L'industrie de l'omniscience : le profilage comportemental et le droit à la vie privée au Canada

Cormier, Eric

08 February 2012

La collecte et l’agrégation des renseignements personnels par des organisations du secteur privé représentent une menace grandissante pour la vie privée des citoyens canadiens. Bien que les pratiques de profilage à des fins commerciales soient en pleine émergence depuis l’arrivée d’Internet, le Canada dispose tout de même de mesures législatives servant à limiter leur impact sur la vie privée des individus. Cependant, certaines organisations parviennent néanmoins à contourner ces mesures législatives par l’entremise d’ententes contractuelles auxquelles adhèrent les utilisateurs d’Internet. Il est donc indispensable que les lois en matière de protection des renseignements personnels soient modernisées afin de minimiser les impacts du profilage en ligne. À cet effet, certaines leçons peuvent être tirées de l’approche européenne en matière de protection des renseignements personnels collectés à partir d’Internet et d’autres technologies d’information et de communication.

droit et technologies

droit

vie privée

Internet

profilage comportemental

renseignement personnel

L'industrie de l'omniscience : le profilage comportemental et le droit à la vie privée au Canada

Cormier, Eric

08 February 2012

La collecte et l’agrégation des renseignements personnels par des organisations du secteur privé représentent une menace grandissante pour la vie privée des citoyens canadiens. Bien que les pratiques de profilage à des fins commerciales soient en pleine émergence depuis l’arrivée d’Internet, le Canada dispose tout de même de mesures législatives servant à limiter leur impact sur la vie privée des individus. Cependant, certaines organisations parviennent néanmoins à contourner ces mesures législatives par l’entremise d’ententes contractuelles auxquelles adhèrent les utilisateurs d’Internet. Il est donc indispensable que les lois en matière de protection des renseignements personnels soient modernisées afin de minimiser les impacts du profilage en ligne. À cet effet, certaines leçons peuvent être tirées de l’approche européenne en matière de protection des renseignements personnels collectés à partir d’Internet et d’autres technologies d’information et de communication.

droit et technologies

droit

vie privée

Internet

profilage comportemental

renseignement personnel

L'industrie de l'omniscience : le profilage comportemental et le droit à la vie privée au Canada

Cormier, Eric

08 February 2012

La collecte et l’agrégation des renseignements personnels par des organisations du secteur privé représentent une menace grandissante pour la vie privée des citoyens canadiens. Bien que les pratiques de profilage à des fins commerciales soient en pleine émergence depuis l’arrivée d’Internet, le Canada dispose tout de même de mesures législatives servant à limiter leur impact sur la vie privée des individus. Cependant, certaines organisations parviennent néanmoins à contourner ces mesures législatives par l’entremise d’ententes contractuelles auxquelles adhèrent les utilisateurs d’Internet. Il est donc indispensable que les lois en matière de protection des renseignements personnels soient modernisées afin de minimiser les impacts du profilage en ligne. À cet effet, certaines leçons peuvent être tirées de l’approche européenne en matière de protection des renseignements personnels collectés à partir d’Internet et d’autres technologies d’information et de communication.

droit et technologies

droit

vie privée

Internet

profilage comportemental

renseignement personnel

L'industrie de l'omniscience : le profilage comportemental et le droit à la vie privée au Canada

Cormier, Eric

January 2012

La collecte et l’agrégation des renseignements personnels par des organisations du secteur privé représentent une menace grandissante pour la vie privée des citoyens canadiens. Bien que les pratiques de profilage à des fins commerciales soient en pleine émergence depuis l’arrivée d’Internet, le Canada dispose tout de même de mesures législatives servant à limiter leur impact sur la vie privée des individus. Cependant, certaines organisations parviennent néanmoins à contourner ces mesures législatives par l’entremise d’ententes contractuelles auxquelles adhèrent les utilisateurs d’Internet. Il est donc indispensable que les lois en matière de protection des renseignements personnels soient modernisées afin de minimiser les impacts du profilage en ligne. À cet effet, certaines leçons peuvent être tirées de l’approche européenne en matière de protection des renseignements personnels collectés à partir d’Internet et d’autres technologies d’information et de communication.

