Le décloisonnement de la vie professionnelle et de la vie personnelle : La protection de la vie privée a-t-elle encore un sens?

Commentaire dans le cadre du colloque Cybercriminalité : Comment assurer la sécurité des personnes et des entreprises tout en respectant les libertés fondamentales

Le 16 novembre 2012
Lyon (France)

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)

---

Introduction

Merci de m'avoir invitée à discuter avec vous aujourd'hui, et merci aux organisateurs d'avoir fait autant de place aux enjeux de vie privée et de protection des données personnelles dans ce colloque consacré à la cybercriminalité.

Pour certains d'entre nous, la vie personnelle, c'est la vie personnelle, et la vie professionnelle, c'est la vie professionnelle. La maison, c'est la maison; le bureau, c'est le bureau.

Ce clivage marqué entre deux vies parallèles est vu par plusieurs comme quelque chose d'important : après tout, c'est cette cloison qui donne à Clark Kent l'espace nécessaire pour être Superman.

Nos attentes en matière de vie privée peuvent être différentes selon que nous sommes engagés dans une activité personnelle ou une activité professionnelle.

Toutefois, ces attentes ne disparaissent pas parce que nous sommes au travail — elles ont encore une place.

L'importance de protéger la vie privée existe bel et bien en milieu de travail. Les organisations doivent adopter certaines mesures concrètes afin de protéger les données personnelles tant de leurs clients que de leurs employés.

J'aborderai cette question selon deux volets : d'abord, l'aspect technologique; ensuite, l'aspect humain. J'illustrerai mon propos d'exemples tirés des dossiers du Commissariat à la protection de la vie privée du Canada et de la jurisprudence canadienne.

Aspect technologique

Le décloisonnement personnel–professionnel est fondamentalement lié à la révolution informatique dans laquelle nous sommes plongés.

En effet, il repose principalement sur la puissance du matériel technologique dont nous disposons, notamment sur le marché de grande consommation.

Aujourd'hui, les particuliers ont accès à des appareils et des logiciels aussi puissants que ceux qu'on leur fournit au travail — voire dans plusieurs cas, plus puissants que ceux dont ils disposent au bureau.

Cela a donné lieu au phénomène de la consumérisation de l'informatique, soit l'utilisation d'outils habituellement destinés à un usage privé dans le cadre d'activités professionnelles.

Au minimum, apporter du travail à la maison sur une clé USB qu'on branchera à son ordinateur personnel s'inscrit dans cette tendance.

En conséquence, parce qu'ils disposent d'une capacité technologique sans précédent, les particuliers peuvent, alors qu'ils sont au travail, porter de graves atteintes à la vie privée de tiers, parfois par malhonnêteté, mais souvent par négligence.

Un exemple parmi d'autres : en 2006, une employée de l'Agence du revenu du Canada a téléchargé sur 16 CD-Rom les dossiers de 2 700 contribuables.

Elle a apporté ces 16 CD avec elle et en a sauvegardé le contenu sur l'ordinateur personnel de son ami de cœur

Si l'employée a posé ce geste, c'était semble-t-il pour se préparer à l'arbitrage d'une plainte qu'elle avait déposée contre son employeur

Il semblerait que ces dossiers de contribuables étaient à ses yeux le produit de son travail, une preuve qui servirait à défendre sa cause, ce qui fait abstraction bien entendu qu'il s'agissait de renseignements personnels.

Le plus troublant dans cette histoire, c'est que le Commissariat à la protection de la vie privée n'en a été informé qu'en 2011, soit cinq ans plus tard, et seulement après que l'histoire ait été relatée dans les journaux.

Pourquoi? Parce que le service de sécurité de l'Agence du revenu du Canada avait lui aussi fait abstraction de la nature personnelle des données en cause lorsqu'il a découvert qu'il y avait eu atteinte à la sécurité du réseau.

Cette histoire n'aurait pas eu lieu à une autre époque : c'est par l'entremise des outils technologiques à la disposition de l'employée que la confidentialité des renseignements personnels de 2 700 personnes a été compromise.

