Gratton Eloise 2012 These.Pdf
Total Page:16
File Type:pdf, Size:1020Kb
Université de Montréal et Université Panthéon-Assas Paris II Redefining Personal Information in the Context of the Internet par Éloïse Gratton Faculté de droit Thèse présentée à la Faculté des études supérieures en vue de l’obtention du grade de Docteur en droit de la Faculté de droit de l’Université de Montréal et Docteur en droit de l’Université Panthéon-Assas Paris II Octobre 2012 © Eloïse Gratton, 2012 Université de Montréal Faculté des études supérieures Université Panthéon-Assas Paris II École doctorale Georges Vedel Droit public interne, science administrative et science politique Cette thèse intitulée: Redefining Personal Information in the Context of the Internet présentée en date du 30 octobre 2012 par: Éloïse Gratton a été évaluée par un jury composé des personnes suivantes: Vincent Gautrais Professeur titulaire, Université de Montréal directeur de recherche Danièle Bourcier Responsable du groupe “Droit gouvernance et technologies” au CERSA directrice de recherche Karim Benyekhlef Professeur titulaire, Université de Montréal membre du jury Gilles Guglielmi Professeur, Université Panthéon-Assas Paris 2 membre du jury Ian Kerr Professeur titulaire, Université d’Ottawa rapporteur externe Francis Rousseaux Professeur, Université de Reims rapporteur externe Université de Montréal et Université Panthéon-Assas Paris II Redefining Personal Information in the Context of the Internet par Éloïse Gratton Faculté de droit Thèse présentée à la Faculté des études supérieures en vue de l’obtention du grade de Docteur en droit de la Faculté de droit de l’Université de Montréal et Docteur en droit de l’Université Panthéon-Assas Paris II Octobre 2012 © Eloïse Gratton, 2012 GRATTON Éloïse | LL.D. Thesis | October 2012 RÉSUMÉ Résumé: Vers la fin des années soixante, face à l’importance grandissante de l’utilisation des ordinateurs par les organisations, une définition englobante de la notion de donnée personnelle a été incorporée dans les lois en matière de protection de données personnelles (« LPDPs »). Avec Internet et la circulation accrue de nouvelles données (adresse IP, données de géolocalisation, etc.), il y a lieu de s’interroger quant à l’adéquation entre cette définition et cette réalité. Aussi, si la notion de donnée personnelle, définie comme étant « une donnée concernant un individu identifiable » est toujours applicable à un tel contexte révolutionnaire, il n’en demeure pas moins qu’il importe de trouver des principes interprétatifs qui puissent intégrer ces changements factuels. La présente thèse vise à proposer une interprétation tenant compte de l’objectif recherché par les LPDPs, à savoir protéger les individus contre les risques de dommage découlant de la collecte, de l’utilisation ou de la divulgation de leurs données. Alors que la collecte et la divulgation des données entraîneront surtout un risque de dommage de nature subjective (la collecte, un sentiment d’être sous observation et la divulgation, un sentiment d’embarras et d’humiliation), l’utilisation de ces données causera davantage un dommage objectif (dommage de nature financière, physique ou discriminatoire). La thèse propose plusieurs critères qui devraient être pris en compte pour évaluer ce risque de dommage ; elle servira de guide afin de déterminer quelles données doivent être qualifiées de personnelles, et fera en sorte que les LPDPs soient le plus efficaces possibles dans un contexte de développements technologiques grandissants. Mots clés: définition, renseignements personnels, données personnelles, protection, vie privée, Internet, risque de dommage, but des lois en matière de protection de données personnelles, interpretation. GRATTON Éloïse | LL.D. Thesis | October 2012 ABSTRACT Abstract: In the late sixties, with the growing use of computers by organizations, a very broad definition of personal information as “information about an identifiable individual” was elaborated and has been incorporated in data protection laws (“DPLs”). In more recent days, with the Internet and the circulation of new types of information (IP addresses, location information, etc), the efficiency of this definition may be challenged. This thesis aims at proposing a new way of interpreting personal information. Instead of using a literal interpretation, an interpretation which takes into account the purpose behind DPLs will be proposed, in order to ensure that DPLs do what they are supposed to do: address or avoid the risk of harm to individuals triggered by organizations handling their personal information. While the collection or disclosure of information may trigger a more subjective kind of harm (the collection, a