez de perdre des clients potentiels. Une politique ou un avis de confidentialité convenablement rédigé réduira non seulement le potentiel de poursuite légale, mais jouera aussi un rôle dans votre stratégie de mise en marché, vous permettant d’attirer et de conserver des clients qui, à défaut, ne seraient pas incités à faire affaire avec vous.

Quoi que vous fassiez, ne créez pas une politique que vous ne respecterez pas scrupuleusement. Ce serait vous exposer à des problèmes non seulement légaux mais touchant aussi à votre réputation et à votre bonne foi.

Il est par conséquent important, une fois affichée, de ne pas laisser cette politique dormante. Elle devrait être révisée régulièrement afin de déterminer si oui ou non elle est toujours pertinente et si elle doit être revue dans le cadre de vos buts et objectifs commerciaux.

Projet de Plateforme pour les Préférences Privées (P3P)

Pour terminer, n’oubliez pas les autres enjeux de la vie privée ou les problèmes techniques qui peuvent vous coûter des clients et de l’argent. Par exemple, P3P ou le Projet de Plateforme pour les Préférences Privées, permet maintenant aux sites Web d’encoder leurs pratiques de confidentialité d’une manière pouvant être « lue » par certains navigateurs, tels que les versions récentes de Internet Explorer. Le navigateur d’un visiteur de votre site peut de la sorte rejeter votre configuration ; il ou elle pourra recevoir un message d’erreur ou de dépassement de temps. Il ou elle pourra ne pas comprendre pourquoi son accès est maintenant impossible et vous ne saurez pas pourquoi vous avez perdu ce client.

Sommaire

Au premier abord, la législation sur le droit à la vie privée peut sembler accablante, mais elle découle du bon sens. En assimilant convenablement les principes d’information équitable, vous serez mieux en mesure de mettre sur pied une politique de confidentialité adéquate. De plus, si vous retenez les conseils légaux appropriés, vos activités commerciales en ligne devraient pouvoir se faire avec le minimum de difficultés.

Ressources

• Association des banquiers canadiens - Mêlez-vous de vos affaires électroniques
  www.cba.ca
  
   
• ebiz.facile - Protection des renseignements personnels
  strategis.ic.gc.ca/epic/internet/inee-ef.nsf/fr/h_ee00237f.html
  
   
• Online Privacy Alliance
  www.privacyalliance.org
  
   
• Organisation de coopération et de développement économique
  www.oecd.org
  
   
• Privacy.org
  www.privacy.org
  
   
• Commissariat à la protection de la vie privée du Canada
  www.privcom.gc.ca

(Ce guide a été préparé par le Centre du cyberfutur de l’Alberta)

DÉCLARATION DE NON-RESPONSABILITÉ
Les informations contenues dans ce document sont d'ordre général uniquement et ne constituent pas des conseils spécifiques concernant une situation déterminée. Les utilisateurs ayant des doutes au sujet de la fiabilité de l'information fournie devraient en consulter directement la source ou demander un conseil juridique.

Politique des hyperliens
Certains hyperliens mènent à des sites d'organismes non fédéraux qui ne sont pas assujettis aux dispositions de la Loi sur les langues officielles; dans ces circonstances, la documentation n'est disponible que dans une langue.