Embed Size (px)
Citation preview
droit + sécurité = pas si sûr !
vincent gautraisprofesseur agrégé – avocat
faculté de droit – UDMtitulaire de la chaire UDM en droit de
la sécurité et des affaires électroniqueswww.gautrais.com
droit versus sécurité
le droit c’est…
réaction
la sécurité c’est…
action
le droit c’est…
stabilité
la sécurité c’est…
mouvant
le droit c’est…
vieux
la sécurité c’est…
nouveau (informatique)
le droit de la sécurité
fusion des 2
le droit de la sécurité
source de changements
les 3 « p »
physique
les 3 « p »
permanent
les 3 « p »
processuel
substance versus procédure
pas de vide juridique
mais …
flou juridique
le droit de la sécurité
1 – insécurité sur la substance du droit
le droit de la sécurité
2 – insécurité sur l’une
des fonctions du droit
=
prévisibilité
4 illustrations
1 – contrat
4 illustrations
2 – vie privée
4 illustrations
3 – preuve
4 illustrations
4 – SOX
-1-
econtrat
dessine-moi un contrat?
normalement …
offre + acceptation
A B
normalement …
1386 CCQ. L'échange de consentement se réalise par la manifestation, expresse ou tacite, de la volonté d'une personne d'accepter l'offre de contracter que lui fait une autre personne.
c’est aussi...
information + sanction
mais aussi…
communication + sécurité
exemples
ORAL PAPIER ELECTRONQUE
BAS
• téléphone • nappe• fax
• courriel
MEDIUM
• vente entre 2 professionnels
•contrat signé • courriel avec accusé de réception
HAUT
• code Hammurabi•contrat de mariage • vente immobilière Saxon ( 100 A J.C.)
• contrat notarial • contrat avec PKI• contrat avec une tierce partie
communicationsecu
rité
consentement =
1) communication
2) acceptation
1
2
1399 CCQ
« Le consentement doit être libre et éclairé. »
1
lisibilité
contrat = information
1
mais..
Pour le moins 10 pratiques contractuelles pathologiques
1
1 - lisibilité 1
2 - dynamique
7. Privacy; Monitoring the ServicesWe are under no obligation to monitor the services, but we may do so from time to time and we may disclose information regarding User’s use of the Services for any reason and at our sole discretion in order to satisfy applicable laws, regulations, governmental requests, or in order to operate and deliver the Services in an effective manner, or to otherwise protect us and our Users. We agree to comply with the terms of our Privacy Policy as set forth on our FAQ website, as it may be amended from time to time.
1
3 - longueur 1
information = oxygène
1
Feldman v. Google (avril 2007)
« AdWords Agreement gave reasonable notice of its terms. In order to activate an AdWords account, the user had to visit a webpage which displayed the Agreement in a scrollable text box. (…) the text of the AdWords Agreement was immediately visible to the user, as was a prominent admonition in boldface to read the terms and conditions carefully, and with instruction to indicate assent if the user agreed to the terms. That the user would have to scroll through the text box of the Agreement to read it in its 14 entirety does not defeat notice because there was sufficient notice of the Agreement itself and clicking “Yes” constituted assent to all of the terms. The preamble, which was immediately visible, also made clear that assent to the terms was binding. The Agreement was presented in readable 12-point font. It was only seven paragraphs long – not so long so as to render scrolling down to view all of the terms inconvenient or impossible. A printer-friendly, full-screen version was made readily available. The user had ample time to review the document. »
4 - hyperliens
linéarité versus hypertextualité
1
5 – où est le e-contrat ? 1
6 – documents légaux multiples
Copyright Privacy Cookies Terms and Conditions of Sale Terms of UseLimited WarrantyService ContractsHardware Technical Support PolicyEtc.
