ENFR

Protection des données personnelles/de la vie privée et urgences sanitaires

Il existe de nombreux mythes autour de la règlementation relative à la protection des données personnelles/de la vie privée, mais le plus dangereux d’entre eux est sans conteste celui selon lequel « la protection des données personnelles empêche de sauver des vies ». Rien n’est plus faux. Pour autant, une mauvaise compréhension des règles de protection des données personnelles a mené des agents publics détenteurs de données de santé importantes à refuser de les divulguer.  La vérité est que les lois sur la protection des données personnelles permettent de communiquer des données personnelles à des tiers dans tous les cas où leur communication est nécessaire pour protéger la santé des individus ou la sécurité publique.

Les lois sur la protection des données personnelles autorisent ainsi la collecte, l’utilisation et divulgation de données personnelles par les professionnels de santé aux fins de protéger la santé des individus, ainsi que la santé publique. Cela signifie que dans les circonstances où une personne a besoin d’un traitement médical urgent, toute personne disposant des données relatives à son traitement peut les divulguer au professionnel de santé qui fait face à cette situation d’urgence. De plus, toutes personnes habilitées peuvent traiter les données de santé en cas de nécessité motivée par une situation d’urgence au regard de la santé publique.

Si des données personnelles relatives à la santé d’individus sont disponibles et que leur communication est nécessaire aux fins de traiter une personne ou de gérer une situation d’urgence de santé publique, leur communication est obligatoire. Cette communication est soumise à la condition d’établir que les données personnelles sont nécessaires pour protéger la santé et que celui qui en sollicite la communication est en mesure de répondre à cette finalité.

En cas de doute, demandez à votre délégué à la protection des données personnelles ou appelez votre autorité de contrôle. Si vous n’avez pas le temps de consulter, il vaut mieux se tromper pour sauver des vies. Aucune conséquence négative ne sera encourue dès lors que vous aurez agi en urgence, et en l’état de vos connaissances.

La plupart des pays du monde dispose désormais de lois de la protection des données personnelles, et ce depuis plus de trente ans. Avec le temps, les autorités de protection des données et de la vie privée ont développé une expertise collective quant aux exigences qui prévalent dans ce type de circonstances, autant que des conséquences inattendues qui peuvent en découler, et nous mettons en commun nos expériences.

Il en résulte que nos lois sont raisonnables et tiennent compte de presque toutes les circonstances dans lesquelles il est dans l’intérêt public d’autoriser un traitement des données personnelles. En cas de doute, suivez le chemin qui semble le plus raisonnable. Il est presque certain que la loi viendra à l’appui de ce choix, tout particulièrement en ce qui a trait à la santé et la sécurité des personnes.

Mythes sur la protection de la vie privée et des données personnelles: Cookies

La plupart des questions concernant les cookies ne portent pas sur la protection de la vie privée ou des données personelles, mais plutôt sur leur caractère malveillant, le ralentissement de votre ordinateur ou l’apparition de fenêtres pop-up. Néanmoins, certaines questions relatives à la vie privée et à la protection des données personelles sont mal comprises par certains. Beaucoup craignent que les cookies ne les rendent personnellement identifiables et ne retracent toute leur activité en ligne, qu’ils mettent à la disposition des sociétés qui gèrent les sites web. Ni l’un ni l’autre ne sont toujours vrais. Il est important de comprendre ce que sont les cookies, comment ils fonctionnent et quels risques ils présentent.

Qu’est-ce qu’un cookie ?

Un cookie est un petit fichier texte qu’un site web place sur votre disque dur à différentes fins lorsque vous accédez à ce site. Certains cookies sont limités à votre seule session de navigation et disparaissent automatiquement lorsque vous quittez votre navigateur. Ces cookies n’apparaissent pas sur votre disque dur et ne collectent pas d’informations sur votre ordinateur. D’autres cookies sont permanents, en ce sens qu’ils ne disparaissent pas lorsque vous fermez votre navigateur. Ils peuvent identifier des utilisateurs individuels et suivre leurs activités de navigation sur un site web particulier. Ils permettent également de suivre des informations telles que le nombre total d’utilisateurs, le temps moyen que les utilisateurs passent sur une page et les performances générales du site web.

Normalement, le site web que vous visitez place les cookies sur votre disque dur. Il s’agit de cookies « de première partie ».  Ils se souviennent de ce que vous avez ajouté à votre panier ou des données que vous avez saisies dans l’un de leurs formulaires. D’autres sociétés, telles que Google Ads, peuvent également placer des cookies sur votre disque dur. Il s’agit de cookies « tiers ». Ils sont responsables de l’apparition répétée de publicités pour la même chose sur différents sites.

Le serveur web définit les informations contenues dans le cookie et le serveur peut les utiliser à chaque fois que vous visitez le site. Les cookies rendent votre expérience d’utilisateur plus rapide et plus facile en mémorisant des détails, tels que vos préférences, les détails de votre enregistrement ou le contenu d’un panier d’achat. Sans les cookies, vous devriez probablement saisir à nouveau des données chaque fois que vous revenez sur la même page web. Ce ne sont pas des programmes informatiques, et ils ne peuvent pas diffuser de virus ou de logiciels malveillants.

Cookies et protection de la vie privée et des données personnelles

Ce qui nous intéresse, du point de vue de la protection de la vie privée et des données personnelles, c’est de savoir dans quelle mesure les cookies constituent une menace pour la vie privée. En ce qui concerne les données personnel, les cookies ne collectent que ce que les utilisateurs saisissent directement sur un site web, par exemple lorsqu’ils font des achats, ou indirectement par le biais de leurs activités d’utilisateur, par exemple les pages qu’ils consultent. Ils n’accèdent pas subrepticement à d’autres informations stockées sur le disque dur d’un ordinateur.

