Drt 6903A Droit du commerce électronique Cours 6 – Responsabilité et sécurité 7 octobre 2009 Eloïse Gratton [email protected].

Drt 6903A Droit du commerce électronique

Cours 6 –

Responsabilité et sécurité

7 octobre 2009

Eloïse [email protected]

Responsabilités Hébergeur Moteur de recherche Transporteur Conservation de données Éditeur Certification Blogueur Paiement Enchères Pourriels Vie privée

Responsabilité civile

Régime général du Code civil – art. 1457

3 conditions:

– Faute commise

– Dommage causé

– Lien établi entre la faute et le dommage

Responsabilité - hébergeur

Hébergeur

Régime général d’exonération.

Responsabilité possible dans le cas où : – il a connaissance d’activités illicites de la

part des personnes hébergées par lui; – il a connaissance de circonstances qui

rendent apparentes des activités illicites de la part des personnes hébergées par lui;

– il n’a rien fait pour empêcher que des activités illicites de la part des personnes hébergées par lui soient perpétrées.

Responsabilité - hébergeur

Hébergeur 22 LCCJTI. « Le prestataire de services qui agit à

titre d'intermédiaire pour offrir des services de conservation de documents technologiques sur un réseau de communication n'est pas responsable des activités accomplies par l'utilisateur du service au moyen des documents remisés par ce dernier ou à la demande de celui-ci.Cependant, il peut engager sa responsabilité, notamment s'il a de fait connaissance que les documents conservés servent à la réalisation d'une activité à caractère illicite ou s'il a connaissance de circonstances qui la rendent apparente et qu'il n'agit pas promptement pour rendre l'accès aux documents impossible ou pour autrement empêcher la poursuite de cette activité. »

Responsabilité – moteurs de recherche

Idem pour les référencements (moteurs de recherche)

Art. 22 LCCJTI « (…) De même, le prestataire qui agit à titre d'intermédiaire pour offrir des services de référence à des documents technologiques, dont un index, des hyperliens, des répertoires ou des outils de recherche, n'est pas responsable des activités accomplies au moyen de ces services. Toutefois, il peut engager sa responsabilité, notamment s'il a de fait connaissance que les services qu'il fournit servent à la réalisation d'une activité à caractère illicite et s'il ne cesse promptement de fournir ses services aux personnes qu'il sait être engagées dans cette activité. »

Responsabilité – moteurs de recherche

Flach Film et autres / Google France, Google Inc., Tribunal de commerce de Paris, 8e chambre, Jugement du 20 février 2008

Limites quant à l’exclusion de l’obligation de surveillance active.

Dès lors qu’un titulaire de droits a signalé un contenu illicite dans une zone de stockage déterminée à un hébergeur, ce dernier aurait l’obligation de surveiller toute nouvelle apparition de ce contenu, dans n’importe quelle zone de stockage de son site.

Notion de “connaissance” L’article 6.1-5 de la loi française sur la confiance dans l’économie

numérique (LCEN) prévoît un mécanisme de notification des intermédiaires.

La connaissance des faits litigieux est présumée acquise lorsqu'il leur est notifié les éléments suivants :– La date de la notification ;– si le notifiant est une personne physique : ses nom, prénoms,

profession, domicile, nationalité, date et lieu de naissance ; si le requérant est une personne morale : sa forme, sa dénomination, son siège social et l'organe qui la représente légalement ;

– les nom et domicile du destinataire ou, s'il s'agit d'une personne morale, sa dénomination et son siège social ;

– La description des faits litigieux et leur localisation précise ;– les motifs pour lesquels le contenu doit être retiré,

comprenant la mention des dispositions légales et des justifications de faits ;

– La copie de la correspondance adressée à l'auteur ou à l'éditeur des informations ou activités litigieuses demandant leur interruption, leur retrait ou leur modification, ou la justification de ce que l'auteur ou l'éditeur n'a pu être contacté.

Responsabilité - transporteur

Transporteur (art. 36 LCCJTI)

Régime général d’exonération. Son rôle se limite à une action technique.