1
7 - terminologies juridiques
THE SERVICES PROVIDED BY US ARE PROVIDED "AS IS." WE MAKE NO WARRANTY OF ANY KIND, EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO ANY WARRANTY OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE OR NON-INFRINGEMENT, OR ANY WARRANTY REGARDING THE RELIABILITY OR SUITABILITY FOR A PARTICULAR PURPOSE OF ITS SERVICES. USER UNDERSTANDS AND ACKNOWLEDGES THAT WE EXERCISE NO CONTROL OVER THE NATURE, CONTENT OR RELIABILITY OF THE INFORMATION AND/OR DATA PASSING THROUGH OUR NETWORK. NO ORAL OR WRITTEN INFORMATION OR ADVICE GIVEN BY US, ITS DEALERS, AGENTS OR EMPLOYEES SHALL CREATE A WARRANTY AND USER MAY NOT RELY ON ANY SUCH INFORMATION OR ADVICE. WE MAKES NO WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, REGARDING THE QUALITY, ACCURACY OR VALIDITY OF THE INFORMATION AND/OR DATA RESIDING ON OR PASSING THROUGH ANY NETWORK. USE OF ANY INFORMATION AND/OR DATA OBTAINED FROM OR THROUGH SERVICES PROVIDED BY US WILL BE AT USER’S OWN RISK. USER ACKNOWLEDGES THAT WE ARE NOT LIABLE FOR ANY ERRORS OR INTERRUPTION IN THE INSTALLATION PROCESS OR IN PROVIDING THE SERVICES, WHETHER WITHIN OR OUTSIDE THE CONTROL OF US. UNDER NO CIRCUMSTANCES SHALL THE USER HOLD US OR ANY OF OUR AGENTS, CONTRACTORS OR REPRESENTATIVES RESPONSIBLE FOR ANY FORM OF DAMAGES OR LOSSES (INCLUDING WITHOUT LIMITATION ANY DIRECT, INDIRECT, CONSEQUENTIAL OR INCIDENTAL DAMAGES OR LOSSES) SUFFERED FROM, BUT NOT LIMITED TO ERRORS, DELAYS, LOSS OF INFORMATION, DELAYS IN THE INSTALLATION OR PROVISIONING PROCESS, OR INTERRUPTIONS IN THE SERVICES CAUSED BY THE USER, US OR A THIRD PARTY’S NEGLIGENCE, FAULT, MISCONDUCT OR FAILURE TO PERFORM. USER UNDERSTANDS THAT TELECOMMUNICATION AND/OR NETWORK ACCESS SERVICES MAY BE TEMPORARILY UNAVAILABLE FOR SCHEDULED OR UNSCHEDULED MAINTENANCE AND FOR OTHER REASONS WITHIN AND OUTSIDE OF THE DIRECT CONTROL OF US. UNDER NO CIRCUMSTANCES DO ANY SUCH ERRORS, DELAYS, INTERRUPTIONS IN SERVICES OR LOSS OF INFORMATION NULLIFY OR MODIFY THESE TERMS AND CONDITIONS. WE RESERVE THE RIGHT TO REFUSE OR TERMINATE SERVICES TO A USER AT ANY TIME WITHOUT CAUSE. THE INTERNET CONTAINS UNEDITED MATERIALS, WHICH MAY BE SEXUALLY EXPLICIT, OR MAY BE OFFENSIVE TO YOU OR OTHERS ACCESSING THE SERVICES. WE HAVE NO CONTROL OVER SUCH MATERIALS AND ACCEPT NO RESPONSIBILITY FOR SUCH MATERIALS.
1
7 – terminologies 1
8 – titres non juridiques
consumer contract • terms of Services • conditions of Use• conditions of Sale • notice • legal • waiver • licence • etc.
Privacy « contract » • privacy • confidentiality • FAQ• security• legal• waiver • licence • notice• etc.