Les questions de confidentialité liées aux cookies concernent les informations que vous donnez au site web ou ce que vous faites lorsque vous êtes sur le site web et la transparence des entreprises quant à leur traitement. La société du site web doit être en mesure de démontrer qu’elle dispose d’une base légale en vertu des lois sur la protection de la vie privée/des données qui l’autorise à collecter ces données personnelles et à les utiliser (y compris à les partager avec des tiers). C’est l’une des raisons pour lesquelles de nombreux sites web demandent l’autorisation d’utiliser des cookies non essentiels et les données personnelles fournies par les utilisateurs.

Les navigateurs vous permettent de contrôler l’utilisation des cookies grâce à divers paramètres. Utilisez celui qui vous convient le mieux. Les lois sur la protection de la vie privée/des données régissent la manière dont le propriétaire du site web traite vos données à l’aide de cookies. Si vous pensez qu’un propriétaire de site web a traité vos données personnelles de manière illégale, vous pouvez déposer une plainte auprès de votre autorité de contrôle . Il est important de noter qu’il est possible pour les publicités web de refléter l’historique de navigation du navigateur web sans collecter de données personnelles. Une enquête détaillée sera nécessaire pour déterminer si des données personnelles ont été impliquées et s’il y a eu une infraction à la loi.

 

Briser les mythes sur la protection de la vie privée et des données personnelles – partie 3

Il existe un mythe selon lequel la vie privée, d’une part, et l’accès à l’information à des fins de responsabilité, d’autre part, sont des valeurs concurrentes. J’ai souvent entendu dire que « liberté d’information et protection de la vie privée » était un oxymore ou une contradiction dans les termes. Ces commentaires résultent d’une incompréhension de ce que ces concepts impliquent réellement. Les deux éléments sont complémentaires et nécessaires au bon fonctionnement d’un système de gouvernement démocratique et à la protection des droits des personnes.

Responsabilité

La responsabilité consiste à demander aux fonctionnaires de rendre compte de la dépense des fonds publics et (dans le monde de la protection des données) à demander aux entreprises privées de rendre compte de leur traitement des données personnel. Elle nécessite de donner accès aux informations concernant les décisions prises par les agents publics et les données personnelles traitées par les entreprises. La vie privée consiste (entre autres) à protéger les informations personnelles des individus.  Les agents publics doivent être responsables de leurs décisions en tant qu’agents publics. En revanche, tous les individus, y compris les agents publics, ont droit à une vie privée et à la protection de leurs données personnelles.

La vie privée

Certaines personnes confondent le concept de vie privée avec la protection de tous les types d’informations confidentielles. Si certaines informations générales peuvent rester protégées de la divulgation en réponse à des demandes d’accès formulées par les personnes concernées, cela n’a rien à voir avec le concept de vie privée. Le respect de la vie privée ne s’applique pas aux informations commerciales confidentielles ou aux communications soumises à un privilège juridique. La vie privée concerne généralement les personnes dans leur capacité personnelle, et non professionnelle.

Les individus doivent avoir un droit d’accès aux informations créées et gérées par les autorités publiques et à leurs propres informations personnelles. Cela n’inclut pas les informations personnelles des fonctionnaires, des familles, des amis ou des voisins des individus, ni celles des célébrités. La protection de la vie privée des individus ne compromet pas la responsabilité et il n’est pas nécessaire d’envahir la vie privée des individus pour s’assurer que les autorités publiques ou les entreprises sont responsables.

En fait, les droits d’un individu à la vie privée et à l’accès à l’information sont nécessaires pour protéger ses droits vis-à-vis des autorités publiques et des entreprises publiques. La connaissance est un pouvoir. Lorsqu’une partie a connaissance d’informations confidentielles concernant une autre partie, mais pas l’inverse, cela affecte l’équilibre des pouvoirs entre elles. Pour que la démocratie fonctionne correctement, il est essentiel que les individus aient accès aux informations sur les activités et les décisions des agents publics. Il est tout aussi crucial que les individus comprennent ce que les autorités publiques savent d’eux. Les autorités publiques et les entreprises privées possèdent des avantages distincts sur les individus en termes de ressources financières et informationnelles. Par conséquent, les particuliers ont besoin de l’aide des lois sur l’accès à l’information et la protection des données pour remédier à ce déséquilibre des pouvoirs.

Un exemple d’étude de cas

Voici comment un individu innocent peut souffrir de ce déséquilibre des pouvoirs. Imaginez un étudiant universitaire en Angleterre, portant un nom d’origine moyen-orientale, car son arrière-grand-père a combattu pour les Britanniques pendant la Première Guerre mondiale et a ensuite immigré en Angleterre. Le nom de l’étudiant est le même que celui d’une autre personne qui figure sans raison sur une liste de surveillance terroriste, et dont la date de naissance est presque la même. L’étudiant est boursier d’une université et est en avant-dernière année d’études en politique et en études du Moyen-Orient. Ses parents exploitent une grande ferme agricole que son arrière-grand-père avait créée. L’étudiant aide parfois à la gestion de la ferme, car elle risque de tomber dans l’administration.

