Archive des chroniques "Cybernotes de Bertrand Salvas", telles que publiées dans le magazine "Entracte"
de la Chambre des notaires du Québec et autres contributions en droit des technologies de l'information.

Avril 2005 >>> On est quand même bien chez soi…

Eh oui, je vais encore une fois vous parler de vie privée. Je ne sais pas si c’est parce que je vieillis ou si mon taux de saturation face aux risques d’intrusion dans la vie privée frôle le seuil critique… Toujours est-il que les catastrophes en matière de protection de la vie privée sur Internet m’atteignent toujours autant par leur caractère irréversible, mais aussi à cause des conséquences désastreuses qu’elles ont sur des gens ordinaires. Comme des oiseaux marins qui un beau matin se retrouvent, sans savoir pourquoi, enlisés dans un océan de pétrole, des dizaines de milliers d’américains ordinaires pourraient bien se retrouver dans de beaux draps par la négligence d’une entreprise qui transigeait leurs renseignements personnels comme IGA ou Maxi vend des pommes ou des carottes. Petite vie…
Tout commence chez ChoicePoint1, entreprise américaine spécialisée dans les enquêtes de crédit. Comme toute bonne agence de ce type, cette compagnie recueille une quantité importante de renseignements sur les consommateurs afin d’établir leurs cotes de crédit. Elle détient également dans ses dossiers des données nominatives sur eux, comme leur numéro de permis de conduire ou d’assurance sociale. ChoicePoint vend de plus certaines listes de renseignements sur les consommateurs inscrits à ses dossiers à des agences de marketing direct. Rien de bien nouveau jusqu’à présent.
« Oups ! Boss, you should come and see this… »
À l’automne, on remarquait chez ChoicePoint qu’une cinquantaine de comptes avaient été ouverts depuis environ un an sous de fausses identités dans le but d’obtenir illégalement les dossiers de près de 145 000 clients2. ChoicePoint avisait donc par lettre 34 000 résidents de Californie que la sécurité de leurs renseignements personnels pourrait être compromise, telle que l’exige la loi californienne. Quelques mises en demeure plus tard, elle avisait les victimes résidant dans 38 autres États. ChoicePoint annonçait également au début du mois de mars qu’elle mettait fin à ses activités de vente de données nominatives sur les consommateurs, sauf dans certains types de transaction ou dans le cadre d’opérations menées pour le compte du gouvernement. Car figurez-vous donc, par-dessus le marché, que ChoicePoint participe au programme de défense nationale (« Homeland Security »3) du gouvernement américain !
Nous voyons ici une autre conséquence de l’absence de loi sur la protection des renseignements personnels chez nos voisins du Sud. Le droit américain, en la matière, découle en effet plutôt du « right of privacy », constitutionnalisé par la Cour suprême américaine au 19e siècle4. Cette doctrine est générale, et ne se limite pas à protection des renseignements personnels comme tels puisqu'elle englobe divers aspects de la protection de la vie privée, notamment le droit à l'anonymat, le droit au secret des opinions et au secret des communications. La protection offerte aux États-Unis en matière de protection des renseignements personnels semble donc un peu émiettée.
Êtes-vous contents de vivre au Québec ?
Au Québec, la situation est toute autre. Au niveau québécois, la Loi sur la Protection des renseignements personnels dans le secteur privé5 impose un cadre strict, inspiré plutôt du courant dit européen et des lignes directrices de l’OCDE de 19806 dont s’inspire également la boiteuse loi fédérale7. Sous le courant européen, la collecte de renseignements personnels doit se faire avec le consentement éclairé de la personne concernée, aux seules fins stipulées au départ. La communication à des tiers de ces renseignements doit également être autorisée par l’individu concerné, et leur conservation ne peut se prolonger après l’atteinte de la finalité déclarée lors de la collecte. Parions que les clients de ChoicePoint aimeraient bien bénéficier de ces protections ! Cet exemple démontre néanmoins très bien, encore une fois, la volatilité des informations en notre époque technologique et à quel point elles y valent leur pesant d’or ! Il semble donc logique de les protéger le mieux possible, non ?
Vive le Forum !
Connaissez-vous le Forum des droits sur Internet8? Allez donc y jeter un coup d’oeil si les technos vous intéressent. Initiative de nos cousins français, ce site se veut un « espace d'information et de débat sur les questions de droit et de société liées à l'Internet ». On y retrouve une foule d’information et de documentation sur le sujet, et on y mène également de très intéressants débats sur les questions liés au Web et à son cadre juridique. Ça vaut le détour !
On y apprenait récemment, par exemple9, que le gouvernement français exigeait désormais de ses commerçants de conserver pendant dix ans les contrats de consommation conclus par voie électronique, et dont la considération est égale ou supérieure à 120 euros10. Les cyber-commerçants doivent également garantir l’accès au consommateur à ce contrat, la conservation des contrats de valeur moindre relevant en conséquence du consommateur.
Découlant de la Loi pour la confiance dans l'économie numérique du 21 juin 200411, cette mesure vise à préserver les copies électroniques des contrats de consommation. Bravo ! On peut pourtant se demander pourquoi on n’impose pas la conservation de tous les contrats de consommation intervenus électroniquement, quitte à limiter la durée de conservation des contrats de moindre valeur. Une telle limite se comprendrait tout à fait pour les contrats exécutés sur support papier. Mais considérant le coût minime de l’espace de stockage, une obligation générale de conservation des contrats de consommation ne semble pas à première vue exorbitante. Mais il s’agit sans contredit d’un pas dans la bonne direction, et d’une mesure digne d’être plagiée! Eh! Oh! Y a-t-il quelqu’un de l’Office de protection du consommateur dans la salle ?
Sortez vos chronomètres…
En terminant, j’ai une petite devinette pour vous. Combien de temps un ordinateur équipé d’une version non mise à jour de Windows XP survivra-t-elle sur Internet avant d’être victime d’un virus ? Une entreprise oeuvrant en sécurité informatique a fait le test, par curiosité, exposant volontairement au grand jour sur le Web quelques ordinateurs roulant des versions originales de Windows XP, sans mise à jour. La réponse ? Dix-huit minutes !12 Je vous laisse réfléchir là-dessus, je vais vérifier si mon système est à jour…
À la prochaine !



1 http://www.choicepoint.com
2 Beaucoup d’articles sont disponibles sur Internet au sujet de l’affaire ChoicePoint. Je vous suggère de débuter par celui-ci, sur Wired : D Theft Victims Could Lose Twice, Kim Zetter, 23 février 2005. http://www.wired.com/news/privacy/0,1848,66685,00.html?tw=newsletter_topstories_html
3 http://www.dhs.gov/dhspublic/
4 Samuel D. WARREN, Louis D. BRANDEIS, The Right to Privacy, 4 Harvard L.R. 193 (1890). Sur le Web : http://www.lawrence.edu/fac/boardmaw/Privacy_brand_warr2.html
5 L.R.Q. c. P-39.1
6 OCDE, Lignes Directrices régissant la protection de la vie privée et les flux transfrontières de
données de caractère personnel
7 Loi sur la protection des renseignements personnels et les documents électroniques, [2000, ch. 5]
8 http://www.foruminternet.org/
9 http://www.foruminternet.org/actualites/lire.phtml?id=864
10 environ 165 dollars canadiens
11 http://www.foruminternet.org/documents/lois/lire.phtml?id=733
12 Windows XP SP1 sans protection : 18 minutes pour être infecté. Branchez-vous, 9 mars 2005,http://www.branchez-vous.com/actu/05-03/09-173303.html

Aucun commentaire:

Publier un commentaire