droit et technologies

droit

vie privée

Internet

profilage comportemental

renseignement personnel

Les registres médicaux et la confidentialité

Giroud, Clémentine

08 1900

"Mémoire présenté à la Faculté des études supérieures en vue de l'obtention du grade de Maîtrise en LL.M. Droit - Recherche option Droit, Biotechnologies et Sociétés" / Les registres médicaux sont des banques de données, ayant des caractéristiques spécifiques, rassemblant tous les cas d'une maladie sur un territoire précis. Ces informations permettent la mise en place de politiques de santé publique ainsi que l'étude de maladies afin de faire progresser la recherche médicale. La question se pose donc de savoir comment la réglementation concernant le respect de la vie privée s'applique aux particularités des registres. La législation actuellement en vigueur au Québec prévoit l'obligation d'obtenir le consentement du patient avant d'inclure les données le concernant dans le registre. Ces renseignements personnels de santé recueillis dans le registre doivent être protégés afin de respecter la vie privée des participants. Pour cela, des mesures concernant la confidentialité et la sécurité des données doivent être mises en place en vue de leur conservation et durant celle-ci. Après l'utilisation principale de ces données, il est possible de se servir à nouveau de ces renseignements personnels à d'autres fins, qu'il faille ou non les transférer vers une autre banque de données, nationale ou étrangère. Néanmoins cette utilisation secondaire ne peut se faire qu'à certaines conditions, sans porter atteinte au droit des participants concernant le respect de la vie privée. / Medical registries are databases which record aIl cases of a specifie disease found in a given area. Registries provide vital information for public health research and for the implementation of appropriate public policies. The question is : How does the regulation of privacy apply to registries? Legislation currently in force in the province of Quebec requires the consent of a patient in order to inc1ude personal information in the registry. Personal health data in a registry have to be protected to preserve the privacy of research subjects. To ensure data security and confidentiality sorne measures must be taken during their conservation. Secondary use of data is possible under certain conditions aimed at protecting the right to privacy. It is possible to use such personal information again for other purposes even if the data need to be transferred to another national or foreign database.

Registre

Renseignement personnel

Respect de la vie privée

Consentement

Confidentialité

Registry

Personal data

Privacy

Consent

Confidentiality

Les registres médicaux et la confidentialité

Giroud, Clémentine

08 1900

Les registres médicaux sont des banques de données, ayant des caractéristiques spécifiques, rassemblant tous les cas d'une maladie sur un territoire précis. Ces informations permettent la mise en place de politiques de santé publique ainsi que l'étude de maladies afin de faire progresser la recherche médicale. La question se pose donc de savoir comment la réglementation concernant le respect de la vie privée s'applique aux particularités des registres. La législation actuellement en vigueur au Québec prévoit l'obligation d'obtenir le consentement du patient avant d'inclure les données le concernant dans le registre. Ces renseignements personnels de santé recueillis dans le registre doivent être protégés afin de respecter la vie privée des participants. Pour cela, des mesures concernant la confidentialité et la sécurité des données doivent être mises en place en vue de leur conservation et durant celle-ci. Après l'utilisation principale de ces données, il est possible de se servir à nouveau de ces renseignements personnels à d'autres fins, qu'il faille ou non les transférer vers une autre banque de données, nationale ou étrangère. Néanmoins cette utilisation secondaire ne peut se faire qu'à certaines conditions, sans porter atteinte au droit des participants concernant le respect de la vie privée. / Medical registries are databases which record aIl cases of a specifie disease found in a given area. Registries provide vital information for public health research and for the implementation of appropriate public policies. The question is : How does the regulation of privacy apply to registries? Legislation currently in force in the province of Quebec requires the consent of a patient in order to inc1ude personal information in the registry. Personal health data in a registry have to be protected to preserve the privacy of research subjects. To ensure data security and confidentiality sorne measures must be taken during their conservation. Secondary use of data is possible under certain conditions aimed at protecting the right to privacy. It is possible to use such personal information again for other purposes even if the data need to be transferred to another national or foreign database. / "Mémoire présenté à la Faculté des études supérieures en vue de l'obtention du grade de Maîtrise en LL.M. Droit - Recherche option Droit, Biotechnologies et Sociétés"

Registre

Renseignement personnel

Respect de la vie privée

Consentement

Confidentialité

Registry

Personal data

Privacy

Consent

Confidentiality

Cadre juridique de l'utilisation de la biométrie au Québec : sécurité et vie privée

Gauthier, Julie M.