feeling of being observed and the disclosure, embarrassment and humiliation), the use of information will trigger a more objective kind of harm (financial, physical, discrimination, etc.). Various criteria useful in order to evaluate this risk of harm will be proposed. The thesis aims at providing a guide that may be used in order to determine whether certain information should qualify as personal information. It will provide for a useful framework under which DPLs remain efficient in light of modern technologies and the Internet. Key words: definition of personal information, data protection, privacy, Internet, risk of harm, purpose of data protection laws, interpretation. GRATTON Eloïse | LL.D. Thesis | October 2012 LIST OF ABBREVIATIONS Alberta DPL: Personal Information Protection Act (Alberta) ALRC: Australian Law Reform Commission APEC: Asia-Pacific Economic Cooperation, a vehicle for promoting open trade and practical economic cooperation in the Asia-Pacific Region Article 29 Working Party: A group made up of a representative from the data protection authority of each EU Member State, the European Data Protection Supervisor and the EC. B.C.: British Columbia B.C. DPL: Personal Information Protection Act (British Columbia) B.U. L. Rev.: Boston University Law Review CA : Cour d’appel CAI (or C.A.I.): Commission d’Accès à l’Information du Québec Cal. L. Rev.: California Law Review Can. Crim. L. Rev. Canadian Criminal Law Review Canadian Charter: Canadian Charter of Rights and Freedoms, PART I OF THE CONSTITUTION ACT, 1982 CCTV: Closed Circuit Television C.c.Q: Civil Code of Quebec C. de D. : Cahiers de Droit CIPPIC: Canadian Internet Policy and Public Interest Clinic CJLT: Canadian Journal of Law and Technology CNIL: Commission Nationale de l’Informatique et des Libertés (France) Colum. L. Rev.: Columbia Law Review Comité consultatif: Comité consultatif de la convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel GRATTON Éloïse | LL.D. Thesis | October 2012 iv Conn. L. Rev.: Connecticut Law Review Convention 108: Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data COPPA: Children’s Online Privacy Protection Act CPO: Chief Privacy Officer C.Q.: Cour du Québec C.S.: Cour supérieure Directive 95/46/EC: Directive 95/46/EC on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data Directive 2002/58/EC: Directive 2002/58/EC concerning the processing of personal data and the protection of privacy in the electronic communications sector Directive 2006/24/EC: Directive 2006/24/EC on the retention of data generated or processed in connection with the provision of publicly available electronic DPI: Deep Packet Inspection DPLs: Data protection laws Drake L. Rev.: Drake Law Review FC: Federal Court Ga. L. Rev.: Georgia Law Review EC: European Commission EU: European Union FIPs: Fair Information Practices Fla. St. U. L. Rev.: Florida State University Law Review French DPL: Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés FCC: Federal Communication Commission FTC : Federal Trade Commission GRATTON Éloïse | LL.D. Thesis | October 2012 v Geo. L.J.: Georgetown Law Journal GLBA: Gramm-Leach-Bliley Act GPS: Global Positioning System Harv. C.R.-C.L. L. Rev.: Harvard Civil Rights-Civil Liberties Law Review Harv. J.L. & Tech.: Harvard Journal of Law & Technology Harv. L. Rev.: Harvard Law Review Hastings Const. L.Q.: Hastings Constitutional Law Quaterly Hastings L.J.: Hastings Law Review IAB: Internet Advertising Bureau of Canada IC: Industry Canada Ind. L. Rev.: Indiana Law Review Iowa L. Rev.: Iowa Law Review IP: Internet Protocol ISP: Internet Service Provider IVHS: Intelligent Vehicle Highway Systems J.O.: Journal Officiel L.C.: Lois du Canada L.Q.: Lois du Québec L.R.C.: Lois révisées du Canada L.R.Q.: Lois refondues du Québec LAN: Local Area Network Lindop Report: The Report of the Committee on Data Protection drafted by Norman Lindop (U.K., 1978) Manitoba L.J.: Manitoba Law Journal Mich. Telecomm. Tech. L. Rev.: Michigan Telecommunications & Technology Law Review Minn. L. Rev.: Minnesota Law Review GRATTON Éloïse | LL.D. Thesis | October 2012 vi Nat’l L.J.: National Law Journal Nordic Conference: The 1967 Nordic Conference on the Right of Privacy Nova L. Rev.: Nova Law Review NW. U. L. Rev.: Northwestern University Law Review N.Y.U. J. Legis. & Publ. Pol’y: New York University Journal of Legislation & Public Policy N.Y.U.L. Rev.: New York University Law Review OECD: Organization for Economic Cooperation and Development OECD Guidelines: OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data (1980) OFT: Office of Fair Trading (U.K.) OPC: Office of the Privacy Commissioner OPCC: Office of the Privacy Commissioner of Canada OSN: Online Social