Confidentialité dans le cyberespace


Dr. Jasmine Alex

Mon fils, quand il avait six ans, s'est opposé avec véhémence à l'un de mes proches qui prenait ses photos dans une fonction familiale. Étant embarrassé parmi la foule à cause de ses cris discourtois, j'ai demandé pourquoi il était si franc dans une telle réunion de famille et il a révélé frénétiquement son aversion et son appréhension pour ses photos téléchargées immédiatement par ces oncles et tantes sur le «  Facebook ''. Ce fut un incident très personnel qui m'a ouvert les yeux, vers la véritable compréhension de l'expression "droit à la vie privée en tant que droit humain inaliénable, inhérent, inné, naturel et fondamental"; même un doli incapax(1) qui est exempté par la loi de la responsabilité de ses actes en raison de son incapacité à comprendre, l'immaturité et la vulnérabilité, a une réalisation innée de son droit à la vie privée (2)! Cette réalisation naturelle et interne est le point central de la jurisprudence sur les droits à la vie privée comme l'a observé Brandies, J .:

"… La solitude et l'intimité sont devenues plus essentielles pour l'individu; mais l'entreprise et l'invention modernes l'ont, par des atteintes à sa vie privée, le soumettant à une douleur et à une détresse mentales, bien plus importantes que celles qui pourraient être infligées par de simples blessures corporelles. Le droit" d'être encore moins "représentait ainsi une manifestation de" une personnalité inviolée ", un noyau de liberté et de liberté dont l'être humain devait être à l'abri des intrusions." (3)

Si tel est le cadre, le contenu et la nature de l'intégration du droit à la vie privée à sa propre personne, la fraternité juridique doit aborder ce droit plus sérieusement, en particulier dans cette cyber-ère.

Les progrès de la science et de la technologie ont ouvert de nouveaux horizons sur la mobilité (découverte des connaissances géographiques), l'exploration de données, le cloud computing, etc., qui apportent des résultats imprévus et sans précédent en matière de collecte, d'analyse et de traitement des données en termes d'exactitude, d'efficacité et d'économie de temps, argent et main d’œuvre. Même s'ils offrent des avantages considérables, ils posent certains défis pour la protection juridique en déniant les compétences territoriales de la cour ou du tribunal; mais le défi majeur est la menace pour la «  vie privée '', qui a été reconnue comme un droit fondamental dans le champ d'application de l'article 21 (4) et de l'article 19 (1) (a) (5) de la Constitution de l'Inde, par voie judiciaire.

Après l'avènement du cyberespace, n'importe qui peut accéder à n'importe quelle information relative à n'importe quoi ou à n'importe qui, n'importe où et à tout moment. N'importe qui peut télécharger des données dans le cyberespace et les conserver simplement sur le Web, comme par le passé quelque chose de précieux était gardé en sécurité par nos aînés dans une commode. La mondialisation a donné une acceptation plus large à cette cyber-technologie dans le monde entier; Le commerce électronique, la gouvernance électronique, l'apprentissage en ligne, les tribunaux électroniques, etc., ont rendu les affaires quotidiennes très faciles. Le récent verrouillage dans le monde entier, nécessitant un travail à domicile et l'urgence de lutter contre les éclats de pandémie ont également rendu nécessaire la dépendance croissante à l'égard des cyberdonnées. La collecte, le stockage, l'accès, le traitement et l'élimination de ces données soulèvent la tâche de résoudre de nombreux problèmes juridiques, dont le plus fondamental, à savoir le droit à la vie privée en ce qui concerne les cyber-données, est discuté ici.

Toute discussion sur la confidentialité des données dans le cyberespace doit se concentrer sur le droit humain fondamental et le droit fondamental à la vie privée, émanant du noyau dur, le «droit à la vie et à la liberté personnelle». Une vue d'ensemble de la préoccupation internationale concernant le droit à la vie privée et à la protection des données met en évidence l'obligation des États parties d'assurer la jouissance du droit à la vie privée des citoyens à travers un cadre juridique (6). Même en l'absence de loi, l'Inde est tenue en droit public de protéger le droit fondamental de ses citoyens, en respectant son engagement international (7).

Résolution internationale sur le droit à la vie privée et à la protection des données

