Conférence droit civil + technologies Montréal, le 19 février 2010

L’article 34 de la loi concernant le cadre juridique des technologies de l’information:

responsabilité et sécurité

Conférence droit civil + technologies Montréal, le 19 février 2010

Art. 34Obligation de sécurité

Art. Obligation de sécurité

2526

Loi concernant le cadre juridique des technologies de l’information

25. La personne responsable de l'accès à un document technologique qui porte un renseignement confidentiel doit

prendre les mesures de sécurité propres à en assurer la confidentialité, notamment par un contrôle d'accès effectué au moyen d'un procédé de visibilité réduite ou d'un procédé qui empêche une personne non autorisée de prendre connaissance du renseignement ou, selon le cas, d'avoir accès autrement au document ou aux composantes qui permettent d'y accéder.

Chambre de l'assurance de dommages c. Kotliaroff, 2008 CanLII 19078 (QC C.D.C.H.A.D.)

« Dans le présent dossier, l’intimé, en hébergeant, sur son propre site internet, les liens informatiques, code d’utilisateur et mot de passe de son frère (chef no. 1), sans protéger adéquatement l’accès à ceux-ci, n’a pas, de toute évidence, respecter les obligations qui lui étaient imposées par l’article 25 de la Loi concernant le cadre juridique des technologies de l’information, soit celles «de prendre les mesures de sécurité propres à en assurer la confidentialité, notamment par un contrôle d’accès effectué au moyen d’un procédé de visibilité réduite ou d’un procédé qui empêche une personne non autorisée de prendre connaissance du renseignement» »


26. Quiconque confie un document technologique à un prestataire de services pour qu'il en assure la garde est, au préalable, tenu d'informer le prestataire quant à la protection que requiert le document en ce qui a trait à la confidentialité de l'information et quant aux personnes qui sont habilitées à en prendre connaissance.

Le prestataire de services est tenu, durant la période où il a la garde du document, de voir à ce que les moyens technologiques convenus soient mis en place pour en assurer la sécurité, en préserver l'intégrité et, le cas échéant, en protéger la confidentialité et en interdire l'accès à toute personne qui n'est pas habilitée à en prendre connaissance. Il doit de même assurer le respect de toute autre obligation prévue par la loi relativement à la conservation du document.

26. Quiconque confie un document technologique à un prestataire de services pour qu'il en assure la garde est, au préalable, tenu d'informer le prestataire quant à la protection que requiert le document en ce qui a trait à la confidentialité de l'information et quant aux personnes qui sont habilitées à en prendre connaissance.

Le prestataire de services est tenu, durant la période où il a la garde du document, de voir à ce que les moyens technologiques convenus soient mis en place pour en assurer la sécurité, en préserver l'intégrité et, le cas échéant, en protéger la confidentialité et en interdire l'accès à toute personne qui n'est pas habilitée à en prendre connaissance. Il doit de même assurer le respect de toute autre obligation prévue par la loi relativement à la conservation du document.

QuickTime™ et undécompresseur

sont requis pour visionner cette image.

Art. 34 QuickTime™ et undécompresseur

sont requis pour visionner cette image.

Confidentialité lors de la transmission


34. Lorsque la loi déclare confidentiels des renseignements que comporte un document, leur confidentialité doit être protégée par un moyen approprié au mode de transmission, y compris sur des réseaux de communication.

La documentation expliquant le mode de transmission convenu, incluant les moyens pris pour assurer la confidentialité du document transmis, doit être disponible pour production en preuve, le cas échéant.


40. La personne qui, après vérification, est en mesure de confirmer l'identité d'une personne ou l'identification d'une association, d'une société ou de l'État peut le faire au moyen d'un document, entre autres un certificat, dont l'intégrité est assurée. Ce document peut être transmis sur tout support, mais les renseignements confidentiels qu'il est susceptible de comporter doivent être protégés.

---------------------------------------------------------------------------------------------------------------------------

41. Quiconque fait valoir, pour preuve de son identité ou de celle d'une autre personne, un document technologique qui présente une caractéristique personnelle, une connaissance particulière ou qui indique que la personne devant être identifiée possède un objet qui lui est propre, est tenu de préserver l'intégrité du document qu'il présente.

