La surveillance de l'utilisation d'Internet au travail : guide des droits et obligations des employeurs

Rompré, Sophie

06 1900

Tout employeur qui fournit l'accès Internet au sein de son entreprise a intérêt à surveiller l'usage qui en est fait par ses employés, que ce soit pour maximiser les avantages ou pour réduire les risques liés à l'utilisation d'Internet au travail. Tout employeur a d'ailleurs le droit d'exercer une telle surveillance, sous réserve toutefois des droits des personnes surveillées. La mise en place d'une surveillance de l'utilisation d'Internet au travail peut porter atteinte à la vie privée des employés ou à leur droit à des conditions de travail justes et raisonnables, et peut également porter atteinte au droit à la vie privée des tiers indirectement visés par la surveillance. Dans ce contexte, afin de s'assurer que la surveillance est exercée dans les limites de ses droits, l'employeur doit franchir deux étapes de réflexion essentielles. L'employeur doit en premier lieu déterminer le niveau d'expectative raisonnable de vie privée des personnes surveillées, lequel niveau s'apprécie à la lumière d'une série de facteurs. L'employeur doit par ailleurs respecter les critères de rationalité et de proportionnalité. Ces critères requièrent notamment que l'employeur identifie les motifs sous-jacents à la surveillance ainsi que la manière dont la surveillance sera exercée. Une fois ces deux étapes franchies, l'employeur sera en mesure d'identifier les obligations auxquelles il est soumis dans le cadre de la mise en place de la surveillance. / All employers providing Internet access to their employees should implement Internet monitoring in the workplace, to increase the benefits and reduce the risks related to Internet use at work. Employers have the right to implement this kind of monitoring subject, however, to the rights of employees and third parties. The implementation of Internet monitoring within the workplace can affect employees' privacy and the right to fair and reasonable conditions of employment, as well as the rights of third parties who may be indirectly subject to monitoring. In this context, the employer should go through two steps of reasoning. The employer should first determine the level of reasonable expectation of privacy of all individuals monitored, which level is assessed in the light of numerous factors. The employer must also meet the criteria of rationality and proportionality. These criteria require that the employer identifies the reasons behind monitoring, and how monitoring will be exercised. After these two steps, the employer will be able to identify the obligations to which he is submitted through the implementation of Internet monitoring.

Surveillance au travail

Internet

Vie privée

Condition de travail

Rationalité

Proportionnalité

Renseignements personnels

Obligation d'information

Consentement

Politique

Workplace monitoring

Internet

Privacy

Conditions of employment

Justification

Proportionality

Personal Information

Obligation to inform

Consent

Policy

Traque-moi si je le veux : à la recherche d'un cadre juridique entourant la publicité comportementale

Jetté, Virginie

08 1900

No description available.

Publicité comportementale en ligne

Publicité ciblée

Vie privée

Protection du consommateur

Renseignements personnels

Collecte de données

Profilage

Témoins

Online behavioural advertising

Targeted advertising

Privacy

Consumer protection

Personal information

Data collection

Tracking

Profiling

Cookies

L'efficacité du régime de responsabilité civile comme mesure de contrainte au respect de l'obligation de sécurité des renseignements personnels

Lafont, Isabelle

11 1900

No description available.

Responsabilité civile

Sécurité informationnelle

Mesures de sécurité

Protection des renseignements personnels

Dommages-intérêts

Dommages-intérêts punitifs

Obligation de notification

Civil liability

Information security

Security safeguards

Protection of personal information

Damages

Punitive damages

Breach notification

L’encadrement juridique de l’exploitation des mégadonnées dans le secteur privé au Québec