Responsabilité possible dans le cas où : – il est à l’origine de la transmission; – il sélectionne ou modifie le document

transmis; – il sélectionne la personne qui transmet,

reçoit ou a accès au document posant problème;

– il conserve le document plus longtemps que ne l’exige la transmission.

Responsabilité - conservation Conservation (art. 37 LCCJTI)

Illustrations, deux situations principales : – La fonction « cache » (ou antémémorisation)– La conservation de documents nécessaires à

l’utilisation de serveur à accès contrôlé, d’Intranet (notamment pour des raisons de sécurité).

Régime général d’exonération. Un régime de responsabilité similaire au précédent s’applique aux prestataires de services de conservation.

Responsabilité - conservation Responsabilité possible dans le cas où :

– dans l’une des quatre situations qui s’appliquent à la responsabilité du transmetteur;

– le prestataire ne respecte pas les conditions d’accès au document;

– le prestataire empêche la vérification de qui a eu accès au document;

– le prestataire ne retire pas promptement du réseau ou ne rend pas l’accès au document impossible alors qu’il avait connaissancequ’un tel document a été retiré de là où il se trouvait initialement;qu’il n’est pas possible aux personnes qui y ont droit d’y avoir accès;qu’une autorité compétente en a exigé le retrait.

Responsabilités - Éditeurs

Éditeurs

Vieux comme la presse

1457 CCQ– Faute – Dommage – Lien de causalité

Responsabilité plus grande

Responsabilités - Certification

Certification (47 LCCJTI et ss.) Obligations de l’autorité de certification :

– rédiger une politique de certification – rendre publique la politique de certification;– présenter des garanties d’impartialité;– inscrire promptement sur le répertoire prévu à cet effet tout

certificat invalide;– assurer l’intégrité du certificat.

Obligations du certifié : – garder secret tout dispositif qui permet d’utiliser le certificat, toute

utilisation de ce dernier étant présumée faite par lui;– dévoiler à l’autorité de certification tout motif qui laisserait croire

que le dispositif est compromis par un tiers;– informer l’autorité de certification de tout changement à son statut.

Obligations du tiers : – vérifier l’identité des intervenants;– vérifier au répertoire la mise en place par l’autorité de certification la

validité du certificat.

Responsabilités - Certification

Répartition des responsabilités– Responsabilité non démontrée – d’aucun. Les

parties sont toutes responsables.– Responsabilité partagée.

Quelle que soit la répartition, elle est d’ordre public et ne peut être modifiée par contrat.

Responsabilité - Blogueur Et que se passe-t-il avec le blogue?

Qualification

Qui contrôle? Vaillancourt c. Lagacé (2005) – Modéré -> éditeur (si possibilité raisonnable

de vérifier) – Non modéré -> hébergeur

Et en droit comparé?– Idem aux USA– Différent en droit français

• Sauf exception (recommandation du Forum des droit sur Internet)

Responsabilité - Blogueur Blogue « OK Corral à Saint-Adèle » (Vincent Gautrais)

– Équilibre liberté d’expression / diffamation • Arguments pour le blogueur

– Officier public – Vérifier l’investigation du journalisme – Autorise un droit réponse

• Arguments pour le maire – 1457 CCQ– Tendance jurisprudentielle au Québec

– Responsabilité des blogues quant aux commentaires• Modération• Non modération

Rawdon (Municipalité) c. Solo, Leblanc et autres, 3151 (C.S.) 2009.

Responsabilité du paiement

Émetteur de carte Émetteur de carte

commerçantAcheteur

(consommateur)

Responsabilité du paiementBanque Laurentienne du Canada c. Abdul-Wahab, 2001 IIJCan 151 (QC C.S.)