1
9 –clauses abusives 1
10 –clauses stupides
DELL (INCLUDING DELL’S PARENTS, AFFILIATES, OFFICERS, DIRECTORS, EMPLOYEES OR AGENTS) DOES NOT ACCEPT LIABILITY BEYOND THE REMEDIES SET FORTH HEREIN, INCLUDING ANY LIABILITY FOR PRODUCTS NOT BEING AVAILABLE FOR USE, LOST OR CORRUPTED DATA OR SOFTWARE, PRODUCTS SOLD THROUGH DELL’S SOFTWARE AND PERIPHERALS DIVISION, OR THE PROVISION OF SERVICES OR SUPPORT. DELL WILL NOT HAVE ANY LIABILITY FOR ANY DAMAGES ARISING FROM THE USE OF THE PRODUCTS IN ANY HIGH RISK ACTIVITY, INCLUDING, BUT NOT LIMITED TO, THE OPERATION OF NUCLEAR FACILITIES, AIRCRAFT NAVIGATION OR COMMUNICATION SYSTEMS, AIR TRAFFIC CONTROL, MEDICAL SYSTEMS, LIFE SUPPORT OR WEAPONS SYSTEMS. DELL WILL NOT BE LIABLE FOR LOST PROFITS, LOSS OF BUSINESS, OR OTHER INCIDENTAL, INDIRECT, CONSEQUENTIAL, SPECIAL OR PUNITIVE DAMAGES, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGES, OR FOR ANY CLAIM BY ANY THIRD PARTY EXCEPT AS EXPRESSLY PROVIDED HEREIN.
10 –clauses stupides
« Do not use the ING DIRECT Web Site to communicate to others, to post on the ING DIRECT Web Site, or otherwise transmit to the ING DIRECT Web Site, any materials, information, or communication that either causes any harm to any person or that is illegal or otherwise unlawful, including without limitation any hateful, harassing, pornographic, obscene, profane, defamatory, libellous, threatening materials which constitutes or may encourage conduct that would be considered, a criminal offence, give rise to civil liability, promote the excessive, irresponsible or underage consumption of alcohol, or otherwise violate any law or regulation. »
10 –clauses stupides
« The limited warranty set forth below is given by Canon U.S.A., Inc. (Canon U.S.A.) in the United States or Canon Canada Inc., (Canon Canada) in Canada with respect to the Canon-brand PowerShot Digital Camera purchased with this limited warranty, when purchased and used in the United States or Canada. »
solutions simples
• court
• langage accessible
• humanité
• lent
• visuel
1
exemple intéressant :
www.creativecommons.ca/
1
1399 CCQ
« Le consentement doit être libre et éclairé. »
2
A. Shrink wrap
B. Click wrap
C. Browse wrap
2
1 - shrink wrap2.A
ProCD (US - 1996) King (Canada - 1989)
2 - Click wrap – Dell
• Dell Computer c. Union des consommateurs - Cours suprême du Canada (13 juillet 2007)
• 2 questions principales– Clause arbitrale et consommation– Validité du eContract
– Lire aussi « Dell a gagné »
2.B
Click 1
Click 2
Click 3
Click 4
3 - Browse wrap 2.C
-2-
evie privée
sources juridiques
• Loi sur la protection des renseignements personnels dans le secteur privé (1994 - Québec)
• Loi sur la protection des renseignements personnels et les documents électroniques (2000 - Canada) (PEPIDA)
• Annexe 1 de la précédente Loi (Principes énoncés dans la norme nationale du Canada intitulée code type sur la protection des renseignements personnels, CAN/CSA-Q830-96)
• Loi concernant le cadre juridique des technologies de l’information (2001 - Québec)
• CCQ, articles 2085 et suiv.
• Et d’autres …
introduction
• Vie privée existe depuis longtemps mais…
• La problématique change avec l’électronique– Tellement facile de copier– Tellement facile de vendre, céder, échanger ces informations– Tellement facile de ne pas se rendre compte que des informations personnelles nous concernant circulent– Tellement facile de les communiquer à autrui.
définition
• Définition dans PEPIDA: « article 2: «renseignement personnel » Tout renseignement concernant un individu identifiable, à l'exclusion du nom et du titre d'un employé d'une organisation et des adresse et numéro de téléphone de son lieu de travail. »
• Définition dans la loi québécoise: Article 2: « Est un renseignement personnel, tout renseignement qui concerne une personne physique et permet de l'identifier. » (aucune restriction)
en pratique, un RP c’est…
• Un numéro de carte de crédit • Des indications personnelles sur sa race, sa santé, son
crédit, etc… • Mais aussi…
– Nom, prénom, courriel, âge, téléphone, adresse, etc… – Habitudes d’achat– Il faut aussi parfois qu’il y ait un lien entre les informations – Cela ne concerna pas non plus les éléments qui sont du
domaine public– Etc.
