La protection des données de bien-être face aux objets connectés du secteur privé

Radman, Elisa

08 May 2023

Titre de l'écran-titre (visionné le 2 mai 2023) / Les objets connectés sont des technologies massivement appréciées par notre société. Souvent utilisés à des fins de loisirs, ils permettent aux personnes de mesurer et d'évaluer leurs capacités physiques, mentales et la qualité de leur mode vie de façon autonome. Les données collectées par ces technologies sont multiples et sont relatives au corps humain de la personne, comme le nombre de pas, le nombre de calories brûlées ou encore, le nombre d'heures de sommeil. Seulement, bien que révélatrices d'informations sur la santé des personnes, ce type de données n'est pas considéré par les législations européennes et canadiennes comme des données de santé, mais plutôt comme de simples données à caractère personnel. La doctrine leur attribue le nom de « donnée de bien-être », notion inexistante en droit positif. Néanmoins, apparaît depuis plusieurs années des discussions autour de la protection des données de bien-être. Doivent-elles être considérées comme des données de santé ? Sont-elles voisines de celles-ci ? Le régime de protection actuel est-il efficace ? L'objectif de ce mémoire est de se pencher sur ces questions et de trouver de nouvelles solutions à la protection des données de bien-être au regard du danger qu'elles représentent sur la vie privée des individus.

The challenge of industry challenges : the uneasy encounter between privacy protection and commercial expression

Miller, Danielle

09 1900

En s’inspirant de l’exemple des défis corporatifs, c’est-à-dire, des initiatives déployées par les sociétés pour rendre le marché de l’emploi plus accessible aux membres de groupes perçus comme marginalisés, ce mémoire cherche à analyser le conflit qui pourrait surgir au Québec entre le droit à la vie privé, protégé notamment par la Loi sur la protection des renseignements personnels dans le secteur privé et la Loi sur la protection des renseignements personnels et des documents électroniques et le besoin croissant de l’entreprise d’utiliser les données privées de leurs employés pour vendre leurs biens et services. Dans un premier temps, ce mémoire effectue un survol des régimes de protection de la vie privée des pays qui ont le plus influencé le droit québécois et canadien soit l’Europe, les États-Unis et le Royaume Uni en soulignant leur influence sur le régime en vigueur au Québec. Dans un second temps, il soulève les entraves que posent la LPRPS et la LPRPDE à la participation de l’entreprise aux défis corporatifs. Dans un troisième temps, il explore des pistes possibles à la fois interprétatives, législatives et contentieuses afin de rendre ces lois plus accommodantes aux besoins de l’entreprise. / This essay uses the example of Industry Challenges - a technique deployed by companies to promote the hiring and advancement of certain members of society - to explore a conflict that could arise in Quebec between the individual’s right to privacy as protected by An Act Respecting the Protection of Personal Information In the Private Sector and the Personal Information Protection and Electronic Documents Act , and that of an organisation to use personal information relating to its workforce to market itself. It briefly reviews privacy protection in jurisdictions with the greatest legal influence on Quebec and Canada: the European Union, the United States and the United Kingdom (Chapter 2). It demonstrates how a blend of these influences is reflected in the Quebec and Canadian approaches to privacy and how existing privacy legislation might prevent a company from effectively and efficiently responding to Industry Challenges (Chapter 3). Finally, the last two chapters respectively explore the interpretive and legislative amendments that could be made to PPIPS and PIPEDA to enable companies to respond to Industry Challenges (Chapter 4) as well as the possible legal action a company could take on the ground that Quebec’s privacy legislation violates its right to express itself commercially under s. 2(b) of the Canadian Charter of Rights and Freedoms (Chapter 5).

Militantisme du consommateur;

Défis corporatifs

Expression commerciale

Quebec

Vie privée

Canadian Charter of Rights and Freedoms

Commercial Expression

Consumer Activism

Industry Challenge(s)

Privacy

Quebec

La surveillance de l'utilisation d'Internet au travail : guide des droits et obligations des employeurs

