flux RSS
Fabien Racine est étudiant dans le cadre du cours DRT 6929 O.
Le site Droit Inc. nous apprenait la semaine dernière que des pirates informatiques chinois avaient attaqués deux grands cabinets canadiens dans le but de voler des données relatives à une transaction de 40 milliards impliquant Potash Corp., une compagnie qui produit des engrais, représentée par Blakes, et la compagnie BHP Billiton Ltd, elle même représentée par Stikeman Elliott.
Cet article reprenait les grandes lignes de l’article original paru sur le site de Bloomberg et nous apprenait aussi que plusieurs grands cabinets avaient été ciblés par le même type d’attaques durant l’année 2011.
« Des incidents qui prouvent l’immense vulnérabilité des cabinets face à de telles attaques, et leur difficulté grandissante à protéger les données de leurs clients. » selon l’article. Mais qu’en est-il exactement de l’obligation de protection des données relatives aux clients, des moyens pour y parvenir et de la responsabilité de l’avocat en cas de faille de sécurité ?
Les données relatives aux clients
En vertu du Règlement sur la comptabilité et les normes d’exercice professionnel des avocats, les données relatives aux clients conservées sur un support informatique, quel qu’il soit, font partie intégrante de son dossier car ce dernier constitue « l’ensemble des renseignements, données, pièces ou documents relatifs à un même mandat ou contrat de service et consignés sur support papier à même une chemise ou sur support faisant appel aux technologies de l’information ». Dans le cas des cabinets, il est aussi bon de souligner l’application de l’article 12.
Afin de bien définir le statut juridique des données, il faut aussi considérer l’article 3 de la Loi concernant le cadre juridique des technologies de l’information (LCCJTI). Cette disposition nous indique que, un, « [u]n dossier peut être composé d’un ou de plusieurs documents », deux, « [u]n document est constitué d’information portée par un support », trois, un document technologique est un « document[...] sur [un] support[...] faisant appel aux technologies de l’information », et quatre, « est assimilée au document toute banque de données dont les éléments structurants permettent la création de documents par la délimitation et la structuration de l’information qui y est inscrite. »
Les données d’un client sur support informatique répondent donc au surplus à la définition de document technologique, qu’elles soient stockées dans une base de données ou sous forme de fichiers. Celles-ci se retrouvent facilement sur différents supports technologiques dont, notamment, CD , DVD , disque dur (ordinateur ou ordinateur portatif), mémoire flash (clé USB) ou carte SIM (téléphone cellulaire). D’autant de manières de les conserver, d’autant plus de manières différentes de compromettre leur sécurité et de moyens nécessaires pour les protéger.
Le cadre juridique de l’obligation de protection
Au Québec, les données et les renseignements de nature confidentielle sont protégés par de nombreuses dispositions législatives. De façon générale, le Code civil du Québec reconnaît cette protection aux articles 35 et s. Quant à elle, la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP) établi, « pour l’exercice des droits conférés par les articles 35 à 40 du Code civil du Québec en matière de protection de renseignements personnels, des règles particulières à l’égard des renseignements personnels sur autrui qu’une personne recueille, détient, utilise ou communique à des tiers à l’occasion de l’exploitation d’une entreprise [...]. » Parmi les règles particulières mises en place par cette loi, les articles 10 , 12 et 13 sont pertinents.
Pour l’avocat, l’obligation de protection découle aussi du respect du secret professionnel. Cette obligation lui provient principalement des dispositions qui figurent au Code des professions et à la Loi du Barreau. En effet, l’article 60.4 du Code nous rappelle que « [l]e professionnel doit respecter le secret de tout renseignement de nature confidentielle qui vient à sa connaissance dans l’exercice de sa profession. » alors qu’en vertu de l’article 131(1) de la Loi du Barreau, « [l]’avocat doit conserver le secret absolu des confidences qu’il reçoit en raison de sa profession. » Cette obligation a aussi été défini et précisé dans de nombreux jugements, notamment dans les affaires Société d’énergie Foster Wheeler Ltée c. Société intermunicipale de gestion et d’élimination des déchets (S.I.G.E.D.) inc., Glegg c. Smith & Nephew inc. et GeneOhm Sciences Canada inc. c. Biomérieux inc.
