1 / 32

Les aires de partage d’information: un modèle de protection des RP pour les services en réseau

Les aires de partage d’information: un modèle de protection des RP pour les services en réseau. Pierre Trudel Chaire L.R. Wilson sur le droit des technologies de l’information et du commerce électronique Centre de recherche en droit public Université de Montréal 19-5-2004.

calvin-snider
Download Presentation

Les aires de partage d’information: un modèle de protection des RP pour les services en réseau

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Les aires de partage d’information: un modèle de protection des RP pour les services en réseau Pierre Trudel Chaire L.R. Wilson sur le droit des technologies de l’information et du commerce électronique Centre de recherche en droit public Université de Montréal 19-5-2004

  2. Un cadre juridique à revoir • nouvelles circulations de l’information • fondements inadéquats du cadre actuel de la protection • la recherche de fondement et de concepts • adaptés aux environnements-réseaux • renforçant l’effectivité de la protection de la vie privée

  3. L’information circule différemment • des conditions différentes au plan quantitatif et qualitatif • des réseaux • services intégrés • organisés selon les situations de vie non les organigrammes • prise en charge de fonctions relevant d’une pluralité d’organismes publics • l’accroissement de la circulation de l’information • modifie l’échelle des risques pour la vie privée • risques nouveaux • sur-multiplication des renseignements personnels persistants

  4. Tendances lourdes • nécessité accrue du partage de l’information • l’information doit: • être disponible juste à temps • être de qualité • les services personnalisés, diversifiés et livrés avec célérité • la vie privée doit être protégée contre des risques différents de ceux de l’univers-papier

  5. Le cadre actuel • Postule le caractère exceptionnel des « transferts » (assimilés au couplage) • Pourtant, les transferts sont considérables et exigés par les lois • Difficulté de savoir à quels organismes publics sera transmis un renseignement donné à un M/O à l’occasion d’une prestation • Pas de processus public d’évaluation des ententes de partage

  6. Un cadre qui s’est rigidifié • négation de la réalité de la circulation de l’information • rigidification du principe de finalité • statisme de l’information • recours abusif et machinal au consentement • multiplication des lois d’exception

  7. Postulats pour une approche nouvelle • l’information sur les personnes circulera de plus en plus • Personnalisation des services • Mise en réseau • Services intégrés • ce n’est pas en empêchant la circulation de l’information destinée aux PES qu’on protège la vie privée … mais encadrant correctement la circulation des renseignements

  8. Des impératifs • Éviter les méga-banques de données • Éviter de sur-multiplier les gisements de données personnelles • Éviter la redondance • Qui augmente les risques • Assurer la qualité • Tenir compte de la persistance de l’information dans les réseaux • Garantir l’accès « juste à temps » pour « juste ce qu’il faut »

  9. Garantir un niveau de protection égal ou supérieur à celui qui résulte des lois actuelles • en déplaçant les protection pour les situer là où elles sont nécessaires • plutôt que de limiter la collecte et IMPOSER de collecter et détenir des renseignements personnels: • régir l’accès aux renseignements et le droit de les utiliser • assurer que les renseignements ne sont utilisés que lorsque cela est permis par la loi • ou justifié par les exigences de la loi ou d’un programme ou avec le consentement de l’intéressé

  10. Un modèle • Permettant la circulation des renseignements personnels (RP) dans une administration électronique  • Renforçant la protection là ou ça compte vraiment

  11. Concept d’aire de partage de renseignements personnels • autour duquel se structurent les droits et obligations relatifs à: • la collecte, le partage, l’accès et l’utilisation des renseignements personnels par les M/O • l’aire est créée par décret et fait suite à une entente entre M/O. L’entente est l’objet d’un processus public de consultation

  12. Aire de partage derenseignements personnels Définition: Un environnement d’information dans lequel circulent des renseignements personnels nécessaires à la prestation d’un ensemble de services ayant un caractère complémentaire et relevant d’une pluralité de M/O

  13. La protection se situe au niveau des accès par les M\O plutôt qu’au niveau de la collecte • Dissocier la possession de l’information et le droit d’y accéder et d’en faire usage • On intervient au niveau des accès aux renseignements: • Obligation de n’accéder qu’aux seules informations pertinentes, compte tenu de l’objet de la décision à rendre

  14. Assurer que l’information au soutien d’une décision relative à un citoyen soit de qualité • Droit du citoyen de connaître et de valider l’information qui le concerne • Interdiction de faire usage d’informations pour prendre une décision si celle-ci est étrangère aux finalités, non pertinente, etc.