Une semaine avant les examens finaux de l’année, un agent des services de sécurité décide d’effectuer un contrôle de routine sur le terroriste du même nom. Par une erreur administrative, l’agent confond l’étudiant avec le terroriste (il se trompe sur la date de naissance) et place l’étudiant sous surveillance au lieu du terroriste. L’agent peut surveiller la navigation de l’élève sur Internet. Il note l’accès à des sites Web sur les conflits au Moyen-Orient, le terrorisme et la fabrication de bombes que l’étudiant a utilisés pour ses recherches dans le cadre de ses cours. L’agent surveille également les déplacements de l’étudiant et obtient des enregistrements vidéo de l’étudiant sortant d’une jardinerie avec une grande quantité d’un engrais industriel pour la ferme de ses parents, qui est également un ingrédient courant dans la fabrication de bombes.

L’agent informe la police qui arrête l’étudiant et invoque la loi sur le terrorisme qui lui permet de détenir une personne soupçonnée d’activité terroriste sans inculpation pour une durée maximale de 28 jours. L’étudiant est détenu (bien qu’il ait protesté de son innocence) et au 27e jour de sa détention, les services de sécurité découvrent leur erreur et libèrent l’étudiant sans charge. Entre-temps, l’étudiant a raté son examen final et a donc échoué à son année de cours, ce qui l’oblige à redoubler. Il perd ainsi sa bourse d’études. Il acquiert également la réputation imméritée d’être un dangereux suspect terroriste. L’incident a également des répercussions sur ses parents, qui perdent la ferme. Le seul recours possible de l’étudiant est une plainte coûteuse pour arrestation injustifiée et détention illégale qu’il n’a pas les moyens d’engager. Les services de police et de sécurité refusent également de confirmer les explications de l’étudiant à l’université, invoquant des raisons de sécurité nationale.

Il ne s’agit que d’un récit fictif pour les besoins de ce blogue, mais il représente des problèmes sérieux auxquels les individus peuvent être confrontés et contribue à démontrer que l’utilisation incontrôlée de pouvoirs répressifs portant fortement atteinte à la vie privée peut avoir des conséquences dévastatrices pour des personnes innocentes. C’est l’une des raisons pour lesquelles il est important que des contrôles rigoureux soient mis en place sur le traitement des données personnelles, y compris la transparence sur la façon dont elles sont utilisées par les autorités publiques. Sans ces contrôles et ces équilibres, nous risquons de voir notre société dégénérer en une dystopie kafkaïenne.

 

Briser les mythes sur la protection des données personnelles – partie 2

Dans ma denier article, j’ai évoqué plusieurs mythes sur la protection des données personnelles/de la vie privée. Il y en a bien d’autres. Un autre mythe est que la protection des données personnelles empêche la police de mener des enquêtes efficaces sur les délits. Il existe une dérogation dans les lois sur la protection des données personnelles pour permettre à la police de collecter, utiliser et divulguer des données personnelles pertinentes pour une enquête des forces de l’ordre. Les lois autorisent également les autorités publiques et les entreprises de divulguer des données personnelles à la police pour faciliter le travail sur une enquête active. Il existe une autre dérogation concernant une demande de droit d’accès qui autorise la police à refuser de divulguer des informations susceptibles de nuire à une enquête. Il existe une dérogation similaire dans la loi sur l’accès à l’information. Les individus ne peuvent pas utiliser leurs droit d’accès de l’information pour entraver une enquête active.

Cependant, cela ne signifie pas que la police a accès aux données personnelles sans conditions. Elle peut avoir accès à toutes les données personnelles pertinentes pour l’enquête active, mais elle ne peut pas mener des expéditions de pêche sans motifs raisonnables. Lorsque la police demande des données personnelles à une autorité publique ou à une entreprise privée, elle doit fournir à l’organisation des informations suffisantes pour montrer qu’elle mène un enquête active. Dans la plupart des cas, il suffira de citer un numéro de dossier d’enquête. Dans d’autres cas, il peut être nécessaire de fournir un mandat. Les agents qui divulguent des données personnelles doivent être en mesure de prouver qu’ils ont motif raisonnables de croire que les données personnelles étaient pertinentes pour l’enquête active. Les agents doivent éviter d’invoquer la loi sur la protection des données personnelles comme excuse pour ne pas fournir de données personnelles.  S’ils ont des doutes quant à savoir si les lois autorisent la divulgation des données personnelles, ils doivent consulter leur délègue à la protection des données personnelles ou appeler leur l’autorité de contrôle.

Il existe une autre idée fausse selon laquelle les lois sur la protection des données personnelles créent des risques pour la sécurité nationale. Toutes les lois sur la protection des données personnelles autorisent le traitement de données personnelles pour le but de protéger la sécurité nationale. Il n’existe pas de besoin pour les nouvelles lois sur la protection de la sécurité nationale d’annuler les lois de la protection de données personnelles. Les lois actuelles autorisent la collecte, l’utilisation et la divulgation de toutes les données personnelles pertinentes pour la sécurité nationale. Néanmoins, il existe des services de sécurité qui demandent une autorisation pour la collecte des informations qui ne sont pas pertinentes pour protéger la sécurité nationale car elles peuvent être utiles à l’avenir. Les lois sur la protection des données personnelles équilibrent la protection de sécurité nationale et la protection des droits humaines des personnes innocentes. Des données personnelles doivent être disponible sur la base de « besoin de savoir » et non sur une base « elles peuvent être utiles à l’avenir ». Aux Etats-Unis, des informations indiquent que des données personnelles collectées à des fins de la sécurité nationale ont été utilisées à d’autres fins.