L’obligation de protection répond aussi à l’exigence de confidentialité imposée à l’avocat à l’égard des renseignements qu’il reçoit de son client. L’article 17 du règlement mentionné ci-haut indique que « [l]’avocat doit s’assurer de la confidentialité de ses dossiers ainsi que de toute l’information de nature professionnelle qui lui est transmise par son client et des tiers. » Cette exigence tire son origine dans l’alinéa 2 de l’article 9 de la Charte des droits et libertés de la personne. Selon la Charte, « [t]oute personne [lire ici l’avocat] tenue par la loi au secret professionnel […] ne peu[t] […] divulguer les renseignements confidentiels qui [lui] ont été révélés en raison de [son] état ou profession ». L’article 5 de la Charte nous indique aussi que « [t]oute personne [lire ici le client] a droit au respect de sa vie privée. » L’obligation de protection provient aussi de la LCCJTI et de ses articles 25 et 26. Le paragraphe 1 de l’article 34 de la LCCJTI, aussi pertinent, indique que l’obligation de protection s’applique aussi lors de la transmission des données.
En vue de compléter son obligation de protection, l’avocat doit aussi veiller au respect de la confidentialité des données de son client par toute personne pouvant être en contact avec ces dernières. C’est ce que prévoit le Code de déontologie des avocats à l’article 3.06.03. En plus de faire respecter la confidentialité, l’avocat doit exercer un contrôle sur l’accès accordé à ces données aux personnes concernées en gardant à l’esprit les termes de l’article 20 < de la LPRPSP .
La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ), une loi fédérale, est aussi susceptible de s’appliquer et particulièrement le principe 4.7 de son annexe 1 sur les mesures de sécurité. Le Commissariat à la protection de la vie privée du Canada en évoque les sous-principes aux paragraphes 68 et 69 du Rapport d’enquête sur la sécurité, la collecte et la conservation des renseignements personnels du 25 septembre 2007 traitant de l’affaire TJX Companies Inc./Winners Merchant International L.P. , compagnie victime d’une faille de sécurité dû à l’utilisation d’une technologie désuète en matière de protection de données transmises sur son réseau Wi-Fi (WPA vs WEP).
Les moyens raisonnables à mettre en place
En plus des moyens physiques usuels de sécurité, l’avocat doit mettre en place des moyens technologiques pour remplir son obligation de protection. Dominic Jaar et François Sénécal ont abordé la question de ces moyens. Dans Développements récents en déontologie, droit professionnel et disciplinaire (2010) : DéonTIIogie : les obligations de l’avocat face aux technologies de l’information, ils expliquent que « [d]es restrictions à l’accès doivent aussi être mises en place : mots de passe, chiffrement, etc.. Dans le domaine de la protection des renseignements personnels, des commissaires à la protection de la vie privée sont d’avis que les renseignements personnels « doivent être cryptés lorsqu’ils sont stockés sur des dispositifs vulnérables, tels que des ordinateurs portatifs ou des clés USB ». Enfin, l’utilisation de logiciels antivirus, de pare-feu et autres est nécessaire pour assurer la protection d’un système informatique contre les menaces provenant de l’extérieur. »
Il existe aussi des normes qui définissent des méthodes de protection pouvant être mises en place pour protéger les renseignements personnels et confidentiels. Le Code canadien de protection des renseignements personnels de Normes CSA et les nombreuses normes ISO concernant la sécurité de l’information (ISO 17799:2005, la suite ISO 27000:2005 , ISO 24760-1:2011, etc.) en sont des exemples. Le Barreau du Canada a aussi publié les Lignes directrices pour un exercice du droit conforme à la déontologie dans le cadre des nouvelles technologies de l’information. Ces dernières nous indiquent que les mesures prisent pour protéger les données doivent aussi inclure « la mise en place de politiques précises destinées à ceux qui utilisent les ordinateurs pour assurer la sécurité et l’intégrité des données du cabinet sur Internet, sur les ordinateurs portatifs et sur les ordinateurs de bureau. » Ces politiques devraient aussi inclure des indications destinées aux employés, dont le poste les oblige à transmettre ces données, afin de respecter le paragraphe 2 de l’article 34 de la LCCJTI advenant un litige car « [l]a documentation expliquant le mode de transmission convenu, incluant les moyens pris pour assurer la confidentialité du document transmis, doit être disponible pour production en preuve, le cas échéant. »
La responsabilité des avocats advenant une faille de sécurité
