La convergence de la sécurité informatique et de la protection des renseignements personnels : vers une nouvelle approche juridique

Vincente, Ana Isabel

07 1900

Le développement exponentiel des réseaux informatiques a largement contribué à augmenter le volume des renseignements personnels disponibles et à remplacer les méthodes désuètes de collecte des renseignements par des méthodes plus rapides et plus efficaces. La vie privée et le contrôle sur les informations personnelles, telles que nous les connaissions il y a quelques décennies, sont des notions difficilement compatibles avec la société ouverte et commerciale comme la nôtre. Face à cette nouvelle réalité menaçante pour les droits et libertés de l'homme, il est essentiel de donner un cadre technique et légal stable qui garantisse un niveau de protection adéquat de ces données personnelles. Pour rester dans le marché ou bénéficier de la confiance des individus, les entreprises et les gouvernements doivent posséder une infrastructure de sécurité informatique efficace. Cette nouvelle donne a tendance à devenir plus qu'une simple règle de compétitivité, elle se transforme en une authentique obligation légale de protéger les données à caractère personnel par des mesures de sécurité adéquates et suffisantes. Ce mémoire aborde justement ces deux points: premièrement, l'étude du développement d'une obligation légale de sécurité et ensuite, l'encadrement juridique de la mise en place d'un programme de sécurisation des données personnelles par des mesures de sécurités qui respectent les standards minimaux imposés par les textes législatifs nationaux et internationaux. / The latest development in information networks largelly contributed to the increasing amount of personal data being collected by the public and private sector and the replacement of old fashioned collection methods by faster and cheaper techniques. Notions of privacy and control of personnal data are not as we used to know them a decade ago and they became somehow incompatible with an open and commercial society in which we live. Facing this new and dangerous reality to fondamental human rights and liberties, it is pressing to give a legal and technical stable framework insuring an adequate level of protection to personnal data. To keep a competitive position in the market and maintain individuals trust in the system, companies and governments must guarantee an efficent security infrastructure. If this feature was until now a strategie advantage, it has become an authentic legal obligation to protect personnal data by suffisant safeguards. The purpose of this work is essentially consider those two statements: the study of the development of a legal obligation to guarantee the security of personnal data and the legal backing for the implementation of a security policy respecting minimal standards imposed by national and international laws. / "Mémoire présenté à la Faculté des études supérieures en vue de l'obtention du grade de maîtrise en droit (LL.M.) option Nouvelles technologies de l'information"

Sécurité informatique

Renseignements personnels

Niveau de protection adéquat

Politique de sécurité

Obligation légale de sécurité

Information security

Personnal data

Adequate safeguards

Security policy

Legal obligation for security

Utilisation de la base de données nationale d'inscription par les firmes de courtage et les régulateurs canadiens : gestion des renseignements personnels

Desjardins, David

08 1900

Le présent texte a pour sujet la Base de données nationale d'inscription, système d'inscription obligatoire depuis quelques mois pour l'ensemble des firmes de courtage et des représentants en valeurs mobilières au Canada, à l'exception de ceux et celles qui n'exercent leurs activités qu'en territoire québécois. La question de la protection des renseignements personnels compris dans cette base de données y est analysée en portant une attention particulière à la pluralité des régimes de protection qui évolue au Canada. En effet, différentes règles s'appliquent selon que l'on est en présence d'un organisme public ou une entreprise du secteur privé et selon que la « transaction» est intraprovinciale ou extraprovinciale. La Base de données nationale d'inscription remplace dorénavant la procédure d'inscription sur support papier. Les documents issus de ce système informatique possèdent des caractéristiques propres et certaines règles doivent être respectées afin de leurs conférer la même valeur juridique que les documents papier. Finalement, la compilation de l'information dans cette gigantesque base de données serait futile s'il n'était pas possible d'accéder aux renseignements qui y sont contenus. Une fois les différents types d'accès définis, une comparaison sera faite avec certains systèmes d'inscription en ligne américains. La technologie bouleverse nos habitudes dans tous les secteurs de l'économie. Les finances ne sont pas en reste. Avec la Base de données nationale d'inscription, c'est tout le système d'inscription de l'industrie canadienne des valeurs mobilières qui prend un sérieux coup de jeune. Et il était temps ... / The subject of the present text concems the National Registration Database, a recent mandatory registration system designated for all brokerage firms and investment advisors across Canada, with the exception of those who exercise their activities exclusively in Quebec. The matter of protection of personal information included in this database is analyzed with an emphasis on the existence of multiple laws evolving in Canada. In fact, different mIes apply whether you are in the presence of a public body or an enterprise of the private sector and whether the "transaction" is concluded within or out of the province. The National Registration Database replaces the previous paper format registration procedure. The documents produced by this computerized system have their own particularities and certain mIes must be respected in order to maintain a legal value equal to the priOf format. Finally, the compiling of information found in this enormous database would be useless if it was not possible to access its information. Once the different types of access are determined, a comparison will be done with existing American online registration systems. It is obvious that technology has had a tremendous impact on the economy. Of course, the financial industry is affected. With the National Registration Database, the whole Canadian securities registration system has had a total makeover. It was about time... / "Mémoire présenté à la Faculté des études supérieures en vue de l'obtention du grade de Maître en droit (LL.M.)"