Du Perron, Simon

01 1900

Les mégadonnées font partie de ces sujets dont on entend parler sans trop savoir ce qu’ils signifient précisément. Souvent associés au domaine de l’intelligence artificielle, ces volumineux ensembles de données sont à la base d’un nombre croissant de modèles d’affaires axés sur la valorisation des données numériques que nous générons au quotidien. Le présent mémoire cherche à démontrer que cette exploitation des mégadonnées par les entreprises ne s’effectue pas dans un vide juridique. Les mégadonnées ne peuvent être considérées comme un objet de droit en l’absence d’une définition formelle. Une revue de la littérature multidisciplinaire à leur sujet, invite à les concevoir comme un actif informationnel doté de cinq caractéristiques principales, soit leur volume, leur vélocité, leur variété, leur valeur et leur véracité. L’analyse de ces caractéristiques permet au juriste d’atteindre une compréhension suffisante de ce phénomène afin de l’aborder sous le prisme du droit positif. Suivant un exercice de qualification juridique, les mégadonnées émergent à la fois comme un bien meuble incorporel et comme un ensemble de documents technologiques portant divers renseignements dont certains peuvent être qualifiés de renseignements personnels. Le cadre juridique applicable à l’exploitation des mégadonnées s’articule donc autour de la protection législative de la vie privée informationnelle qui s’incarne à travers les lois en matière de protection des renseignements personnels. Cet encadrement est complété par certaines règles relatives à la gestion documentaire et au droit à l’égalité. Une manière efficace de présenter cet encadrement juridique est selon le cycle de vie des renseignements personnels au sein des mégadonnées. Ainsi, il appert que les principes issus de l’approche personnaliste et minimaliste du droit québécois à la protection des renseignements personnels s’appliquent tant bien que mal à la collecte des données numériques ainsi qu’à leur traitement par les entreprises. / Big data is one of those topics we keep hearing about without knowing exactly what it means. Often associated with the field of artificial intelligence, these large datasets are the backbone of a growing number of business models that focus on leveraging the digital data we generate on a daily basis. This Master’s thesis seeks to demonstrate that this exploitation of big data by businesses is not happening in a legal vacuum. Big data cannot be considered as an object of rights in the absence of a formal definition. A review of the multidisciplinary literature on the subject invites us to conceive them as an information asset with five main characteristics: volume, velocity, variety, value and veracity. The study of these characteristics allows the jurist to reach a sufficient understanding of the phenomenon in order to approach it through the lens of positive law. Following a legal qualification exercise, big data emerges both as intangible movable property and as a set of technological documents carrying various types of information, some of which can be qualified as personal information. The legal framework governing the exploitation of big data is therefore built around the legislative protection of informational privacy, which is embodied in privacy laws. This framework is complemented by certain rules relating to document management and the right to equality. An effective way to present this legal framework is according to the life cycle of personal information within big data. Thus, it appears that the principles stemming from the personalist and minimalist approach of Quebec's data protection law apply, albeit not without struggle, to the collection of digital data as well as their processing by businesses.

mégadonnées

données massives

intelligence artificielle

vie privée

protection des renseignements personnels

données personnelles

sécurité informationnelle

algorithmes

big data

artificial intelligence

privacy

data protection

personal information

profiling

informational security

business analytics

Les tensions entre les principes juridiques applicables aux systèmes d'intelligence artificielle en droit québécois (explicabilité, exactitude, sécurité et équité)

Aubin, Nicolas

08 1900

Le 21 septembre 2021, l’Assemblée nationale du Québec a adopté le projet de loi 64 afin de moderniser son régime de protection des renseignements personnels. S’inspirant du Règlement Général sur la Protection des Données européen, ce projet de loi renforce substantiellement les obligations des entreprises privées et des organismes publics à l’égard des renseignements personnels des Québécois. Ce projet de loi assure également le respect de certains principes juridiques applicables aux systèmes d’intelligence artificielle. Or, dans le cadre de ce mémoire, nous démontrons que des tensions existent entre quatre de ces principes. Ces principes sont : le principe d’explicabilité, le principe d’exactitude, le principe de sécurité ainsi que le principe d’équité et de non-discrimination. En effet, il est souvent difficile et parfois impossible d’assurer un respect conjoint de ces quatre principes. La présente étude se divise en trois chapitres. Le premier explore les quatre principes pour ensuite identifier les obligations légales québécoises qui permettent d’en assurer le respect. Le second expose les tensions entre ces principes. Le dernier propose une solution permettant aux entreprises et aux organismes publics québécois de réaliser les arbitrages nécessaires entre ces principes tout en respectant la Loi. / On September 21, 2021, the Quebec legislative passed Bill 64 to modernize its privacy regime. Inspired by the European General Data Protection Regulation, this bill strengthens the obligations of private companies and public bodies with respect to personal data. This bill also provides obligations protecting normative principles applicable to artificial intelligence systems. In this paper, we show that four of these principles exist in a state of tension. These principles are : explicability, accuracy, security and fairness and non-discrimination. Indeed, it is often difficult and sometimes impossible to ensure that these principles are respected together. This study is divided into three parts. The first part defines the four principles to then identifies how these principles are translated into Quebec law. The second part sets out the tensions between these principles. The last part provides a solution that would allow Quebec businesses and public bodies to make the necessary trade-offs between these principles in a matter that complies with their legal obligations.