L'histoire illustre bien les deux vecteurs en cause dans le décloisonnement entre la sphère publique et la sphère privée — le technologique et l'humain.

De plus en plus, la consumérisation de l'informatique devient synonyme du « prenez votre propre terminal », un phénomène selon lequel les travailleurs se branchent au réseau organisationnel à partir de leurs tablettes et téléphones intelligents personnels.

En d'autres mots, on n'a plus besoin d'apporter une disquette, un CD ou une clé USB pour copier la moitié des fichiers du réseau de l'organisation et les consulter à la maison; on peut maintenant se brancher directement au réseau de l'entreprise à partir de son téléphone intelligent et avoir accès à tous les fichiers en temps réel.

Cette pratique est admise par de plus en plus d'entreprises, et même par le gouvernement américain qui publiait en août dernier un cadre pour appuyer les institutions fédérales qui veulent mettre en place un programme « prenez votre propre terminal ».

Les employés y voient l'avantage de ne pas avoir à traîner deux appareils; les organisations y voient une façon d'accroître la productivité, de réduire leurs coûts d'achat de matériel, et de recruter et maintenir en poste de jeunes travailleurs branchés.

Toutefois, qui dit accès aux réseaux organisationnels dit accès à des données personnelles — que ce soit celles de clients ou celles d'employés. Les risques qu'entraîne le « prenez votre propre terminal » sont donc autant de risques envers la vie privée.

Et en cas de litige, comment l'expertise informatico-judiciaire pourra-t-elle départager les renseignements personnels de l'information organisationnelle sur un appareil qui appartient à un particulier?

Et qu'en est-il des renseignements personnels du particulier — l'identifiant unique de l'appareil, notamment — qui se retrouve sur le réseau de l'entreprise?

Il est clair que le phénomène du « prenez votre propre terminal » entraîne certains risques dont les employeurs doivent être au courant et auxquels ils doivent faire face.

Aspect humain

J'ai abordé jusqu'à présent des situations où le décloisonnement entre la sphère professionnelle et la sphère personnelle passe par les outils technologiques appartenant à l'employé.

Or, il peut arriver qu'un individu commette des atteintes à la vie privée en se servant de l'équipement appartenant à l'employeur à des fins personnelles non autorisées.

La deuxième partie de mon exposé portera sur ce versant proprement humain de la question.

Ce versant humain, lui, n'est pas nouveau. Les experts en sécurité organisationnelle le répètent depuis des décennies : le maillon faible dans un réseau de sécurité, c'est presque toujours la personne.

Et les personnes ont parfois tendance à se servir des ressources dont ils disposent au bureau à des fins autres que l'accomplissement de leurs tâches de travail.

À prime abord, l'utilisation à des fins personnelles du matériel informatique fourni par l'employeur soulève la question des attentes raisonnables en matière de vie privée.

D'ailleurs, la Cour suprême du Canada a eu à trancher récemment sur cette question dans l'affaire R. c. Cole.

Dans cette affaire de droit criminel, l'accusé était un enseignant au niveau secondaire.

L'établissement d'enseignement lui avait fourni un ordinateur portable dans le cadre de ses fonctions et lui avait permis d'utiliser cet ordinateur à des fins personnelles.

Alors qu'un technicien informatique de l'école effectuait un entretien de routine sur l'appareil, il a découvert que l'enseignant y conservait des images pornographiques d'une étudiante mineure.

Les autorités scolaires ont confisqué l'ordinateur et effectué des copies des fichiers qu'il contenait sur des disques. L'appareil et les copies ont été remis à la police, qui a examiné le tout et effectué des copies en vue d'une analyse informatico-judiciaire, sans mandat

L'enseignant a été accusé de possession de pornographie juvénile et d'utilisation non autorisée d'un ordinateur.

L'accusé a soutenu qu'il avait une attente raisonnable en matière de vie privée quant à l'information comprise sur l'ordinateur aux termes de l'article 8 de la Charte canadienne des droits et libertés.

D'après lui, la preuve devait conséquemment être exclue conformément au paragraphe 24(2) de la Charte. L'article 8 protège contre les fouilles, les perquisitions et les saisies abusives, et le paragraphe 24(2) concerne l'irrecevabilité d'éléments de preuve qui risqueraient de déconsidérer l'administration de la justice.