Il convient de noter que la Déclaration universelle des droits de l'homme, 1948 (DUDH) (8) et le Pacte international relatif aux droits civils et politiques, 1966 (PIDCP) (9) ont expressément affirmé que le droit à la vie privée fait partie intégrante des droits individuels. qui ne peut être arbitrairement gêné. Le Comité des droits de l'homme des Nations Unies, dans son Observation générale n ° 16 sur l'article 17 du Pacte international relatif aux droits civils et politiques, a déclaré que "la collecte et la conservation d'informations personnelles sur des ordinateurs, des banques de données et d'autres appareils, que ce soit par des autorités publiques ou des particuliers ou des organismes privés, doivent être Les États doivent prendre des mesures efficaces pour veiller à ce que les informations concernant la vie privée d'une personne ne parviennent pas à des personnes qui ne sont pas autorisées par la loi à les recevoir, à les traiter et à les utiliser, et ne soient jamais utilisées à des fins incompatibles avec Afin d'avoir la protection la plus efficace de sa vie privée, toute personne devrait avoir le droit de vérifier de manière intelligible si, et si oui, quelles données personnelles sont stockées dans des fichiers de données automatiques et à quelles fins. " (dix). La Convention relative aux droits de l'enfant, 1989 (11) oblige les parties à la convention à garantir le droit à la vie privée des enfants également de la même manière qu'elle est tenue de le garantir dans le cas des adultes. La Convention internationale sur la protection de tous les travailleurs migrants et des membres de leur famille, 1990 (12) garantit également la protection de la vie privée des migrants. Le traité de Budapest sur les cybercrimes, 2001 (13) est le résultat de la prise de conscience par les États membres de la nécessité de poursuivre, en priorité, une politique pénale commune pour la protection de la société contre les cybercrimes, entre autres, en adoptant une législation appropriée et en encourageant la coopération internationale. Les parties au traité sont préoccupées par le risque que les réseaux informatiques et les informations électroniques soient également utilisés à mauvais escient pour commettre des infractions pénales, y compris celles portant atteinte à la vie privée des individus. Le traité de Budapest vise à dissuader les actions dirigées contre la confidentialité, l'intégrité et la disponibilité des systèmes informatiques, des réseaux et des données informatiques ainsi que l'utilisation abusive de ces systèmes, réseaux et données en prévoyant l'incrimination de tels comportements. Le traité confirme les mandats de tous les traités internationaux relatifs aux droits de l'homme applicables, qui réaffirment le droit de chacun d'avoir des opinions sans ingérence, ainsi que le droit à la liberté d'expression, y compris la liberté de rechercher, de recevoir et de communiquer des informations et des idées à tous. quelles que soient les frontières et les droits concernant le respect de la vie privée. Il défend également le droit à la protection des données à caractère personnel, tel que conféré, par exemple, par la Convention du Conseil de l'Europe de 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (14). En 2013, l'Assemblée générale des Nations Unies a adopté une résolution visant à protéger la vie privée des individus en ligne, de la même manière que la protection hors ligne, "reconnaissant la nature mondiale et ouverte d'Internet et le progrès rapide des technologies de l'information et des communications comme moteur de accélérer les progrès vers le développement sous ses différentes formes "(15). Les traités du Conseil de l'Europe, principalement, Convention de sauvegarde des droits de l'homme et des libertés fondamentales, 1950, Convention pour la protection des personnes à l'égard du traitement automatisé des données personnelles, 1981(16) et Protocole additionnel à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, concernant les autorités de contrôle et les flux de données transfrontaliers, 2001(17) exposer l'obligation internationale de protéger le droit à la vie privée dans le cyber régime. Protocole modifiant la Convention pour la protection des personnes à l'égard du traitement automatique des données personnelles, 2018(18) est un autre document visait à améliorer la Convention originale de 1981 en tenant compte des défis posés par les nouvelles formes de technologies de l'information et de la communication (TIC) qui sont apparues au cours des décennies suivantes. La Convention américaine des droits de l'homme, 1969 (19) défend le droit à la vie privée reconnu par la DUDH et d'autres pactes internationaux. En 2014, l'Union africaine a adopté la Convention sur la cybersécurité et la protection des données personnelles. En dehors de ceux-ci, nous pouvons identifier un certain nombre d'autres documents régionaux qui affirment très fortement le respect du droit à la vie privée (20), en accordant une attention particulière à la protection des données et des informations.

Chaque fois qu'un problème de confidentialité se pose en ce qui concerne les données liées à la cyber, l'obligation des États parties d'assurer la protection du droit à la vie privée des individus est d'une importance capitale. Cela signifie que rien ne peut empêcher un individu d'assurer et de réaliser le droit à la vie privée en ce qui concerne ses données déposées / stockées dans le cyberespace, le réseau informatique ou le système électronique. Et la communauté internationale a toujours exprimé sa détermination à défendre fermement les droits à la vie privée des individus contre l'État ainsi que contre les entités privées. Les États parties sont tenus de légiférer sur les mandats des conventions / traités, pour lesquels la ratification a été accordée par les gouvernements respectifs. Dans ce contexte international, voyons dans quelle mesure le système juridique indien s'ensuit en suivant ce mandat concédé par la communauté internationale. L'article 51 (c) de la Constitution de l'Inde émet une directive à l'État pour s'efforcer de favoriser le respect du droit international et des obligations conventionnelles. Avec l'aide de l'article 51 (c), le pouvoir judiciaire suprême a pu inscrire dans la partie III de la Constitution le grand nombre de droits découlant de diverses déclarations, chartes et conventions internationales ratifiées par l'Inde. Dans S R Bommai v. Union de l'Inde(21), la Cour suprême a clairement déclaré que les dispositions d'un pacte international qui élucident et visent à mettre en œuvre les droits fondamentaux garantis par notre constitution peuvent clairement être invoquées par les tribunaux en tant que facettes de ces droits fondamentaux et donc exécutoires en tant que telles. À la lumière de notre engagement international, ce discours sur le droit à la vie privée comprend deux volets; à savoir, la phase de reconnaissance du droit à la vie privée et la phase de droit à la protection des données et informations relatives à un individu afin de garantir le droit à la vie privée.

Droit à la vie privée en Inde

Le droit à la vie privée a été formulé sans équivoque comme un droit fondamental par la cour suprême de l'Inde par l'arrêt historique dans: K.S. Puttaswamy (Retd) v Union de l'Inde (22). Le banc des neuf juges a déclaré:

"Le droit à la vie privée est protégé en tant que partie intrinsèque du droit à la vie et à la liberté individuelle en vertu de l'article 21 et en tant que partie des libertés garanties par la partie III de la Constitution."

En réalité, Putaswamy n'a pas posé un beau principe nouveau concernant le droit à la vie et à la liberté personnelle au droit constitutionnel indien un beau matin. Le résultat remarquable de la Puttaswamy L'affaire avait évolué tout au long du processus judiciaire au cours des dernières années. La prémisse du «droit à la vie et à la liberté personnelle» exposée dans Maneka Gandhi v Union de l'Inde(23) s'était développée au fil des années grâce à la créativité judiciaire de nos savants juges de la Cour suprême (24). En outre, l'incohérence résultant de deux arrêts antérieurs (25) avait également été conciliée pour déclarer sans équivoque et explicite que le droit à la vie privée est un droit fondamental qui relève de la liberté individuelle d'un individu. Citant les prépositions de John Stuart Mill dans son essai, «On Liberty» (1859), Chandrachud, J., A exprimé la nécessité de préserver une zone dans laquelle la liberté du citoyen serait libre de l'autorité de l'État (26) . Selon Mill:

"La seule partie de la conduite de quiconque, pour laquelle il se prête à la société, est celle qui concerne les autres. Dans la partie qui ne concerne que lui-même, son indépendance est, de droit, absolue. Sur lui-même, sur son propre corps et l'esprit, l'individu est souverain. " Tout en parlant d'une "lutte entre la liberté et l'autorité", la tyrannie de la majorité pourrait être freinée par la reconnaissance de droits civils tels que le droit individuel à la vie privée, la liberté de parole, de réunion et d'expression. "

À la fin d'un voyage à travers la division aristotélicienne entre la sphère publique des affaires politiques (qu'il nomma polis) et la sphère personnelle de la vie humaine (nommée oikos), évolution jurisprudentielle comparative du concept de droit à la vie privée, traités de John Stuart Mill, James Madison, Warren et Brandeis, Thomas Cooley, William Blackstone, Roscoe Pound, Ronald Dworkin etc., et surtout la philosophie juridique traditionnelle indienne, le Puttaswamy le tribunal a assimilé la «vie privée» comme le besoin fondamental de chaque individu de vivre dans la dignité. Le tribunal l'a reconnu comme un droit naturel et inaliénable et a confirmé le point de vue selon lequel la vie privée est concomitante au droit de l'individu d'exercer un contrôle sur sa personnalité (27).

En outre, la position selon laquelle "les dispositions constitutionnelles doivent être lues et interprétées de manière à améliorer leur conformité avec les instruments internationaux relatifs aux droits de l'homme ratifiés par l'Inde" a de nouveau été affirmée. L'arrêt conclut également que la vie privée est une condition nécessaire à l'exercice significatif d'autres libertés garanties.

Un respect similaire du droit à la vie privée d'un individu en tant que droit constitutionnel fondamental se reflète également dans d'autres juridictions. En 2018, dans la décision historique de Charpentier v. NOUS(28) La Cour suprême des États-Unis a jugé que l'État était tenu de veiller à ce que le «progrès de la science» n'érode pas la protection du quatrième amendement (29) garantissant la vie privée. La Cour a jugé que le gouvernement violait le quatrième amendement à la Constitution des États-Unis en accédant à des documents historiques contenant les emplacements physiques des téléphones portables sans mandat (30). Roberts, C.J., a noté que "le développement de la technologie a obligé le tribunal à trouver des moyens de protéger la vie privée du gouvernement même lorsque les outils de surveillance ont amélioré la capacité du gouvernement à empiéter sur des zones normalement protégées des regards indiscrets". Il est intéressant de voir que le très célèbre point de vue dissident de Brandies, J., dans Olmstead v. États Unis(31) est devenu le ratio Charpentier. Brandies, J., a souligné: «Les rédacteurs de la Constitution américaine ont cherché à protéger les Américains dans leurs croyances, leurs pensées, leurs émotions et leurs sensations. C'est pour cette raison qu'ils ont établi, contre le gouvernement, le droit de être encore moins le droit le plus complet et le droit le plus apprécié des hommes civilisés. Pour protéger ce droit, toute intrusion injustifiable du gouvernement dans la vie privée de l'individu, quels que soient les moyens employés, doit être considérée comme une violation du quatrième amendement. … ".

En Angleterre, le droit à la vie privée évoluait en tant qu'élément délictuel en common law; distinct du délit d'intrusion ou du délit d'agression. L'introduction de la loi de 1998 sur les droits de l'homme, incorporant la Convention européenne des droits de l'homme dans le droit interne, offre une protection explicite des droits de l'homme à la vie privée des individus.

Par conséquent, le «droit à la vie privée» est identifié et établi comme le droit le plus fondamental à l'existence d'un être humain par le monde judiciaire. Avec cette prémisse, la prochaine question relative à la nécessité de protéger le droit à la vie privée dans le cyberespace doit être examinée.

Problèmes de confidentialité liés aux données et informations personnelles dans le cyberespace

Aujourd'hui, le sens de l'information a acquis différentes significations en termes de production, de collecte, d'analyse, de stockage et d'accès à l'aide de cyber-outils et d'Internet. De la même manière, la définition des données personnelles a également été redéfinie. Par exemple, les informations personnelles de l'utilisateur peuvent être facilement générées en suivant son mouvement sur diverses plates-formes Internet comme les médias sociaux, les transactions en ligne, l'historique de navigation, etc. Cela fait de nouveau avancer le dilemme de ce qui constitue les informations privées et personnelles. Dans le monde actuel des internautes, il y a deux points de vue différents et extrêmes, c'est-à-dire qu'une école croit en la protection de la vie privée d'un individu en tant que vertu primordiale, comme dans le monde réel; mais l'autre école pense qu'il n'y a pas du tout de vie privée lorsque l'internaute entre dans le monde du Web. En d'autres termes, il y a une confusion quant à ce qu'est la vie privée et à ce qu'elle n'est pas, dans un cyber-monde (32). Il est tout à fait vrai que la protection autrefois assurée aux personnes ayant des barrières géographiques a été supprimée par le World Wide Web, dont l'avènement menace sa propre existence et sa vie privée, même à l'intérieur des quatre murs de sa propre chambre (33).

Invasion en ligne de la vie privée

La vie privée d'un individu peut être envahie en ligne, le plus souvent, à son insu. Il y aura deux aspects que nous devrons garder à l'esprit; (i) la personne entrant dans le monde du Web dans presque tous les cas, est une personne ayant une compréhension limitée du fonctionnement de diverses commandes, emplacements, cookies, crochets et escrocs par lesquels la technologie exploite des informations sensibles et précieuses, etc., pour auquel il répondra sans aucune hésitation. De nombreuses personnes entreprennent leurs opérations sur Internet avec la conviction que leurs activités en ligne sont anonymes. Ils peuvent être enregistrés virtuellement. Les données auxquelles l'abonné accède, les sites Web visités et les courriels lus, etc., seraient surveillés et copiés par les fournisseurs de services et par les exploitants de sites Web. Les informations et la confidentialité d'une personne peuvent être menacées par une menace d'invasion lors de la génération, du stockage, de la transmission et du traitement par le système lui-même ou par les fournisseurs de services Internet (FAI) ou les sites Web ou en raison d'un logiciel espion. Encore une fois, lorsque nous surfons sur le Web, de nombreux sites Web déposent des données sur notre visite, appelées «cookies», et les données des cookies révèlent que nous y sommes déjà allés (34). Dans une décision de 2019 de la Cour de justice de l'Union européenne (CJUE) impliquant le consentement à l'utilisation de cookies par une société commerciale allemande appelée «Planet49», la Cour a jugé que «(i) le consentement aux cookies ne peut pas être légalement établi par le l'utilisation de cases pré-cochées, et (ii) tout consentement obtenu concernant les cookies ne peut pas être suffisamment informé conformément à la loi applicable si l'utilisateur ne peut pas raisonnablement comprendre comment les cookies utilisés sur un site Web donné fonctionneront. "(35)