principes
• Il y a les principes généraux (10 principes)
• Et il y a les principes spécifiques (10 principes)
• Même si recoupements possibles
principes générauxannexe 1 PEPIDA
1. Responsabilités
2. Finalités
3. Consentement
4. Limitations de la collecte
5. Limitation de l’utilisation, communication et de la conservation
6. Exactitude
7. Sécurité
8. Transparence
9. Accès
10. Recours
principes généraux1. Responsabilité« Une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner une ou des personnes qui devront s’assurer du respect des principes énoncés ci-dessous. »
« Les organisations doivent assurer la mise en oeuvre des politiques et des pratiques destinées à donner suite aux principes, y compris :
a) la mise en oeuvre des procédures pour protéger les renseignements personnels ;
b) la mise en place des procédures pour recevoir les plaintes et les demandes de renseignements et y donner suite ;
c) la formation du personnel et la transmission au personnel de l’information relative aux politiques et pratiques de l’organisation ; et
d) la rédaction des documents explicatifs concernant leurs politiques et procédures.
principes généraux
2. Finalités
« Les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées par l’organisation avant la collecte ou au moment de celle-ci. »
principes généraux
3. Consentement
« Toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. »
EX: Selon une décision du Commissariat à la vie privée (Conclusion #40, 2002 IIJCan 42369 (C.V.P.C.)), du 12 mars 2002, une banque ne peut exiger d’une personne souhaitant ouvrir un compte sans avoir un quelconque crédit (simplement pour déposer des chèques), une étude crédit classique avec présentation d’un NAS.
principes généraux
4. Limitation de la collecte
« L’organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées et doit procéder de façon honnête et licite. »
principes généraux
5. Limitation du traitement « Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n’y consente ou que la loi ne l’exige. On ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des fins déterminées. »
EX: Selon une décision du Commissariat à la vie privée (Conclusion #121, 2003 IIJCan 33645 (C.V.P.C.)), du 23 janvier 2003, une banque est responsable d’un employé qui utilise des renseignements sur un client pour commettre une fraude. En l’occurrence, le dédommagement offert par la banque est jugé suffisant.
principes généraux
6. Exactitude
« Les renseignements personnels doivent être aussi exacts, complets et à jour que l’exigent les fins auxquelles ils sont destinés. »
principes généraux
7. Mesures de sécurité
« Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. »
EX: Selon une décision du Commissariat à la vie privée (Conclusion #177, 2003 IIJCan 38271 (C.V.P.C.)), du 05 juin 2003, une banque ne peut laisser un ordinateur connecté à des renseignements personnels dans une aire publique sans mot de passe.
EX: Selon une décision du Commissariat à la vie privée (Conclusion #289, 2005 IIJCan 15488 (C.V.P.C.)), du 03 février 2005, une banque est resposable du vol d’un ordinateur portatif de l’une de ses employée.
principes généraux
8. Transparence « Une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne. »
EX: Selon une décision du Commissariat à la vie privée (Conclusion #183, 2003 IIJCan 38064 (C.V.P.C.)), du 10 juillet 2003, une banque n’est pas tenue de publier ses politiques et ses pratiques concernant la gestion des renseignements personnels. Il est notamment précisé que « le commissaire était d’avis qu’une institution bancaire doit savoir de façon plus générale quelles seront les conséquences de la diffusion de détails sur ses politiques et pratiques. Il a trouvé logique qu’une banque ne veuille pas rendre public les étapes précises suivies pour empêcher la fraude, puisque les criminels pourraient utiliser cette information pour déjouer les mesures de protection de l’institution ».
