Usurpation d’identité- rapport du groupe de travail 2008

FOOTNOTES

1 Ce document peut être consulté en ligne : http://www.ulcc.ca/fr/poam2/Identity_Theft_Paper_Fr.pdf. Le groupe de travail a pris acte des préoccupations soulevées par l’expression « vol d’identité », tout en reconnaissant que ce terme est couramment utilisé pour des raisons de commodité. L’adoption de solutions à plus long terme à ce problème suppose toutefois une analyse plus subtile, et ne devrait pas se limiter aux questions d’identité ni se concentrer uniquement sur l’aspect d’usurpation. L’extrait du tableau figurant en conclusion du rapport donne une bonne illustration d’une telle démarche.

2 La version intégrale de la résolution peut être consultée à l’adresse suivante : http://www.ulcc.ca/fr/poam2/Joint_Civil_and_Criminal_Resolutions_2007.pdf.

3 La question de savoir s’il y a lieu de légiférer sur les avis d’atteinte concernant les renseignements personnels qui ne sont pas autrement protégés par les lois sur le respect de la vie privée fait l’objet d’une discussion à la section j) (paragraphe 58). Une province ou un territoire qui ne dispose pas d’une loi sur la protection de la vie privée pourrait se voir demander d’adopter notre loi uniforme à titre d’obligation distincte. Dans une telle province, la LPRPDE s’appliquerait à la plupart de ces renseignements, mais non à tous.

4 Voir, par exemple, l’art. 4.7 de l’annexe 1 de la LPRPDE pour connaître les principes relatifs aux mesures de sécurité applicables aux renseignements personnels.

5 Voir le site du Payment Card Industry Security Standards Council : https://www.pcisecuritystandards.org. Il demande aux commerçants détaillants qui acceptent des cartes de paiement de suivre certaines règles concernant la remise, le stockage et la transmission des fiches de cartes de crédit. En voici un bref aperçu : http://en.wikipedia.org/wiki/PCI_DSS. Le code type sur la protection des renseignements personnels proposé par l'Association canadienne de normalisation constituait à l’origine une norme privée (ou norme privée/publique),

avant qu’elle ne devienne une partie intégrante de la LPRPDE. L’annexe de la partie I de la LPRPDE reproduit cette norme en partie mais non dans son intégralité.

6 Voir par exemple les suggestions relatives aux normes de chiffrement pour les appareils mobiles publiées par le Commissaire à la protection de la vie privée de l’Ontario en 2007 : << Safeguarding Privacy in a Mobile Workplace; Protect the information you keep on your laptops, cellphones and PDAs >>, http://www.ipc.on.ca/images/Resources/up-mobilewkplace.pdf.

7 Cela pourrait paraître plus sensé dans ce contexte, par conséquent, d’évoquer le fait que la sécurité des renseignements personnels a été << compromise >>, plutôt que de parler d’<< atteinte >>. Le dernier terme est ambigu, et pourrait davantage faire référence à la violation des normes applicables plutôt qu’à une atteinte à la sécurité. Seule la dernière question nous intéresse ici. Cependant, la documentation sur le sujet a tendance à employer les deux termes de manière interchangeable. Qu’il y ait eu une << atteinte >> ou que la << sécurité ait été compromise >> est une question différente de celle qui consiste à se demander s’il y a eu une << perte >> suffisante pour justifier l’émission d’un avis. Selon ce rapport, cette question est indépendante du niveau de conformité à la norme applicable. La question de savoir s’il y a lieu de signaler l’atteinte est traitée au paragraphe 20 in fine.

8 Voir par exemple : << A Chronology of Data Breaches >>, Privacy Rights Clearinghouse, fréquemment mis à jour : http://www.privacyrights.org/ar/ChronDataBreaches.htm.

9 Le Commissaire à la protection de la vie privée du Canada, << Principales étapes à suivre par les organisations en cas d'atteintes à la vie privée >>, http://www.privcom.gc.ca/information/guide/2007/gl_070801_02_f.asp, étape 2(ii) (<< Principales étapes >>). Pour des conseils similaires de la part du United Kingdom’s Information Commissioner, voir << Notification of Data Security Breaches to the Information Commissioner’s Office >>, http://www.ico.gov.uk/upload/documents/library/data_protection/practical_application/breach_reporting.pdf.

