droitdu.net

Un site utilisant Plateforme OpenUM.ca

Vol d’identité à la Polytechnique : Devrait-on rendre obligatoire la déclaration d’incidents de sécurité portant sur la protection des renseignements personnels?

/var/www/droitdu.net/fichiers/identite

Étudiante dans le cadre du cours DRT-6903.
22 octobre 2015
Commentaires
Permalien

La semaine dernière nous apprenions que d’anciens étudiants boursiers de la Polytechnique ont été victimes de vols d’identité. À la suite de cette découverte, la direction de la Polytechnique a décidé d’avertir chacun des 874 ex-étudiants boursiers qu’elle avait des raisons de croire que des renseignements personnels les concernant pourraient être utilisés à des fins frauduleuses. On apprennait par ailleurs qu’en 2012, la direction de la Polytechnique avait mené une enquête interne après avoir été avisée de l’utilisation frauduleuse de renseignements personnels de ses anciens étudiants mais qu’elle croyait depuis que la fuite avait été circonscrite.

Devrait-on rendre obligatoire la déclaration d’incidents de sécurité portant sur les renseignements personnels auprès des personnes concernées ?

Dans son Mémoire présenté dans le cadre de la consultation sur les Orientations gouvernementales pour un gouvernement plus transparent, dans le respect du droit à la vie privée et la protection des renseignements personnels, rendu public le 14 août dernier, la Commission d’accès à l’information du Québec (CAI) recommandait l’ajout, autant dans la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels que dans la Loi sur la protection des renseignements personnels dans le secteur privé, de l’obligation d’aviser les personnes concernées lors d’incidents de sécurité impliquant des renseignements personnels lorsque ceux-ci présentent un risque de préjudice important ou significatif pour celles-ci. Elle recommandait également qu’il soit obligatoire de déclarer ce genre d’incidents auprès de la CAI. La mise en œuvre de ces recommandations s’inscriraient dans l’exercice d’harmonisation nécessaire entre Loi canadienne portant sur la protection des renseignements personnels (LPRPDE) et la Loi sur la protection des renseignements personnels dans le secteur privé.

Or, le 18 juin dernier, la Loi sur la protection des renseignements personnels numériques, qui modifie la LPRPDE, a été adoptée. L’une des modifications apportées à la LPRPDE est justement l’obligation de déclarer au Commissaire et aux personnes concernées toute atteinte aux mesures de sécurité portant sur des renseignements personnels s’il est raisonnable de croire que l’atteinte présente un risque réel de préjudice grave à l’endroit de la personne concernée. Cet avis doit être transmis dès que l’atteinte est découverte par l’organisation qui détient les renseignements personnels. À noter que cette obligation n’est pas encore entrée en vigueur, elle le sera ultérieurement par voie de décret.

Sans obligation légale expresse d’aviser les personnes concernées, la décision de la direction de la Polytechnique de le faire, a certainement été prise afin de satisfaire à ses obligations générales de diligence en matière de sécurité de l’information. Par contre, cela permet alors de questionner la décision prise en 2012 de ne pas le faire devant une situation similaire.

Favorisant la transparence et pouvant aider les personnes concernées à se prémunir contre le vol d’identité, rendre obligatoire le fait d’aviser toute personne concernée d’une atteinte aux mesures de sécurité portant sur la protection de ses renseignements personnels et qui présente un risque de préjudice important ou significatif pour elle, est une excellente initiative. Pour les entreprises, elle a le mérite de clarifier leurs obligations de diligence en matière de sécurité de l’information.

En ce qui concerne l’obligation de déclarer ce genre d’incidents au Commissaire à la protection de la vie privée du Canada ou à la CAI du Québec, il semble que l’objectif de cette mesure soit d’assurer un niveau de transparence et un contrôle. Or, nous sommes d’avis que ce contrôle devra non seulement être exercé envers les entreprises qui déclarent les incidents, mais surtout envers celles qui ne le font pas afin que les entreprises faisant preuve de transparence ne soient pas indument pénalisées. Souhaitons que ce rôle de surveillance pourra être réellement exercé et qu’il en résultera une meilleure protection des renseignements personnels. Par conséquent,  la CAI devra avoir plus de pouvoirs pour exercer ce rôle et, nous ajoutons : plus de moyens.

L’obligation de déclarer les incidents de sécurité liés à la protection des renseignements personnels, n’exonère cependant pas l’organisation ou l’entreprise de sa responsabilité civile. Ainsi, la Polytechnique ne serait pas à l’abri d’un recours collectif intenté par les 874 personnes qu’elle a avisées.

Au Québec, Target a été la cible d’un recours du genre à la suite de cyber attaques contre ses bases de données comprenant des renseignements personnels sur ses clients.L la Cour supérieure du Québec a toutefois rejeté la requête du requérant, M. Zuckerman, principalement parce qu’il n’y avait pas de preuve de dommage réel subi. En effet, M. Zuckerman n’ayant pas été victime de fraude ou de vol d’identité, mais ayant plutôt été inquiété de savoir ses renseignements personnels mal protégés, le juge Pinsonnault a rejetté sa requête et cite avec approbation un de ses collègues dans l’arrêt Sopfio c. OCRCVM :

les inconvénients qu’allègue le requérant s’apparentent davantage à ceux qui font généralement partie de la vie en société au XXIe siècle (par. 40).

Ces propos devraient être retenus par le législateur québécois lorsqu’il s’engagera à encadrer l’obligation de déclaration d’incidents de sécurité qui présente un risque de préjudice important ou significatif. Selon nous, les adjectifs « important » ou « significatif » devraient non seulement qualifier le risque, mais également le préjudice. Interpréter autrement serait une sérieuse entrave au commerce électronique tel qu’il se pratique au XXIe siècle.

 

Sur le même sujet

Derniers tweets