Un tel document doit en outre être protégé contre l'interception lorsque sa conservation ou sa transmission sur un réseau de communication rend possible l'usurpation de l'identité de la personne visée par ce document. Sa confidentialité doit être protégée, le cas échéant, et sa consultation doit être journalisée.






La documentation expliquant le mode de transmission convenu, incluant les moyens pris pour assurer la confidentialité du document transmis, doit être disponible pour production en preuve, le cas échéant.? ? ?

Renseignement confidentiel

Renseignement personnel=/


20. Les documents dont la loi exige la conservation et qui ont fait l'objet d'un transfert peuvent être détruits et remplacés par les documents résultant du transfert. Toutefois, avant de procéder à la destruction, la personne qui en est chargée :

1° prépare et tient à jour des règles préalables à la destruction des documents ayant fait l'objet d'un transfert, sauf dans le cas d'un particulier ;

2° s'assure de la protection des renseignements confidentiels et personnels que peuvent comporter les documents devant être détruits ;

3° s'assure, dans le cas des documents en la possession de l'État ou d'une personne morale de droit public, que la destruction est faite selon le calendrier de conservation établi conformément à la Loi sur les archives (chapitre A-21.1).

Toutefois, doit être conservé sur son support d'origine le document qui, sur celui-ci, présente une valeur archivistique, historique ou patrimoniale eu égard aux critères élaborés en vertu du paragraphe 1° de l'article 69, même s'il a fait l'objet d'un transfert.

Loi sur la Santé publique, L.R.Q. c. S-2.2

95. Les signalements faits en vertu des dispositions du présent chapitre ne permettent pas à celui qui l'effectue de

dévoiler des renseignements personnels ou confidentiels, à moins qu'après évaluation de la situation, l'autorité de santé publique concerné ne les exige dans l'exercice des pouvoirs prévus au chapitre XI.


Renseignement personnel>

Marie-France BICH, « La viduité post-emploi: loyauté, discrétion et clauses restrictives », dans Développements récents en droit de la propriété intellectuelle, Cowansville, Yvon Blais, 2003, p. 243, 305. (Telle que citée dans Institut de zoothérapie du Québec Inc. c. Rioux, 2005 CanLII 10507 (QC C.S.), par. 34.

« [l]a qualification de « renseignements confidentiels » est une question de fait mais elle est aussi évaluée d'une façon objective. Il ne suffit pas que l'employeur décrète que tel ou tel renseignement est confidentiel pour qu'il le soit. Sont habituellement considérés comme confidentiels les secrets de commerce ou de fabrication, les plans et maquettes liées au développement d'une technique ou d'un produit, les listes de clients secrètes ou contenant des renseignements privilégiés […] ou toute autre information qui n'est pas généralement connue et ne peut pas être obtenue ou reconstituée facilement. »

QuickTime™ et undécompresseur

sont requis pour visionner cette image.« I know it when I see it »!

Juge Potter Stewart

Sophie ROMPRÉ, La surveillance de l’utilisation d’Internet au travail, Cowansville, Yvon Blais, 2009, p. 31

Critères: l’étendue de la diffusion de l’information à l’extérieur de l’entreprise; l’étendue de la diffusion de l’information au sein de l’entreprise; l’étendue des mesures de sécurité mise en place pour assurer la

confidentialité de l’information; la valeur de l’information pour des tiers; l’argent et l’effort investis afin de collecter ou développer

l’information; la facilité avec laquelle un tiers pourrait acquérir ou dupliquer

l’information par lui-même.

Pharand Ski Corp. c. Alberta, 1991 CarswellAlta 85 (ABQB), citant Ansell Rubber Co. c. Allied Rubber Industries Pty. Ltd., [1967] V.R. 37 et Deta Nominees Pty. Ltd. c. Viscount Plastics Products Pty. Ltd., [1979] V.R. 167.