Rompré, Sophie

06 1900

Tout employeur qui fournit l'accès Internet au sein de son entreprise a intérêt à surveiller l'usage qui en est fait par ses employés, que ce soit pour maximiser les avantages ou pour réduire les risques liés à l'utilisation d'Internet au travail. Tout employeur a d'ailleurs le droit d'exercer une telle surveillance, sous réserve toutefois des droits des personnes surveillées. La mise en place d'une surveillance de l'utilisation d'Internet au travail peut porter atteinte à la vie privée des employés ou à leur droit à des conditions de travail justes et raisonnables, et peut également porter atteinte au droit à la vie privée des tiers indirectement visés par la surveillance. Dans ce contexte, afin de s'assurer que la surveillance est exercée dans les limites de ses droits, l'employeur doit franchir deux étapes de réflexion essentielles. L'employeur doit en premier lieu déterminer le niveau d'expectative raisonnable de vie privée des personnes surveillées, lequel niveau s'apprécie à la lumière d'une série de facteurs. L'employeur doit par ailleurs respecter les critères de rationalité et de proportionnalité. Ces critères requièrent notamment que l'employeur identifie les motifs sous-jacents à la surveillance ainsi que la manière dont la surveillance sera exercée. Une fois ces deux étapes franchies, l'employeur sera en mesure d'identifier les obligations auxquelles il est soumis dans le cadre de la mise en place de la surveillance. / All employers providing Internet access to their employees should implement Internet monitoring in the workplace, to increase the benefits and reduce the risks related to Internet use at work. Employers have the right to implement this kind of monitoring subject, however, to the rights of employees and third parties. The implementation of Internet monitoring within the workplace can affect employees' privacy and the right to fair and reasonable conditions of employment, as well as the rights of third parties who may be indirectly subject to monitoring. In this context, the employer should go through two steps of reasoning. The employer should first determine the level of reasonable expectation of privacy of all individuals monitored, which level is assessed in the light of numerous factors. The employer must also meet the criteria of rationality and proportionality. These criteria require that the employer identifies the reasons behind monitoring, and how monitoring will be exercised. After these two steps, the employer will be able to identify the obligations to which he is submitted through the implementation of Internet monitoring.

Surveillance au travail

Internet

Vie privée

Condition de travail

Rationalité

Proportionnalité

Renseignements personnels

Obligation d'information

Consentement

Politique

Workplace monitoring

Internet

Privacy

Conditions of employment

Justification

Proportionality

Personal Information

Obligation to inform

Consent

Policy

Facebook et les dispositifs de traçabilité vus sous l’angle du droit canadien

Abdelkamel, Abdelmadjid

04 1900

Aujourd’hui, on parle du Web social. Facebook par exemple, porte bien la marque de son époque ; il est devenu le réseau social le plus convoité dans le monde. Toutefois, l’entreprise a été souvent critiquée en raison de sa politique qui porte atteinte à la vie privée des personnes. Par le truchement de ses modules sociaux, Facebook a le potentiel de collecter et d’utiliser des informations considérables sur les internautes à leur insu et sans leur consentement. Ce fait est malheureusement méconnu de la majorité d’entre eux. Certes, l’entreprise doit vivre économiquement et l’exploitation des renseignements personnels constitue pour elle une source de revenu. Toutefois, cette quête de subsistance ne doit pas se faire au détriment de la vie privée des gens. En dépit des outils juridiques dont le Canada dispose en matière de protection de la vie privée, des entreprises du Web à l’image de Facebook réussissent à les contourner. / Today we talk about the social Web. Facebook for example bears the mark of its time, as it becomes the most coveted social networking Web site in the world. However, the company has been criticized due to its policy that violates people's privacy. Through its social plugins, Facebook has the potential to collect considerable amounts of information about users without their knowledge and without their consent, a fact which is unknown to most of them. Certainly, the company must ensure its economic stability through these activities. However, this quest for subsistence should not be to the detriment of people's privacy. Canada has legal tools for the protection of privacy that allow users to deal with this kind of threat. However, Web companies such Facebook succeed to circumvent the law.

Traçabilité

Traceability

Sites de réseaux sociaux

Social networking Web sites

Facebook

Open Graph Protocol

Open Graph Protocol

Modules sociaux

Social plugins

Vie privée

Privacy

Renseignements personnels

Personal information

Principe de finalité, protection des renseignements personnels et secteur public : étude sur la gouvernance des structures en réseau

