Leblanc Nicolas

Assurer la confidentialité et la sécurité impérative de la gouvernance globale de l’information électronique pour

éviter de vous exposer à des poursuites judiciaires

Nicolas Leblanc

L’INSTITUT CANADIEN

Conférence sur la gestion stratégique et

l’administration pratique de documents électroniques

Les 4 et 5 décembre 2007Hôtel Intercontinental

2

Plan de la discussion

• 1 - Introduction

• 2 - Rappel Théorique – Législation en matière de renseignements personnels

• 3 - Transfert de données et confidentialité

• 4 - Dévoilement de renseignements et Gestion de crise

• 5 - Conclusion

3

1 - Introduction

• "Every man should know that his conversations, his correspondence, and his personal life are private."

Lyndon B. Johnson – 37th US President (1963-1969) – Remarks at the swearing in of Ramsey Clark as Attorney General, 10 March 1967.

(Public Papers of the Presidents of the United States: Lyndon B. Johnson, 1967, Book 1, p. 313, quoted in Respectfully Quoted: A Dictionary of Quotations, by Suzy Platt, Washington D.C., Library of Congress, 1989.)

4

2 – Rappel Théorique

• Sources du droit à la vie privée

Québec:

– Charte des droits et libertés de la personne, art. 5. (L.R.Q., c. C-12.): « Toute personne a droit au respect de sa vie privée. »

– Code civil du Québec, art. 3: « Toute personne est titulaire de droits de la personnalité, tels le droit à la vie, à l'inviolabilité et à l'intégrité de sa personne, au respect de son nom, de sa réputation et de sa vie privée. Ces droits sont incessibles. »

– Code civil du Québec, art. 35 – 40.

5

2 - Rappel Théorique (suite)

• Législation en matière de renseignements personnels

Québec

– Secteur privé: Loi sur la protection des renseignements personnels dans le secteur privé (L.R.Q., c. P-39.1.)

– Secteur public: Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (L.R.Q., c. A-2.1.)

6

2 - Rappel Théorique (suite)

Canada

– Secteur privé: Loi sur la Protection des renseignements personnels et les documents électroniques (L.C. 2000, ch. 5.)

– Secteur public: Loi sur la Protection des renseignements personnels (L.R.C. 1985, ch. P-21.)

7

2 – Rappel Théorique (suite)

• Ailleurs au Canada (secteur privé):

Alberta: Personal Information Protection Act, S.A. 2003, c. P-6.5.

Colombie Britannique: Personal Information Protection Act, S.B.-C. 2003, c. 63.

Ontario: Personal Health Information Protection Act, 2004, S.O. 2004, c. 3, Sch. A

8


• Obligation d’assurer la protection des renseignements personnels

Québec:

« 10. Toute personne qui exploite une entreprise doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. »

9


Canada:

« 4.7 Septième principe — Mesures de sécurité

Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. […] »

10

3 - Transfert de données et confidentialité• Sécurisation d’information sous format physique:

Accès aux locaux

Classification de l’information

Politique d’entreprise

• Lors de transfert:

Format physique

Registre d’entrées et de sorties

11

3 - Transfert de données et confidentialité (suite)• Transfert au format électronique

Loi sur le cadre juridique des technologies de l’information (L.R.Q., c. C-1.1.)

– Nécessité d’une politique, de documenter le transfert, etc. (art. 17, 20).

Plus de facteur à tenir en compte pour assurer la sécurité de l’information sous format électronique.

12

3 - Transfert de données et confidentialité (suite)• 4 sphères de risque des documents électroniques

Confidentialité

Sécurité physique

Accès non-autorisé

Information incomplète ou inexacte

13

3 - Transfert de données et confidentialité (suite)• Éléments d’une politique de sécurité des documents électroniques:

E.g. ISO/IEC 17799:2005

Définitions et principes

Cadre de la politique

– Objectifs

– Mécanismes de Contrôle

– Mécanisme d’évaluation du Risque

14

3 - Transfert de données et confidentialité (suite)• Politique (suite):

Politiques, pratiques et standards

– Exigences législatives & règlementaires

– Éducation et formation

– Continuité d’affaires et sauvegarde de l’information

– Conséquences des violations

– Attribution des responsabilités

Mécanismes de rapport d’incidents

15

3 - Transfert de données et confidentialité (suite)• Contenu d’une politique de sécurité de l’information

Principe « need to know »

Niveaux de sûretés/classification

Identifier la source de l’obligation de confidentialité

Ségrégation des fonctions/accès

Identification et authentification des usagers

Identifier tous les types d’accès possibles

Révision périodique de la politique et des accès

16

3 - Transfert de données et confidentialité (suite)• Lors du transfert d’information d’un support à un autre:

Identifier si le document est confidentiel

– Quelle est la source de l’obligation de confidentialité:

• Information de l’entreprise

• Information sujette à une clause contractuelle

• Renseignement personnel

17

3 - Transfert de données et confidentialité (suite)• Transfert de support (suite)

Identifier le type de protection à appliquer

– Encryption

– Mot de passe

– Accès via quel cannaux?

– Accès à quels usagers?

