/misc
Navigation

Revoir les lois sur la protection des renseignements personnels

Revoir les lois sur la protection des renseignements personnels

Coup d'oeil sur cet article

Les lois sur la protection des données personnelles sont pratiquement semblables à ce qu’elles étaient lorsqu’elles furent mises en place dans les années 1980.  Il s’agissait alors de garantir que le recours aux outils informatiques n’allait pas mettre en péril le droit des personnes à leur vie privée.

Mais vivons désormais dans une société caractérisée par un haut degré de connectivité. L’information circule désormais dans des réseaux. 

Pratiquement chaque citoyen est raccordé au réseau.  Il faut assurer la protection de la vie privée des personnes dans un univers hyperconnecté dans lequel  les informations circulent.

Devant cette évolution, certains préconisent de reconduire et d’étendre de façon démesurée les mécanismes des lois sur la protection des données personnelles adoptées il y a maintenant trois décennies.

Il existe, principalement en Europe continentale, un fort mouvement pour étendre les principes mis en place pour protéger les données privées des personnes aux données de l’espace public. 

Par exemple, l’an dernier, la plus haute cour européenne a décidé qu’une personne peut invoquer le droit de la protection des données personnelles pour exiger la suppression vers un document comme un article de journal en ligne qui parle de lui d’une manière qui lui paraît inadéquate.

Il y a donc une tendance à préconiser des approches de fuite en avant qui au finale ne protègent pas vraiment plus les données vraiment personnelles mais qui par contre pourront engendrer de la censure d’informations d’intérêt public.

Pourtant les principes fondamentaux relatifs à la protection des données personnelles pourraient être adaptés aux défis actuels.

Les principes fondamentaux du droit de la protection des données personnelles découlent des instruments internationaux de protection des données personnelles comme les Lignes directrices de l'OCDE, et la Directive de la Commission européenne, mais également de plusieurs législations comme les lois provinciales et la loi fédérale sur la protection des renseignements personnels.

Les principes des lois sur la protection des renseignements personnels sont le respect de la finalité pour laquelle les données sont collectées et conservées, le principe de la limitation de la collecte de renseignements personnels, la transparence, la qualité des données, la participation des personnes concernées par les données, la responsabilité ainsi que l’obligation de sécurité.

Ces principes doivent être relus en fonction des contextes qui prévalent de plus en plus dans le contexte cyberspatial.

Dans un environnement en réseau, la nécessité de la collecte doit s’envisager au regard de l’ensemble des familles de prestations concernées par les informations. Une fois l’information collectée, la nécessité de sa conservation s’apprécie au regard d’un ensemble de processus de décision.

La règle empêchant la circulation et la réutilisation des informations pour le motif que celles-ci pourraient être détournées de leur finalité, doit être relue dans le contexte de dialogue accru que permet le réseau.

Plus que jamais, l’Administration publique de même que les entreprises sont en mesure d’indiquer à chaque internaute quelles sont les informations qu’ils possèdent sur son compte, lesquelles il entend utiliser afin de prendre une décision. Le citoyen est désormais en mesure d’interagir et d’exiger le retrait et l’ajout d’informations.

La généralisation des réseaux conduit à apprécier la nécessité à l’égard de l’ensemble des situations concernées par un environnement d’information. Certes, il faut toujours considérer la nécessité au plan de la légitimité de la collecte et de la détention d’informations, comme cela est exigé par les principes énoncés dans les lois actuelles.

Mais il faut assurer que seules les informations pertinentes et autorisées sont utilisées dans le cadre d’un processus décisionnel spécifique. Cela appelle une démarche dans laquelle sont dissociées, d’une part, la question de la nécessité de la détention de l’information et, d’autre part, l’appréciation de la nécessité d’y accéder pour une décision ou prestation déterminée.

Les lois sur la protection des renseignements personnels affirment aussi le principe de finalité. En vertu de ce principe, on ne peut recueillir et utiliser les renseignements personnels que pour des fins compatibles avec celles de la collecte initiale. Le principe de finalité est lié au maintien de la qualité de l’information.

Dans les principes de l’OCDE, il est exigé que les données de caractère personnel devraient être pertinentes par rapport aux finalités en vue desquelles elles doivent être utilisées et, dans la mesure où ces finalités l’exigent, elles devraient être exactes, complètes et tenues à jour.