Accès à l'information

Base de données

Courtage

Conformité

Document

Informatique

Inscription

Renseignements personnels

Valeurs mobilières

Access to documents

Broker

Compliance

Computer

Database

Personal information

Registration

Securities

L’accountability ou le principe de responsabilité en matière de protection des renseignements personnels / Accountability in data protection

Mouchard, Emilie

08 May 2018

Entre terme anglophone et concept transversal, l’accountability pose la question du principe de responsabilité et de sa réalisation dans la protection des renseignements personnels. Résultat d’un cheminement à la fois social et législatif, l’imputabilité qui ressort du concept fait de la protection des renseignements personnels un processus à la fois collaboratif et individuel de régulation au service de la responsabilité et des risques nouveaux générés par les technologies de l’information et le déploiement des théories de la responsabilité sociale des entreprises.À la fois objectif, mécanisme et instrument d’une protection des renseignements personnels efficace et efficiente, le principe d’accountability est un principe de droit et de gestion, souvent compris par les entreprises comme une technique de management interne. La mise en action de l’accountability project, par le biais de la reconnaissance du principe par l’OCDE, a mis en lumière l’idée d’une accountability comme un standard essentiel, un mécanisme nécessaire, et un besoin de moralisation à intégrer au regard des risques engendrés par les évolutions sociales et technologiques sur le droit fondamental à la vie privée et la protection des renseignements personnels. / Between anglophone word and transversal concept, accountability ask about the responsability and the enforcement of its principle in privacy laws. Result of a social and legislative path, the imputabilité, who came throught the concept, shows privacy laws as a collaborative and individual regulation process, serving the responsability and the risks that cames with the information technologies and the achievement of the corporate social responsability.In the same time seeing as a goal, a mechanism and an instrument of an effective and efficient privacy, the accountability principle is a legal and a management principle, used by companies as an intern management technic. The realisation of the accountability project take place with the acknoledgement of the principle by the OECD, who highlight the accountability as an essential standard, a necessary mecanism and a moralization requirement according the risks that came throught social and technological evolutions on the right to privacy and its laws.

Droit à la vie privée

Imputabilité

Renseignements personnels

Données personnelles

Technologies de l'information (TIC)

Privacy

Accountability

Data protection

Corporate social responsibility (CSR)

Internet

Le statut des renseignements économiques fournis à l'administration par le secteur privé en vertu de la loi québécoise sur l'accès aux documents des organismes publics

Parisien, Serge

January 1991

Mémoire numérisé par la Direction des bibliothèques de l'Université de Montréal.

L’avènement mondial du principe de la libre circulation des données personnelles et ses dérives : de la nécessité de repenser la protection des données personnelles comme une fin en soi

Longhais, Sylvain

07 1900

Since the 1970s and the first data protection laws, the flow of personal data across borders has always been a crucial issue. In this thesis, we study how we have moved from regulations advocating the protection of personal data outside borders to regulations establishing a principle of free data circulation on a global scale. This study is based firstly on a retrospective of personal data law with regard to transborder data flows, and secondly on the fact that these legal questions are now merged with issues of international trade law. Finally, we consider the drifts of such a free flow of data at the global level, and we reflect on certain avenues of reflection in order to place data protection as an end in itself, at the center of the issues. / Depuis les années 1970 et les premières législations relatives à la protection des données personnelles, la circulation des données personnelles hors des frontières a toujours été un enjeu crucial. Dans ce mémoire nous étudions comment l’on est passé de réglementations prônant la protection des données personnelles hors des frontières à des réglementations instaurant un principe de libre circulation des données à l’échelle mondiale. Cette étude se fonde dans un premier temps sur une rétrospective du droit des données personnelles en ce qui concerne les flux transfrontières de données avant de constater dans un second temps que ces questions de droit sont désormais fondues dans des enjeux de droit du commerce international. Posant enfin les dérives d’une telle libre circulation des données au niveau mondial, nous réfléchissons à certaines pistes de réflexion afin de replacer la protection des données comme une fin en soi, au centre des enjeux.