principes généraux
9. Accès
« Une organisation doit informer toute personne qui en fait la demande de l’existence de renseignements personnels qui la concernent, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers, et lui permettre de les consulter. Il sera aussi possible de contester l’exactitude et l’intégralité des renseignements et d’y faire apporter les corrections appropriées. »
principes généraux
10. Plaintes
« Toute personne doit être en mesure de se plaindre du non-respect des principes énoncés ci-dessus en communiquant avec le ou les personnes responsables de les faire respecter au sein de l’organisation concernée. »
principes spécifiques
1. Existence d’une politique – Reprendre les éléments de base– Les respecter – Écrire une politique lisible– Disposer cette politique dans un endroit
stratégique (voir par exemple les exigences de TrustE)
2. Inscrire dans la politique la finalité de la collection, l’utilisation ou la communication des RP
principes spécifiques
3. Aménager le consentement• OPT-IN: droit d’opposition quant à l’utilisation
ultérieure » Soit actif» Soit passif
• OPT-OUT: droit de retrait» N’importe quand » Ne plus utiliser les RP pour les finalités déjà
consenties• Attention au formulaire de renonciation (idem contrat)
principes spécifiques
4. Utilisation des cookies. Sont-ils comestibles? • Qu’est-ce c’est? • A quoi ça sert?
» Retracer » Sécurité» Faciliter l’utilisation (ex: panier d’achat)
• Expliquer ce que c’est et dire comment s’en prémuni
principes spécifiques
5. Le droit d’accès
6. Le respect d’une certaine sécurité
7. Mettre la liste des RP saisis sur le site et éventuellement préciser ceux qui ne le sont pas
8. Éventuellement envisager des situations spéciales selon les spécificités du site
• Enfants• Informations sur la santé
9. Éventuellement faire une mention de la loi applicable
10. Éventuellement permettre un lien par courriel à un responsable des RP sur le site
-3-
epreuve
loi concernant le cadre juridique des technologies de l’information
(LCCJTI)
(L.R.Q. c-1.1)
Afin d’y voir clairGuide relatif à la gestion des documents technologiques
(11/2005)
Afin d’y voir clairGuide relatif à la gestion des documents technologiques
1
nouveaux
risques
nouveau
document « technologique »
nouveaux
avantages
nouveaux
inconvénients
nouveaux objectifs
• enlever barrières –EX: écrit–EX: signature –EX: original
• élever sécurité–EX: un courriel –EX: c’est quoi être sécuritaire?
• protéger les personnes –EX: 29 LCCJTI
identifiant
etc…
transfert
documentation
certification
document
document technologique
cycle de vie
nouveaux vocabulaire
2
neutralité technologique
• Loi ne favorise pas une technologie – EX: Utah, Singapour, Italie, Portugal,
Allemagne, etc. –EX: certification
• Mais loi être néanmoins assez prescriptive –Neutre ne veut pas dire silence–Lois silencieuses
• EX: Qu’est qu’être intègre? • EX: 34 LCCJTI
équivalence fonctionnelle
• Rechercher les fonctions du papier et les transposer
–Document trouver un critère –Écrit transposable –Signature à chaque –Original concept tant pour le–Copie papier que pour
l’électronique
écrit
loi concernant le cadre juridique des technologies de l’information (L.R.Q. c. C-1.1) art. 5
écrit = intégrité
signature
2827 Cc.Q.: « La signature consiste dans l'apposition qu'une personne fait sur un acte de son nom ou d'une marque qui lui est personnelle et qu'elle utilise de façon courante, pour manifester son consentement.
signature
Droit réfère parfois aux TI
signature
United Nations Convention on the Use of Electronic Communications in International Contracts (2005)
9. 3. and(…) (b) The method used is (…) :(i) As reliable as appropriate for the purpose for which the electronic communication was generated or communicated, in the light of all the circumstances, including any relevant agreement;
signature
Ontario and Electronic Commerce Act
(…) • (a) the electronic signature is reliable for the
purpose of identifying the person; and• (b) the association of the electronic signature
with the relevant electronic document is reliable.
signature
Uniform Electronic Transaction Act (USA)
“the use of security procedures is simply one method for proving the source or content of an electronic record or signature. A security procedure may be technologically very sophisticated, such as an asymetric cryptographic system. At the other extreme the security procedure may be as simple as a telephone call to confirm the identity of the sender through another channel of communication. It may include the use of a mother's maiden name or a personal identification number (PIN). Each of these examples is a method for confirming the identity of a person or accuracy of a message.”