projet de loi 64

intelligence artificielle

protection des renseignements personnels

explicabilité

exactitude

sécurité

discrimination

équité

vie privée

bill 64

artificial intelligence

data protection

accuracy

security

discrimination

fairness

privacy

impact assessment

privacy impact assessment

Law / Droit (UMI : 0398)

Publicité comportementale en ligne : analyse de la complexité et de l’encadrement juridique applicable au secteur privé au Québec et au Canada

Poirier, Isabel

04 1900

Le présent mémoire traite de la publicité comportementale en ligne (ci-après « PCL ») suite à la récente et importante vague de resserrements législatifs, des décisions judiciaires et enquêtes du CPVP, ainsi qu’aux récentes modifications technologiques impactant les pratiques de PCL. À la manière d’un guide, il y est recensé, décrit et analysées les obligations des entreprises participants à la PCL sous l’angle du droit à la vie privée et à la protection des renseignements personnels. Les enjeux et les principales zones d’ombre problématiques y sont identifiés et analysés, tel le critère de nécessité, l’exigence d’anonymisation et l’obligation de consentement, en incluant les enseignements des récentes décisions et enquêtes du CPVP. Une comparaison avec le cadre règlementaire de l’Union européenne est proposée sur certains points jugés plus pertinents. Le présent mémoire inclut une réflexion non seulement sur les obligations clés et leur évolution récente et rapide au Québec et au Canada dans un contexte de resserrement à l’international, mais également sur la PCL en soi en émettant des questionnements et des pistes de réflexion pour l’amélioration des pratiques. Ainsi, ce mémoire contient un volet pratique prononcé et un volet théorique qui se nourrissent l’un de l’autre. La partie I est un état des lieux où sont mises en lumière la complexité factuelle et juridique entourant la PCL, incluant une observation et une réflexion sur les interactions entre les différents acteurs (organisations, organismes d’autoréglementation, autorités de contrôle) et leur rôle dans la création et l’évolution des normes formelles et informelles. La partie II est consacrée à l’analyse des principales obligations incombant aux entreprises du secteur privé participant à la PCL en vertu de la LPRPDE et du Projet de loi C-27 au fédéral ainsi que des récentes modifications apportées par la Loi 25 au Québec en matière de protection des renseignements personnels. Finalement, la partie III propose une analyse de l’exercice de contrôle de l’utilisateur et des limites du consentement. / This master’s thesis is about online behavioral advertising (hereafter “OBA”). Like a guide, it lists, describes and analyzes the obligations of companies participating in the OBA from the perspective of the right to privacy and the protection of personal information. The issues and the main problematic gray areas are identified and analyzed, such as the criterion of necessity, the requirement of anonymization and the obligation of consent, including the lessons of recent decisions and investigations by the OPC. A comparison with the regulatory framework of the European Union is proposed on certain points deemed more relevant. This thesis includes a reflection not only on the key obligations and their recent and rapid evolution in Quebec and Canada in a context of international tightening, but also on the OBA itself by raising questions and lines of thought for improving practices. Thus, this dissertation contains a pronounced practical component and a theoretical component which feed off each other. Part I is an inventory highlighting the factual and legal complexity surrounding the OBA, including an observation and reflection on the interactions between the different actors (organizations, self-regulatory bodies, supervisory authorities) and their role in the creation and evolution of formal and informal norms. Part II is devoted to the analysis of the main obligations incumbent on private sector companies participating in the OBA under PIPEDA and draft law C-27 at the federal level and Bill 25 in Quebec with regards to the protection of personal information. Finally, Part III analyzes the exercise of user control and the limits of consent.