Il convient de noter que les implications juridiques de l'utilisation de cookies pour collecter des informations sur les utilisateurs ont été Double clic (36) Dans cette affaire, la Cour a rejeté les demandes présentées par les plaignants en vertu de la loi sur la protection des communications électroniques, la loi sur la fraude et les abus informatiques et la loi sur l'écoute électronique, Google-DoubleClick 's l'utilisation et le placement de «cookies» sur les ordinateurs des plaignants. Double clic utilisé ces "cookies" pour recueillir des informations sur l'utilisation par les utilisateurs des sites Web Double clic. Double clicLes utilisateurs de '' ont consenti à une telle collecte d'informations, mais pas avec une conscience délibérée, le tribunal a jugé que Double clicLes activités de cette organisation n'étaient contraires ni à la loi sur la confidentialité des communications électroniques ni à la loi sur l'écoute électronique. le Double clic L'approche a maintenant été renversée et les droits à la vie privée des individus ont pris de l'ampleur sur de simples intérêts commerciaux.

Les logiciels espions sont en train de devenir le plus gros ennui pour les ordinateurs de nos jours, dégradant les performances du système, suivant nos habitudes informatiques, faisant apparaître des publicités ennuyeuses et même volant nos informations personnelles importantes. La détection et la suppression des logiciels espions peuvent être difficiles, car elles se produisent sous de nombreuses formes différentes.

Protection des données dans le cyberespace: cadre juridique en Inde

Comme vu précédemment, en raison de l'exigence croissante d'assurer la protection des cyber-données, différents pays ont introduit des lois comme Data Protection Act, 1998 remplacée par Data Protection Act 2018 (UK) (37), Electronic Communications Privacy Act, 1986 (USA) ( 38) etc. de temps en temps; L'Union européenne a promulgué le Règlement général sur la protection des données (RGPD), qui est entré en vigueur le 25 mai 2018, remplaçant la directive sur la protection des données de 1995. En Inde, il n'y a pas un tel cadre juridique complet traitant de la question de la vie privée. Les cyber-défis majeurs sont traités par la loi de 2008 sur les technologies de l'information (loi sur les technologies de l'information) (39), qui a été promulguée avec l'objectif prédominant de faciliter le commerce électronique (40) et, par conséquent, la confidentialité n'était pas une préoccupation majeure. Les règles de 2011 (41) édictées en vertu de la loi sur les technologies de l'information prévoient l'indemnisation d'une personne morale en raison de toute négligence dans la mise en œuvre et le maintien de pratiques et procédures de sécurité raisonnables lors du traitement de données ou d'informations personnelles sensibles. Ces règles prévoient également diverses éventualités telles que l'exigence de consentement, la légalité de l'objectif, le retrait ultérieur du consentement, etc. Néanmoins, ces règles comportent un danger car elles permettent au contrevenant de se soustraire à sa responsabilité, en versant une indemnité à la personne qui a subi une violation de son droit à la vie privée (42). Encore une fois, la clause de la règle 3 qui définit les données personnelles sensibles, exempte toute information qui est librement disponible ou accessible dans le domaine public ou fournie en vertu de la loi de 2005 sur le droit à l'information ou de toute autre loi actuellement en vigueur, hors du champ de compétence des données ou informations personnelles sensibles aux fins du présent règlement. Conformément à la règle 7, "une personne morale ou toute personne en son nom peut transférer des données ou informations personnelles sensibles, y compris toute information, à toute autre personne morale ou personne en Inde, ou située dans un autre pays, qui assure le même niveau de protection des données à laquelle adhère la personne morale conformément aux présentes règles ". Cela crée à nouveau des soupçons quant à l'étendue de la vie privée dont peut bénéficier un individu; Le «niveau de protection des données» envisagé par les règles est-il suffisant pour garantir le droit à la vie privée d'un individu, en particulier lorsque la règle 7 autorise le transfert de données ou informations personnelles sensibles, y compris toute information(43); Quels sont les critères pour déterminer le niveau de protection des données?

Les dispositions pertinentes du Code pénal indien pourraient également être utilisées pour lutter contre les cybercrimes portant atteinte à la vie privée (44). La responsabilité sera fixée sur la base des principes généraux du droit pénal et le condamné sera puni. Lorsque l'accusation ne parvient pas à établir la commission d'une infraction, il n'y a aucune possibilité de protection de la vie privée en vertu du droit pénal. Il y a donc un vide dans le travail du cadre législatif en ce qui concerne la protection des droits à la vie privée dans le cyberespace.

Conformément à la Puttaswamy verdict qui a appelé le gouvernement à créer un régime de protection des données pour protéger la vie privée de l'individu conformément aux obligations internationales, une nouvelle mesure législative à savoir., «  Data Protection Bill, 2019 '' a été présenté à Lok Sabha le 11 décembre 2019 pour assurer la protection des données personnelles des individus, et la création d'une autorité de protection des données, pour le même (45). Il recommande un régime puissant qui équilibre les intérêts individuels et les préoccupations légitimes de l'État. Comme l’arrêt Puttaswamy met en garde, << la formulation d'un régime de protection des données est un exercice complexe qui doit être entrepris par l'État après un équilibre minutieux des exigences de la vie privée couplées à d'autres valeurs que la protection des données sous-sert avec les préoccupations légitimes de l'État. "(46) Par exemple, observe le tribunal," le gouvernement pourrait extraire des données pour garantir que les ressources parviennent aux bénéficiaires visés ". Cependant, le banc s'abstient de fournir des indications supplémentaires sur la question.