Duaso Calés, Rosario

09 1900

Thèse réalisée en cotutelle avec l'Université de Montréal et l'Université Panthéon-Assas Paris II / La question de la protection des renseignements personnels présente des enjeux majeurs dans le contexte des réseaux. Les premières lois en la matière au Canada et en Europe avaient pour base une série de principes qui sont encore aujourd’hui d’actualité. Toutefois, l’arrivée d’Internet et des structures en réseau permettant l’échange d’un nombre infini d’informations entre organismes et personnes ont changé la donne et induisent de nouveaux risques informationnels. Le principe de finalité, pierre angulaire des systèmes de protection des renseignements personnels, postule le caractère adéquat, pertinent et non excessif des informations collectées par rapport à l’objet du traitement et exige qu’elles soient uniquement utilisées à des fins compatibles avec la finalité initiale. Nous retracerons l’historique de ce principe et analyserons la manière dont la doctrine, la jurisprudence et les décisions du CPVPC comme de la CNIL ont contribué à délimiter ses contours. Nous étudierons comment ce principe se manifeste dans la structure en réseau de l’administration électronique ou du gouvernement électronique et nous relèverons les nouveautés majeures que présente l’État en réseau par rapport au modèle d’État en silo, ainsi que la nécessité d’une gouvernance adaptée à cette structure. Nous examinerons également la présence de standards juridiques et de notions à contenus variable dans le domaine de la protection des renseignements personnels et nous tenterons de montrer comment la finalité, en tant que principe ou standard, a les capacités de s’adapter aux exigences de proportionnalité, d’ajustement et de mutation continuelle qui sont aujourd’hui au cœur des défis de la gouvernance des réseaux. Finalement, il sera question de présenter quelques pistes pour l’adoption de mécanismes d’adaptation « réseautique » pour la protection des renseignements personnels et de montrer dans quelle mesure ce droit, capable de créer un cadre de protection adéquat, est également un « droit en réseau » qui possède tous les attributs du « droit post-moderne », attributs qui vont rendre possible une adaptation propre à protéger effectivement les renseignements personnels dans les structures, toujours changeantes, où circulent aujourd’hui les informations. / Personal data protection poses significant challenges in the context of networks. The first laws on this matter both in Canada and in Europe were based on a series of principles that remain valid today. Nevertheless, Internet and the development of network-based structures that enable infinite exchange of information between institutions and individuals are changing the priorities and, at the same time, present new risks related to data protection. The purpose principle, which is the personal data protection systems cornerstone, stresses the relevance and adequate yet not excessive nature of the collected information vis à vis the objective of data collection. The purpose principle also requires that the information shall not further be processed in a way incompatible with the initial purpose. We will describe the origins and evolution of this principle, as well as its present relevance and scope analysing the doctrine, jurisprudence and decisions of the Office of the Privacy Commissioner in Canada and of the Commission nationale de l’informatique et des libertés (CNIL) in France. We will also examine how this principle is reflected in the network structure of the digital administration and of the electronic government. We will also underline the differences between a network-based State and a « silo-based » State, each needing its structure of governance. Within the context of personal data protection, we will explore the presence of legal standards and of concepts with a changing nature. An effort will be made to highlight how purpose, be it as a principle or as a standard, has the capacity to adapt to the requirements of the core principles of the current network governance, such as proportionality, adjustment and continuous mutation. Finally, the objective is to reflect on some personal data protection network adaptation mechanisms, and to demonstrate how personal data protection can work in a network that includes all « post-modern law » elements that allow for true adaptation for effective personal data protection within the ever changing structures where data is being exchanged.

Protection des renseignements personnels

Vie privée

Gouvernement électronique

Internet

Standard juridique

Principe de finalité

Réseau

Gouvernance

Personal data protection

Electronic government

Privacy

Internet

Legal standard

Purpose principle

Network

Governance

Les enjeux juridiques concernant les nouveaux modèles d’affaires basés sur la commercialisation des données

Chevalier, Michael

12 1900

Cet essai est présenté en tant que mémoire de maîtrise dans le cadre du programme de droit des technologies de l’information. Ce mémoire traite de différents modèles d’affaires qui ont pour caractéristique commune de commercialiser les données dans le contexte des technologies de l’information. Les pratiques commerciales observées sont peu connues et l’un des objectifs est d’informer le lecteur quant au fonctionnement de ces pratiques. Dans le but de bien situer les enjeux, cet essai discutera d’abord des concepts théoriques de vie privée et de protection des renseignements personnels. Une fois ce survol tracé, les pratiques de « data brokerage », de « cloud computing » et des solutions « analytics » seront décortiquées. Au cours de cette description, les enjeux juridiques soulevés par chaque aspect de la pratique en question seront étudiés. Enfin, le dernier chapitre de cet essai sera réservé à deux enjeux, soit le rôle du consentement et la sécurité des données, qui ne relèvent pas d’une pratique commerciale spécifique, mais qui sont avant tout des conséquences directes de l’évolution des technologies de l’information. / This essay is submitted as part of a master's thesis in Information Technology Law. This thesis discusses different business models that have the common feature of commercializing data in the context of Information Technologies. One of the goals of this thesis is to inform the reader about the workings of the studied business practices, as they are not widely known. First, in order to situate the issues, this essay will consider the theoretical concepts of Privacy and Personal Information Protection. Once the review of Data Protection and Privacy has been established, this thesis will further explore Data Brokerage, Cloud Computing and Analytic Solutions as practices. Over the course of this description, the legal issues raised by each aspect of the aforementioned practices will be studied. Finally, the last chapter of the thesis will be dedicated to two issues that are not limited to the scope of a specific business practice, but are direct consequences of the evolution of Information Technologies: the role of Consent and Data Security.