Loi sur les télécommunications

39. (1) Pour l’application du présent article, la personne qui fournit des renseignements au Conseil peut désigner comme confidentiels :

a) les secrets industriels;

b) les renseignements financiers, commerciaux, scientifiques ou techniques qui sont de nature confidentielle et qui sont traités comme tels de façon constante par la personne qui les fournit;

c) les renseignements dont la communication risquerait vraisemblablement soit de causer à une autre personne ou elle-même des pertes ou profits financiers appréciables ou de nuire à sa compétitivité, soit d’entraver des négociations menées par cette autre personne ou elle-même en vue de contrats ou à d’autres fins. […]




… des statistiques

Confidentiel : 69 lois (3 abrogées) 186 règlements

Confidentialité : 62 lois (1 remplacée) 99 règlements

Loi sur la Transparence et l'éthique en matière de lobbyisme, L.R.Q. c. T-11.011

32. Nul ne peut, dans l'exercice de ses activités de lobbyisme, divulguer des renseignements confidentiels dont il a pris connaissance dans l'exercice ou à l'occasion de l'exercice d'une charge publique dont il a antérieurement été titulaire, ni donner à quiconque des conseils fondés sur des renseignements non accessibles au public dont il a ainsi pris connaissance et qui concernent soit l'institution parlementaire, gouvernementale ou municipale dans laquelle il exerçait sa charge, soit un tiers avec lequel il a eu des rapports directs et importants au cours de l'année précédant la date où il a cessé d'être titulaire d'une charge publique au sein de cette institution.

Charte des droits et libertés de la personne, L.R.Q. c. C-12

9. Chacun a droit au respect du secret professionnel.

Toute personne tenue par la loi au secret professionnel et tout prêtre ou autre ministre du culte ne peuvent, même en justice, divulguer les renseignements confidentiels qui leur ont été révélés en raison de leur état ou profession, à moins qu'ils n'y soient autorisés par celui qui leur a fait ces confidences ou par une disposition expresse de la loi.

Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, L.R.Q. c. A-2.1

23. Un organisme public ne peut communiquer le secret industriel d'un tiers ou un renseignement industriel, financier, commercial, scientifique, technique ou syndical de nature confidentielle fourni par un tiers et habituellement traité par un tiers de façon confidentielle, sans son consentement.

Idem pour les articles 25 et 26 de la Loi sur l’aquaculture commerciale…


Renseignements confidentiels par natureRenseignements confidentiels selon

l’interlocuteurRenseignements confidentiels selon le

contexte de leur communicationRenseignements confidentiels selon le

contexte de leur conservation

Renseignement confidentiel « par nature »

Renseignements personnels (Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, L.R.Q. c. A-2.1, art. 53)

Renseignements relatifs aux électeurs (Loi électorale, L.R.Q. c. E-3.3, art. 40.39)

NIP (Loi sur l’assurance maladie, L.R.Q. c. A-29, art. 9.0.1.1) Secrets industriels (Loi sur l'accès aux documents des organismes

publics et sur la protection des renseignements personnels, L.R.Q. c. A-2.1, art. 23)

Procédés industriels (Loi sur la Santé et la sécurité du travail, L.R.Q. c. S-2.1, art. 123)

Etc.

Renseignement confidentiel « par nature »

Renseignements confidentiels

Renseignements personnels

Secrets + procédés industriels

Renseignement confidentiel « selon l’interlocuteur »

Commission des droits de la personne (Charte des droits et libertés de la personne, L.R.Q. c. C-12, art. 93)

Renseignements sur l’origine d’un incendie obtenu par le ministre de l’assureur ou la municipalité (Loi sur la sécurité incendie, L.R.Q. c. S-3.4, art. 150)

Échanges entre le directeur d’un établissement de détention et et une victime (Loi sur le Système correctionnel du Québec, L.R.Q. c. S-40.1, art. 175.1)

Avis du jurisconsulte à un député (Loi sur l'Assemblée nationale, L.R.Q. c. A-23.1)

Renseignement obtenu par un agent de surveillance de sentier (Loi sur les Véhicules hors route, L.R.Q. c. V-1.2, art. 43)

Médiateur (Loi sur les normes du travail, L.R.Q. c. N-1.1, art. 123.3) Notaire (Loi sur le Notariat, L.R.Q., c. N-3, art. 14.1) Acupuncteur (Loi sur l’acupuncture, L.R.Q. c. A-5.1, art. 13) Comptable agréé (Loi sur les comptables agréés, L.R.Q. c. C-48, art. 22.2) Etc.