10 Le Commissaire à la protection de la vie privée du Canada définit l’atteinte à la vie privée comme étant la collecte, l’utilisation ou la divulgation non autorisée de renseignements personnels. Voir << Introduction au document intitulé "Principales étapes à suivre par les organisations en cas d'atteinte à la vie privée" >>, http://www.privcom.gc.ca/information/guide/2007/gl_070801_01_f.asp. Le Commissaire à l'information et à la protection de la vie privée de l’Ontario s’exprime de la même manière, dans : << What to do if a Privacy Breach Occurs: Guidelines for Government Organizations >>, http://www.ipc.on.ca/images/Resources/up-1prbreach.pdf, p. 3 (<< What to do >>). Néanmoins toutes les recommandations, et toutes les lois sur le sujet, ne renvoient en pratique qu’à l’accès à des renseignements ou à leur divulgation sans autorisation.

11 Le Commissaire à la protection de la vie privée du Canada, << Principales étapes >>, ci-dessus, note 9, étape 2(iv) et les Commissaires à l'information et à la protection de la vie privée de la Colombie-Britannique et de l’Ontario,

<< Assessment Tool >>, ci-dessous, note 19, étape 1.

12 K. Kiefer Peretti, << Data Breaches: What the Underground World of ‘Carding’ Reveals >>, 25 Santa Clara Computer and High Technology Jl, à venir, en ligne : http://www.cybercrime.gov/DataBreachesArticle.pdf.

13 M. Minik, << Medical ID Theft: A Threat to your Life and Wallet >>, The National Notary, mars 2008, p. 48. Le risque d’utilisation de renseignements médicaux peut être plus important lorsque le voleur peut tirer profit de l’assurance de santé privée acquise par la personne dont les renseignements sont utilisés, y compris pour tirer le maximum de prestations en vertu de la police.

14 Voir les références à la jurisprudence, note 31. Voir également une discussion sur la possibilité pour les détenteurs de données de s’assurer : K.P. Kalinich, << Legal Exposure to the Maxx: Insurance for Breaches of Data Privacy and Information Security >>, assurance Aon 2008 : http://aon.mediaroom.com/index.php?s=55&item=70 et un blogue de discussion sur ce document sur Network World :

http://www.networkworld.com/community/?q=node/26203&nlhtsecstrat=rn_032508&nladname=032508securitystra tegiesal.

15 Les détenteurs de données ont également des coûts à supporter. À titre d’exemple, si un commerçant

compromet la sécurité des renseignements des détenteurs de cartes de crédit, l’émetteur de la carte peut avoir à supporter des frais considérables pour la délivrance de nombreuses nouvelles cartes. Aux États-Unis, les émetteurs de cartes ont poursuivi en justice les commerçants pour recouvrer ces frais, bien que cela n’ait pas encore abouti. D. Rice, << Civil Actions for Privacy Violations 2007: Where are we? >> site internet de Howard

Rice : http://www.howardrice.com/uploads/content/Civil%20Actions%20For%20Privacy%20Violations%202007% 20-%20Where%20Are%20We.pdf aux pp 2-4. Certains États ont adopté une loi pour exiger des commerçants qu’ils indemnisent les émetteurs de cartes de crédit dans certaines circonstances. Voir les lois du Minnesota ch. 325E, Bill H.F. 1758, http://wdoc.house.leg.state.mn.us/leg/LS85/HF1758.3.pdf. D’autres États sont en train d’étudier la

possibilité d’une telle législation. T. Probin, Privacy Law Blog, << In response to TJX Privacy breach, one state

enacts legislation imposing new security and liability obligations; similar bills pending in five other states >>, 29 mai 2007.

http://privacylaw.proskauer.com/2007/05/articles/security-breach-notification-l/in-response-to-tjx-data-breach-one­state-enacts-legislation-imposing-new-security-and-liability-obligations-similar-bills-pending-in-five-other-states.

16 Le Commissaire à la protection de la vie privée du Canada, << Principales étapes >>, ci-dessus, note 9, étape 3.

17 Ibid.

18 << barring exceptional circumstances. >> CIPVP Ontario, << What to do >>, ci-dessus, note 10, p. 4.

19 Le Commissaire à l'information et à la protection de la vie privée de la Colombie-Britannique, << Key Steps in Responding to Privacy Breaches >>,

http://www.oipcbc.org/pdfs/Policy/Key_Steps_Privacy_Breaches_(Dec_2006).pdf. p. 3. (<< Key Steps – C.-B. >>).

20 CIPVP – BC et CIPVP – ON, << Breach Notification Assessment Tool >>, décembre 2006, http://www.oipc.bc.ca/pdfs/Policy/ipc_bc_ont_breach.pdf.

21 C’est en substance ce que le gouvernement général semble vouloir proposer pour la LPRPDE selon les communiqués de presse.