protection des renseignements personnels

libre circulation des données

privacy

droit du commerce international

protection of personal information

free flow of data

international trade law

Law / Droit (UMI : 0398)

The challenge of industry challenges : the uneasy encounter between privacy protection and commercial expression

Miller, Danielle

09 1900

En s’inspirant de l’exemple des défis corporatifs, c’est-à-dire, des initiatives déployées par les sociétés pour rendre le marché de l’emploi plus accessible aux membres de groupes perçus comme marginalisés, ce mémoire cherche à analyser le conflit qui pourrait surgir au Québec entre le droit à la vie privé, protégé notamment par la Loi sur la protection des renseignements personnels dans le secteur privé et la Loi sur la protection des renseignements personnels et des documents électroniques et le besoin croissant de l’entreprise d’utiliser les données privées de leurs employés pour vendre leurs biens et services. Dans un premier temps, ce mémoire effectue un survol des régimes de protection de la vie privée des pays qui ont le plus influencé le droit québécois et canadien soit l’Europe, les États-Unis et le Royaume Uni en soulignant leur influence sur le régime en vigueur au Québec. Dans un second temps, il soulève les entraves que posent la LPRPS et la LPRPDE à la participation de l’entreprise aux défis corporatifs. Dans un troisième temps, il explore des pistes possibles à la fois interprétatives, législatives et contentieuses afin de rendre ces lois plus accommodantes aux besoins de l’entreprise. / This essay uses the example of Industry Challenges - a technique deployed by companies to promote the hiring and advancement of certain members of society - to explore a conflict that could arise in Quebec between the individual’s right to privacy as protected by An Act Respecting the Protection of Personal Information In the Private Sector and the Personal Information Protection and Electronic Documents Act , and that of an organisation to use personal information relating to its workforce to market itself. It briefly reviews privacy protection in jurisdictions with the greatest legal influence on Quebec and Canada: the European Union, the United States and the United Kingdom (Chapter 2). It demonstrates how a blend of these influences is reflected in the Quebec and Canadian approaches to privacy and how existing privacy legislation might prevent a company from effectively and efficiently responding to Industry Challenges (Chapter 3). Finally, the last two chapters respectively explore the interpretive and legislative amendments that could be made to PPIPS and PIPEDA to enable companies to respond to Industry Challenges (Chapter 4) as well as the possible legal action a company could take on the ground that Quebec’s privacy legislation violates its right to express itself commercially under s. 2(b) of the Canadian Charter of Rights and Freedoms (Chapter 5).

Militantisme du consommateur;

Défis corporatifs

Expression commerciale

Quebec

Vie privée

Canadian Charter of Rights and Freedoms

Commercial Expression

Consumer Activism

Industry Challenge(s)

Privacy

Quebec

La surveillance de l'utilisation d'Internet au travail : guide des droits et obligations des employeurs

Rompré, Sophie

06 1900

Tout employeur qui fournit l'accès Internet au sein de son entreprise a intérêt à surveiller l'usage qui en est fait par ses employés, que ce soit pour maximiser les avantages ou pour réduire les risques liés à l'utilisation d'Internet au travail. Tout employeur a d'ailleurs le droit d'exercer une telle surveillance, sous réserve toutefois des droits des personnes surveillées. La mise en place d'une surveillance de l'utilisation d'Internet au travail peut porter atteinte à la vie privée des employés ou à leur droit à des conditions de travail justes et raisonnables, et peut également porter atteinte au droit à la vie privée des tiers indirectement visés par la surveillance. Dans ce contexte, afin de s'assurer que la surveillance est exercée dans les limites de ses droits, l'employeur doit franchir deux étapes de réflexion essentielles. L'employeur doit en premier lieu déterminer le niveau d'expectative raisonnable de vie privée des personnes surveillées, lequel niveau s'apprécie à la lumière d'une série de facteurs. L'employeur doit par ailleurs respecter les critères de rationalité et de proportionnalité. Ces critères requièrent notamment que l'employeur identifie les motifs sous-jacents à la surveillance ainsi que la manière dont la surveillance sera exercée. Une fois ces deux étapes franchies, l'employeur sera en mesure d'identifier les obligations auxquelles il est soumis dans le cadre de la mise en place de la surveillance. / All employers providing Internet access to their employees should implement Internet monitoring in the workplace, to increase the benefits and reduce the risks related to Internet use at work. Employers have the right to implement this kind of monitoring subject, however, to the rights of employees and third parties. The implementation of Internet monitoring within the workplace can affect employees' privacy and the right to fair and reasonable conditions of employment, as well as the rights of third parties who may be indirectly subject to monitoring. In this context, the employer should go through two steps of reasoning. The employer should first determine the level of reasonable expectation of privacy of all individuals monitored, which level is assessed in the light of numerous factors. The employer must also meet the criteria of rationality and proportionality. These criteria require that the employer identifies the reasons behind monitoring, and how monitoring will be exercised. After these two steps, the employer will be able to identify the obligations to which he is submitted through the implementation of Internet monitoring.