[45]  Ceci dit, lorsque le numéro de carte est communiqué par téléphone, Internet ou autrement, sans présentation formelle de la carte, il revient au commerçant d’assumer le risque de la transaction, et non à l’institution financière avec laquelle il a signé une convention de services de paiement au point de vente.  En effet, les différentes étapes prévues au manuel d’exploitation visent à réduire au minimum les fraudes et sont sous le seul contrôle du commerçant : présentation de la carte, signature du relevé et vérification des signatures apparaissant au relevé et à l’endos de la carte.  Si ces trois étapes sont remplies et si un numéro d’autorisation est obtenu, le commerçant a rempli sa part du contrat et si de bonne foi[2], a droit au paiement[3].

[46]  En somme, quand le commerçant prend sur lui de modifier les méthodes d’exploitation, même lorsqu’il est de bonne foi, il doit en assumer les conséquences, car lui seul est en mesure de faire les vérifications additionnelles que peut requérir une transaction à distance et prendre les dispositions appropriées avant de remettre les biens commandés.

Responsabilité du paiement147511 Canada Inc. c. Banque Laurentienne du Canada, 2003 IIJCan 30449 (QC C.S.)

[32] Les incidents et les manquements ont été suffisamment nombreux et importants pour justifier les craintes exprimées par les témoins entendus à l'initiative de Banque Laurentienne et l'intervention immédiate.

[33] Il n'était pas nécessaire que Banque Laurentienne fasse la preuve de fraude ou de mauvaise foi de La Compagnie et de ses représentants pour justifier sa décision.  Le non respect des conditions d'utilisation, même en toute bonne foi, était suffisant.

[34] Le retrait du terminal constituait le seul remède dont Banque Laurentienne disposait pour se protéger et, selon la convention intervenue, elle pouvait agir comme elle l'a fait.  Dans les circonstances spécifiques du présent dossier, son comportement ne constituait pas un comportement abusif.

Responsabilité - Enchères Des risques très lourds

• Le non paiement de l’acheteur • La non fourniture du bien acheté

» Solution utilisant un intermédiaire» Solution technique quant à l’identification

• La non authenticité du produit vendu • La vente de produits interdits

» Affaires Yahoo en France» Solutions techniques» Solutions contractuelles

• Le dopage des prix (comme dans les enchères traditionnelles)

• Le contrôle de la capacité des acteurs• La responsabilité de l’organisateur de l’enchère• Paiements…

Responsabilité - Enchères Encadrement légal des « vraies » enchères

– 1757 CcQ et s.– Ex: 1760 et anonymat des vendeurs– Similaires dans d’autres pays

La responsabilité des intermédiaires

Les limites à la concurrence

Commentaires : les limites du droit et les voies «non-juridiques »

Responsabilité des intermédiairesHendrickson c. eBay (septembre 2001) Savoir si application du « Safe Harbour » du DMCA (art. 512) Faits:

– Le plaignant dispose d’un droit d’auteur sur un DVD vendu sur eBay

– Lettre du plaignant de faire un « cease and desist » (20/12/00)

– Lettre de eBay pour précision en conformité du DMCA (info sur l’œuvre copiée)

• Lien au DMCA• Formulaire selon VeRO (Verified Rights Owners)

– Lettre 2 de eBay pour précision • Identifier l’œuvre • Affidavit (statement)

– Plaignant ne joint pas VeRO– Information jamais donnée à eBay

Responsabilité des intermédiaires

Hendrickson c. eBay (suite)

Procédures:

– Action le 17 janvier 2001 sur la base de contrefaçon

– Deuxième action le 12 février 2001 pour continuer de vendre lesdites copies et ajouts de défendeurs

– Troisième action le 13 avril 2001, ajoutant des défendeurs

– Rejet d’une injonction le 30 avril 2001

– Demande de jugement en « fastrack » le 27 juillet 2001

Responsabilité des intermédiairesHendrickson c. eBay (suite)

Décision: Pas d’infraction directe…. mais contribution indirecte Application du DMCA?