Renseignements personnels

Vie privée

Commercialisation

Information

Analytics

Big data

Data brokerage

Infonuagique

Consentement

Sécurité

Personal information

Privacy

Commercialization

Cloud computing

Consent

Security

Redéfinir la notion de donnée personnelle dans le contexte des nouvelles technologies de l'Internet / Redefining Personal Information in the Context of the Internet

Gratton, Eloïse

30 October 2012

Vers la fin des années soixante, face à l’importance grandissante de l’utilisation des ordinateurs par les organisations, une définition englobante de la notion de donnée personnelle a été incorporée dans les lois en matière de protection de données personnelles (« LPDPs »). Avec Internet et la circulation accrue de nouvelles données (adresse IP, données de géolocalisation, etc.), il y a lieu de s’interroger quant à l’adéquation entre cette définition et cette réalité. Aussi, si la notion de donnée personnelle, définie comme étant « une donnée concernant un individu identifiable » est toujours applicable à un tel contexte révolutionnaire, il n’en demeure pas moins qu’il importe de trouver des principes interprétatifs qui puissent intégrer ces changements factuels. La présente thèse vise à proposer une interprétation tenant compte de l’objectif recherché par les LPDPs, à savoir protéger les individus contre les risques de dommage découlant de la collecte, de l’utilisation ou de la divulgation de leurs données. Alors que la collecte et la divulgation des données entraîneront surtout un risque de dommage de nature subjective (la collecte, un sentiment d’être sous observation et la divulgation, un sentiment d’embarras et d’humiliation), l’utilisation de ces données causera davantage un dommage objectif (dommage de nature financière, physique ou discriminatoire). La thèse propose plusieurs critères qui devraient être pris en compte pour évaluer ce risque de dommage ; elle servira de guide afin de déterminer quelles données doivent être qualifiées de personnelles, et fera en sorte que les LPDPs soient le plus efficaces possibles dans un contexte de développements technologiques grandissants. / In the late sixties, with the growing use of computers by organizations, a very broad definition of personal information as “information about an identifiable individual” was elaborated and has been incorporated in data protection laws (“DPLs”). In more recent days, with the Internet and the circulation of new types of information (IP addresses, location information, etc), the efficiency of this definition may be challenged. This thesis aims at proposing a new way of interpreting personal information. Instead of using a literal interpretation, an interpretation which takes into account the purpose behind DPLs will be proposed, in order to ensure that DPLs do what they are supposed to do: address or avoid the risk of harm to individuals triggered by organizations handling their personal information. While the collection or disclosure of information may trigger a more subjective kind of harm (the collection, a feeling of being observed and the disclosure, embarrassment and humiliation), the use of information will trigger a more objective kind of harm (financial, physical, discrimination, etc.). Various criteria useful in order to evaluate this risk of harm will be proposed. The thesis aims at providing a guide that may be used in order to determine whether certain information should qualify as personal information. It will provide for a useful framework under which DPLs remain efficient in light of modern technologies and the Internet.