Publicité comportementale en ligne

Ciblage publicitaire

Droit à la vie privée

Protection des renseignements personnels

Online behavioral advertising

Interest-based advertising

Targeted advertising

Privacy

Protection of personal information

Information technology law

Law / Droit (UMI : 0398)

La protection du droit à la vie privée à l’ère de l’intelligence artificielle

Blouin, Noémie

04 1900

Dans plusieurs juridictions comme le Québec, la vie privée est considérée comme un droit humain fondamental. Toutefois, la portée de ce droit est complexe et elle varie en fonction de plusieurs facteurs, notamment sociaux et technologiques. Ainsi, au cours des dernières décennies, le concept de vie privée a connu d’importants changements, notamment avec l’avènement d’Internet, qui rejoint désormais des milliards d’utilisateurs à travers le globe. Avec la convergence des nouvelles technologies, les organisations privées et publiques détiennent de plus en plus d’information sur les individus. Il est désormais possible de suivre tous les déplacements, les comportements et les préférences d’une personne, bien souvent à son insu. L’intelligence artificielle, qui se nourrit de ces données, a pour sa part conduit à de nouvelles façons d’analyser rapidement des masses d’information sous diverses formes et même d’inférer de nouveaux renseignements encore plus sensibles. Ainsi, les données massives et les puissantes capacités de corrélation des outils d’intelligence artificielle remettent en cause la frontière entre la vie privée et la vie publique. L’objectif de ce mémoire est donc d’abord de comprendre l’incidence que l’intelligence artificielle peut avoir sur la vie privée. Il s’agira ensuite d’exposer les raisons pour lesquelles nous sommes d’avis que le modèle de protection privilégié par le législateur québécois, basé sur la protection des renseignements personnels, s’avère insuffisant pour protéger la vie privée au sens large du terme. Puis, nous analyserons les avenues législatives potentielles afin de garantir la protection de ce droit. / In several jurisdictions such as Quebec, privacy is considered a fundamental human right. However, the scope of this right is complex and varies according to several factors, including social and technological ones. Thus, in recent decades, the concept of privacy has undergone significant changes, particularly with the advent of the Internet, which now reaches billions of users across the globe. With the convergence of new technologies, private and public organizations hold more and more information about individuals. It is now possible to follow all the movements, behaviors and preferences of a person, often without this person’s knowledge. Artificial intelligence, which feeds on data, has for its part led to new ways of rapidly analyzing masses of information in various forms and even inferring new, even more sensitive information. Thus, massive data and the powerful correlation capabilities of artificial intelligence tools challenge the boundary between private life and public life. Therefore, this thesis aims to understand the impact that artificial intelligence can have on privacy. We will then present the reasons why, in our opinion, the protection model favored by the Quebec legislator, based on the protection of personal information, is insufficient to protect privacy in the broad sense of the term. Finally, we will analyze the potential legislative avenues to guarantee the protection of this right.