Les professionnels doivent être plus vigilants devant le développement sans cesse grandissant des technologies de l’information. C’est ce qui ressort du paragraphe 10 de la décision du Comité de discipline de Chambre de l’assurance de dommages
Dans une autre décision provenant du même Comité, soit Chambre de l’assurance de dommages c. Kotliaroff, une amende de 3000$ a été imposée à M. Kotliaroff, courtier en assurance de dommages, pour avoir, entre autres, fait défaut d’agir avec professionnalisme et avoir fait preuve de négligence en hébergeant, sur son site internet, les liens informatiques, code d’utilisateur et mot de passe de son frère, agent en assurance de dommages, sans protéger adéquatement l’accès à ceux-ci. Le Comité constate, au paragraphe 33, qu’il n’avait pas respecté les obligations qui lui étaient imposées par l’article 25 de la LCCJTI. Comme « le bris de confidentialité résulte d’une négligence lors de la conception et de la mise en fonction du site internet de l’intimé, plutôt que d’une faute intentionnelle, [...] la protection du public sera suffisamment assurée par l’imposition d’une sanction monétaire plutôt que par une période de radiation » de dire le Comité au paragraphe 57. Il conclut ensuite, au paragraphe 62 , qu’« [i]l demeure néanmoins que le bris de confidentialité doit être sévèrement réprimé puisque le droit au respect de sa vie privée et le droit au respect du secret professionnel constituent des droits fondamentaux qui doivent être préservés et protégés, en toutes circonstances. »
Ces décisions peuvent aisément servir de guide dans une cause impliquant un avocat. Le Barreau du Québec rappelle, dans l’introduction de son Guide des TI, que les avocats « ont la responsabilité d’agir de façon prudente et diligente [et que c]ela n’est possible que dans la mesure où ils prennent le temps de s’informer adéquatement quant aux TI utilisées, aux risques inhérents à leur utilisation ainsi qu’aux méthodes ou aux solutions assurant la prévention ou la réduction de ces risques. » Ce devoir d’information et de connaissance des TI est inclus dans le devoir de compétence de l’avocat que l’on retrouve à l’article 3.00.01 du Code de déontologie.
Il faut aussi considérer que le respect de normes n’est pas toujours suffisant pour se dégager de sa responsabilité. Elles ne représentent pas non plus le standard minimum requis. Les normes ISO n’étant pas disponible gratuitement, leur respect intégral ne peut s’imposer à tous mais leurs grandes lignes, facilement disponible sur Internet, pourraient l’être. La Cour Suprême, dans Roberge c. Bolduc, nous enseigne d’ailleurs qu’« [i]l se peut fort bien que la pratique professionnelle soit le reflet d’une conduite prudente et diligente. [...] Le fait qu’un professionnel ait suivi la pratique de ses pairs peut constituer une forte preuve d’une conduite raisonnable et diligente, mais ce n’est pas déterminant. [Le souligné est dans le jugement.] Si cette pratique n’est pas conforme aux normes générales de responsabilité, savoir qu’on doit agir de façon raisonnable, le professionnel qui y adhère peut alors, suivant les faits de l’espèce, engager sa responsabilité. » Rappelons que le Code canadien, repris par la LPRPDÉ, remonte à 1996, 15 ans déjà . C’est énorme dans le domaine de la sécurité informatique. Mot de passe et chiffrement ne seront peut-être plus suffisants. Les nouvelles technologies apportent de nouvelles solutions mais aussi un lot de nouveaux problèmes.
Conclusion
Quoi qu’en matière pénal cela peut être possible, l’obligation de protection des données informatiques n’en est pas une de résultat mais bien de moyens. Encore faut-il que les moyens déployés soient adéquats. Le Guide des TI du Barreau indique que les avocats doivent prendre « toutes les précautions nécessaires afin qu’aucun accroc au respect du secret professionnel ne survienne » et que « [l]es moyens raisonnables [pris par l’avocat] doivent s’étendre aux équipements, systèmes et programmes informatiques que l’avocat et les membres de son équipe utilisent. »
Nous n’avons aucune raison de douter que les cabinets visés par ces attaques ont mis en Å“uvre tous les moyens nécessaires pour protéger les données de leurs clients mais l’informatique est un monde qui évolue plus rapidement que le droit et les processus déployés pour la sécurité des données doivent être revus sur une base régulière afin d’éviter des situations futures qui risqueraient d’engager leur responsabilité . « Il faut s’assurer que le processus reste pertinent et adapté aux objectifs de sécurité des métiers de l’organisme. Il faut également identifier les changements nécessitant une réévaluation du risque ainsi que les nouvelles menaces et vulnérabilités. » - ISO 27005:2005 - Chap. 12 : Surveillance et réexamen des risques
Recommander cet article
Commentaires
Aucun commentaireAjouter un commentaire