Dans le 2019 Le projet de loi prévoit des garanties procédurales en ce qui concerne le traitement des données personnelles par: (i) le gouvernement, (ii) les sociétés constituées en Inde et (iii) les sociétés étrangères traitant des données personnelles de personnes en Inde. Les données personnelles sont identifiées comme "des données qui se rapportent à des caractéristiques, des traits ou des attributs d'identité, qui peuvent être utilisées pour identifier un individu". Il traite des données personnelles, des données personnelles sensibles et des données personnelles critiques. Les droits des individus / du principal des données et les responsabilités du fiduciaire des données sont bien définis. Le fiduciaire des données décide comment les données seront traitées; le but sera également déterminé par le fiduciaire des données. Les droits de la personne ayant recours aux services de fiduciaire de données sont protégés dans le projet de loi en garantissant des mesures de sécurité telles que le chiffrement des données et d'autres mesures visant à empêcher l'utilisation abusive des données. La personne physique ou morale a le droit de (i) obtenir une confirmation du fiduciaire sur le traitement de ses données personnelles, (ii) demander la correction de données personnelles inexactes, incomplètes ou obsolètes, (iii) disposer de données personnelles transférés à tout autre fiduciaire de données dans certaines circonstances, et (iv) restreindre la divulgation continue de leurs données personnelles par un fiduciaire, si cela n'est plus nécessaire ou si le consentement est retiré. Le projet de loi prévoit également la création d'une autorité de protection des données qui pourrait prendre des mesures pour protéger les intérêts des individus et empêcher l'utilisation abusive des données personnelles.

Une autre disposition importante du projet de loi est que Les données personnelles sensibles ne peuvent être transférées en dehors de l'Inde à des fins de traitement que si elles sont expressément acceptées par l'individu et sous réserve de certaines conditions supplémentaires. Attendons de voir avec quelle efficacité cette prochaine loi va protéger le droit à la vie privée des individus.

Protection contre les atteintes à la vie privée: le modèle GDPR

Le Règlement général sur la protection des données, 2018 de l'UE (RGPD) a identifié les données personnelles sensibles comme des données personnelles comprenant des informations sur l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, ou l'appartenance à un syndicat, les données génétiques, les données biométriques, les données concernant la santé ou les données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique. La collecte, le traitement et le traitement des données personnelles sensibles nécessitent un soutien juridique spécial et une documentation conformément au RGPD (47). Les conditions comprennent, l'exigence d'un contrat spécifique avec la personne auprès de laquelle les données sont collectées, et le consentement obtenu en fournissant une information claire concernant la collecte, le traitement, le stockage, les mesures de confidentialité, etc. à la personne (consentement éclairé). Les informations concernant l'archivage des données, à des fins scientifiques ou de recherche ou à des fins gouvernementales, l'accès aux voies de recours, la répudiation des contrats, etc., doivent également être renseignées. Conformément à ce règlement, le juge B.N. Le rapport du comité Srikrishna en 2018 recommandait d'adopter une loi adoptant des mesures spéciales pour garantir la confidentialité des données personnelles sensibles. Ces recommandations ont abouti au projet de loi de 2019 sur la protection des données personnelles, dans lequel des dispositions concernant les données personnelles sensibles et les données personnelles critiques sont incluses. Le projet de loi prévoit que les données personnelles sensibles ne peuvent être transférées en dehors de l'Inde à des fins de traitement que si le consentement explicite de l'individu est obtenu et cela aussi sous réserve de certaines conditions supplémentaires; cependant, ces données personnelles sensibles devraient continuer à être stockées en Inde. Selon le projet de loi, certaines données personnelles notifiées de temps à autre comme données personnelles critiques par le gouvernement ne peuvent être traitées qu'en Inde.

Remarques finales

La technologie nous a maintenant amenés à un moment critique, où nous ne sommes pas en mesure de repérer les horizons vers lesquels les développements évoluent rapidement. Ignorant les toiles dangereuses lancées par les cyber-araignées, des êtres humains innocents sont attirés par les incroyables possibilités créées par le «World Wide Web» et la cyber-technologie. Par conséquent, le pouvoir législatif ainsi que le pouvoir judiciaire doivent rester vigilants pour garantir les droits fondamentaux des individus dans le cyberespace et les opérations numériques, et pour contrôler l'intervention de l'État dans la jouissance des droits fondamentaux, en particulier le droit à la vie privée. Dans le contexte moderne du concept d'État, les organismes chargés par l'État de s'acquitter de ses fonctions relèvent de la compétence du bref. Chaque fois que le «droit à la vie privée et à la protection des données et informations personnelles» est en cause devant le pouvoir judiciaire, un certain nombre de problèmes peuvent surgir dans le processus de règlement du grief relatif à la vie privée. De même, lors de la collecte de données personnelles, de nombreuses questions une politique stricte de collecte de données a été publiée et portée à la connaissance du principal ou de la personne concernée; information recueillie par un organisme autorisé; si le but de l'information est adéquatement transmis à la personne; si le consentement éclairé, qui est l'exigence la plus cruciale, est obtenu; s'il existe un intérêt commercial; si les termes du contrat-cadre de services (48) ont été vérifiés et respectés sur la base d'un «audit technico-juridique» afin de garantir la confidentialité et la sécurité des données; etc., doit être analysé pour examiner la pertinence de la collecte des données et des informations elles-mêmes. Une fois les données recueillies auprès d'une personne ou à son sujet, elles doivent être conservées de manière précise et responsable. Des mesures techniques appropriées, telles que des contrôles de sécurité des informations qui sont nécessaires pour garantir la sécurité des informations sur Internet, devraient être utilisées. La confidentialité ou la confidentialité des données consiste à protéger les données contre toute utilisation illégale et non autorisée ainsi que contre l'accès, la manipulation et la divulgation involontaires. De même, les données personnelles seront traitées légalement. Le traitement désigne toute application sur les données, dans le but d'obtenir un résultat. Les données ne peuvent être traitées que si le consentement de la personne est obtenu. L'État devrait s'assurer qu'il existe des garanties suffisantes pour maintenir la confidentialité des données et que les données sont traitées de manière appropriée après le traitement et l'analyse. Lors de la conclusion d'un contrat entre le donneur d'ordre et le fiduciaire des données, les clauses relatives aux mesures de cybersécurité efficaces doivent être ajoutées.