– DMCA pour assurer le développement du CE

– Protéger les ISP de responsabilités

– eBay est un ISP OUI (512(k)(1)(B))

– 512 (c) limite la responsabilité « for infringement of copyright by reason of the storage at the direction of a user of a material that resides on a system or network controlled or operated by or for the service provider. »

– Conditions:• Pas de connaissance actuelle • Pas de bénéfice pécuniaire • A agit avec diligence pour enlever l’œuvre en question

Responsabilité des intermédiaires

Hendrickson c. eBay (suite)

– Connaissance NON

– Bénéfice NON– Ne pas décourager les tentatives de monitoring – VeRO– Pas une vraie vente aux enchères (pas de contrôle)

– Sur cette question d’agissement prompt le plaignant doit envoyer une notification écrite incluant 6 éléments :

– Une signature – Identification de l’œuvre contrefaite NON– Information pour identifier la localisation de l’œuvre – Information pour permettre à l’ISP d’aviser le

contrefacteur – Affidavit de la bonne foi du plaignant NON– Affidavit de la véracité des faits demandés

Responsabilité des intermédiaires Tyffany c. eBay (2008) (U.S.)

Infractions possibles envisagées:– les différents véhicules associés au droit d’auteur  NON– l’usage non autorisée de la marque de commerce ; NON– concurrence illégale ; NON – négligence dans le contrôle des vendeurs ; NON – etc NON

Efforts jugés suffisants: – le système VeRO ;– les NOCIs (Notice of Claimed Infringement) qui y sont associés ; – ses différents investissements dans le contrôle de la fraude ; – la suspension de vendeur frauduleux ; – ses pages éducatives sur le droit d’auteur notamment ; – etc.

Responsabilité des intermédiaires

Responsabilité des intermédiaires

Hermès c. eBay (2008) (France)

Éditeur? NON – C’est éditer que le contenant et non le contenu (Cédric Manara)

Hébergeur? NON – LOI « mise à disposition du public ou de catégories de public, par un

procédé de communication électronique, de signes de signaux, d’écrits, d’images, de sons ou de messages de toute nature qui n’ont pas le caractère d’une correspondance privée » (LCEN, art. 1)

– JUGE « les sociétés eBay doivent être considérées comme des éditeurs de services de communication en ligne à objet courtage »

– JUGE « les sociétés eBay engagent donc leur responsabilité à l’égard de la société Hermès International pour ne pas satisfaire pleinement à leur obligation de veiller à l’absence d’utilisation répréhensible de son site au sens de l’article L. 713-2 du Code de la propriété intellectuelle »

– MANARA Entre la responsabilité de l’éditeur et celle de l’hébergeur, c’est donc… une troisième voie qui a été adoptée. Le droit commun s’applique aux activités économiques et sociales qui prennent place sur internet, activités qui sont possibles parce que les plateformes au moyen desquelles elles s’exercent sont protégées par le droit. Avec cette décision, les fondations sont consolidées, la responsabilité civile est honorée.

Responsabilité des intermédiaires

L’Oréal c. eBayTribunal de commerce de Bruxelles (31 juillet 2008) (Belgique)

"les seules activités d'eBay critiquées par Lancôme sont celles par lesquelles eBay héberge (ou affiche) les annonces de vente émanant des candidats vendeurs" (…) "ce sont donc bien les activités d'hébergement auxquelles se livre eBay qui sont critiquées par Lancôme"

"ce ne sont pas des catégories d'intermédiaires, ni davantage des types d'informations qui peuvent prétendre à l'exonération de responsabilité qu'elle prévoit, mais bien et uniquement des intermédiaires et prestataires de service, lorsqu'ils peuvent faire valoir qu'ils fournissent tel ou tel service entrant dans la définition de ceux se trouvant exemptés"

"s'agissant des annonces de ventes postées sur le site eBay par des candidats vendeurs, eBay les accueille en fournissant un service d'hébergement, pour lequel eBay bénéfice d'une exemption de responsabilité".

"le statut particulier réservé par la directive et la loi aux fournisseurs de services d'hébergement s'oppose" (…) “à ce qu'une illicéité lui est notifiée, eBay doit prendre des mesures pour éviter que pareille illicéité ne se reproduise".