22 Cela élimine le critère de l’importance pour le risque, mais maintient le critère de la gravité pour le préjudice.

23 Cela nécessite que le risque se rapporte aux normes législatives pour le traitement des renseignements. Il n’est pas question du préjudice en tant que tel, mais on présume que les normes législatives ont été créées pour empêcher le préjudice. C’est ce que recommande le CIPPIC dans son mémoire au Parlement en janvier 2008. Mémoire du CIPPIC à Industrie Canada concernant les enjeux de la réforme de la LPRPDE : http://www.cippic.ca/uploads/CIPPIC_PIPEDAsubm_15Jan08.pdf, page 8 in fine.

24 Voir la discussion ci-dessous au paragraphe 45 en matière de contrôle de l’application.

25 K. Kiefer Peretti, << Data Breaches >>, ci-dessus, note 12, à la page 28 : [TRADUCTION] << Ces exigences en matière de déclaration sont essentielles à la capacité des policiers d’enquêter sur ce types d’actes criminels qui mettent en cause des atteintes à la protection des données à grande échelle. >> L’auteur est un avocat du département américain de la Justice.

26 Voir le mémoire du CIPPIC sur la LPRPDE, ci-dessus, note 23 page 6.

27 Le terme commissaire à la vie privé << compétent >> évite les préoccupations relatives à la constitutionnalité des lois particulières. Le Québec a contesté la constitutionnalité des règles relatives au respect de la vie privée de la LPRPDE. L’issue de cette contestation peut avoir une incidence sur la question de savoir quel commissaire à la vie privée aura le pouvoir d’agir, et ainsi sur les questions de savoir lequel est << compétent >> à l’égard de cette obligation. Cette question dépasse l’objet de cette étude.

28 Voir ci-dessus le paragraphe 25.

29 L’étude des autres recours – en particulier de nature civile – que la loi peut permettre et, a fortiori, leur formulation dépassent l’objet de cette étude. Voir cependant la discussion au paragraphe 53 in fine.

30 Les renseignements d’Industrie Canada sont accessibles à http://www.ic.gc.ca/epic/site/oca­bc.nsf/fr/h_ca02226f.html.

31 Voir par exemple Pisciotta v. Old National Bankcorp, (2007) 7th circuit Court of Appeals : http://www.techlawjournal.com/courts/2007/pisciotta_onb/20070823.pdf. À l’instar des tribunaux canadiens, les tribunaux américains sont réticents à l’idée d’accorder des dommages-intérêts au titre de la simple perte économique, comme ils ont caractérisé le préjudice résultant du vol d’identité, en dépit du stress psychologique et le temps consacré à se construire une bonne réputation. Voir A. Ramasastry, << Stolen Laptops and Data Theft >>, Findlaw.com le 15 juin 2006 : http://writ.news.findlaw.com/ramasastry/20060615.html; cependant un tribunal a récemment refusé de rejeter un recours collectif basé sur des faits similaires.

32 Voir la discussion sur les mesures de rechange au paragraphe 53 in fine ci-dessous. Une étude britannique sur les dommages-intérêts accordés en cas d’atteintes intentionnelles au respect de la vie privée prouve qu’ils sont encore peu élevés. Farrer & Co., << Privacy Damages and Harassment >>, janvier 2008, http://www.farrer.co.uk/Default.aspx?sID=17&cID=974&ctID=11.

33 La loi est rapportée sur Out-law.com le 12 mai 2008 : http://www.out-law.com/page-9110.

34 Le droit américain en général offre une vérification gratuite par an. Les victimes du vol d’identité bénéficient toujours de droits additionnels pour procéder à une vérification gratuite.

35 Les dispositions sur le gel de l’accès au crédit en particulier sont analysées par les associations de consommateurs : http://www.consumersunion.org/campaigns//learn_more/003484indiv.html. Voir aussi http://www.financialprivacynow.org et http://www.pirg.org/consumer/credit/statelaws.htm.

36 Un certain nombre de services privés offrent ce qu’ils prétendent être des méthodes pour empêcher le vol d’identité ou y remédier. Pour une étude de ces services, voir http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9083098.

37 Il y a encore un risque que quelqu’un utilise un compte existant, plutôt que d’en ouvrir un nouveau.

38 Le groupe de travail de la CHLC n’a pas encore consulté les agences d’évaluation du crédit des consommateurs sur l’opportunité ou la gestion d’une telle exigence.

39 Pour un bref résumé à la fin de l’année 2006, voir le rapport du Commissaire à la protection de la vie privée du Canada pour le Parlement, annexe VI : << Aperçu des lois américaines en matière de notification des atteintes à la protection des données >> : http://www.privcom.gc.ca/parl/2007/sub_070222_06_f.asp. Un tableau très approfondi en matière de notification des atteintes à la sécurité est fourni par le cabinet d’avocats Perkins Coie à http://www.digestiblelaw.com/files/upload/securitybreach.pdf.