Vie privée

Intelligence artificielle

Nouvelles technologies

Données massives

Renseignements personnels

Protection

Surveillance

Cadre normatif

Privacy

Artificial intelligence

New technologies

Big data

Personal information

Surveillance

Protection

Normative framework

Redefining personal information in the context of the Internet

Gratton, Eloïse

10 1900

Réalisée en cotutelle avec l'Université de Panthéon-Assas (Paris II) / Vers la fin des années soixante, face à l’importance grandissante de l’utilisation des ordinateurs par les organisations, une définition englobante de la notion de donnée personnelle a été incorporée dans les lois en matière de protection de données personnelles (« LPDPs »). Avec Internet et la circulation accrue de nouvelles données (adresse IP, données de géolocalisation, etc.), il y a lieu de s’interroger quant à l’adéquation entre cette définition et cette réalité. Aussi, si la notion de donnée personnelle, définie comme étant « une donnée concernant un individu identifiable » est toujours applicable à un tel contexte révolutionnaire, il n’en demeure pas moins qu’il importe de trouver des principes interprétatifs qui puissent intégrer ces changements factuels. La présente thèse vise à proposer une interprétation tenant compte de l’objectif recherché par les LPDPs, à savoir protéger les individus contre les risques de dommage découlant de la collecte, de l’utilisation ou de la divulgation de leurs données. Alors que la collecte et la divulgation des données entraîneront surtout un risque de dommage de nature subjective (la collecte, un sentiment d’être sous observation et la divulgation, un sentiment d’embarras et d’humiliation), l’utilisation de ces données causera davantage un dommage objectif (dommage de nature financière, physique ou discriminatoire). La thèse propose plusieurs critères qui devraient être pris en compte pour évaluer ce risque de dommage ; elle servira de guide afin de déterminer quelles données doivent être qualifiées de personnelles, et fera en sorte que les LPDPs soient le plus efficaces possibles dans un contexte de développements technologiques grandissants. / In the late sixties, with the growing use of computers by organizations, a very broad definition of personal information as “information about an identifiable individual” was elaborated and has been incorporated in data protection laws (“DPLs”). In more recent days, with the Internet and the circulation of new types of information (IP addresses, location information, etc), the efficiency of this definition may be challenged. This thesis aims at proposing a new way of interpreting personal information. Instead of using a literal interpretation, an interpretation which takes into account the purpose behind DPLs will be proposed, in order to ensure that DPLs do what they are supposed to do: address or avoid the risk of harm to individuals triggered by organizations handling their personal information. While the collection or disclosure of information may trigger a more subjective kind of harm (the collection, a feeling of being observed and the disclosure, embarrassment and humiliation), the use of information will trigger a more objective kind of harm (financial, physical, discrimination, etc.). Various criteria useful in order to evaluate this risk of harm will be proposed. The thesis aims at providing a guide that may be used in order to determine whether certain information should qualify as personal information. It will provide for a useful framework under which DPLs remain efficient in light of modern technologies and the Internet.

Définition

Renseignement personnel

Donnée personnelle

Protection

Vie privée

Risque de dommage

Interprétation

Definition

Personal information

Personal Data

Data protection

Privacy

Internet

Risk of harm

Interpretation

Purpose of data protection laws

Principe de finalité, protection des renseignements personnels et secteur public : étude sur la gouvernance des structures en réseau / Purpose principle, personal data protection and public sector : study on network-based structures governance