Limites à la concurrence: le « deep-linking » et l’affaire eBay c. Bidder’s Edge

Faits:• Le second prend des informations du premier et les

range par catégories• Pas de mention la page initiale• Appel en cours de Bidder Edge

Décision qui donne raison à eBay Amici Curiae de plusieurs professeurs américains sur la base

• L’argumentation sur la base du Trespass est non pertinente

• Contraire à la compétition sur Internet • Nature même de l’internet que de permettre ceci• Devoir de balancer l’intérêt du public à être informé

» Réduire frais d’information pour l’acheteur» Réduire les frais de publicité» Augmente la comparaison de l’acheteur

• Menace de l’efficacité les échanges de prix

Responsabilité - pourriels

Loi sur la protection du commerce électronique (« LPCE »)

Objectifs: – empêcher l’envoi au Canada de pourriels sous leurs formes

les plus dangereuses, telles que l’usurpation d’identité, l’hameçonnage et les logiciels espions; 

– contribuer à décourager les polluposteurs de sévir au Canada;

– combattre les logiciels espions en interdisant l’installation de logiciels informatiques sans le consentement du propriétaire de l’ordinateur.

Art. 6(1): « Il est interdit d’envoyer à une adresse électronique un message électronique commercial, de l’y faire envoyer ou de permettre qu’il y soit envoyé, sauf si : a) la personne à qui le message est envoyé a consenti expressément ou tacitement à le recevoir; b) le message est conforme [aux exigences réglementaires] ».

Consentement restrictif….

Autres restrictions visant l’installation de logiciels

Responsabilité - pourrielsLoi sur la protection du commerce

électronique (« LPCE »)

Sanctions administratives Violation des dispositions décrites ci-dessus fera l’objet de

« sanctions administratives pécuniaires » pouvant atteindre 1 million de dollars dans le cas d’une personne physique, ou 10 millions de dollars dans le cas d’une personne morale.

Cette responsabilité s’étendrait aussi aux employeurs, aux administrateurs, aux dirigeants ou aux représentants d’une société.

Régime de dommages-intérêts pouvant se traduire par une ordonnance de verser « une somme maximale de 200 $ à l’égard de chaque contravention de la disposition en cause, jusqu’à concurrence de 1 000 000 $ par jour pour l’ensemble des contraventions ». Cette responsabilité s’étendrait aussi aux employeurs, aux dirigeants et aux administrateurs d’une société.

Responsabilité - pourrielsLoi sur la protection du commerce électronique

(« LPCE »)

Sanctions administratives Nouveau droit privé d’action pour toute personne qui

prétend être touchée par les actes ou omissions qui constituent une contravention à l’article 5 de la Loi sur la protection des renseignements personnels et les documents électroniques, qui met en cause une collecte ou une utilisation d’information visée aux paragraphes 7.1(2) ou (3) de cette loi.

Critique de Morgan: – « Il semble que ce droit pourrait maintenant exposer les

entreprises canadiennes à de nouvelles responsabilités étendues à l’égard de l’utilisation ou de la communication de renseignements personnels faite sans en informer les personnes ou obtenir leur consentement. Les dirigeants, administrateurs et employeurs pourraient aussi être éventuellement responsables des actes de leurs employés. »

Responsabilité – Vie privée Proaction des détenteurs de RP

– Industrie Canada , «Working Together to Prevent Identity Theft», (2005)

• Option I – Truncate (partially blank out) payment card numbers

• Option II – Verify the identity of persons and organizations accessing credit reports

• Option III – Do not disclose social insurance numbers (SINs) on credit reports or use them as a unique identifier for consumers

• Option IV – Allow consumers to place freezes on their credit reports

• Option V – Require organizations that store personal information to notify individuals and credit bureaus in cases of security breaches

• Option VI – Require credit bureaus to place fraud alerts on consumers’ credit reports incases of security breaches or upon the request of an identity theft victim

• Option VII – Require credit lenders to disclose details of fraudulent debts to victims

• Option VIII – Require credit bureaus to block information about fraudulent debts appearing on a consumer’s credit report

• Option IX - Make organizations liable for damages• Option X – Inform victims of their rights

Vie privée et confidentialité

Obligation de sécurité!