Un autre mythe est que les services communautaires qui dispensent des soins aux clients vulnérables ne peuvent pas partager des données personnelles ou discuter de soins coordonnés avec d’autres prestataires de services. En vérité, ces organisations peuvent partager de données personnelles pour fournir des soins aux enfants et aux adultes. Il est possible qu’il y ait des cas où le client s’oppose au partage de ses données personnelles. Cela ne signifie pas que la loi empêche le partage dans ce cas.  Cependant, les services communautaires doivent tenir compte de souhaits des clients lorsqu’ils décident s’ils partageront les données personnelles des clients. Dans le contexte du service client intégré, il est utile de rédiger un accord de partage des informations qui indique quelles informations pourront être partagées entre quelles organisations et à quelles fins. Les parties qui rédigent l’accord doivent consulter les experts de la protection de données personnelles pour s’assurer que le partage d’informations proposé est conforme à la loi. Un accord est une ressource utile pour les employés sur le terrain qu’il peuvent consulter lorsqu’ils reçoivent des demandes de partage de données personnelles.

Comme le montrent les nombreux exemples que j’ai fournis, des craintes concernant les méfaits des lois de la protection de données personnelles ne sont généralement pas fondées. Les rédacteurs des lois ont pris le temps et fourni les efforts nécessaires pour examiner toutes les circonstances possibles dans lesquelles il serait dans l’intérêt public de traiter des données personnelles, même sans le consentement de l’individu. Ils se sont largement consultés pour s’assurer que les lois n’empêchent pas la fourniture de services importants aux individus et à la communauté en général. Les lois facilitent la fourniture des bonnes informations aux bonnes personnes au bon moment et dans le bon but. Lorsqu’il y a des problèmes, il s’agit de comprendre les lois.  Il y a des gens qui croient que les lois interdisent certains types de traitement qui sont en réalité légaux. Si vous pensez que quelqu’un empêche de manière inappropriée le traitement de données personnelles en invoquant la loi sur la protection des données personnelles, demandez à parler à leur délégué de la protection des données personnelles ou appelez votre l’autorité de contrôle.

Briser les mythes sur la protection des données personnelles – partie 1

La compréhension des lois sur la protection des données personnelles/de la vie privée implique de pouvoir distinguer les informations réelles de celles concernant la désinformation. Il est important d’éviter de succomber aux nombreux mythes qui circulent présentement. Ces mythes comprennent ce que les lois exigence qu’elles couvrent, et depuis combien de temps elles sont en place. Beaucoup de gens croient que ces mythes sont réels. Ces mythes ont incité les gens à divulguer des données personnelles quand ils ne le devraient pas, et à refuser de les divulguer quand ils le devraient. Certaines organisations ont dépensé des sommes inutiles pour agir sur des informations incorrectes concernant les lois. Donc, il est très important de briser ces mythes.

Un mythe commun est que la protection des données personnelles est devenue une exigence légale uniquement avec le mise en œuvre de la nouvelle loi basée sur le RGPD en 2018. En fait, le plupart des pays de l’occident possède une loi sur la protection des données personnelles/de la vie privée depuis plus de trente ans. Le RGPD comportait des nouvelles exigences, mais la plupart des exigences de base ont déjà été mises en œuvre . Ces exigences incluent les règles générales sur la collecte, l’utilisation et la divulgation de données personnelles et les droits des personnes concernées de demander à y accéder et à les corriger. La plupart des modifications apportées du RGPD concernent la création d’une autorité de contrôle et l’octroi de pouvoirs suffisants pour faire appliquer ladite loi. Du point de vue des autorités publiques et des entreprises privées, il y a peu de changement, sauf qu’il y a plus des raisons de se conformer aux exigences existantes. Si ces organisations respectent déjà les lois antérieures, elles ne subiront pas de nouveaux frais importants.

L’un des plus grands mythes est que la protection des données personnelles est mauvaise pour les entreprises : les coûts sont élevés et il n’y a aucun avantage.  Au contraire, des données personnelles sont des actifs dont la valeur financière augmente. Elles peuvent être perdues ou volées, entraînant des coûts considérables à court et à long terme. Les coûts à court terme comprennent le temps et l’argent nécessaire pour contenir et traiter une violation. Les coûts à long terme sont la perte de confiance des clients entraînant la perte des affaires. Les lois sur la protection des données personnelles metteny en œuvre une approche basée sur le bon sens et pragmatique pour une bonne gestion des données qui réduit les risques de violations et minimise les coûts de récupération. La protection des données personnelles doit faire une partie intégrante de la gestion des risques organisationnelles, indépendamment de l’existence de lois. Il n’y a rien de déraisonnable dans l’exigence de mettre en place une adéquate pour les actifs de valeur. C’est une excellente pratique commerciale de collecter uniquement les données personnelles dont une entreprise a réellement besoin, de les utiliser uniquement pour les fins collectées et de les détruire une fois qu’elles ne sont plus nécessaires. La protection des données personnelles est un bon investissement commercial comparable à une police d’assurance prudente.

Un bon programme de la protection des données personnelles peut attirer de nouveaux clients pour les entreprises individuelles et l’ensemble de la communauté. Un cadre internationalement reconnu pour renforcer la protection des données personnelles (lois strictes dotées d’une autorité de contrôle efficace) peut mieux faciliter les flux transfrontières de données. La publicité extensive que les violations ont reçue récemment a fait craindre au grand public de divulguer ses données personnelles. Les entreprises qui jouissent d’une bonne réputation pour leurs pratiques efficaces en matière de protection des données personnelles bénéficient d’un avantage sur le marché contre leur concurrence. La confiance est essentielle au succès de l’entreprise, en particulièrement dans le contexte de l’économie numérique. La protection des données personnelles instaure une certaine confiance et créée des opportunités pour les entreprises qui utilisent des données personnelles. En fin de compte, la protection des données personnelles est vraiment bonne pour les entreprises à bien des égards.