Surveillance au travail

Internet

Vie privée

Condition de travail

Rationalité

Proportionnalité

Renseignements personnels

Obligation d'information

Consentement

Politique

Workplace monitoring

Internet

Privacy

Conditions of employment

Justification

Proportionality

Personal Information

Obligation to inform

Consent

Policy

Facebook et les dispositifs de traçabilité vus sous l’angle du droit canadien

Abdelkamel, Abdelmadjid

04 1900

Aujourd’hui, on parle du Web social. Facebook par exemple, porte bien la marque de son époque ; il est devenu le réseau social le plus convoité dans le monde. Toutefois, l’entreprise a été souvent critiquée en raison de sa politique qui porte atteinte à la vie privée des personnes. Par le truchement de ses modules sociaux, Facebook a le potentiel de collecter et d’utiliser des informations considérables sur les internautes à leur insu et sans leur consentement. Ce fait est malheureusement méconnu de la majorité d’entre eux. Certes, l’entreprise doit vivre économiquement et l’exploitation des renseignements personnels constitue pour elle une source de revenu. Toutefois, cette quête de subsistance ne doit pas se faire au détriment de la vie privée des gens. En dépit des outils juridiques dont le Canada dispose en matière de protection de la vie privée, des entreprises du Web à l’image de Facebook réussissent à les contourner. / Today we talk about the social Web. Facebook for example bears the mark of its time, as it becomes the most coveted social networking Web site in the world. However, the company has been criticized due to its policy that violates people's privacy. Through its social plugins, Facebook has the potential to collect considerable amounts of information about users without their knowledge and without their consent, a fact which is unknown to most of them. Certainly, the company must ensure its economic stability through these activities. However, this quest for subsistence should not be to the detriment of people's privacy. Canada has legal tools for the protection of privacy that allow users to deal with this kind of threat. However, Web companies such Facebook succeed to circumvent the law.

Traçabilité

Traceability

Sites de réseaux sociaux

Social networking Web sites

Facebook

Open Graph Protocol

Open Graph Protocol

Modules sociaux

Social plugins

Vie privée

Privacy

Renseignements personnels

Personal information

Principe de finalité, protection des renseignements personnels et secteur public : étude sur la gouvernance des structures en réseau