04 1900

La biométrie, appliquée dans un contexte de traitement automatisé des données et de reconnaissance des identités, fait partie de ces technologies nouvelles dont la complexité d’utilisation fait émerger de nouveaux enjeux et où ses effets à long terme sont incalculables. L’envergure des risques suscite des questionnements dont il est essentiel de trouver les réponses. On justifie le recours à cette technologie dans le but d’apporter plus de sécurité, mais, vient-elle vraiment apporter plus de protection dans le contexte actuel? En outre, le régime législatif québécois est-il suffisant pour encadrer tous les risques qu’elle génère? Les technologies biométriques sont flexibles en ce sens qu’elles permettent de saisir une multitude de caractéristiques biométriques et offrent aux utilisateurs plusieurs modalités de fonctionnement. Par exemple, on peut l’utiliser pour l’identification tout comme pour l’authentification. Bien que la différence entre les deux concepts puisse être difficile à saisir, nous verrons qu’ils auront des répercussions différentes sur nos droits et ne comporteront pas les mêmes risques. Par ailleurs, le droit fondamental qui sera le plus touché par l’utilisation de la biométrie sera évidemment le droit à la vie privée. Encore non bien compris, le droit à la vie privée est complexe et son application est difficile dans le contexte des nouvelles technologies. La circulation des données biométriques, la surveillance accrue, le détournement d’usage et l’usurpation d’identité figurent au tableau des risques connus de la biométrie. De plus, nous verrons que son utilisation pourra avoir des conséquences sur d’autres droits fondamentaux, selon la manière dont le système est employé. Les tests de nécessité du projet et de proportionnalité de l’atteinte à nos droits seront les éléments clés pour évaluer la conformité d’un système biométrique. Ensuite, le succès de la technologie dépendra des mesures de sécurité mises en place pour assurer la protection des données biométriques, leur intégrité et leur accès, une fois la légitimité du système établie. / Biometric technology, applied in a context of automated data processing and recognition of identity, is one of those new technologies whose complexity of use increase continuously and where the long-term effects are undefined. The risks are real and questions abound. For example, do biometrics really bring more security in the current context and is the Quebec legislative framework sufficient to regulate all the risks it generates? Biometric technology is flexible in that it enables to capture several types of biometric traits and provides users with various modalities of use. For example, it can be used for identification and authentication. Although the difference between the two modes can be difficult to understand, they have different impacts on our rights and do not involve the same risks. Among the human rights affected by the use of biometrics, the most important is the right to privacy. Still not well understood, the right to privacy is complex and difficult to apply in this new technological context. Circulation of biometric data and increased surveillance, function creep and identity theft are some examples of the known risks of biometric technologies. More, use of biometrics may also affect other fundamental rights, depending on how it is used. Proportionality and necessity tests of the project will be key in the analysis of the legal conformity. Then, the success of the technology will depend on the security measures put in place to secure biometric data once the legitimacy of the system is established.

Biométrie

Donné biométrique

sécurité

vie privée

renseignement personnel

Biometrics

biometric information

information security

privacy

La protection des renseignements personnels dans l'exploitation des assistants vocaux.

Rouhana, Jad

09 1900

Les assistants vocaux ont mis au jour une nouvelle manière pour l’humain d’interagir avec les technologies en n’utilisant que la voix. Une technologie qui est également évolutive et interactive grâce à l’intelligence artificielle. Nous verrons que les caractéristiques techniques et logicielles les composant concourent à une collecte massive de renseignements personnels par les entreprises. L’imprécision des politiques de confidentialité, l’absence d’information sur le mode de fonctionnement, l’imperfection du traitement automatique du langage naturel (ci-après le « TALN ») caractérisée par les faux positifs et les difficultés inhérentes à l’exercice par l’individu de certains de ses droits tendent à limiter l’effectivité des différentes lois existantes à l’assistant vocal. En outre, la possibilité pour plusieurs personnes d’interagir avec l’objet ainsi que son absence d’autonomie tendent à compliquer l’application des régimes de responsabilité civile, dont celui résultant du fait des biens. Cette apparition récente de l’assistant vocal n’a pour l’heure pas permis au juge de se prononcer pour faire évoluer les jurisprudences relatives au droit à la vie privée, à la protection des renseignements personnels et à la responsabilité civile. Celles déjà existantes ne semblent plus être adaptées à ce contexte technologique autour de l’assistant vocal, et plus généralement autour de la voix. C’est ainsi que le test de Oakes, permettant de déterminer le caractère raisonnable d’une violation des droits et libertés énoncés dans la Charte canadienne, repris pour être appliqué à la LPRPDE, apparaît comme étant inadapté à ce nouveau contexte technologique. Enfin, le manque de pouvoirs conférés aux autorités compétentes représente un obstacle majeur dans le suivi de l’application des règles de droit. / Voice assistants bring a new way for humans to interact with technology by only using their voice. Scalable and interactive technology thanks to artificial intelligence. We will see that the technical and software characteristics of voice assistants contribute to a massive collection of personal information by companies. The imprecision of confidentiality policies, the absence of information on the mode of operation, the imperfection of the Natural Language Processing characterized by false positives and the difficulties inherent in the exercise by individuals of some of their rights contribute to the mismatch between voice assistants and various existing laws. In addition, the possibility for people to interact with the object as well as its lack of autonomy tend to complicate the application of civil liability regimes, including that resulting from the act of thing. This recent appearance of voice assistants has so far not giving judges the possibility to rule on the right to privacy, protection of personal information and civil liability. Current case law doesn’t seem to be well adapted to the technological context around the voice assistant, and more generally the voice. The Oakes test, which was design to determining the reasonableness of a violation of the rights and freedoms set out in the Canadian Charter, appears to be unsuited to this new context. We will see that the lack of powers conferred on the competent authorities represents a major obstacle in monitoring the application of the rule of law.

