Logo du Secrétariat du conseil du trésor.

Loi annotée par sujet - Protection de la vie privée

La protection de la vie privée

Le recours aux technologies de l'information peut accentuer les risques de divulgation d'informations relatives aux personnes. Afin d'assurer la protection de la vie privée et de la dignité des personnes lors de transactions réalisées au moyen de documents technologiques, la loi a prévu des dispositions pour garantir la protection et la confidentialité des renseignements personnels. Ces dispositions viennent compléter les exigences des lois générales relatives à la protection des renseignements personnels.

La loi contribue à renforcer la protection de la vie privée dans l'usage des documents technologiques. Elle prévoit à cette fin les conditions d'utilisation des moyens susceptibles d'assurer le caractère confidentiel de documents.

Ainsi, il faut, lors de chaque phase du cycle de vie d'un document, prendre les précautions de nature à garantir la protection des renseignements personnels :

  • La protection des renseignements personnels et confidentiels doit être assurée avant de détruire un document dont la loi exige la conservation et qui ont fait l'objet d'un transfert (voir l'article 20).
  • La consultation de documents publics comportant des renseignements personnels est limitée à ce qui est nécessaire afin d'assurer le respect de la finalité pour laquelle ces documents sont rendus publics. L'article 24 impose des restrictions aux fonctions de recherche extensive dans les banques de données publiques afin de protéger la vie privée. On veut ainsi éviter, par exemple, les consultations de banques de données à l'aide de moteurs de recherche qui viseraient à repérer des renseignements personnels pour des fins autres que celles pour lesquelles ils ont été recueillis ou diffusés.
  • La consultation de documents technologiques qui portent des renseignements confidentiels est également entourée de protection; la personne responsable de l'accès à ces documents doit prendre des mesures de sécurité propres à en assurer la confidentialité (voir l'article 25).
  • La protection de la confidentialité d'un document technologique doit être maintenue y compris dans un contexte où la garde du document est confiée à un prestataire de services (voir l'article 26).
  • De même, les renseignements déclarés confidentiels par la loi doivent être protégés en cours de transmission d'un document, y compris sur les réseaux de communication et ce, par un moyen approprié au mode de transmission retenu (voir l'article 34).

Des balises sont aussi édictées à l'égard de l'usage de mécanismes d'identification et de vérification de l'identité :

  • D'abord, ces opérations doivent être accomplies dans le respect des lois (voir l'article 40) ;
  • Les renseignements personnels contenus dans un document ou un certificat confirmant l'identité d'une personne ou l'identification d'une association, d'une société ou de l'État doivent être protégés lors de sa transmission (voir l'article 40) ;
  • Un document technologique servant à identifier une personne doit être protégé contre l'interception rendant possible l'usurpation de l'identité de la personne visée lorsqu'il est conservé ou transmis sur un réseau de communication. De même, sa confidentialité doit être assurée et sa consultation, journalisée (voir l'article 41) ;
  • Il est interdit d'exiger que l'identité d'une personne soit établie au moyen d'un dispositif qui porte atteinte à son intégrité physique (voir l'article 43) ;
  • Il est interdit d'exiger qu'une personne soit liée à un dispositif qui permet de la retracer sauf si la loi le permet expressément en vue de protéger la santé des personnes ou la sécurité publique (voir l'article 43) ;
  • Des contrôles sont prescrits pour l'utilisation des caractéristiques ou des mesures biométriques afin d'identifier une personne (p. ex. : par l'empreinte digitale ou de l'iris de l'oeil). L'identité de la personne ne peut alors être établie qu'en faisant appel au minimum de caractéristiques ou de mesures permettant de la relier à l'action qu'elle pose et que parmi celles qui ne peuvent être saisies sans qu'elle en ait connaissance. Les autres informations générées par des procédés biométriques ne peuvent être utilisées ni communiquées à d'autres que l'intéressé. La Commission d'accès à l'information se voit confier un droit de contrôler a priori et a posteriori des banques de caractéristiques et de mesures biométriques. (voir les articles 44 et 45).

Enfin, l'activité de certification comporte spécifiquement certaines mesures de protection de la vie privée et de contrôle de l'accès à de l'information jugée sensible :

  • L'obtention de renseignements relatifs aux attributs d'une personne et qui sont établis dans un certificat n'est pas automatique. L'accès à ce certificat doit être autorisé par la personne concernée ou par une personne en autorité par rapport à elle (voir l'article 47) ;
  • De même, le motif d'annulation ou de suspension d'un certificat ne doit pas être accessible par le répertoire; il ne peut l'être que sur autorisation de la personne qui l'a suspendu ou annulé (voir l'article 50). En effet, un certificat peut être annulé ou suspendu pour des raisons confidentielles ou pouvant porter atteinte à la réputation de la personne ;
  • L'usage d'un pseudonyme, au lieu du nom distinctif, est possible dans le cas de l'utilisation d'un certificat confirmant l'identité d'une personne physique et ce, afin de préserver l'anonymat des personnes (voir l'article 48) ;
  • La loi oblige le prestataire de services de certification ou de répertoire, au moyen de l'énoncé de politique, d'informer les usagers, entre autres, sur sa politique de protection de la confidentialité des renseignements personnels reçus ou communiqués par lui (voir l'article 52) ;
  • La loi impose des obligations relativement à l'élément secret d'un dispositif qui permet d'identifier, de localiser ou d'indiquer un attribut d'une personne (par exemple, la clé privée en matière de signature électronique). Le titulaire du dispositif doit en assurer la confidentialité et faire en sorte que le dispositif ne soit pas utilisé sans son autorisation. Le prestataire de services de certification, quant à lui, doit transmettre l'élément secret du dispositif de manière à ce que seul le titulaire visé en prenne connaissance et le reçoive. Ces obligations visent, entre autres, à éviter les conséquences d'une usurpation d'identité. (voir l'article 57). L'article 58 vient préciser les obligations du titulaire d'un dispositif lorsque cet appareil a été volé ou perdu ou lorsque des données confidentielles ont été compromises.

Voir les articles 20, 24, 25, 26, 34, 40, 41, 43, 44, 45, 47, 48, 50, 52, 57 et 58.

Retour en haut de la page