– Standardiser les types d’accès

18

3 - Transfert de données et confidentialité (suite)• Transfert de données entre personnes/organismes:

Quelles méthodes sont permises

Quelles sécurité appliquer

Ne pas perdre l’information originale

Ne pas compromettre l’information confidentielle

19

4 - Dévoilement de renseignements et Gestion de crise• Lorsque il y a divulgation ou accès non autorisé d’information confidentielle

Prévoir d’avance: adresser l’éventualité dans la politique de sécurité de l’entreprise

Obligation d’aviser les personnes concernées?

20

4 - Dévoilement de renseignements et Gestion de crise (suite)• Obligation d’aviser lors d’atteinte non-autorisé à des renseignements personnels:

Prévu seulement à la Personal Health Information Protection Act (Ontario)

Dicta des commissaires à l’effet que cela est souhaitable

Défaut d’aviser pourrait engager la responsabilité civile de l’entreprise? La question reste entière.

21

4 - Dévoilement de renseignements et Gestion de crise (suite)• Obligation d’aviser (suite)

Obligation pourrait naitre de l’obligation d’assurer la sécurité de l’information:

– Sale of Provincial governement Computer Tapes Containing Personal Information, Re, 2006 CanLII 12536 (BC I.P.C.).

• Se fonde sur décisions précédentes des commissaires de l’Alberta et de l’État de Victoria, Australie.

22


Toujours selon le commissaire de l’État de Victoria, il ne serait pas nécessaire d’aviser en des circonstances exceptionnelles selon les facteurs suivants:

– Préjudice prévisible

– Avis pourrait causer préjudice

– Balance des facteurs, l’avis causerait plus de préjudice qu’il n’en préviendrait

23


Le Commissaire de la Colombie Britannique conclut que l’obligation d’assurer la sécurité de l’information prévue au PIPA n’inclut pas l’obligation d’aviser dans tous les cas sauf dans des circonstances exceptionnelles, mais retient les facteurs utilisés par le Commissaire de l’État de Victoria.

24

4 - Dévoilement de renseignements et Gestion de crise (suite)• Principales étapes à suivre par les organisations en

cas d’atteintes à la vie privée, Commissariat à la vie privée du Canada (août 2007);

• Key steps in responding to privacy breaches, Office of the Information and Privacy Commissionner (Alberta);

• Breach Notification Assessment Tool et Key steps in responding to privacy Breaches, Office of the Information and Privacy Commissionner (Colombie Britannique et Ontario);

• Perte ou vol de renseignements personnels, Commission d’accès à l’Information (Janvier 2007).

25

4 - Dévoilement de renseignements et Gestion de crise (suite)• Contenu d’une politique en cas d’atteinte aux

renseignements confidentiels

Contenir l’atteinte

– Désigner un responsable

Évaluer les risques associés

– Nature de l’information, degré de confidentialité

– Protection existante de l’information atteinte

– Usages possibles de l’information

– Préjudice possible

26

4 - Dévoilement de renseignements et Gestion de crise (suite)• Contenu d’une politique (suite)

Avis

– À qui

– De quelle façon

– Quoi indiquer dans l’avis

– Aviser le commissaire à la vie privée

Prévention

– Tirer des leçons de l’atteinte

27

4 - Dévoilement de renseignements et Gestion de crise (suite)• Développements à anticiper

Me Jennifer Stoddart, Commissaire à la vie privée, demande l’ajout d’une obligation d’aviser en cas d’atteinte:

– Mémoire présenté au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (22 février 2007)

– Quatrième rapport du Comité permanent de l’accès à l’information de la protection des renseignements personnels et de l’éthique sur l’examen, prévu par la loi, de la LPRPDÉ (mai 2007)

– Réponse du gouvernement au quatrième rapport – Favorable à l’obligation d’avis & prévoit consultation

28

4 - Dévoilement de renseignements et Gestion de crise (suite)• Développements à anticiper (suite)

Initiative en Colombie Britanique: Labour and Citizens' Services Statutes Amendment Act, 2007 (Bill 25) modification au Freedom of Information and Protection of Privacy Act (ajout obligation de notifier).

Initiative au Manitoba: The Personal Information Protection And Identity Theft Prevention Act (Bill 216) (obligation de notifier).

29

4 - Dévoilement de renseignements et Gestion de crise (suite)• Développements à anticiper (suite)

Initiative en Ontario: Consumer Reporting Amendment Act (projet de loi 38 du 38e parlement, 2e session) (obligation de notifier)

Initiative en Nouvelle Écosse: création d’un poste de Commissaire à la protection des renseignements personnels chargé de « oversign of all matters relating to the privacy of persons in the Province and the collection and use of information relating to persons in the Province… »

30

5 - Conclusion

• “Privacy is not something that I'm merely entitled to, it's an absolute prerequisite.”

attribué à Marlon Brando

Nicolas LeblancFasken Martineau DuMoulin

Tour de la Bourse800, Place Victoria

Bureau 3700, C.P. 242Montréal (Québec)

Canada H4Z [email protected]

Tél. : 514 397 5262Téléc. : 514 397 7600

Business

Leblanc Nicolas