En résumé, dans toutes les cyberactivités, le principal des données, les cyberintermédiaires, la société, l'État et le système juridique devraient étendre la vigilance éternelle pour placer le droit à la vie privée de l'individu au premier plan. Quelle que soit la cause de la propulsion des individus dans le cyber-monde, la collecte de données personnelles sans leur consentement éclairé sera très injuste, injuste et arbitraire. Le droit à la vie privée, qui est le droit fondamental fondamental de l'existence d'un individu en tant qu'être humain respectable, ne sera jamais compromis, sans une procédure juste, équitable et raisonnable établie par la loi. Il convient de se méfier de l'empressement des prestataires de services à collecter et à extraire des informations sensibles et personnelles d'individus sous prétexte de fournir des services rapides et efficaces. Pour citer Brandeis, J., "Notre gouvernement est l'enseignant puissant et omniprésent; pour le meilleur ou pour le pire, il enseigne à tout le peuple par son exemple" (49). Let us hope for an efficient statutory frame work, guided by illustrious judicial wisdom, to regulate the activities in cyber space and handling of data and information, assuring privacy of individuals.

(*The author is Assistant Professor at School of Indian Legal Thought, Mahatma Gandhi University, Kottayam, Kerala.)



END NOTES:

(1)Common law exempted a child below seven from criminal liability; parallel to this, common law did not recognise the independent rights of a child also. Rather a child was simply identified as the property of his father or guardian. It was by the middle of the 19e century that rights of children were started to be recognised. Declaration of the Rights of the Child on September 16, 1924, adopted by the League of Nations is the first international treaty concerning children's rights.

(2) It is true that right to privacy of children is now recognised by the Convention on Protection of Rights of Children 1989.

(3) Warren and Brandeis, "The Right to Privacy", Harvard Law Review (1890), Vol.4, No. 5, at page 193

(4)"No person shall be deprived of his life or personal liberty except according to procedure established by law."

(5)" Article 19. (1) All citizens shall have the right – (a) to freedom of speech and expression; (b)…"

(6) Constitution of India, Article 253: "Legislation for giving effect to international agreements: Notwithstanding anything in the foregoing provisions of this Chapter, Parliament has power to make any law for the whole or any part of the territory of India for implementing any treaty, agreement or convention with any other country or countries or any decision made at any international conference, association or other body"

(7) Francies Coralie Mullin v. Administrator, UT of Delhi, AIR 1981 SC 746; Rudul Sah v. State of Bihar, (1983) 4 SCC 141; Gramaphone Company of India Ltd., v Birendra Bahadur Pandey, AIR 1984 SC 671; Gian Kaur v. State of Punjab (1996) 2 SCC 648; D K Basu v. State of West Bengal, (1997) 1 SCC 416; Visakha v. State of Rajastan, AIR 1997 SC 3011; Apparel Export Promotion Council v. Chopra, AIR 1999 SC 63; Chairman, Railway Board v. Chandrima Das, AIR 2000 SC 988; Charu Khurana & Ors., v. UOI & Ors., (2015) 1 SCC 192; See also, Ralph G. Steinhardt, "The Role of International Law as a Canon of Domestic Statutory Construction", 43 Vand. L. Rev. 1111, (1990).

(8) Article 12 – "No one shall be subjected to arbitrary interference with his privacy, family, home or correspondence, or to attacks upon his honor and reputation. Everyone has the right to the protection of the law against such interference or attacks."

(9) Article 17 – "No one shall be subjected to arbitrary or unlawful interference with his privacy, family, home and correspondence, nor to unlawful attacks on his honor and reputation".

(10) HRI/GEN/1/Rev.9 (Vol. I), Human Rights Committee General Comment No.16, Clause 10

(11) "Article 16-1. No child shall be subjected to arbitrary or unlawful interference with his or her privacy, family, home or correspondence, nor to unlawful attacks on his or her honour and reputation. 2. The child has the right to the protection of the law against such interference or attacks".

(12) Signed on 18 December 1990 and entered into force on 1 July 2003; "Article 14 –No migrant worker or member of his or her family shall be subjected to arbitrary or unlawful interference with his or her privacy, family, home, correspondence or other communications, or to unlawful attacks on his or her honour and reputation. Each migrant worker and member of his or her family shall have the right to the protection of the law against such interference or attacks."

(13) Convention on Cyber Crime of the Council of Europe (No.185) known as the Budapest Convention 2001, is the only binding international instrument on this issue. It stands for transboundary cooperation to effectively deal with cybercrimes and ensure privacy rights by invoking penal measures. It is an advisory to any country intending to legislate on protective measures in cyber space. The Budapest Convention is supplemented by a Protocol on Xenophobia and Racism committed through computer systems. India is not a party and has not acceded to.

(14) See, The Budapest Convention 2001,

"Article 2 – Illegal access

Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally, the access to the whole or any part of a computer system without right. A Party may require that the offence be committed by infringing security measures, with the intent of obtaining computer data or other dishonest intent, or in relation to a computer system that is connected to another computer system.

Article 3 – Illegal interception

Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally, the interception without right, made by technical means, of non-public transmissions of computer data to, from or within a computer system, including electromagnetic emissions from a computer system carrying such computer data. A Party may require that the offence be committed with dishonest intent, or in relation to a computer system that is connected to another computer system.