Intelligence artificielle

Renseignement personnel

Responsabilité civile

Vie privée

Assistant vocal

Algorithme

Artificial intelligence

Personal information

Civil liability

Privacy

Voice assistant

Algorithm

Natural language processing

Redefining personal information in the context of the Internet

Gratton, Eloïse

10 1900

Réalisée en cotutelle avec l'Université de Panthéon-Assas (Paris II) / Vers la fin des années soixante, face à l’importance grandissante de l’utilisation des ordinateurs par les organisations, une définition englobante de la notion de donnée personnelle a été incorporée dans les lois en matière de protection de données personnelles (« LPDPs »). Avec Internet et la circulation accrue de nouvelles données (adresse IP, données de géolocalisation, etc.), il y a lieu de s’interroger quant à l’adéquation entre cette définition et cette réalité. Aussi, si la notion de donnée personnelle, définie comme étant « une donnée concernant un individu identifiable » est toujours applicable à un tel contexte révolutionnaire, il n’en demeure pas moins qu’il importe de trouver des principes interprétatifs qui puissent intégrer ces changements factuels. La présente thèse vise à proposer une interprétation tenant compte de l’objectif recherché par les LPDPs, à savoir protéger les individus contre les risques de dommage découlant de la collecte, de l’utilisation ou de la divulgation de leurs données. Alors que la collecte et la divulgation des données entraîneront surtout un risque de dommage de nature subjective (la collecte, un sentiment d’être sous observation et la divulgation, un sentiment d’embarras et d’humiliation), l’utilisation de ces données causera davantage un dommage objectif (dommage de nature financière, physique ou discriminatoire). La thèse propose plusieurs critères qui devraient être pris en compte pour évaluer ce risque de dommage ; elle servira de guide afin de déterminer quelles données doivent être qualifiées de personnelles, et fera en sorte que les LPDPs soient le plus efficaces possibles dans un contexte de développements technologiques grandissants. / In the late sixties, with the growing use of computers by organizations, a very broad definition of personal information as “information about an identifiable individual” was elaborated and has been incorporated in data protection laws (“DPLs”). In more recent days, with the Internet and the circulation of new types of information (IP addresses, location information, etc), the efficiency of this definition may be challenged. This thesis aims at proposing a new way of interpreting personal information. Instead of using a literal interpretation, an interpretation which takes into account the purpose behind DPLs will be proposed, in order to ensure that DPLs do what they are supposed to do: address or avoid the risk of harm to individuals triggered by organizations handling their personal information. While the collection or disclosure of information may trigger a more subjective kind of harm (the collection, a feeling of being observed and the disclosure, embarrassment and humiliation), the use of information will trigger a more objective kind of harm (financial, physical, discrimination, etc.). Various criteria useful in order to evaluate this risk of harm will be proposed. The thesis aims at providing a guide that may be used in order to determine whether certain information should qualify as personal information. It will provide for a useful framework under which DPLs remain efficient in light of modern technologies and the Internet.

Définition

Renseignement personnel

Donnée personnelle

Protection

Vie privée

Risque de dommage

Interprétation

Definition

Personal information

Personal Data

Data protection

Privacy

Internet

Risk of harm

Interpretation

Purpose of data protection laws