Renseignement confidentiel « selon le contexte de leur communication »

Toute information verbale ou écrite recueillie pendant la médiation (Loi sur les chemins de fer, L.R.Q. c. C-14.1, art. 19)

Renseignements obtenus en vertu de la Loi concernant les droit sur les mutations immobilières (L.R.Q. c. D-15.1, art. 22)

Renseignements concernant les conflits d’intérêts des administrateurs de la Caisse de dépôt communiqués au ministre des Finances (Loi sur la Caisse de dépôt et placement du Québec, L.R.Q. c. C-2, art. 42)

Renseignements obtenus en vertu de la Loi facilitant le Paiement des pensions alimentaires (L.R.Q. c. P-2.2, art. 75)

Renseignements relatifs à un cotisant ou un bénéficiaire obtenus en vertu de la Loi sur le Régime des rentes du Québec (L.R.Q. c. R-9, art. 207)

Renseignement fourni à la Commission des loyers (Loi sur la Régie du logement, L.R.Q. c. R-8.1, art. 91)

Renseignements obtenus dans l’application de la Loi concernant les Droits sur les mines (L.R.Q. c. D-15, art. 80.2)

Conférence de règlement à l’amiable (Code de procédure civile, L.R.Q. c. C-25, art. 151.21)

Etc.

Dossier du tribunal (Loi sur la Protection de la jeunesse, L.R.Q. c. P-34.1, art. 96)

Dossier administré par le curateur public (Loi sur le Curateur public, L.R.Q. c. C-81, art. 51)

Dossier de l’Office des personnes handicapées du Québec concernant une personne handicapée (Loi assurant l'exercice des droits des personnes handicapées en vue de leur intégration scolaire, professionnelle et sociale, L.R.Q. c. E-20.1)

Dossiers médicaux (Loi sur les services de santé et les services sociaux pour les autochtones cris, L.R.Q. c. S-5, art. 7; Loi sur les services de santé et les services sociaux, L.R.Q. c. S-4.2, art. 19)

Dossier Fiscal (Loi sur le ministère du Revenu, L.R.Q. c. M-31, art. 69) Etc.

Renseignement confidentiel « selon le contexte de leur conservation »




IMPACT?




GBS?(gros bon sens)




Loi sur la Protection des renseignements personnels dans le secteur privé, L.R.Q. c. P-39.1

10. Toute personne qui exploite une entreprise doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. (2006)

10. Toute personne qui exploite une entreprise et recueille, détient, utilise ou communique des renseignements personnels sur autrui doit prendre et appliquer des mesures de sécurité propres à assurer le caractère confidentiel des renseignements. (1993)

Loi sur le Curateur public, L.R.Q. c. C-81

26.3. La communication de renseignements personnels concernant un ayant droit, faite en application de l'article 26.1, doit l’être de manière à assurer leur caractère confidentiel. Ces renseignements sont, pour l'application de la Loi sur la protection des renseignements personnels dans le secteur privé (chapitre P-39.1), réputés été requis par le ministre du Revenu au sens du paragraphe 4 ｰ du premier alinéa de l'article 18 de cette loi.





25. La personne responsable de l'accès à un document technologique qui porte un renseignement confidentiel doit prendre les mesures de sécurité propres à en assurer la confidentialité, notamment par un contrôle d'accès effectué au moyen d'un procédé de visibilité réduite ou d'un procédé qui empêche une personne non autorisée de prendre connaissance du renseignement ou, selon le cas, d'avoir accès autrement au document ou aux composantes qui permettent d'y accéder.

… durant tout son cycle de vie?



La documentation expliquant le mode de transmission convenu, incluant les moyens pris pour assurer la confidentialité du document transmis, doit être disponible pour production en preuve, le cas échéant.IMPACT? …pas

vraiment




Article 34 de la Loi concernant le cadre juridique des technologies de l’information

Impact au niveau du droit des obligations? Pas vraiment…

Impact au niveau du droit de la preuve? Oui…

Merci!

Nicolas Vermeys

Directeur adjoint - Laboratoire sur la cyberjustice

[email protected]

Documents

Conférence droit civil + technologies Montréal, le 19 février 2010