Article 4 – Data interference

1 Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally, the damaging, deletion, deterioration, alteration or suppression of computer data without right.

2 A Party may reserve the right to require that the conduct described in paragraph 1 result in serious harm."

(15) UN Resolution No. A/RES/68/167 adopted on 18 December 2013

(16) The Convention, which entered into force in 1985, is the first legal(y binding international instrument on data protection. It is open to signature by countries who are not members of the Council of Europe.

(17) The additional protocol provides for the establishment of national data protection authorities to monitor compliance with laws adopted pursuant to the original Convention and regulates the transmission of data across national boundaries.

(18) The protocol is yet to be entered into force.

(19) Came into force on 18 July 1978; "Article 11– Right to Privacy 1. Everyone has the right to have his honour respected and his dignity recognised. 2. No one may be the object of arbitrary or abusive interference with his private life, his family, his home, or his correspondence, or of unlawful attacks on his honor or reputation. 3. Everyone has the right to the protection of the law against such interference or attacks."

(22) Justice K.S.Puttaswamy(Retd) & Anr. v Union of India & Ors., (2017) 10 SCC 1; Per J. S. Khehar, CJI, J. Chelameswar, S.A. Bobde, R. K. Agarwal, Rohinton Fali Nariman, Abhay Manohar Sapre, Dr. D. Y. Chandrachud, Sanjay Kishan Kaul, S. Abdul Nazeer,JJ.

(24) See the judicial process evolved through the cases, People's Union for Civil Liberties v. Union of India, AIR 1997 SC 568; X v Z Hospital, (1998) 8 SCC 296; District Registrar & Collector, Hyderabad & Anr. v Canara Bank & Anr., 2005 1 SCC 496; Selvi & Ors., v State of Karnataka, 2010 7 SCC 263.

(25) MP Sharma & Ors.v Satish Chandra, District Magistrate Delhi, & Ors. AIR 1954 SC 300 and Kharak Singh v State of Uttar Pradesh & Ors. AIR 1963 SC 1295; In M.P Sharma, it was held that the drafters of the Constitution did not intend to subject the power of search and seizure to a fundamental right of privacy; Indian Constitution does not include a proposition similar to the Fourth Amendment of the US Constitution, and therefore, questioned the existence of a protected right to privacy. The Supreme Court also made clear that M.P Sharma did not decide other questions, such as "whether a constitutional right to privacy would arise from any other provisions of the rights guaranteed by Part III including Article 21 and Article 19."

In Kharak Singh, though the court invalidated a Police Regulation that provided for nightly domiciliary visits, calling them an "unauthorized intrusion into a person's home and a violation of ordered liberty", it upheld other clauses of the Regulation on the ground that the right of privacy was not guaranteed under the Constitution, and barred the application of Article 21 of the Indian Constitution to the rest of the provisions. Justice Subbarao's dissenting opinion deserves mention. According to him, although the right to privacy was not expressly recognized as a fundamental right, it was an essential ingredient of personal liberty under Article 21.

(28) 138 S.Ct. 2206 (2018).

(29) Fourth Amendment: "The right of the person to be secure in their persons, houses, papers and effects, against unreasonable searches and seizures, shall not be violated, and no warrants shall issue, but upon probable cause, supported by oath or affirmation, and particularly describing the place to be searched, and the persons or things to be seized."

(30). The Stored Communications Act (SCA), Title II of the Electronic Communications Privacy Act, 1986 (ECPA), creates privacy protections for the content of stored communications and the related non-content information. As per the orders made u/s.2703(d), state can compel the production of the content of stored communications or related non-content information, when "specific and articulable facts show that there are reasonable grounds to believe that the contents of a wire or electronic communication, or the records or other information sought, are relevant and material to an ongoing criminal investigation." The earlier decisions in United States v. Miller, 307 U.S. 174 (1939), Smith v. Maryland, 442 U.S. 735 (1979), and United States v. Jones, 565 U.S. 400 (2012), where the Federal Supreme Court did not give much concern to the right to privacy of an individual over the state's power to interfere without warrant, have been overturned in Carpenter. The legal principle that when an individual voluntarily gives information to a third party, the privacy interest in that information is forfeited, was taken into account in those pre-Carpenter decisions. But application of the 'third-party doctrine' which was advanced to justify the governmental invasion into individual' s privacy without his knowledge, was negated by the Court dans Carpenter.

(32) Ruth Granson tries to comprehend privacy: "the concept of privacy is a central one in most discussions of modern Western life, yet only recently have there been serious efforts to analyze just what is meant by privacy." Yet another scholar, Judith DeCew, examines the diversity of privacy conceptions: "The idea of privacy which is employed by various legal scholars, is not always the same. Privacy may refer to the separation of spheres of activity, limits on governmental authority, forbidden knowledge and experience, limited access, and ideas of group membership consequently privacy is commonly taken to incorporate different clusters of interest". See for a wide reading, Robert A. Reilly, Conceptual Foundations of Privacy: Looking Backward Before Stepping Forward, 6 RICH. J.L. & TECH. 6 (Fall 1999).

(33) Schwartz M Paul, "Property, Privacy and Personal Data", Harvard Law Review, Vol.117:2055, May 2004, at p.2065.

(34)Cookies are certain types of files/data deposited by websites into the system of the user, when he first browses the sites. A cookie notifies the entry of the user into the site and from the repeated entries into that site, it collects data/information regarding your interests, without your knowledge. A cookie is different from a virus; but its harmless appearance may not be that much harmless, because it is used by the website to collect information/data.