 

La surveillance de l’emploi et les technologies biométriques

Les nouvelles technologies peuvent aider à protéger les employés et sécuriser les actifs. Cependant, il est important de se rappeler que les employés ne perdent pas leurs droits lorsqu’ils arrivent au travail. Les mêmes règles s’appliquent aux données personnelles des employés qu’aux données personnelles du public. Si on pense mettre en œuvre des technologies biométriques, les exigences en matière de protection des données personnelles sont encore plus étendues. Ces technologies peuvent fournir une solution efficaces aux problèmes réels, mais il est important de mettre en œuvre une analyse propre pour s’assurer qu’elles prévoient la bonne solution au problème en question.

Dans les cas où il existe des exemples documentés de violence contre des employés par des membres du public, la vidéosurveillance peut fournir un moyen de dissuasion et un moyen d’identifier les coupables. Cela ne signifie cependant pas que la vidéosurveillance convient à tous les lieux de travail. La vidéosurveillance est très invasive et les avantage de sa mise en œuvre doivent l’emporter sur la perte d’une partie de la vie privée. Le plus grand risque est qu’elle collecte des données personnelles sur tout le monde à portée de main, y compris les individus qui ne sont pas les cibles prévues.  Les responsables de traitement ne devraient l’utilise que comme un dernier ressort, après que des alternatives moins invasives n’aient pas résolu le problème, telles que des barrières physiques ou du personnel de sécurité supplémentaire.

Avant de la mise en œuvre, les responsables de traitement  devraient avoir des preuves documentées d’un risque continu pour leurs employés. Ils doivent consulter leurs employés, car la vidéosurveillance peut affecter leur bien-être psychologique et leurs droits humains. De plus, il faut afficher des affiches qui informent le public de l’existence de la vidéosurveillance, de son objectif et des coordonnées d’un bureau à contacter pour répondre aux questions, notamment de droit d’accès. Il est nécessaire de mettre en œuvre des politiques et des procédures, qui indiquent où les cameras seront installés, qui aura accès aux données personnelles, combien de temps les données personnelles seront conservées, et quelles garanties technologiques seront mises en œuvre.

Les technologies biométriques sont pratiques et offrent de bons moyens d’indentification. Cependant, elles nécessitent également la collecte des catégories particulières de données personnelles, et ce qui nécessite une protection supplémentaire. Les responsables de traitement doivent probablement effectuer une analyse de l’impact relatives à la protection des données personnelles avant de les mettre en œuvre. Cela nécessite d’examiner les raisons pour lesquelles ils pensent avoir besoin cette technologie et si ces raisons sont suffisamment convaincantes pour justifier la perte de la vie privée impliquée. Par exemple, quel est le problème de sécurité qui nécessite le replacement d’une carte d’accès avec un empreinte digital ou un balayage de l’iris ? Il faut avoir une bonne réponse à cette question.

Habituellement, les responsables de traitement ne devraient pas utiliser la vidéosurveillance ou d’autres technologies de surveillance, comme des logiciels capture de touches sur les ordinateurs, pour mettre leurs employés sous surveillance de façon permanente.  La technologie ne remplace pas la gestion en personne. Elles ne doivent pas être utilisées pour mesurer le rendement au travail. Elles ne doivent pas être utilisées pour appliquer la politique de l’entreprise. Le seul cas où cela serait acceptable serait dans le but d’enquêter les incidents de dommages intentionnels ou de vol d’actifs, y compris des données personnelles, lorsqu’ils ont éliminé les autres options moins invasives.

Toutes les actions qui peuvent conduire à la discipline des employés doivent suivre les politiques et les procédures standards des ressources humaines. Le recours trop précoce aux technologies de surveillance peut entraîner des décisions des tribunaux du travail défavorable aux responsables de traitement, même dans les des cas où les soupçons des responsables de traitement sont valables. Il faut toujours consulter un agent des ressources humaines avant de mettre en œuvre les technologies de surveillance sur le lieu de travail.

Les technologies de surveillance et les technologies biométriques peuvent apporter des solutions innovantes à des problèmes difficiles, mais ils comportent des risques propres et ils peuvent créer des nouveaux problèmes. Le principe de transparence dans les lois sur la protection des données personnelles requiert la notification des personnes qui sont sous surveillance. Cependant, être surveillé peut être éprouvant et stressant pour les employés, et peut affecter négativement leurs performances. Certains peuvent déposer des plaintes de protection des données personnelles, et toute la situation peut créer des conflits et détruire les bonnes relations du travail. La surveillance et les technologies biométrique, comme le mariage, ne doivent pas être mises en œuvre de manière spontanée ou à la légère ; mais avec révérence et discernement.

Les entreprises sont-elles responsables des violations des données personnelles commises par leurs employés?

Les violations de données personnelles sont assez coûteuses pour les entreprises, même sans tenir compte des frais des amendes administratives de l’autorité de contrôle ou des frais induits par d’éventuelles poursuites par ses clients concernés. Les entreprises qui mettent en œuvre des programmes de protection des données personnelles efficaces demeurent vulnérables face aux violations par des employés qui enfreignent délibérément la loi. Heureusement, elles peuvent prendre diverses mesures pour réduire leur responsabilité civile et le risque d’un jugement défavorable par l’autorité de contrôle.