Duaso Calés, Rosario

14 October 2011

La question de la protection des renseignements personnels présente des enjeux majeurs dans le contexte des réseaux. Les premières lois en la matière au Canada et en Europe avaient pour base une série de principes qui sont encore aujourd’hui d’actualité. Toutefois, l’arrivée d’Internet et des structures en réseau permettant l’échange d’un nombre infini d’informations entre organismes et personnes ont changé la donne et induisent de nouveaux risques informationnels. Le principe de finalité, pierre angulaire des systèmes de protection des renseignements personnels, postule le caractère adéquat, pertinent et non excessif des informations collectées par rapport à l’objet du traitement et exige qu’elles soient uniquement utilisées à des fins compatibles avec la finalité initiale. Nous retracerons l’historique de ce principe et analyserons la manière dont la doctrine, la jurisprudence et les décisions du CPVPC comme de la CNIL ont contribué à délimiter ses contours. Nous étudierons comment ce principe se manifeste dans la structure en réseau de l’administration électronique ou du gouvernement électronique et nous relèverons les nouveautés majeures que présente l’État en réseau par rapport au modèle d’État en silo, ainsi que la nécessité d’une gouvernance adaptée à cette structure. Nous examinerons également la présence de standards juridiques et de notions à contenus variable dans le domaine de la protection des renseignements personnels et nous tenterons de montrer comment la finalité, en tant que principe ou standard, a les capacités de s’adapter aux exigences de proportionnalité, d’ajustement et de mutation continuelle qui sont aujourd’hui au coeur des défis de la gouvernance des réseaux. Finalement, il sera question de présenter quelques pistes pour l’adoption de mécanismes d’adaptation « réseautique » pour la protection des renseignements personnels et de montrer dans quelle mesure ce droit, capable de créer un cadre de protection adéquat, est également un « droit en réseau » qui possède tous les attributs du « droit post-moderne », attributs qui vont rendre possible une adaptation propre à protéger effectivement les renseignements personnels dans les structures, toujours changeantes, où circulent aujourd’hui les informations. / Personal data protection poses significant challenges in the context of networks. The first laws on this matter both in Canada and in Europe were based on a series of principles that remain valid today. Nevertheless, Internet and the development of network-based structures that enable infinite exchange of information between institutions and individuals are changing the priorities and, at the same time, present new risks related to data protection. The purpose principle,which is the personal data protection systems cornerstone, stresses the relevance and adequate yet not excessive nature of the collected information vis à vis the objective of data collection. The purpose principle also requires that the information shall not further be processed in a way incompatible with the initial purpose. We will describe the origins and evolution of this principle, as well as its present relevance and scope analysing the doctrine, jurisprudence and decisions of theOffice of the Privacy Commissioner in Canada and of the Commission nationale de l’informatique et des libertés (CNIL) in France. We will also examine how this principle is reflected in the network structure of the digital administration and of the electronic government. We will also underline the differences between a network based State and a « silo-based » State, each needing its structure of governance. Within the context of personal data protection, we will explore the presence of legal standards and of concepts with a changing nature. An effort will be made to highlight how purpose, be it as a principle or as a standard, has the capacity to adapt to the requirements of the core principles of the current network governance, such as proportionality, adjustment and continuous mutation. Finally, the objective is to reflect on some personal data protection network adaptation mechanisms, and to demonstrate how personal data protection can work in a network that includes all« post-modern law » elements that allow for true adaptation for effective personal data protection within the ever changing structures where data is being exchanged.

Protection des renseignements personnels

Vie privée

Gouvernement électronique

Internet

Standard juridique

Principe de finalité

Réseau

Gouvernance

France

Canada

Personal data protection

Privacy

Electronic government

Internet

Legal standard

Purpose principle

Network

Governance

France

Canada

L'accountability ou le principe de responsabilité en matière de protection des renseignements personnels

Mouchard, Emilie

05 1900

Entre terme anglophone et concept transversal, l’accountability pose la question du principe de responsabilité et de sa réalisation dans la protection des renseignements personnels. Résultat d’un cheminement à la fois social et législatif, l’imputabilité qui ressort du concept fait de la protection des renseignements personnels un processus à la fois collaboratif et individuel de régulation au service de la responsabilité et des risques nouveaux générés par les technologies de l’information et le déploiement des théories de la responsabilité sociale des entreprises. À la fois objectif, mécanisme et instrument d’une protection des renseignements personnels efficace et efficiente, le principe d’accountability est un principe de droit et de gestion, souvent compris par les entreprises comme une technique de management interne. La mise en action de l’accountability project, par le biais de la reconnaissance du principe par l’OCDE, a mis en lumière l’idée d’une accountability comme un standard essentiel, un mécanisme nécessaire, et un besoin de moralisation à intégrer au regard des risques engendrés par les évolutions sociales et technologiques sur le droit fondamental à la vie privée et la protection des renseignements personnels. / Between anglophone word and transversal concept, accountability ask about the responsability and the enforcement of its principle in privacy laws. Result of a social and legislative path, the imputabilité, who came throught the concept, shows privacy laws as a collaborative and individual regulation process, serving the responsability and the risks that cames with the information technologies and the achievement of the corporate social responsability. In the same time seeing as a goal, a mechanism and an instrument of an effective and efficient privacy, the accountability principle is a legal and a management principle, used by companies as an intern management technic. The realisation of the accountability project take place with the acknoledgement of the principle by the OECD, who highlight the accountability as an essential standard, a necessary mecanism and a moralization requirement according the risks that came throught social and technological evolutions on the right to privacy and its laws.

Vie privée

Imputabilité

Renseignements personnels

Données personnelles

Technologies de l'information (TIC)

Privacy

Accountability

Data protection

Corporate social responsibility (CSR)

RGPD

GDPR