La Cour suprême du Canada a été saisie de l'affaire et a rendu sa décision le mois dernier. Les juges ont déterminé de manière unanime que les droits de l'accusé avaient été enfreints en vertu de l'article 8 de la Charte.

Toutefois, la majorité de la Cour a déterminé que la preuve était tout de même admissible aux termes du paragraphe 24(2).

Néanmoins, la Cour a affirmé clairement que les employés ont des attentes raisonnables en matière de vie privée en milieu de travail, selon les circonstances.

Outre le matériel informatique, les employés ont souvent accès dans le cadre de leurs fonctions à de vastes réserves d'information personnelle.

Certains individus utilisent à tort cet accès et se servent des données personnelles d'autrui à des fins autres que celles prévues par l'employeur.

Trop souvent, le contrôle technologique de l'accès aux bases de données organisationnelles n'est pas suffisant pour contrer l'appel de la curiosité humaine, voire les intentions criminelles

Dans certains cas, les personnes qui sont victimes d'une intrusion dans leur vie privée peuvent demander réparation devant les tribunaux.

À titre d'exemple, aux termes de la loi fédérale en matière de protection des renseignements personnels dans le secteur privé, la Loi sur la protection des renseignements personnels et les documents électroniques ou LPRPDE, des individus peuvent dans certaines circonstances tenter d'obtenir réparation auprès de la Cour fédérale, notamment des dommages-intérêts.

Dans de tels cas, la question se pose à savoir qui devrait être tenu responsable de l'infraction à la Loi : l'organisation ou l'employé? Certes, une organisation détient une grande part de responsabilité pour les actes commis par ses employés dans l'exercice de leurs fonctions.

(Je tiens à préciser ici que la LPRPDE donne compétence à la commissaire à la protection de la vie privée du Canada sur la plupart des activités commerciales menées au pays, sauf dans les trois provinces dotées de lois essentiellement similaires, dont le Québec.)

Une enquête récente du Commissariat sur des événements survenus à l'Autorité aéroportuaire du Grand Toronto démontre comment un conflit dans la sphère personnelle peut mener à des conséquences assez importantes pour une organisation quand ce conflit déborde dans la sphère professionnelle.

Dans la plainte au Commissariat à l'origine de cette histoire, un particulier a allégué que ses données personnelles avaient été recueillies sans son consentement par une employée de l'Autorité aéroportuaire, et que l'Autorité n'avait pas répondu de manière satisfaisante à sa demande d'accès à ses renseignements personnels.

Le plaignant a affirmé que son ex-épouse, une employée de l'Autorité aéroportuaire, avait utilisé de manière inappropriée l'équipement de surveillance de l'aéroport pour saisir des images de lui et de sa famille alors qu'ils étaient sur les lieux.

Le plaignant a fait part de ses préoccupations à l'Autorité aéroportuaire et a demandé accès aux renseignements personnels détenus par l'organisation. Insatisfait de la réponse de l'aéroport, il a fait une plainte au Commissariat, qui a déterminé que cette plainte était fondée.

J'ai présenté une demande à la Cour fédérale, soulevant le manquement de l'Autorité aéroportuaire envers ses obligations en vertu de la LPRPDE quand l'employée a recueilli et utilisé les renseignements personnels du plaignant à son insu et sans son consentement, et quand l'Autorité aéroportuaire n'a pas remis au plaignant, en réponse à sa demande d'accès, tous les renseignements personnels le concernant qu'elle détenait.

Nous en sommes éventuellement arrivés à un règlement avec l'Autorité aéroportuaire en vertu duquel le plaignant a obtenu accès à l'ensemble de ses renseignements personnels et de nouvelles procédures d'utilisation des caméras de surveillance ont été mises en œuvre.

Le plaignant a quant à lui fait une demande à la Cour pour obtenir diverses réparations, dont des dommages intérêts. La Cour n'a pas encore statué dans ce dossier.