Obligation de sécuritéCadre Légal au Québec

Loi concernant le cadre juridique des TI– 25. « La personne responsable de l'accès à un document

technologique qui porte un renseignement confidentiel doit prendre les mesures de sécurité propres à en assurer la confidentialité, notamment par un contrôle d'accès effectué au moyen d'un procédé de visibilité réduite ou d'un procédé qui empêche une personne non autorisée de prendre connaissance du renseignement ou, selon le cas, d'avoir accès autrement au document ou aux composantes qui permettent d'y accéder. »

Loi sur la protection des renseignements personnels dans le secteur privé– 10. « Toute personne qui exploite une entreprise doit prendre les

mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.  »

Bris de sécurité…..

1) Comment prévenir les bris de sécurité informatique

2) Stratégie à adopter lorsqu'un bris survient et que des renseignements personnels sont divulgués

1) Comment prévenir les bris de sécurité informatique

Apprendre des erreurs des autres Analyse de cas récents: TJX / Winners and

HomeSense

TJX et Visa a informé certains commissaires à la vie privée canadiens d’un bris informatique affectant 45 millions d’utilisateurs de cartes de crédit en janvier 2007

Lors de leur enquête, les commissaires ont mentionné:– avoir un problème avec la collecte de données inutiles dans ce cas

et aussi leur conservation excessive– l’importance de mettre à jour tout système informatique– que les coûts de réparation d’une brèche dépassent largement les

coûts pour le maintien adéquat d’un système

La leçon à retenir: Ne jamais collecter de renseignements inutiles ou en maintenir inutilement dans son système

Certains cas de 2008: Février: Une copie de sauvegarde non encryptée

contenant les informations de 4.5 million clients de la Banque de New York Mellon sont perdues après être envoyé en entreposage

Mars: Un bris de sécurité chez Sony Playstation Network a exposé les informations des comptes et mots de passe de plusieurs de ses clients

Avril: Un bris de séurité informatique au niveau du réseau du RCMP dû à 4 virus a compromis certains éléments de preuve dans un dossier criminel important d’un réseau de vol automobiles

Mai: Un bris de sécurité au niveau du serveur de l’Université de Oklahoma a exposé les noms, adresses et numéros d’assurance sociale de 700 0000 étudiants et employés qui avaient acheté des permits de stationnement les 6 dernières années

Certains cas de 2009: Janvier: Un virus a été introduit dans le système de

Heartland Payment Systems afin de collecter les numéros de carte de crédit lorsque transmis sur Internet, affectant potentiellement 100 000 individus

Juillet: Un virus s’est inflitré dans le système de facturation enligne de Hydro Toronto obtenant des informations de 179000 clients

Juillet: Un virus informatique affecte plus de 4 343 sites transactionnels faisant affaires avec le fournisseur d’infrastructure Network Solutions expose les données financières de 573 928 clients

Été: Mozilla a dû fermer ses portes temporairement après qu’uns brèche informatique est intervenue chez GatewayCDI qui est en charge du « back end » de son magasin virtuel

Maintien d’un système adéquat

Les responsabilités associées aux documents technologiques confidentiels

Principe:– Un document confidentiel ne peut être accessible qu’aux

personnes qui y sont autorisées et la personne le détenant a l’obligation d’assurer un degré de sécurité adéquat

Conditions légales:– Élaborer une politique de vie privée – Avoir un intérêt sérieux et légitime pour constituer un

dossier– Ne recueillir que les renseignements nécessaires à la

finalité recherchée– Permettre aux individus (sauf exceptions) l’accès, la

correction ou le retrait de leurs renseignements– Interdire leur transmission (sauf consentement de

l’intéressé)

Adoption de politiques Adoption de politiques: (i) en matière de protection de

renseignements personnels; et (ii) en matière de sécurité

La politique en matière de sécurité doit traiter des éléments suivants:

– Gestion des mots de passe

– Verrouillage des ordinateurs, portables, blackberrys et téléphones cellulaires

– Conservation de documents contenant des renseignements confidentiels ou personnels

– Communications électroniques et envoi et réception de documents par télécopieur

– Destruction de documents contenant des renseignements confidentiels ou personnels

Maintien d’un système adéquat

Les responsabilités découlant de l’obligation de sécurité

Conditions légales relatives à la sécurité:– Mettre en place des mesures de sécurité qui soient

proportionnelles et appropriées aux circonstances– Empêcher que l’accès à des documents technologiques

puisse nuire à la confidentialité de certaines informations– S’assurer en cas de transmission que l’opération est

documentée et que les destinataires ont aussi une encadrement sécuritaire adéquat

Solutions:– Mettre en place une entente de sécurité détaillant:

• La mise en place de moyens physiques, organisationnels et technologiques

• L’information et sensibilisation du personnel

Formation du personnel Sensibiliser le personnel aux questions de sécurité des

renseignements personnels et confidentiels;

Les informer:

– de toutes politiques de l’entreprise à ce sujet (politique en matière de protection de renseignements personnels et en matière de sécurité);

– des procédures à suivre en cas de bris de sécurité:

• Qui contacter dans l’entreprise?

• Divulguer le bris aux individus concernés ou non?

• Réprimande en cas de non suivi d’un bris?

Communications électroniques Guide publié par la Commission de l’Accès à

l’Information Mesures de sécurité à adopter pour les courriels

électroniques:– Utiliser les modifications proposées par les

fournisseurs de logiciels– Utiliser un anti-virus à jour– Utiliser de la cryptographie– Gestion des mots de passe– Agir en conformité avec les droits d’accès des

individus concernés– Établir des politiques de rétention – Adopter une politique d’utilisation de courriel

au sein de l’entreprise

Destruction de documents Guide relatif à la destruction de documents

contenant des renseignements personnels :

– Déchiquetage des documents papier. Si trop grand volume, mettre dans salle verrouillée jusqu’à ce que les documents soient détruits.

– Entente avec tiers relativement à la destruction des documents contenant des renseignements personnels doit inclure:

• Le processus utilisé pour la destruction

• L’obligation d’exécuter une entente d’impartition avant de transférer les obligations au tiers

• Les pénalités en cas de non respect des dispositions

Destruction de documents (suite) Guide relatif à la destruction de documents

contenant des renseignements personnels :

– Entente avec tiers relativement à la destruction des documents contenant des renseignements personnels doit inclure (suite):

• Employés pertinents exécutent une entente de confidentialité

• Un engagement de garder les documents confidentiels dans un endroit verouillé avec accès limité

• Autoriser l’accès à ses locaux durant l’entente

• Engagement de préparer un rapport de destruction

Stratégie à adopter lorsqu'un bris survient et que des renseignements personnels sont divulgués:

Étape 1 : Découverte du bris 

Immédiatement prendre les mesures suivantes pour limiter la brèche dans les renseignements personnels :

• Désigner une personne qualifiée pour la tenue de l’enquête initiale;

• Déterminer s'il est nécessaire de mettre sur pied une équipe composée de représentants des secteurs concernés de l’entreprise;

• Déterminer qui doit être mis au courant de l’incident à l’interne et à l’externe;

• Ne pas nuire à la capacité d’enquêter sur l’incident.

Étape 2 : Évaluation des risques associés à l’atteinte à la vie privée

1- Évaluation des renseignements personnels en cause

– Les renseignements sont‑ils sensibles? – Quel sont les préjudices prévisibles pour les

personnes concernées?     – Quel est le contexte lié aux renseignements

personnels en cause? – Les renseignements personnels sont‑ils

convenablement encodés, dépersonnalisés ou difficiles d’accès?

– Comment les renseignements personnels peuvent‑ils être utilisés?

– L’information peut‑elle servir à des fins frauduleuses ou autrement préjudiciables?

