Guide de sécurité.9 - Responsabilités

- Les obligations des parties

- L’évaluation des risques

- Les choix technologiques

La LCCJTI a encadré par des règles spécifiques la responsabilités des prestataires de services : articles 22, 27, 36 et 37.

9.1Principes généraux en matière de responsabilité

Principe : toute personne, qu’elle soit une entreprise, une institution publique ou un particulier, peut être tenue responsable des dommages causés à autrui par le fait de documents technologiques qu’elle détient.

Conditions légales : il n’existe pas d’obligation de sécurité de manière générale. En revanche, celui qui ne prend pas un soin particulier à gérer ses documents technologiques se verra dans l’incapacité de faire valoir ses droits par absence de preuve. Néanmoins, la Loi précise des conditions impératives dans certains cas. C’est par exemple le cas lors de la gestion de documents technologiques confidentiels et lors de la gestion d’un certificat numérique

9.2 Responsabilité et confidentialité

Principe : un document confidentiel ne peut être accessible qu’aux personnes qui y sont autorisées. Les personnes qui détiennent ces documents ont l’obligation d’assurer un degré de sécurité adéquat.

Conditions légales relatives à la protection des renseignements personnels :

  • Élaborer une politique de vie privée explicitant le traitement et la finalité des renseignements personnels.
  • Détenir un intérêt sérieux et légitime pour constituer un dossier.
  • Ne recueillir que les renseignements nécessaires à la finalité voulue.
  • Permettre aux individus, sauf exception, l’accès, la correction ou le retrait de leurs propres renseignements personnels. Interdire la transmission des renseignements personnels à autrui sauf consentement manifeste de l’intéressé.

Conditions légales relatives à la sécurité :

  • Mettre en place des mesures de sécurité qui soient proportionnelles et appropriées aux circonstances.
  • Empêcher que le devoir d’accès à des documents technologiques puisse nuire à la confidentialité de certaines informations. Notamment, face à des données publiques, il est possible de mettre en place un système de visibilité réduite qui interdirait de faire des recherches par mots-clés trop efficaces.
  • S’assurer en cas de transmission de renseignements confidentiels, d’une part que les partenaires qui les reçoivent disposent aussi d’un encadrement sécuritaire adéquat et d’autre part que l’opération est documentée.

9.3 Responsabilités d’une entreprise de services en technologies de l’information

Services d’hébergement :

L’hébergement consiste en l’opération d’un prestataire de services qui laisse à la disposition d’autrui un espace disque afin de diffuser des sites dans Internet. Or, des documents illégaux sont parfois disponibles dans Internet, que ce soit des propos haineux, diffamatoires, contraires à des règles d’ordre public ou portant atteinte à la vie privée ; il s’agit alors de savoir qui est responsable entre l’auteur ou l’hébergeur.

Régime général d’exonération : Son rôle se limite à permettre une diffusion de pages Internet sans qu’aucun contrôle ne soit exercé, et ce, même s’il dispose de la possibilité de le faire.

Responsabilité : possible dans le cas où :

  • il a connaissance d’activités illicites de la part des personnes hébergées par lui ; notamment quand on le lui fait savoir en lui adressant une lettre ou un courriel ;
  • il a connaissance de circonstances qui rendent apparentes des activités illicites de la part des personnes hébergées par lui ;
  • il n’a rien fait pour empêcher que des activités illicites de la part des personnes

Services de référence :

Les opérations liées aux activités de pages de liens hypertextes, de moteurs de recherche, d’index ou d’autres répertoires d’information sont appelés des services de référence. Ces derniers disposent d’un régime de responsabilité similaire à ceux des services d’hébergement.

Services de transmission :

Par services de transmission, il faut comprendre l’action purement technique par laquelle un prestataire de services transporte des documents technologiques d’un point à un autre.

Régime général d’exonération : son rôle se limite à une action technique.

Responsabilité possible dans le cas où :

  • il est à l’origine de la transmission ;
  • il sélectionne ou modifie le document transmis ;
  • il sélectionne la personne qui transmet, reçoit ou a accès au document posant problème ;
  • il conserve le document plus longtemps que ne l’exige la transmission.

Services de conservation :

Il faut comprendre par services de conservation l’action de conserver des documents afin d’assurer une meilleure efficacité de la transmission de documents technologiques. Cela correspond à deux situations principales que sont :

  • La fonction « cache » (ou antémémorisation) qui consiste à stocker les éléments d’une page Internet sur un ordinateur ou un serveur afin de faciliter un accès ultérieur ;
  • La conservation de documents nécessaires à l’utilisation de serveur à accès contrôlé, d’Intranet (notamment pour des raisons de sécurité).

Régime général d’exonération : Un régime de responsabilité similaire au précédent s’applique aux prestataires de services de conservation.

Responsabilité possible dans l’une des quatre situations qui s’appliquent à la responsabilité du transmetteur ;

  • le prestataire ne respecte pas les conditions d’accès au document ;
  • le prestataire empêche la vérification de qui a eu accès au document ;
  • le prestataire ne retire pas promptement du réseau ou ne rend pas l’accès au document impossible alors qu’il avait connaissance :
  • qu’un tel document a été retiré de là où il se trouvait initialement ;
  • qu’il n’est pas possible aux personnes qui y ont droit d’y avoir accès ;
  • qu’une autorité compétente en a exigé le retrait.

RÉFÉRENCES

- Guide relatif à la gestion des documents technologiques – Afin d’y voir plus clair, Fondation du Barreau du Québec