La Cour Suprême du Royaume-Uni a récemment jugé que le supermarché Morrison n’est pas responsable du fait d’autrui pour les activités d’un ancien employé mécontent qui a divulgué les données personnelles de ses collègues. Bien que les responsabilités professionnelles de cet employé induisissent un accès légitime aux données, la Cour Suprême a jugé déterminant qu’il les ait divulguées à ses propres fins, en dehors de ses fonctions. Cela ne signifie pas que les tribunaux ne sanctionneront jamais une entreprise au titre de la responsabilité du fait d’autrui pour de telles violations, car les décisions judiciaires sont toujours prises dans des circonstances individuelles. Cependant, les tribunaux se référeront toujours à plusieurs facteurs clés.

Les entreprises qui souhaitent éviter la responsabilité du fait d’autrui doivent avoir mis en place un programme efficace de la gestion de la protection des données personnelles.  Cela comprend un inventaire de toutes les données personnelles et les politiques et procédures écrites concernant la collecte, l’utilisation et divulgation de données personnelles. Elles doivent également mettre en œuvre des mesures sécurité physiques et techniques pour garantir que les employés aient accès des données personnelles uniquement en tant que de besoin. Ils doivent avoir des protocoles pour répondre aux violations. Néanmoins, aucune de ces mesures ne sera efficace si les employés ne les connaissent. Cela exige donc une de procéder à des actions de sensibilisation adéquates et régulières, pour tous les employés. En fin de compte, les équipes dirigeantes doivent manifester clairement aux employés qu’elles apportent leur soutien à ces exigences et reconnaissent l’importance d’avoir à les satisfaire.

La question clé dans l’examen des causes des violations est de savoir si l’entreprise a fait tout ce qui est raisonnable pour les prévenir. Les criminels et employés déterminés à frauder peuvent contourner les meilleures mesures de sécurité, et les employés de bonne foi peuvent faire des erreurs. Un programme de gestion de la protection des données personnelles efficace réduira le risque que cela se produise. Cela empêchera également les employés de reprocher à leurs équipes dirigeantes qu’ils ignoraient que leurs activités contrevenaient à la loi. Les tribunaux examineront les efforts que les entreprises ont déployé pour s’assurer que les employés respectent la loi. Ces efforts comprennent la prise des mesures visant à empêcher leurs employés de ramener à leur domicile des dossiers et données personnelles, et à empêcher d’anciens employés d’utiliser les données personnelles qu’ils ont obtenues dans l’exercice de leurs précédentes fonctions.

Les entreprises pourraient limiter leur responsabilité du fait autrui en des cas où leurs employés utilisent à mauvais escient les données personnelles pour leurs propres besoins financiers ou à des fins personnelles. Néanmoins, les entreprises peuvent être tenues responsables du fait d’autrui lorsque leurs employés enfreignent la loi afin de les en faire profiter financièrement. C’est pourquoi les entreprises doivent établir par des preuves documentaires qu’elles ont effectivement sensibilisé l’ensemble de leurs employés à apprécier la légitimité, ou non, de tout traitement des données personnelles effectué en son sein. Un programme éprouvé de gestion de la protection des données personnelles les aidera à parvenir à cet objectif.

Les entreprises devraient être en mesure de limiter leur responsabilité dans les cas où les employés abusent des données personnelles pour leur propre gain financier ou pour poursuivre des vendettas personnelles. Néanmoins, les entreprises pourraient être responsables dans les cas où leurs employés enfreignent la loi dans le seul but de favoriser les intérêts financiers de l’entreprise. C’est pourquoi il est essentiel que les entreprises soient en mesure de prouver, documents à l’appui, qu’elles ont sensibilisé tous leurs employés à ce qui constitue un traitement acceptable des données et à ce qui ne l’est pas. Un solide programme de gestion de la protection des données aidera les entreprises à atteindre cet objectif.

La mise en œuvre de caméras de surveillance

La mise en œuvre de caméras de surveillance est tellement omniprésente que la plupart des gens ne voit pas les risques que poses la vidéosurveillance. Il est clair que la vidéosurveillance peut être efficace pour protéger la propriété et la sécurité personnelle.  Les lois sur la protection des données personnelles/de la vie privée autorisent la mise en œuvre des caméras de surveillance pour les bonnes fins avec les contrôles appropriés. Néanmoins, les entreprises et les particuliers l’utilisent souvent à des fins injustifiés et inefficaces. Les prestataires de services de la vidéosurveillance font souvent la promotion de leurs produits de manière agressive.

Certains promoteurs immobiliers l’installent sur des nouveaux édifices, peu importe que les locataires potentiels la souhaitent ou non. Il en résulte une récolte excessive et inutile de données personnelles qui peut compromettre les droits et libertés des individus dont les images sont capturées par les caméras. Il est très important pour tout le monde de comprendre les risques liés à la vidéosurveillance et pour les responsables de traitements de vérifier que l’utilisation proposée est appropriée avant de la mise en œuvre.

La plupart des gens se préoccupent à juste titre de leur sécurité personnelle et celle de leurs domiciles, de leurs entreprises et leurs biens et ils souhaitent mettre en œuvre les mesures appropriées et efficaces pour se protéger. Les caméras de surveillance sont des options attrayantes car peu coûteuses et largement disponibles. On pense qu’elles préviennent les crimes parce qu’elles augmentent les chances que la police arrête les auteurs. Cependant, les caméras de surveillance captent souvent également des données personnelles des nombreux individus innocents et respectueux des lois. Cela remet en question les risques que quelqu’un abuse des données personnelles pour compromettre les droits et libertés de ces personnes innocentes. De cette façon, si les images des caméras de surveillance tombent entre de mauvaises mains, elles peuvent faciliter les crimes, autant qu’elles les empêchent. De plus, la vidéosurveillance affect le comportement des gens et il peut être émotionnellement stressant.