40 L’auteur n’est pas certain si la LPRPDE est censée s’appliqué à tous les renseignements personnels dans les territoires.

41 La nature, l’étendue et la fonction de ces dispositions sont décrites dans des documents du bureau de protection de la vie privée du ministère californien des affaires des consommateurs. Un aperçu en est fourni dans le document intitulé << How to Use the California Identity Theft Registry: A Guide for Victims of ‘Criminal’ Identity Theft >>, accessible à l’adresse suivante : http://www.privacy.ca.gov/cover/identitytheft.htm.

42 << Report of the BJS/SEARCH National Focus Group on Identity Theft Victimization and Criminal Record Repository Operations >>, du Bureau of Justice Statistics et du National Consortium for Justice Information and Statistics (SEARCH), page 3, accessible en ligne à l’adresse suivante : http://www.search.org/files/pdf/NatFocusGrpIDTheftVic.pdf.

43 << How to use the California Identity Theft Registry: A Guide for Victims of ‘Criminal’ Identity Theft >>, California Department of Consumer Affairs Office of Privacy Protection, page 2, accessible en ligne à http://www.oispp.ca.gov/consumer_privacy/consumer/documents/pdf/cis8englsih.pdf.

44 Présentation de Beth Givens, Directrice, Privacy Rights Clearinghouse, lors du sommet tenu en Californie sur le vol d’identité en 2005, accessible en ligne à http://www.privacyrights.org/ar/CASummit-CrimIT.htm, << Establishing a National Research Agenda on Identity Management and Information Protection: Report of the CIMIP Identity Management Research Workshop >>, pages 16, 28. Center for Identity Management and Information Protection, Utica College, juillet 2007. Les documents de recherche de cette organisation sont accessibles en ligne à www.cimip.org.

45 Voir, par exemple, << Identity Fraud Trends and Patterns: Building a Data-Based Foundation for Proactive Enforcement >>, Gordon, Rebovich, Choo, Gordon, Center for Identity Management and Information Protection, Utica College, octobre 2007.

46 << First Estimates from the National Crime Victimization Survey: Identity Theft, 2004 >>, Katrina Baum, Bureau of Justice Statistics Bulletin, avril 2006.

47 Federal Trade Commission 2006 Identity Theft Survey Report, aux pages 61-4, Synovate, novembre 2007.

48 Voir, par exemple, << Report on Identity Theft >>, Groupe de travail binational sur les fraudes transfrontalières par marketing de masse, octobre 2004, disponible à l’adresse suivante : http://www.ps-sp.gc.ca/prg/le/bs/report­fr.asp#ftn02.

49 De nombreux rapports comprennent des déclarations anecdotiques convaincantes. Voir, par exemple, << Identity Theft >> dans Problem Oriented Guides for Police: Problem Specific Guide Series No. 25, pages 17-19, Office of Community Oriented Policing Services, United States Department of Justice, presentation de Beth Givens, supra.

50 De nombreux articles décrivent ces aspects du problème, notamment Report of the BJS/Search Focus Group, supra, aux pages 4-5, << Report of the National Task Force on the Commercial Sale of Criminal Justice Record Information >>, The National Consortium for Justice Information Statistics, 2005, disponible à l’adresse suivante : http://www.search.org/files/pdf/RNTFCSCJRI.pdf.

51 Groupe de réflexion, supra, à la page 8.

52 Groupe de réflexion, supra, à la page 6.

53 Voir, par exemple, << Do you have the Background Check Blues >> dans Privacy Update No.1:8, 17 décembre 2003, Privacy Rights Clearinghouse. Ce document est disponible à l’adresse suivante : http://www.privacyrights.org/newsletter/031217.htm#3.

54 Groupe de réflexion, supra, à la page 6.

55 Groupe de réflexion, supra, à la page 7.

56 Minnesota HF 1943, Session 84, Wyoming Senate File SF0053, Arizona HB 2716, Illinois, 20 ICLS 2630/5(b).

57 How to use the California Identity Theft Registry, supra, aux pages 2-3.

58 How to use the California Identity Theft Registry, supra, a la page 5.

59 How to use the California Identity Theft Registry, supra, a la page 6.

60 California Penal Code 530.6, 851.8(a)-(d).

61 California Penal Code 851.8(h).

62 Témoignage de Joanne McNabb, Chief, California Office of Privacy Protection, 21 mars 2007, Senate Judiciary Committee. Ce témoignage est disponible a l’adresse suivante : http://judiciary.senate.gov/testimony.cfm?id=2582&wit_id=6196. Voir également << Locking up the Evil Twin: A Summit on Identity Theft Solutions >>, 1er mars 2005, a la page 8. Ce document est disponible a l’adresse suivante : http://www.idtheftsummit.ca.gov/2005_report.pdf.