(35) Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband eV v. Planet49 GmbH, decided by the Grand Chamber of the Court of European Union. "The term 'consent' in General Data Protection Regulation, must be interpreted as meaning that the consent referred to in those provisions is not validly constituted if, in the form of cookies, the storage of information or access to information already stored in a website user's terminal equipment is permitted by way of a pre-checked checkbox which the user must deselect to refuse his or her consent.";

Available at http://curia.europa.eu/juris/document/document.jsf?docid=218462&mode=lst&pageIndex=1&dir=&occ=first&part=1&text=&doclang=EN&cid=1486059

(36) In re DoubleClick Inc. Privacy Litigation, 154 F. Supp. 2d 497 (S.D.N.Y. 2001), on an action against "Double Click" by the internet users alleging that DoubleClick's placement of cookies on computer hard drives of Internet users who accessed DoubleClick-affiliated sites constituted violations of three federal laws: viz., the Stored Communications Act, Wiretap Statute and Computer Fraud and Abuse Act, the court held that DoubleClick was not liable under any of the three federal laws because it fell within the consent exceptions.

The case is available in the link location,

https://www.google.com/search?safe=active&ei=KNSnXu2_LNWP9QO9uqTIDA&q=double+click+case%2Bright+to+privacy.pdf&oq=double+click+case%2Bright+to+privacy.pdf&gs_lcp=CgZwc3ktYWIQAzoFCCEQoAE6BwghEAoQoAFQsekBWKPxAWDH9AFoAHAAeACAAe8BiAGuB5IBBTAuNS4xmAEAoAEBqgEHZ3dzLXdpeg&sclient=psy-ab&ved=0ahUKEwjt86noxYrpAhXVR30KHT0dCckQ4dUDCAs&uact=5#

The dissent of Commissioner Pamela Jones Harbour is important. Pamela was of the view that privacy mechanism which would not serve the actual purpose of consent requirement, cannot be considered sufficient to protect the interests of consumers. She observed: "…the firm is urged to state clearly and unambiguously what kind of information it intends to gather, how it will collect and use that information, and what choices consumers will be able to exercise. Consumers deserve a clear explanation from Google/DoubleClick, so they can shape their Internet behavior and determine how much information they are willing to reveal. Clearly explaining the firm's information practices and the choices available to consumers will demonstrate Google/DoubleClick's good intentions, as well as the company's willingness to be held accountable for its commitments".

(39) Sections 43, 43A, 65, 66E, 67C, 69, 69B, 70B, 72A, 79, etc.

(40) The preamble of the Information Technology Act, 2000 reads: "An Act to provide legal recognition for transactions carried out by means of electronic data interchange and other means of electronic communication, commonly referred to as "electronic commerce", which involve the use of alternatives to paper-based methods of communication and storage of information, to facilitate electronic filing of documents with the Government agencies and further to amend the Indian Penal Code, the Indian Evidence Act, 1872, the Bankers' Books Evidence Act, 1891 and the Reserve Bank of India Act, 1934 and for matters connected therewith or incidental thereto.

WHEREAS the General Assembly of the United Nations by resolution A/RES/51/162, dated the 30th January, 1997 has adopted the Model Law on Electronic Commerce adopted by the United Nations Commission on International Trade Law;

AND WHEREAS the said resolution recommends inter alia that all States give favourable consideration to the said Model Law when they enact or revise their laws, in view of the need for uniformity of the law applicable to alternatives to paper-based methods of communication and storage of information;

AND WHEREAS it is considered necessary to give effect to the said resolution and to promote efficient delivery of Government services by means of reliable electronic records."

(41) Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, 2011 (SPDI Rules), were issued under section 87(2) read with section 43-A of the IT Act.

(42) The Data Protection Bill, 2019 suggests the removal of such clauses by appropriate amendments in IT Act.

(43) Emphasis supplied. The wordings of the Rule illustrate irresponsible legislative drafting

(44) The scope of Indian Penal Code is limited to an extent as pointed out by the High Court of Bombay in Gagan Harsh Sharma & Anr v. Maharashtra & Anr.(Writ Petition(Criminal) No. 4361 0f 2018) that when an offence is well covered under the provisions of IT Act, the IT Act should be applied as lex specialis excluding IPC.

(45)The Preamble of the Bill reads:"… to provide for protection of the privacy of individuals relating to their personal data, specify the flow and usage of personal data, create a relationship of trust between persons and entities processing the personal data, protect the rights of individuals whose personal data are processed, to create a framework for organisational and technical measures in processing of data, laying down norms for social media intermediary, cross-border transfer, accountability of entities processing personal data, remedies for unauthorised and harmful processing, and to establish a Data Protection Authority of India for the said purposes and for matters connected therewith or incidental thereto.

WHEREAS the right to privacy is a fundamental right and it is necessary to protect personal data as an essential facet of informational privacy; AND WHEREAS the growth of the digital economy has expanded the use of data as a

critical means of communication between persons; AND WHEREAS it is necessary to create a collective culture that fosters a free and fair digital economy, respecting the informational privacy of individuals, and ensuring empowerment, progress and innovation through digital governance and inclusion and for matters connected therewith or incidental thereto".

(46) Per Dr.D.Y.Chandrachud, J., in Puttaswamy, (2017) 10 SCALE 1 at para 179

(47) Articles 6 and 9 of GDPR, 2018

(48) Master Service Agreement (MSA) is a contract in which parties of an ongoing project or repeated transactions agree to most of the terms in it, which will control all the future transactions. It provides for a statement of Work (SOW) which contains a general format narrating the purpose of contract, scope, location, data collection, period, applicable standards the service provider must follow, as well as IP ownership, dispute resolution, jurisdiction etc.



Source link

Pourquoi créer un magasin sur le web ?

Il n’a onques été aussi facile d’envoyer un exposition web e-commerce de nos jours, il suffit de voir le nombre de sites e-commerce en France pour s’en redonner compte. En effet, 204 000 sites actifs en 2016. En 10 ans, le taux le montant le pourcentage de websites a été multiplié par 9. Avec l’évolution des technologies, les média à grand coup d’histoire de succès story, (si dans l’hypothèse ou nous-mêmes vous assure, moi c’est aussi tombé dans le panneau) le e-commerce a longtemps été vu comme un eldorado. Du coup, une concurrence accrue a vu le jour dans de nombreuses thématiques.