Il y a de nombreuses années, lorsque j’ai enquêté sur la mise en œuvre de la vidéosurveillance dans un immeuble à appartements, une des plaintes a abordé ce sujet parlé avec éloquence:

« La vidéosurveillance a des effets différents de ceux d’autre types de collecte d’information. Etre sous surveillance constante a de réels effets psychologiques. … Différentes personnes réagissent différemment à la surveillance.  … On se sent conscient de soi et nerveux. On peut se sentir humilié et certainement, on peut être intimidé. Il peut y avoir un sentiment de violation personnelle.  L’impact psychologique de se sentir sous surveillance constante peut être énorme, incalculable. Cela amène les gens à modifier leur comportement social. Le comportement occasionnel ne peut plus être occasionnel. »

Lorsqu’on considère combien de fois les caméras de surveillance enregistrent nos images pendant la journée, on peut comprendre comment les effets peuvent se multiplier.

La question est donc de savoir comment tirer parti des avantages de cette technologie sans les risques. Il s’agit d’un processus en deux étapes. La première étape consiste à déterminer si cette technologie est adaptée à l’objectif en question. Le mise en œuvre d’une analyse d’impact relative de la protection des données personnelles (DPIA) aidera à amener la réponse de cette question. La vidéosurveillance est extrêmement invasive et ne convient que pour les circonstances suivantes :

  1. Il existe un problème actuel et documenté concernant la sécurité personnelle ou la protection des biens.
  2. Il existe une évidence que la vidéosurveillance sera efficace en résoudre ce problème.
  3. Toutes les mesures moins invasives ont été épuisées.
  4. Les avantages obtenus l’emportent sur les préjudices causés par la perte de vie privée en cause.

Il est important de noter que la fonction de vidéosurveillance est légale : c’est-à-dire qu’il aide à enquêter sur les délits. La technologie elle-même n’empêche pas les délits. Elle ne constitue qu’un élément dissuasif en augmentant les risques que la police identifie la personne responsable du crime. Les caméras de surveillance n’empêchent pas les bagarres ivres. Elles ne préviennent pas les accidents. Par conséquent, elles ne sont pas efficaces, par exemple, pour assurer la sécurité autour d’une piscine. Elles se sont toutefois avérées efficace pour décourager le vol à l’étalage, qui est endémique dans le secteur de la vente au détail.

Mais elles ne sont efficaces pour dissuader les délits que lorsque tout le monde sait où elles se trouvent. Il doit y avoir des panneaux adéquats pour notifier le grand public de la mise en œuvre de la vidéosurveillance. La Loi sur la protection des données personnelles exige également que cette mention sur les panneaux indique le motif pour la collecte des données personnelles et les coordonnées de la personne responsable du traitement.

Si une analyse d’impact relatives à la protection des données personnelles confirme l’application des quatre conditions nécessaires , il est obligatoire de compléter les autres éléments de l’analyse pour respecter la mise en œuvre des caméras. Cela comprend des facteurs tels que le positionnement des caméras, des mesures visant à garantir la sécurité des images dans le système, des contrôles à l’accès aux images et la période de conservation des images. La loi sur la protection des données personnelles exige que les responsables du traitement limitent la collecte de données personnelles au minimum requis pour atteindre l’objectif et limitent l’utilisation de données personnelles aux fins déclarées. La loi interdit l’utilisation des images, collectés pour les fins de sécurité personnelle ou la protection la propriété, aux autres fins, sauf dans des circonstances limitées.

Ces règles s’appliquent également à la vidéosurveillance à domicile et dans les voitures. Les responsables du traitement doivent prendre soin de positionner les caméras pour s’assurer qu’ils ne prennent pas d’images d’individus innocentes et respectueux des lois. Dans la voiture, il est interdit pour les caméras d’enregistrer les plaques d’immatriculation des voitures ou les visages des cyclistes de passage. La loi sur la protection des données personnelles autorise la collecte de données personnelles aàdes fins domestiques ou familiales, mais cela ne s’applique pas à la collecte des données personnelles des membres dupublic qui respectent les lois dans un lieu public.

Les lois sur la protection des données personnelles/de la vie privée soutienent la communication des informations correcte aux bonnes personnes aux bonnes fins. Si on l’utilise correctement, la vidéosurveillance peut atteindre cet objectif. Cependant, lorsqu’ elle est mal utilisée, cela peut être illégal et cause plus de mal que de bien. Le message clé est de résister à l’attrait de la technologie pour elle-même. Mener une analyse complète du problème existant et identifier le moyen le plus efficace de le résoudre. Si la vidéosurveillance est la meilleure réponse, il convient de s’assurer de la mise en œuvre correctes en respectant les garanties de sécurité que la loi exige

Programmes de protection des données réussis et délégués à la protection de la vie privée/des données personnelles

Un délégué à la protection de la vie privée ou des données (DPD) efficace est nécessaire à la réussite d’un programme de protection de la vie privée ou des données personnelles. Certaines lois sur la protection de la vie privée et des données personnelles imposent à toutes les autorités publiques et aux entreprises privées, dans certaines circonstances, de désigner officiellement un DPD. Même dans les cas où la loi ne l’exige pas, une bonne pratique consiste à confier à un employé la responsabilité de superviser la mise en œuvre du programme de protection de la vie privée et des données personnelles. Il ne s’agit pas nécessairement d’un poste autonome et il n’est pas nécessaire de lui donner un titre officiel. Ce qui est conseillé, c’est d’identifier une personne ayant une connaissance suffisante des bonnes pratiques en matière de protection des données et des opérations de l’organisation et de s’assurer que tous les employés savent qui elle est. Le rôle de cette personne est de diriger, de conseiller et de coordonner l’élaboration et la mise en œuvre de politiques, de procédures et de pratiques qui favorisent les bonnes pratiques de protection des données au sein de l’organisation. Cette personne sera également le point de contact du public ou l’autorité de contrôle en cas de plainte ou de signalement d’une violation des données personnelles.