Alors que c'est l'organisation qui a été tenue responsable de l'atteinte à la vie privée commise par une employée dans l'affaire de l'Autorité aéroportuaire du Grand Toronto, c'est l'employée qui a été tenue responsable dans une histoire comparable survenue dans une banque en Ontario, l'affaire Jones c. Tsige.

Dans l'affaire entendue par la Cour d'appel de l'Ontario, une employée d'une grande banque avait consulté au moins 174 fois en deux ans les dossiers bancaires de l'ex-épouse de l'homme qu'elle fréquentait, qui s'adonnait elle aussi à être une employée de la banque.

Ces consultations subreptices sans raison légitime allaient bien entendu à l'encontre des politiques et procédures de la banque.

La demanderesse a réclamé des dommages-intérêts pour intrusion dans son intimité. Bien qu'un tribunal inférieur ait rejeté la requête parce qu'il n'existe pas dans la loi ontarienne de délit d'atteinte à la vie privée, la Cour d'appel de l'Ontario a créé un nouveau droit d'action, le délit d'intrusion dans l'intimité.

La Cour d'appel a statué que l'intimée avait commis ce délit et lui a ordonné de verser à la demanderesse 10 000 $ en dommages-intérêts.

La Cour a soutenu que le délit d'intrusion dans l'intimité comporte trois éléments :

• le comportement du défendeur doit être intentionnel;
• le défendeur doit avoir porté atteinte au caractère privé des affaires personnelles du requérant;
• une personne raisonnable considérerait l'atteinte comme un fait hautement offensant et une source de détresse, d'humiliation ou d'angoisse.

Ces deux affaires démontrent que même dans le milieu professionnel, même dans un environnement public, les personnes s'attendent à ce que leurs attentes en matière de vie privée soient respectées.

Plus encore, ces exemples démontrent aussi comment des employeurs peuvent eux-mêmes jouer un rôle important afin d'assurer que leurs employés respectent la vie privée de leurs clients — et de leurs collègues.

Conclusion

Le décloisonnement entre les sphères personnelle et professionnelle entraîne de nouvelles réalités sociales et de nouveaux défis pour la protection de la vie privée.

Nous sommes saisis de nouvelles questions sur le plan juridique, mais les attentes des personnes envers le droit fondamental à la vie privée restent les mêmes.

Le droit à la vie privée a encore un sens dans ce contexte, mais les modalités de son exercice reflètent notre époque.

Sur le plan juridique, une des questions les plus intéressantes soulevées par le décloisonnement entre la sphère professionnelle et la sphère personnelle est celle de la responsabilité : en cas d'atteinte à la vie privée commise par un individu poursuivant des fins qui ne sont pas liées au travail, mais en se servant des renseignements ou du matériel de l'organisation, qui est responsable?

En vertu de la LPRPDE, comme nous l'avons vu dans l'affaire de l'Autorité aéroportuaire du Grand Toronto, l'organisation est responsable du traitement des renseignements personnels qu'elle détient.

Le Commissariat a d'ailleurs produit un document de référence à ce sujet intitulé Un programme de gestion de la protection de la vie privée : la clé de la responsabilité, de concert avec l'Alberta et la Colombie-Britannique, deux provinces dotées de loi essentiellement similaires à la LPRPDE.

Une autre des publications récentes du Commissariat vise à combler les lacunes que nous avons identifiées parmi la communauté juridique en particulier : celle-ci s'intitule La LPRPDE et votre pratique : Guide sur la protection de la vie privée à l'intention des avocats.

Par ailleurs, la Cour d'appel de l'Ontario a également attribué une responsabilité individuelle dans l'affaire Jones c. Tsige. Nous suivons avec beaucoup d'intérêt l'évolution de la common law à cet égard.

D'une manière ou de l'autre, dans un monde où les effets de la nature humaine sont amplifiés par la puissance technologique sans précédent que l'on connaît, la professionnalisation de tous ceux qui ont accès à des renseignements personnels est plus nécessaire que jamais.

Merci encore de m'avoir invitée à discuter de ce sujet brûlant d'actualité; je suis enchantée d'avoir l'occasion d'en discuter davantage avec vous et avec mon éminent confrère de la CNIL, le juge de Givry.