63 << Identity Theft Victim Verification/Passport Demonstration Program >>, Office for Victims of Crime, Department of Justice, février 2004, disponible a l’adresse suivante :

http://www.ojp.usdoj.gov/ovc/fund/pdftxt/idtheftsolicitation.pdf, << Passport Helps Rescue Ohio Identity Theft Victims >>, Nevin Barich, National Notary Association, Notary News 15 août 2005, Voir également http://www.haskinspolice.org/pages/programs/passport-program.php.

64 << Identity Theft Statutes and Criminal Penalties >>, 13 juin 2006, << 2007 Enacted Identity Theft Legislation >>, National Conference of State Legislatures, disponible a l’adresse suivante : http://www.ncsl.org/programs/lis/privacy/idt-legis.htm.

65 << Combating Identity Theft: A Strategic Plan >>, avril 2007, President’s Task Force on Identity Theft, disponible a l’adresse suivante : http://www.idtheft.gov/reports/StrategicPlan.pdf.

66 << Identity Theft Verification PASSPORT Program: Fiscal Year 2006 Annual Report >>, Crime Victim Services Section, Office of the Ohio Attorney General, disponible a l’adresse suivante : http://www.ag.state.oh.us/victim/pubs/06passport_report.pdf.

67 << The National Crime Information Center Identity Theft File >> Vernon M. Keenan, Director, et Marsha O’Neal, Criminal Justice Information System Operations Manager, Georgia Bureau of Investigation, Decatur, Georgia, disponible a l’adresse suivante :

http://policechiefmagazine.org/magazine/index.cfm?fuseaction=display_arch&article_id=1186&issue_id=52007. Voir également, Groupe de réflexion, supra, a la page 8, << National Crime Information Center (NCIC) Technical and Operational Update >>, 06-1, 28 avril 2006, disponible a l’adresse suivante : http://judiciary.senate.gov/testimony.cfm?id=2582&wit_id=6196. Ce renseignement ne peut être inclus qu’avec le consentement de la victime, << National Crime Information Center (NCIC) Technical and Operational Update, 06-1, 06-1, 28 avril 2006, disponible a l’adresse suivante :

http://judiciary.senate.gov/testimony.cfm?id=2582&wit_id=6196, << Information Bulletin 05-14BCIA >>, National Crime Information Center (NCIC) Identity Theft File, California Department of Justice, 1er juin 2005.

67 Par exemple, les questions constitutionnelles sur ce sujet ont été un élément abordé dans les consultations portant sur la création d’un Fichier de données génétiques sur les personnes disparues, disponible a l’adresse suivante : http://ww2.ps-sp.gc.ca/publications/Policing/mpi/index_f.asp#7.

68 Par exemple, les questions constitutionnelles sur ce sujet ont été un élément abordé dans les consultations portant sur la création d’un Fichier de données génétiques sur les personnes disparues, disponible a l’adresse suivante : http://ww2.ps-sp.gc.ca/publications/Policing/mpi/index_f.asp#7.

69 Loi sur l'identification des criminels, L.R.C. 1985, c. I-1, paragr. 2(1).

70 Loi sur la protection des renseignements personnels et les documents électroniques 2000 c.5, Annexe 1, Principe 4.3. L’exemption relative aux organismes d'enquête désignés ne s’applique pas dans le cadre des vérifications d’antécédents.

71 Voir, par exemple, les instructions du service de dactyloscopie a des fins civiles de la GRC disponibles a l’adresse suivante : http://www.rcmp-grc.gc.ca/crimrec/finger2_f.htm.

72 Les deux documents mentionnés dans ces paragraphes ont été préparés par Jeanne Proulx, avocate-légiste, Québec. Ils s’intitulent << Protection contre l’appropriation d’information, volet prévention >> et << Appropriation d'information, grille d'analyse >>. Malheureusement, en raison de la taille de ces documents, ils ne pouvaient pas être inclus au présent rapport, mais ils peuvent être mis a disposition sur demande.

Réunion annuelle

Réunion annuelle 2017

Hotel Saskatchewan

Regina, SK

du 13 au 17 août, 2017
Creative Commons Licence
This work is licensed under a Creative Commons Attribution 2.5 Canada License
L'usage de cette œuvre est autorisé selon les dispositions de la Licence Creative Commons Attribution 2.5 Canada