Communication

La fonction première du DPD est de communiquer. Il doit également posséder un niveau d’expertise suffisant en matière de protection des données et connaître l’organisation. Il doit évaluer ce que l’organisation doit faire pour assurer la conformité avec les lois sur la protection de la vie privée/des données. Ils doivent communiquer cela à l’exécutif de l’organisation. Ils doivent veiller à ce que l’organisation mette en œuvre les directives du dirigeant et lui rendre compte des progrès réalisés par l’organisation. Ils doivent contribuer à garantir que tous les employés reçoivent un niveau de formation à la protection des données proportionnel au type et à la sensibilité des données personnelles avec lesquelles ils travaillent.

Ils sont également l’expert résident en matière de protection des données et le point de contact pour le monde extérieur. Les employés qui ont des questions ou des préoccupations concernant le traitement des données personnelles doivent pouvoir contacter le DPD pour obtenir des conseils. Lorsque des personnes souhaitent formuler des demandes d’accès ou se plaindre du traitement de leurs données personnelles, elles doivent avoir accès aux coordonnées du DPD. Ils sont également le premier point de contact pour notre bureau dans le cas où nous recevrions une plainte concernant leur organisation ou entendrions parler d’une violation.

Sous-traitance

Certaines organisations ont choisi de passer un contrat avec un DPD professionnel ou une entreprise qui fournit des services de DPD. Si cette solution peut s’avérer efficace pour les petites organisations dont le traitement des données et les ressources disponibles sont limités, un DPD interne présente des avantages concrets. Il est important que le DPD connaisse bien les structures, les opérations et les fonds de données de l’organisation. Il est difficile pour un DPD externe d’obtenir cette connaissance. En outre, il est essentiel que la direction et les employés d’une organisation développent une relation solide avec le DPD, basée sur la confiance. Pour qu’un programme de protection des données fonctionne efficacement, le DPD doit avoir accès à des informations confidentielles. Les dirigeants et les employés doivent être à l’aise pour divulguer des informations sensibles et demander des conseils. Ils doivent pouvoir croire que lorsque le DPD leur dit que certaines mesures de protection des données sont nécessaires, elles le sont vraiment. Travailler ensemble au quotidien permet d’entretenir le bon type de relation. L’exécutif doit savoir que la loyauté première du DPD est envers l’organisation, et qu’une relation de travail est le meilleur moyen d’y parvenir. La loi stipule également que si une organisation décide de sous-traiter la fonction de DPD, elle doit être certaine que le DPD est en mesure de lui apporter le soutien dont elle a besoin, au moment où elle en a besoin. N’oubliez pas que tant que le rôle est sous-traité, les responsabilités et obligations en matière de protection des données restent fermement internes.

Indépendance opérationnelle

Certaines lois sur la protection de la vie privée/des données personnelles exigent que le DPD bénéficie d’une indépendance opérationnelle, mais cela n’exclut pas la loyauté envers l’organisation. Le DPD doit disposer de l’expertise et de l’indépendance nécessaires pour mener des enquêtes et des recherches sur les questions de protection des données personnelles et pour donner des conseils d’expert valables et fiables aux dirigeants et aux employés. Personne ne doit limiter sa capacité à remplir ces fonctions. Cela ne signifie pas pour autant qu’il doit avoir l’autorité ultime pour prendre toutes les décisions. Il est juste et approprié que l’exécutif prenne les décisions finales sur des questions telles que les ressources, les changements de pratique et le contenu des déclarations publiques relatives à la protection des données. Le DPD doit être en mesure de conseiller l’exécutif sur la manière dont la loi s’applique et sur les options viables. Le DPD ne doit pas agir comme une taupe au nom de l’autorité de protection des données personelles. Le DPD doit avoir un lien direct avec le conseil d’administration et bénéficier du soutien de ce dernier. Dans les cas où la loi exige que l’organisation notifie à l’autorité de contrôle une violation de données personnel, le DPD doit donner son avis sur le contenu de la notification, mais ne doit pas communiquer sans l’approbation ou la délégation de pouvoir de l’exécutif.

Fonction de DPD

Outre les autorités publiques, les organisations qui surveillent le comportement des personnes ou traitent des données de catégorie spéciale à grande échelle doivent désigner un DPD officiel. Les autres organisations doivent déléguer les responsabilités d’un DPD à l’un de leurs employés et s’assurer qu’il dispose de la formation, des ressources et du soutien exécutif nécessaires pour pouvoir aider efficacement l’organisation à se conformer à la loi sur la protection des données personnelles. Les organisations ont toute latitude pour déterminer la meilleure façon de mettre en œuvre cette fonction, en fonction de leurs ressources et de la nature et de la quantité de données personnelles qu’elles traitent. La mise en œuvre d’un programme efficace de protection des données est dans l’intérêt de tous.