Étape 2 : Évaluation des risques associés à l’atteinte à la vie privée

2- Cause et étendue de la brèche dans les renseignements personnels

– Déterminer la cause de la brèche dans les renseignements personnels;

– Y a‑t‑il un risque que des brèches se reproduisent ou que les renseignements soient davantage compromis?

– Quelle a été l’étendue de l’accès non autorisé aux renseignements personnels?

– L’information a‑t‑elle été perdue ou volée et a-t-elle été retrouvée?

– Quelles mesures ont été prises pour atténuer les préjudices?

– S’agit‑il d’un problème systémique ou d’un incident isolé?

Étape 2 : Évaluation des risques associés à l’atteinte à la vie privée

3- Personnes concernées par la brèche dans les renseignements personnels

– Quelle est la quantité de renseignements personnels compromis par la brèche et quelles personnes sont concernées par la brèche?

4- Préjudices prévisibles découlant de la brèche

– Tenir compte: • des attentes raisonnables des concernés• du destinataire de l’information (ex: Y a‑t‑il un lien

entre les destinataires non autorisés et les personnes visées par les renseignements?)

• du préjudice pour personnes concernées et pour l’organisation

• du préjudice que la notification de la brèche dans les renseignements personnels pourrait causer au public

Étape 3 : Notification

Notifier ou non? : Évaluer les risques de préjudice pour les personnes concernées et leur possibilité de prendre des mesures pour se protéger.

Qui doit notifier: – L’organisation qui entretient un rapport direct avec le

client. – Notification par une tierce partie dans certains cas

Quand notifier : Le plus tôt possible après l’évaluation de l’incident, sans compromettre la tenue de l’enquête.

Comment notifier : – Notifier directement les personnes concernées. – S’assurer que la méthode choisie pour notifier

n’accroît pas le risque de préjudice.   Autres personnes à notifier :

– Commissaires à la protection de la vie privée, policiers, assureurs, compagnies émettrices de cartes de crédit, etc.

Étape 3 : Notification

Libellé de la notification – Aperçu de l’incident et le moment où il s’est produit; – Description des renseignements personnels en cause;– Sommaire des mesures que l’organisation a prises

pour contrôler les préjudices; – Ce que l’organisation compte faire pour aider les

personnes et les mesures que ces dernières peuvent prendre pour éviter ou réduire les risques de préjudice;

– Les sources de renseignements visant à aider les personnes à se protéger contre le vol d’identité;

– Les coordonnées d’un individu ou service de l’organisation qui peut répondre aux questions.

– Mention de toute communication au sujet du bris avec un commissaire à la protection de la vie privée et les coordonnées du commissaire.

Étape 4 : Prévention de futures atteintes à la vie privée

Enquêter sur les causes de l’incident et réfléchir à la nécessité d’élaborer un plan de prévention.

Le plan de prévention pourrait prévoir ce qui suit :

– une vérification de la sécurité physique et technique; – un examen des politiques et des procédures et tout

changement témoignant des leçons tirées de l’enquête et subséquemment;

– un examen des pratiques de formation des employés; – un examen des partenaires de la prestation de services;– une vérification à la fin du processus pour déterminer si

le plan de prévention a été mis en œuvre avec succès.

Ne pas oublier que:

Lois étrangères (ex. certains États américiains) peuvent nécessiter une notification pour leurs résidants, peu importe la juridiction où se trouvent ces informations.

Les individus peuvent s’attendre à recevoir une notification même si la loi n’oblige pas une telle notification (Ex: Disparition de 470 000 dossiers personnels appartenant à des clients de la banque CIBC enjanvier 2007)

Est-ce que l’obligation légale en matière de responsabilité civile (1457 C.c.Q.) peut s’appliquer?

Deux lois canadiennes en matière de santé obligent à notifier

La loi fédérale LPRPDE pourrait être amendée pour inclure cette obligation prochainement – révision aux 5 ans – commentaire récent de Jennifer Stoddard suite au

bris de l’affaire Heartland