signature
fiability ?
security procedure ?
signature
contrat décline sa responsabilité
signature
information = oxygène
signature
Si pas de responsabilité = pas de sécurité
2838 CCQOutre les autres exigences de la loi, il est nécessaire,
pour que la copie d'une loi, l'acte authentique, l'acte semi-authentique ou l'acte sous seing privé
établi sur un support faisant appel aux technologies de l'information fasse preuve au même titre qu'un document de même nature établi sur
support papier, que son intégrité soit assurée.
intégrité
2839 CCQL'intégrité d'un document est assurée, lorsqu'il est possible de vérifier que l'information n'en est
pas altérée et qu'elle est maintenue dans son intégralité, et que le support qui porte cette
information lui procure la stabilité et la pérennité voulue.
intégrité
3
gestion documentaire
• Transfert
• Conservation
• Consultation
• Communication
transfert
• Définition: Faire passer un document technologique d’un support à un autre. Le document sur le nouveau support a la même valeur juridique que l’ancien et le document sur l’ancien support peut par la suite être détruit.
• Exemple: Une entreprise numérise des masses de documents papier, pour des raisons de coûts d’archivage ou pour faciliter les recherches, et les transfère ensuite sur un cédérom.
• Conditions légales: 1) documenter en précisant QUI – QUOI – COMMENT; 2) préserver l’intégrité.
conservation
•Définition: Remiser des documents d’une façon telle que l’on puisse les retrouver ultérieurement, sur demande, et sans qu’ils n’aient été altérés. Pour des raisons fiscales, administratives ou légales, la plupart des entreprises ont une obligation de conserver certains documents.• Exemples: Un particulier qui achète un produit en ligne peut avoir intérêt à garder une trace d’un accusé de réception qui lui a été envoyé par le commerçant après que le paiement ait été transmis et avant que ledit produit ne soit en sa possession. À des fins comptables, une entreprise peut avoir à conserver certains documents jusqu’à 10 ans. • Conditions légales: 1) Désigner une personne assignée, au sein de l’organisation, pour les questions de sécurité ou sous-traiter à un service d’intermédiaires. 2) S’assurer que les documents conservés soient intègres et disponibles pendant toute la durée de conservation. 3) S’assurer que la personne assignée qui modifie un document conservé, et donc remet en cause sciemment son intégrité, explique dans le document lui-même ou dans un autre qui y est associé : QUI – QUOI – COMMENT - QUAND
consultation • Définition: Rendre disponible à des personnes habilitées un document présenté dans une forme intelligible. • Exemples: La Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels oblige les instances publiques à rendre accessibles aux citoyens les renseignements personnels qu’elles détiennent sur eux. La Loi sur la protection des renseignements personnels dans le secteur privé oblige les entreprises à rendre accessibles aux usagers des documents contenant des renseignements personnels sur eux. La Loi sur la valeurs mobilières oblige parfois les personnes morales à transmettre aux investisseurs certains documents relatifs à leur entreprise (tels des états financiers ou des communiqués de presse).• Conditions légales: S’assurer que les documents sont intelligibles, lisibles. Laisser à la personne qui dispose du droit d’accès la liberté de choisir entre un document papier ou un document utilisant une technologie de l’information. Organiser un accès particulier lorsque les documents qui doivent être rendus accessibles contiennent des renseignements personnels ou confidentiels, par essence plus sensibles, à savoir : identifier une personne assignée et interdire l’accès aux autres;faire en sorte qu’il soit impossible de faire de la recherche extensive, c’est-à-dire qu’il ne peut être permis par exemple de vérifier dans une banque de données de jugements les noms des parties; mettre en place un encadrement sécuritaire suffisant; et s’assurer que les conditions qui s’appliquent pour les documents contenant des renseignements personnels soient respectées.
communication • Définition: Transmettre un document d’une personne à une autre en faisant appel aux technologies de l’information, sauf interdiction d’une loi ou d’un règlement.• Exemple: Le courriel est un moyen usuel pour transmettre un document attaché. L’industrie transmet très souvent des documents électroniques : échanges de documents informatisés, transferts électroniques de fonds, etc. • Conditions légales: Pour que le document expédié ait la même valeur que celui qui a été reçu, s’assurer :
–de l’intégrité des deux documents et de documenter la façon de faire pour parvenir à cette fin.
