18 novembre 2013

Canada (CSC): déclaration d'invalidité de la Personal Information Protection Act de l'Alberta

Le 15 novembre 2013, dans l'arrêt Alberta (Information and Privacy Commissioner) c. Travailleurs et travailleuses unis de l’alimentation et du commerce, section locale 401 (2013 CSC 62), la Cour suprême du Canada (CSC) a déclaré la Personal Information Protection Act (PIPA) de l'Alberta et son règlement d'application invalide. 

Avant de présenter l'analyse de la CSC, rappelons que l'intervention de la CSC s'inscrit dans le cadre d'un litige ayant "pris naissance lorsque le syndicat Travailleurs et travailleuse unis de l'alimentation et du commerce, section locale 401 a enregistré des vidéos et pris des photos de personnes en train de franchir sa ligne de piquetage, en vue de s'en servir par la suite dans le cadre de son conflit de travail" [par. 2] et ayant donné lieu au dépôt de plaintes auprès de l'Office of the Information and Privacy Commissioner (OIPC) de l'Alberta invoquant que "les activités du syndicat contrevenaient à la PIPA, qui restreint la faculté d'un certains nombres d'organismes de recueillir, d'utiliser et des communiquer des renseignements personnels" [par. 2].

L'arbitre mandaté par l'OIPC a donné gain de cause aux plaignants [par. 6]. Le syndicat a dès lors "formulé une demande de contrôle judiciaire dans laquelle il a allégué que la loi en question portait atteinte à la liberté d'expression que lui garantit l'al. 2b) de la Charte canadienne des droits et libertés et que cette atteinte n'est pas justifiée au sens de l'article premier [de la Charte]" [par. 2].

La juge en son cabinet, et par la suite la Cour d'appel, ont conclu au fait que "les activités du syndicat comportaient un contenu expressif et qu'il n'y avait aucune raison de les soustraire à la protection de l'alinéa 2b) [et que] la PIPA restreignait directement la liberté d'expression du syndicat en lui interdisant de recueillir, d'utiliser et de communiquer des renseignements personnels concernant des personnes alors qu'elles étaient à la vue du public. [Dès lors] cette violation ne pouvait se justifier au sens de l'article premier" [par. 7 et 8].
Et, la Cour d'appel a considéré "que la PIPA avait une portée trop large. En effet, d'une part, le droit au respect de la vie privée en jeu était mineur, puisque les plaignants se trouvaient dans un lieu public, qu'ils franchissaient une ligne de piquetage et qu'ils étaient avisés que des images étaient recueillies. D'autre part, il fallait tenir compte du droit des travailleurs de négocier collectivement et de celui du syndicat de communiquer avec le public" [par. 8].

Partant, pour déterminer si la PIPA est ou non constitutionnelle, la CSC a dû répondre aux deux questions suivantes:

17 novembre 2013

Canada (CSC): une autorisation expresse préalable est nécessaire pour pouvoir fouiller un ordinateur (et un téléphone cellulaire)

Le 7 novembre 2013, dans l'arrêt R. c. Vu (2013 CSC 60), la Cour suprême du Canada (CSC) s'est prononcé dans une affaire dans laquelle "l'ère du numérique et de l'Internet rencontre le droit relatif aux fouilles, perquisitions et saisies" [par. 1] et, qui soulève la question de savoir si un mandat de perquisition obtenu par des policiers les autorise à fouiller les ordinateurs et les téléphones cellulaires trouvés sur les lieux ou si une telle fouille nécessite une autorisation expresse préalable.

La CSC, même si elle souscrit à la proposition générale de la Cour d'appel selon laquelle "une autorisation expresse préalable de fouiller tout ce qui se trouve dans un lieu en question n'est pas requise" [par. 23], considère néanmoins que "les intérêts en matière de respect de la vie privée que met en jeu la fouille des ordinateurs différent nettement de ceux en cause lors de la fouille de contenants tels des placards et des classeurs. En effet, les ordinateurs sont susceptibles de donner aux policiers accès à de vastes quantités de données sur lesquelles les utilisateurs n'ont aucune maîtrise, dont ils ne connaissent peut-être même pas l'existence ou dont ils peuvent avoir choisi de se départir, et qui d'ailleurs pourraient fort bien ne pas se trouver concrètement dans le lieu fouillé. [Ainsi] considérés au regard des objectifs visés par l'art. 8 de la Charte, ces facteurs commandent l'obtention d'une autorisation expresse préalable" [par. 24].
Charte canadienne des droits et libertés
art. 8 - "Chacun a droit à la protection contre les fouilles, les perquisitions ou les saisies abusives".

11 novembre 2013

Kazakhstan: adoption (et entrée en vigueur prochaine) d'une loi sur la protection des données personnelles

On peut lire sur Privacy and Information Security Law Blog qu'en mai dernier le Kazakhstan a adopté une loi sur la protection des données personnelles (On Personal Data and Their Protection), laquelle entrera en vigueur le 26 novembre prochain. 
"On November 26, 2013, Kazakhstan’s new data privacy law, On Personal Data and Their Protection, will come into effect. The law was passed on May 21, 2013. Kazakhstan is the second country in Central Asia to enact a data privacy law, joining the Kyrgyz Republic, which passed the Law on Personal Data in 2008.
The stated purpose of the Kazakhstan law is the protection of human rights in the collection and processing of personal data. Currently, the protection of personal data in Kazakhstan is regulated by sector and the new law will work alongside the existing regulatory framework. Although an official English version of the law has not yet been released, available analyses indicate that the law applies in both the public and private sectors. The law imposes requirements on database operators and other information collectors relating to purpose limitation, notice, consent, access and correction, destruction of data, security and onward transfer restrictions, including export limitations.
The law does not establish a data protection authority. Each state agency is required to develop and supervise data protection within the industry or government sectors for which it is responsible."
(Source: Privacy and Information Security Law Blog, "Kazakhstan Enacts Data Privacy Law", November 5, 2013)

9 novembre 2013

Internet et l'analyse de votre comportement

Si vous vous demander si votre comportement est analysé sur Internet, l'article "Facebook à la chasse aux souris" paru dans Libération vous intéressera. 

L'auteure Camille Gévaudan insiste non seulement sur les données démographiques "fournies volontairement par les membres du réseau social", mais surtout sur les données comportementales qui "sont récupérées par le site à [l'insu des membres], en surveillant automatiquement et systématiquement toutes leurs actions en ligne" ... et elle continue en disant que ces dernières données "ont une valeur inestimable pour Facebook, qui cherche actuellement à augmenter leur volume dans de larges propositions, et notamment en instaurant un pistage du curseur des internautes, pour savoir précisément quelle zone de l'écran attire leur souris à chaque instant". 
Ce "système de détection de position du curseur et de défilement des pages à l'écran" dont parle l'auteure s'inscrit au nombre des mécanismes utilisés par les entreprises pour anticiper les besoins de leurs clients. 

Cette problématique du profilage à des fins de publicité interpellent les autorités de protection des données personnelles comme l'illustrent notamment la Résolution sur le profilage adoptée lors de la 35° Conférence internationale des commissaires à la protection des données et de la vie privée (billet), les contrôles menés à l'endroit de PayPal en France et de Bell au Canada (billet) ou encore la fiche d'information sur le profilage et la publicité ciblée que vient de publier la Commission d'accès à l'information du Québec.