Renseignements personnels

Données personnelles

Protection

Vie privée

Internet

Risque de dommage

Interprétation

Definition of personal information

Data protection

Privacy

Internet

Risk of harm

Purpose of data protection laws

Interprétation

Facebook et les dispositifs de traçabilité vus sous l’angle du droit canadien

Abdelkamel, Abdelmadjid

04 1900

Aujourd’hui, on parle du Web social. Facebook par exemple, porte bien la marque de son époque ; il est devenu le réseau social le plus convoité dans le monde. Toutefois, l’entreprise a été souvent critiquée en raison de sa politique qui porte atteinte à la vie privée des personnes. Par le truchement de ses modules sociaux, Facebook a le potentiel de collecter et d’utiliser des informations considérables sur les internautes à leur insu et sans leur consentement. Ce fait est malheureusement méconnu de la majorité d’entre eux. Certes, l’entreprise doit vivre économiquement et l’exploitation des renseignements personnels constitue pour elle une source de revenu. Toutefois, cette quête de subsistance ne doit pas se faire au détriment de la vie privée des gens. En dépit des outils juridiques dont le Canada dispose en matière de protection de la vie privée, des entreprises du Web à l’image de Facebook réussissent à les contourner. / Today we talk about the social Web. Facebook for example bears the mark of its time, as it becomes the most coveted social networking Web site in the world. However, the company has been criticized due to its policy that violates people's privacy. Through its social plugins, Facebook has the potential to collect considerable amounts of information about users without their knowledge and without their consent, a fact which is unknown to most of them. Certainly, the company must ensure its economic stability through these activities. However, this quest for subsistence should not be to the detriment of people's privacy. Canada has legal tools for the protection of privacy that allow users to deal with this kind of threat. However, Web companies such Facebook succeed to circumvent the law.

Traçabilité

Traceability

Sites de réseaux sociaux

Social networking Web sites

Facebook

Open Graph Protocol

Open Graph Protocol

Modules sociaux

Social plugins

Vie privée

Privacy

Renseignements personnels

Personal information

La surveillance de l'utilisation d'Internet au travail : guide des droits et obligations des employeurs

Rompré, Sophie

06 1900

Tout employeur qui fournit l'accès Internet au sein de son entreprise a intérêt à surveiller l'usage qui en est fait par ses employés, que ce soit pour maximiser les avantages ou pour réduire les risques liés à l'utilisation d'Internet au travail. Tout employeur a d'ailleurs le droit d'exercer une telle surveillance, sous réserve toutefois des droits des personnes surveillées. La mise en place d'une surveillance de l'utilisation d'Internet au travail peut porter atteinte à la vie privée des employés ou à leur droit à des conditions de travail justes et raisonnables, et peut également porter atteinte au droit à la vie privée des tiers indirectement visés par la surveillance. Dans ce contexte, afin de s'assurer que la surveillance est exercée dans les limites de ses droits, l'employeur doit franchir deux étapes de réflexion essentielles. L'employeur doit en premier lieu déterminer le niveau d'expectative raisonnable de vie privée des personnes surveillées, lequel niveau s'apprécie à la lumière d'une série de facteurs. L'employeur doit par ailleurs respecter les critères de rationalité et de proportionnalité. Ces critères requièrent notamment que l'employeur identifie les motifs sous-jacents à la surveillance ainsi que la manière dont la surveillance sera exercée. Une fois ces deux étapes franchies, l'employeur sera en mesure d'identifier les obligations auxquelles il est soumis dans le cadre de la mise en place de la surveillance. / All employers providing Internet access to their employees should implement Internet monitoring in the workplace, to increase the benefits and reduce the risks related to Internet use at work. Employers have the right to implement this kind of monitoring subject, however, to the rights of employees and third parties. The implementation of Internet monitoring within the workplace can affect employees' privacy and the right to fair and reasonable conditions of employment, as well as the rights of third parties who may be indirectly subject to monitoring. In this context, the employer should go through two steps of reasoning. The employer should first determine the level of reasonable expectation of privacy of all individuals monitored, which level is assessed in the light of numerous factors. The employer must also meet the criteria of rationality and proportionality. These criteria require that the employer identifies the reasons behind monitoring, and how monitoring will be exercised. After these two steps, the employer will be able to identify the obligations to which he is submitted through the implementation of Internet monitoring.

Surveillance au travail

Internet

Vie privée

Condition de travail

Rationalité

Proportionnalité

Renseignements personnels

Obligation d'information

Consentement

Politique

Workplace monitoring

Internet

Privacy

Conditions of employment

Justification

Proportionality

Personal Information

Obligation to inform

Consent

Policy

Traque-moi si je le veux : à la recherche d'un cadre juridique entourant la publicité comportementale

Jetté, Virginie

08 1900

No description available.

Publicité comportementale en ligne

Publicité ciblée

Vie privée

Protection du consommateur

Renseignements personnels

Collecte de données

Profilage

Témoins

Online behavioural advertising

Targeted advertising

Privacy

Consumer protection

Personal information

Data collection

Tracking

Profiling

Cookies