Délocalisation Et Protection Des Renseignements Personnels

L’ennemi numéro un d’Internet, c’est assurément la peur. Un nouvel exemple provient de ce titre choc du Observer selon lequel “New data theft scandal rocks subcontinent’s call centres“. Il est vrai que la standardiste Quitte à être manichéiste, autant que ce soit une femme. indienne, «voleuse de job», remplit bien ce rôle de «générateur de craintes»: et la «standardiste indienne» est pour les nords-américains ce que le «plombier polonais» est pour les européens de l’ouest. Dans le cas qui nous intéresse, c’est loin, c’est méconnu, et maintenant, ça vole nos données personnelles.

L’article est un tantinet irritant car, l’auteur l’avoue, aucune preuve n’est encore disponible:

Although nobody has yet been found guilty of wrongdoing, the affair will raise fears about cyber crime and data protection in India.

Certes, dit-il, il y a eut, semble-t-il encore, des précédents: un plus tôt cette année et un autre l’an dernier. Mais comment pourrait-il en être autrement; il existe des dizaines de cas (pour ne pas dire des centaines), juste chez nous au Canada, et ce, sans compter ceux qui concernent les États-Unis où l’on ne peut, comme en Inde, rien faire.

Rappelez-vous en novembre dernier l’incapacité déclarée par le Commissariat à la protection de la vie privée du Canada de contrer les activités, ayant pourtant «pignon sur Web» du site Abika. Ce site émettait en effet des rapports d’antécédents et même des rapports psychologiques avec de l’information ramassée l’on ne sait où. Il semble en émettre toujours…

Bien sûr, et sans être un expert de droit indien de la vie privée, une simple recherche dans votre moteur de recherche favori semble clairement montrer que ce domaine du droit n’est pas une priorité démesurément prioritaire de l’État indien. On évoque une volonté déclarée de durcir le droit; pourtant, au meilleur de notre connaissance, rien n’a encore vu le jour.

Ce que ne dit également pas le journaliste du Observer c’est que les occidentaux qui transmettent des renseignements personnels à des tiers indiens pour les traiter doivent s’assurer que ces derniers respectent un niveau adéquat de sécurité. C’est vrai au Québec, notamment avec la Loi sur la protection des renseignements personnels dans le secteur privé qui dispose à son article 17:

«La personne qui exploite une entreprise au Québec et qui communique à l’extérieur du Québec des renseignements relatifs à des personnes résidant au Québec ou qui confie à une personne à l’extérieur du Québec la tâche de détenir, d’utiliser ou de communiquer pour son compte de tels renseignements doit prendre tous les moyens raisonnables pour s’assurer:

1° que les renseignements ne seront pas utilisés à des fins non pertinentes à l’objet du dossier ni communiqués à des tiers sans le consentement des personnes concernées sauf dans des cas similaires à ceux prévus par les articles 18 et 23;

2° dans le cas de listes nominatives, que les personnes concernées aient une occasion valable de refuser l’utilisation des renseignements personnels les concernant à des fins de prospection commerciale ou philanthropique et de faire retrancher, le cas échéant, ces renseignements de la liste.»

C’est également vrai au regard de la Loi canadienne sur la protection des renseignements personnels et les documents électroniques qui, dans son annexe 1, prévoit à l’article 4.1.3.:

«Une organisation est responsable des renseignements personnels qu’elle a en sa possession ou sous sa garde, y compris les renseignements confiés à une tierce partie aux fins de traitement. L’organisation doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie.»

Disons que ce ne me paraît pas être la meilleure illustration des problèmes liés aux délocalisations…

Comments

  1. Vincent – your analysis is too shrill. I’ve seen nothing to suggest that my analysis in the National Post in 2004 isn’t broadly correct.

    The Indian protections on personal information are physically tighter than here, because so much more is at stake in economic terms.

    I also take issue with the idea that Indian law values privacy less highly. The Supreme Court of India in the case of R. Rajagopal v/s. State of Tamil Nadu, reported in AIR 1995 SC 264, has confirmed that the right to privacy is implicit in the right to life and liberty, guaranteed to the citizens of India by Article 21 of the Constitution.
    The amendments to the IT Act reported at http://www.mit.gov.in/itact2000/Summary-final.doc should go a long way towards redressing any concerns.

  2. After reading you paper Simon, I don’t really measure why the position of my post is too “shrill”.

    Confidence, and particulary Confidence in privacy perspective is not accessible by an only way; you mentioned “technology” as an efficience way to control information: sure. It’s in fact an important tool to gain confidence in privacy issues… But not the only one.

    If India want to be seen in the world as a privacy paradise country, why did they don’t have a privacy law yet? Law could have a great marketing effect; a great opportunity to say to ther world “I’m diligent with your information”. It could be a great guide to businesses to manage confidential information too; a guide that India constitution of course didn’t give.

    Law as a guide: that’s why even in USA many large firms (Google – eBay – Microsoft) ask for a comprehensive privacy legislation (see declaration here); and not just technology and not just private norms.

    I have the feeling to defend an other position I took in my post: this post was in fact in opposition with the Observer Paper dealing with “Fear”.