Dans le contexte d’un environnement en réseau, la question des finalités se pose en tenant compte que les informations peuvent être là disponibles, déjà recueillies : ce n’est plus au regard de la détention que s’applique l’exigence du respect de la finalité mais plutôt au regard de l’accès et de l’utilisation du renseignement.

C’est pourquoi il faut lire le principe relatif à la limitation en matière de collecte comme supposant la mise en place de processus décisionnels qui feront usage du minimum d’informations personnelles nécessaires afin d’assurer les prestations ou la prise de décision.

Dans un réseau, le respect de la finalité de l’information personnelle passe par une réglementation et une gestion adéquate des droits des personnes au sein des entreprises ou des administrations publiques d’accéder aux renseignements d’un individu en particulier.

L’accès à un renseignement n’est licite que pour une finalité autorisée et lorsqu’on accomplit une activité s’inscrivant dans le cadre de la finalité.

Le respect du principe de finalité suppose que l’usager ait effectivement connaissance des familles de finalités auxquelles serviront les informations. Il faut que l’information sur les finalités des informations détenues soit constamment disponible et portée à la connaissance de l’usager lors de chaque collecte.

Pour respecter le principe de la limitation de l’utilisation, les environnements d’information devraient desservir des familles délimitées de prestations : ce qui assure que les renseignements personnels seront utilisés qu’à des fins apparentées et compatibles avec celles de la collecte initiale.

La transparence est une condition essentielle de la crédibilité et de la confiance dans les environnements en réseau. L’usager doit être en mesure de savoir à qui il a affaire et comment est conçu le processus informationnel dans lequel il est engagé. À cet égard, l’évaluation publique des enjeux et les risques associés aux prestations électroniques que l’on projette de proposer en réseau doivent être publiquement divulgués, débattus et évalués.

La qualité des données s’apprécie à l’égard des prestations à être accomplies avec les renseignements : il faut garantir que les renseignements utilisés pour effectuer une prestation se déroulant en ligne sont exacts, précis, autorisés par les lois et ne présentent pas d’équivoque.

La légitimité de pareilles circulations d’informations personnelles est renforcée lorsque le citoyen se trouve à même de réviser et, le cas échéant, de rectifier en ligne ou autrement les informations personnelles. Le droit de rectification — présent dans les lois actuelles mais pour l’heure si peu utilisé — prend alors tout son sens.

Comme les données personnelles sont désormais disponibles en réseau, le cadre juridique doit obliger les prestataires à s’assurer que l’information à laquelle ils accèdent, afin d’accomplir une prestation relative à une personne, est de qualité adéquate, compte tenu des exigences et du contexte de la prestation. Pour assurer la qualité, il faut tabler sur le potentiel de dialogue en direct que recèlent les technologies de réseau.

À cet égard, le principe de la participation individuelle de la personne concernée dans les décisions relatives au traitement des renseignements personnels acquiert dans les réseaux une portée renouvelée. Dans les réseaux, il est possible de présenter l’information que l’on possède et de la valider en temps réel avec la personne concernée. La garantie de la qualité des données sera du même coup renforcée par la validation que l’organisme effectue de l’information lors d’une prestation spécifique.

S’agissant de la responsabilité, chaque entité susceptible d’accéder à des données personnelles au sein d’un réseau peut être considérée comme en étant le détenteur juridique.

À ce titre, il est responsable de la confidentialité. Il importe à cet égard de préciser les obligations et délimiter la responsabilité des gestionnaires quant aux exigences de confidentialité et de sécurité. Il est en effet nécessaire que soient précisées les normes à la lumière desquelles seront évalués le comportement et la responsabilité des citoyens de même que celles du gestionnaire.

La sécurité tant physique que logique est évidemment une exigence essentielle pour tout environnement fonctionnant en réseau. Le cadre juridique doit inciter les responsables à prendre les mesures afin de garantir la sécurité des informations sur les personnes. Outre une culture de la sécurité, il faut un ensemble de processus capables de prévenir les attaques et surtout d’y remédier aussitôt que se produit un évènement qui met en péril les processus de traitement.

Voilà les principes directeurs qui doivent présider à la mise à niveau des lois sur la protection des données personnelles.

*****

Vous désirez réagir à cette chronique dans nos pages Opinions? Écrivez-nous une courte lettre de 100 à 250 mots maximum à l'adresse suivante: jdm-opinions@quebecormedia.com .