  15. Des espaces délimités • Un mécanisme public et transparent de création • Entente comportant des spécifications obligatoires • Quant à la finalité, l’usage, la nature des informations • Processus de consultation publique • évaluation publique et contradictoire des enjeux, risques et précautions • Mécanismes souples de consultation gradués selon les enjeux • Décision du gouvernement autorisant la mise en place de l’aire

  16. Quelles balises? • Processus public et transparent de divulgation et de consultation sur les enjeux et les risques • Ces espaces sont étanches : seuls les M/O accrédités y ont accès et uniquement pour un motif qu’ils doivent en tout temps être en mesure de démontrer • Les informations ne peuvent servir qu’à des finalités compatibles avec celles qui sont spécifiées

  17. L’accès aux informations par les organismes membres • uniquement lorsqu’une décision doit être rendue à l’égard du citoyen concerné • ou avec son consentement

  18. Obligation de l’organisme • de rendre accessible - à la personne visée • les renseignements personnels sur lesquels elle se fonde ou auxquels il a accès pour traiter le problème, le dossier ou rendre sa décision

  19. Conditions à respecter dans la gestion des renseignements personnels • prévoir dans la loi des conditions minimales pour les ententes: • Identification des familles de finalités auxquelles les renseignements pourront être utilisées • Identification des catégories de personnes qui auront accès aux renseignements • Détermination des conditions de contrôle des accès • Exigences de sécurité à satisfaire • Identification des responsabilités respectives de chaque M/O participant

  20. Le contrôle des accès par lesM/O participants • l’accès aux renseignements n’est licite que pour effectuer une prestation à l’égard du citoyen concerné: • obligation d’indiquer de quelle prestation il s’agit

  21. De nouveaux mécanismes de protection pour les citoyens • Droit de connaître les informations que l’on prévoit utiliser dans un processus de décision • Droit de s’assurer de la pertinence et de la qualité des informations, compte tenu du contexte; • Droit de s’opposer à ce qu’un renseignement soit utilisé pour rendre une décision en particulier • au motif qu’il n’est pas pertinent • équivoque • périmé • ou obtenu en contravention de la loi

  22. Les responsabilités du détenteurdes renseignements personnels • distinguer le détenteur physique: le M/O qui à titre principal héberge la banque de données • l’ensemble de M/O participants à une aire de partage sont réputés être des détenteurs juridiques des renseignements auxquels ils ont accès • ils répondent des renseignements auxquels ils ont accès • avec consentement, ils peuvent accéder aux autres renseignements

  23. Une lecture actualisée du principe de spécification des finalités • En identifiant les familles de finalités auxquelles serviront les renseignements • les infos sont en gisement, disponibles à de strictes conditions mais non sous forme de « bar ouvert »! • Par exemple: « les renseignements collectés seront utilisés afin d’assurer le déroulement du plan de traitement par l’ensemble des professionnels appelés à y oeuvrer »

  24. Les exigences relatives à la nécessité de la collecte de renseignements personnels • la nécessité s’apprécie par rapport à l’ensemble des services associés à une aire de partage

  25. Le principe de limitation de l’utilisation de renseignements • un M/O n’a accès qu’aux renseignements nécessaires pour effectuer la prestation qui le concerne ou rendre la décision qu’il doit rendre • il doit être en mesure de justifier pourquoi il accède à un renseignement spécifique

  26. Le principe de la qualité des données • obligation de tenir à jour et exactes les données auxquelles les M/O ont accès • obligation de présenter ou autrement rendre disponibles à la personne concernée, les renseignements que l’on prévoit utiliser afin de rendre la prestation ou la décision

  27. La transparence • L’aire de partage permet de remédier au déficit de transparence découlant du cadre juridique actuel • Ententes approuvées selon des critères variables • Aucune obligation générale d’informer de ce qu’il advient des renseignements personnels • L’aire de partage est établie suite à un processus public, les conditions de son fonctionnement sont publiques

  28. Participation individuelle • En ligne, il est possible d’obtenir explications et consentement • Les aires de partage supposent de présenter l’information à l’usager afin qu’elle soit validée- en temps réel - dans le contexte précis où l’on prétend en faire usage

  29. Garanties de sécurité • Le modèle des aires de partage permet de mieux situer • ..les rapports entre sécurité et protection des renseignements personnels • La sécurité n’est pas une fin en soi: c’est un ensemble de précautions à prendre afin de respecter les obligations à l’égard des informations détenues

  30. Conclusion • Un système de protection des renseignements personnels qui compterait sur le maintien de méthodes redondantes pour assurer la protection de la vie privée des personnes est susceptible de se voir complètement dépassé par les évolutions qui ne manqueront pas de métamorphoser les conditions de la gestion de l’information.

  31. Chaire L.R. Wilson sur le droit des technologies de l'information et du commerce électronique Centre de recherche en droit public Faculté de droit Université de Montréal

  32. Pierre TRUDEL, professeur Titulaire de la Chaire L.R. Wilson sur le droit des technologies de l'information et du commerce électronique Centre de recherche en droit public, Faculté de droit Université de Montréal C.P. 6128, succursale Centre-ville Montréal (Québec) Canada H3C 3J7 Tél : (514) 343-6263 Fax : (514) 343-7508 Courriel : pierre.trudel@umontreal.ca URL: http://www.crdp.umontreal.ca

More Related