–Présumer qu’un document technologique est transmis lorsque l’expéditeur n’a plus le contrôle de celui-ci. Pour plus d’assurance, un bordereau d’envoi peut être généré par le système de l’expéditeur.
–Présumer qu’un document technologique est reçu lorsqu’il est accessible au destinataire. Pour plus d’assurance, un accusé de réception peut être généré par le système du destinataire.
–S’assurer qu’un document qui contient des informations confidentielles :soit transmis par un moyen jugé approprié et que la transmission soit documentée.
4
preuve
preuve = intégrité + identité
présomptions
preuve
EX: admission d’un courriel
Loi concernant le cadre juridique des technologies de l’information
(L.R.Q. c-1.1)
• « Froid » jurisprudentiel
• « Froid » réglementaire
• « Froid » doctrinal
Loi concernant le cadre juridique Loi concernant le cadre juridique des technologies de l’informationdes technologies de l’information
• «Froid» jurisprudentiel sur le plan quantitatif
– Bélanger c. Future Électronique, 2005 QCCRT 0570
– Citadelle, Cie d’assurance générale c. Montréal (Ville), 2005 IIJCan 24709 (QC C.S.)
– Vandal c. Salvas [2005] IIJCan 40771 QC. C.Q.
Loi concernant le cadre juridique Loi concernant le cadre juridique des technologies de l’informationdes technologies de l’information
• «Froid» réglementaire
– Aucune suite aux articles 63 et suivants…
63. Pour favoriser l’harmonisation, tant au plan national qu’international, des procédés, des systèmes, des normes et des standards techniques mis en place pour la réalisation des objets de la présente loi, un comité multidisciplinaire est constitué. À cette fin, le gouvernement, après consultation du Bureau de normalisation du Québec, fait appel à des personnes provenant du milieu des affaires, de l’industrie des technologies de l’information et de la recherche scientifique et technique, à des personnes provenant des secteurs public, parapublic et municipal ainsi qu’à des personnes provenant des ordres professionnels, toutes ces personnes devant posséder une expertise relative audomaine des technologies de l’information.
Loi concernant le cadre juridique Loi concernant le cadre juridique des technologies de l’informationdes technologies de l’information
• « Froid » doctrinal
– Peu d’interprétations
– Interprétations contradictoires
– Prévisibilité juridique réduite
Loi concernant le cadre juridique Loi concernant le cadre juridique des technologies de l’informationdes technologies de l’information
5
1457 CCQ
1 – qui ?
faute
lien
dommage
LPRPDE + LPRPSP + LCCJTI
2 – quoi ? => confidentialité
sécurité
consentement
accès limitation
finalité
6
principe 1: documenter
transmission
documents confidentiels
conservation
transfert
améliorer preuve
-4-
conformité
sécurité et finances
• Quelles sont les éléments susceptibles d’être modifiés par Internet ? – La vie privée – La diffusion de l’information– Les aspects internationaux – La fraude et les aspects reliés à la lutte contre la
criminalité – La vente de VM via Internet – La divulgation d’informations financières sur le
site Internet de la compagnie– Les règles de conformité
les règles de conformité
• Au départ Enron, WorldCom, etc. • Collusion entreprise / compagnies de comptables• Solutions proposées
–Intégrité de l’info.–Intégrité des personnes
• SOX (Sarbanes Oxley Act) • Équivalent au Canada
–Règlement 52-109 sur l’attestation de l’information présentée dans les documents annuels et intermédiaires des émetteurs
–Règlement 52-111 sur les rapports sur le contrôle interne à l’égard de l’information financière
les règles de conformitéNiveau
règlementaireNiveau
intermédiaireNiveau applicatif
ACVM 52-111 Instruction ACVM 52-111 ACVM 52-109 ACVM 52-108
COCO COSO Turnbull
Tendance «contrôle qualité»
ITILISO 9000NQI
Tendance « sécurité »ISO 17799GAISPOctave Méhari
Tendance «contrôle interne»
COBITOECDCICA
média
•Media et «axe du mal»