Duaso Calés, Rosario

09 1900

Thèse réalisée en cotutelle avec l'Université de Montréal et l'Université Panthéon-Assas Paris II / La question de la protection des renseignements personnels présente des enjeux majeurs dans le contexte des réseaux. Les premières lois en la matière au Canada et en Europe avaient pour base une série de principes qui sont encore aujourd’hui d’actualité. Toutefois, l’arrivée d’Internet et des structures en réseau permettant l’échange d’un nombre infini d’informations entre organismes et personnes ont changé la donne et induisent de nouveaux risques informationnels. Le principe de finalité, pierre angulaire des systèmes de protection des renseignements personnels, postule le caractère adéquat, pertinent et non excessif des informations collectées par rapport à l’objet du traitement et exige qu’elles soient uniquement utilisées à des fins compatibles avec la finalité initiale. Nous retracerons l’historique de ce principe et analyserons la manière dont la doctrine, la jurisprudence et les décisions du CPVPC comme de la CNIL ont contribué à délimiter ses contours. Nous étudierons comment ce principe se manifeste dans la structure en réseau de l’administration électronique ou du gouvernement électronique et nous relèverons les nouveautés majeures que présente l’État en réseau par rapport au modèle d’État en silo, ainsi que la nécessité d’une gouvernance adaptée à cette structure. Nous examinerons également la présence de standards juridiques et de notions à contenus variable dans le domaine de la protection des renseignements personnels et nous tenterons de montrer comment la finalité, en tant que principe ou standard, a les capacités de s’adapter aux exigences de proportionnalité, d’ajustement et de mutation continuelle qui sont aujourd’hui au cœur des défis de la gouvernance des réseaux. Finalement, il sera question de présenter quelques pistes pour l’adoption de mécanismes d’adaptation « réseautique » pour la protection des renseignements personnels et de montrer dans quelle mesure ce droit, capable de créer un cadre de protection adéquat, est également un « droit en réseau » qui possède tous les attributs du « droit post-moderne », attributs qui vont rendre possible une adaptation propre à protéger effectivement les renseignements personnels dans les structures, toujours changeantes, où circulent aujourd’hui les informations. / Personal data protection poses significant challenges in the context of networks. The first laws on this matter both in Canada and in Europe were based on a series of principles that remain valid today. Nevertheless, Internet and the development of network-based structures that enable infinite exchange of information between institutions and individuals are changing the priorities and, at the same time, present new risks related to data protection. The purpose principle, which is the personal data protection systems cornerstone, stresses the relevance and adequate yet not excessive nature of the collected information vis à vis the objective of data collection. The purpose principle also requires that the information shall not further be processed in a way incompatible with the initial purpose. We will describe the origins and evolution of this principle, as well as its present relevance and scope analysing the doctrine, jurisprudence and decisions of the Office of the Privacy Commissioner in Canada and of the Commission nationale de l’informatique et des libertés (CNIL) in France. We will also examine how this principle is reflected in the network structure of the digital administration and of the electronic government. We will also underline the differences between a network-based State and a « silo-based » State, each needing its structure of governance. Within the context of personal data protection, we will explore the presence of legal standards and of concepts with a changing nature. An effort will be made to highlight how purpose, be it as a principle or as a standard, has the capacity to adapt to the requirements of the core principles of the current network governance, such as proportionality, adjustment and continuous mutation. Finally, the objective is to reflect on some personal data protection network adaptation mechanisms, and to demonstrate how personal data protection can work in a network that includes all « post-modern law » elements that allow for true adaptation for effective personal data protection within the ever changing structures where data is being exchanged.

Protection des renseignements personnels

Vie privée

Gouvernement électronique

Internet

Standard juridique

Principe de finalité

Réseau

Gouvernance

Personal data protection

Electronic government

Privacy

Internet

Legal standard

Purpose principle

Network

Governance

Les enjeux juridiques concernant les nouveaux modèles d’affaires basés sur la commercialisation des données

Chevalier, Michael

12 1900

Cet essai est présenté en tant que mémoire de maîtrise dans le cadre du programme de droit des technologies de l’information. Ce mémoire traite de différents modèles d’affaires qui ont pour caractéristique commune de commercialiser les données dans le contexte des technologies de l’information. Les pratiques commerciales observées sont peu connues et l’un des objectifs est d’informer le lecteur quant au fonctionnement de ces pratiques. Dans le but de bien situer les enjeux, cet essai discutera d’abord des concepts théoriques de vie privée et de protection des renseignements personnels. Une fois ce survol tracé, les pratiques de « data brokerage », de « cloud computing » et des solutions « analytics » seront décortiquées. Au cours de cette description, les enjeux juridiques soulevés par chaque aspect de la pratique en question seront étudiés. Enfin, le dernier chapitre de cet essai sera réservé à deux enjeux, soit le rôle du consentement et la sécurité des données, qui ne relèvent pas d’une pratique commerciale spécifique, mais qui sont avant tout des conséquences directes de l’évolution des technologies de l’information. / This essay is submitted as part of a master's thesis in Information Technology Law. This thesis discusses different business models that have the common feature of commercializing data in the context of Information Technologies. One of the goals of this thesis is to inform the reader about the workings of the studied business practices, as they are not widely known. First, in order to situate the issues, this essay will consider the theoretical concepts of Privacy and Personal Information Protection. Once the review of Data Protection and Privacy has been established, this thesis will further explore Data Brokerage, Cloud Computing and Analytic Solutions as practices. Over the course of this description, the legal issues raised by each aspect of the aforementioned practices will be studied. Finally, the last chapter of the thesis will be dedicated to two issues that are not limited to the scope of a specific business practice, but are direct consequences of the evolution of Information Technologies: the role of Consent and Data Security.

Renseignements personnels

Vie privée

Commercialisation

Information

Analytics

Big data

Data brokerage

Infonuagique

Consentement

Sécurité

Personal information

Privacy

Commercialization

Cloud computing

Consent

Security