•77% des «evening news» 01 à 07/2002 (11% en 2001)
• «Politics, not economics, determines which corporate governance devices tend to be disfavored»(Jonathan Macey Professeur de droit à Yale)
• «It follows from the insight that regulation like SOX is not so much for the benefit of investors, who will avoid future risk, but for that of reputable sellers who will lose business unless they can persuade buyers that the sharks are gone and it is safe to swim» (Henry N. Butler and Larry E. Ribstein - The Sarbanes Oxley Debacle, 2006)
• «Shoot first, ask questions later», Henry N. Butler and Larry E. Ribstein - The Sarbanes Oxley Debacle, 2006
• RÉSULTAT DE SOX: Résultat du 25 juillet 2002 Chambre des représentants : 422 versus 3
politique
«the most far-reaching reforms of American business practices since the time of Franklin Delano Roosevelt»
G. W. Bush
fondamentaux de SOX
•Plus de contrôle interne
•Plus de vérification externe
•Plus de divulgation
•Plus de sanctions criminelles
•Plus d’attestations personnelles des dirigeants
section 404: Management Assessment of Internal Controls
« Rules Required. The Commission shall prescribe rules requiring each annual report required by section 13(a) or 15(d) of the Securities Exchange Act of 1934 to contain an internal control report, which shall:
state the responsibility of management for establishing and maintaining an adequate internal control structure and procedures for financial reporting; and
•contain an assessment, as of the end of the most recent fiscal year of the issuer, of the effectiveness of the internal control structure and procedures of the issuer for financial reporting ».
attention au 404
«404 File Not Found » (en français, « fichier non trouvé ») est un code d'erreur dans le protocole HTTP. Ce code est renvoyé par un serveur HTTP pour indiquer que la ressource demandée (généralement une page Web) n'existe pas. Le premier 4 indique une erreur dans la requête, ici une mauvaise URL, venant d'une page obsolète ou d'une erreur de saisie d'adresse Web de la part du visiteur. Le dernier 4 indique le problème causé par cette erreur : la ressource est introuvable.•Les numéros d'erreur sont définis dans les spécifications du protocole de communication HTTP.»
•wikipedia
inflation réglementaire
•Final Rule: 33-8238. Management's Reports on Internal Control Over Financial Reporting and Certification of
Disclosure in Exchange Act Periodic Reports
•Réfèrant à plusieurs «standards»
•Référant à des «Reports»
critiques inhérentes• Atteintes à la délégation (favorise l’esprit de dépanneur)
• Atteinte à l’innovation (indiquer tous les changements)
• Coûts prohibitifs (très différents des estimations de la SEC) même si frise la fantaisie
• Conséquences de l’ultra-responsabilisation des dirigeants (plus de suivi – coûts de gestion en hausse)
•« Hyper-oxygénation informationnelle »
• Prise de pouvoir des «technos»
place de la technologie
Intégrité financière
=
intégrité technique
critiques globales
• Responsabilités des États et non du fédéral
• Concurrence des Etats-Unis par des pays plus «laxistes»
• Fait fuire les investissements étrangers
• Limite le risque
• Trop peu flexibles selon la taille des compagnies
• Variations cacophoniques selon les pays (parfois illégal)
404
• Délais (31 décembre 2007)
• Appel au «repeal»
• Une législation si décriée ne peu pas être si manifestement mauvaise
Canada
• Attentisme déclaré (31/12/2007)
• Consultation en cours
• Documents en cours
- 52-109
- instructions 52-109
- 52-111
- instructions 52-111
- et autres…
substance versus procédure(les revoilà)
conclusion
• documentation inhérente à la preuve électronique
• sécurité électronique implique Document + environnement
• procéduralisation du droit
droit + sécurité = pas si sûr !
vincent gautraisprofesseur agrégé – avocat
faculté de droit – UDMtitulaire de la chaire UDM en droit de
la sécurité et des affaires électroniqueswww.gautrais.com
