dm mtl #1526513 v1 gestion confidentialité des documents électroniques présentation nll...
TRANSCRIPT
![Page 1: Dm Mtl #1526513 V1 Gestion Confidentialité Des Documents éLectroniques PréSentation Nll Institut Canadien 4 DéC 2007](https://reader033.vdocuments.net/reader033/viewer/2022060115/5576518bd8b42aaa548b48de/html5/thumbnails/1.jpg)
Assurer la confidentialité et la sécurité impérative de la gouvernance globale de l’information électronique pour
éviter de vous exposer à des poursuites judiciaires
Nicolas Leblanc
L’INSTITUT CANADIEN
Conférence sur la gestion stratégique et
l’administration pratique de documents électroniques
Les 4 et 5 décembre 2007Hôtel Intercontinental
![Page 2: Dm Mtl #1526513 V1 Gestion Confidentialité Des Documents éLectroniques PréSentation Nll Institut Canadien 4 DéC 2007](https://reader033.vdocuments.net/reader033/viewer/2022060115/5576518bd8b42aaa548b48de/html5/thumbnails/2.jpg)
2
Plan de la discussion
• 1 - Introduction
• 2 - Rappel Théorique – Législation en matière de renseignements personnels
• 3 - Transfert de données et confidentialité
• 4 - Dévoilement de renseignements et Gestion de crise
• 5 - Conclusion
![Page 3: Dm Mtl #1526513 V1 Gestion Confidentialité Des Documents éLectroniques PréSentation Nll Institut Canadien 4 DéC 2007](https://reader033.vdocuments.net/reader033/viewer/2022060115/5576518bd8b42aaa548b48de/html5/thumbnails/3.jpg)
3
1 - Introduction
• "Every man should know that his conversations, his correspondence, and his personal life are private." Lyndon B. Johnson – 37th US President
(1963-1969) – Remarks at the swearing in of Ramsey Clark as Attorney General, 10 March 1967.
(Public Papers of the Presidents of the United States: Lyndon B. Johnson, 1967, Book 1, p. 313, quoted in Respectfully Quoted: A Dictionary of Quotations, by Suzy Platt, Washington D.C., Library of Congress, 1989.)
![Page 4: Dm Mtl #1526513 V1 Gestion Confidentialité Des Documents éLectroniques PréSentation Nll Institut Canadien 4 DéC 2007](https://reader033.vdocuments.net/reader033/viewer/2022060115/5576518bd8b42aaa548b48de/html5/thumbnails/4.jpg)
4
2 – Rappel Théorique
• Sources du droit à la vie privée
Québec:
– Charte des droits et libertés de la personne, art. 5. (L.R.Q., c. C-12.): « Toute personne a droit au respect de sa vie privée. »
– Code civil du Québec, art. 3: « Toute personne est titulaire de droits de la personnalité, tels le droit à la vie, à l'inviolabilité et à l'intégrité de sa personne, au respect de son nom, de sa réputation et de sa vie privée. Ces droits sont incessibles. »
– Code civil du Québec, art. 35 – 40.
![Page 5: Dm Mtl #1526513 V1 Gestion Confidentialité Des Documents éLectroniques PréSentation Nll Institut Canadien 4 DéC 2007](https://reader033.vdocuments.net/reader033/viewer/2022060115/5576518bd8b42aaa548b48de/html5/thumbnails/5.jpg)
5
2 - Rappel Théorique (suite)
• Législation en matière de renseignements personnels Québec
– Secteur privé: Loi sur la protection des renseignements personnels dans le secteur privé (L.R.Q., c. P-39.1.)
– Secteur public: Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (L.R.Q., c. A-2.1.)
![Page 6: Dm Mtl #1526513 V1 Gestion Confidentialité Des Documents éLectroniques PréSentation Nll Institut Canadien 4 DéC 2007](https://reader033.vdocuments.net/reader033/viewer/2022060115/5576518bd8b42aaa548b48de/html5/thumbnails/6.jpg)
6
2 - Rappel Théorique (suite)
Canada
– Secteur privé: Loi sur la Protection des renseignements personnels et les documents électroniques (L.C. 2000, ch. 5.)
– Secteur public: Loi sur la Protection des renseignements personnels (L.R.C. 1985, ch. P-21.)
![Page 7: Dm Mtl #1526513 V1 Gestion Confidentialité Des Documents éLectroniques PréSentation Nll Institut Canadien 4 DéC 2007](https://reader033.vdocuments.net/reader033/viewer/2022060115/5576518bd8b42aaa548b48de/html5/thumbnails/7.jpg)
7
2 – Rappel Théorique (suite)
• Ailleurs au Canada (secteur privé):
Alberta: Personal Information Protection Act, S.A. 2003, c. P-6.5.
Colombie Britannique: Personal Information Protection Act, S.B.-C. 2003, c. 63.
Ontario: Personal Health Information Protection Act, 2004, S.O. 2004, c. 3, Sch. A
![Page 8: Dm Mtl #1526513 V1 Gestion Confidentialité Des Documents éLectroniques PréSentation Nll Institut Canadien 4 DéC 2007](https://reader033.vdocuments.net/reader033/viewer/2022060115/5576518bd8b42aaa548b48de/html5/thumbnails/8.jpg)
8
2 – Rappel Théorique (suite)
• Obligation d’assurer la protection des renseignements personnels Québec:
« 10. Toute personne qui exploite une entreprise doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. »
![Page 9: Dm Mtl #1526513 V1 Gestion Confidentialité Des Documents éLectroniques PréSentation Nll Institut Canadien 4 DéC 2007](https://reader033.vdocuments.net/reader033/viewer/2022060115/5576518bd8b42aaa548b48de/html5/thumbnails/9.jpg)
9
2 – Rappel Théorique (suite)
Canada:
« 4.7 Septième principe — Mesures de sécurité
Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. […] »
![Page 10: Dm Mtl #1526513 V1 Gestion Confidentialité Des Documents éLectroniques PréSentation Nll Institut Canadien 4 DéC 2007](https://reader033.vdocuments.net/reader033/viewer/2022060115/5576518bd8b42aaa548b48de/html5/thumbnails/10.jpg)
10
3 - Transfert de données et confidentialité• Sécurisation d’information sous format physique: Accès aux locaux
Classification de l’information
Politique d’entreprise
• Lors de transfert: Format physique
Registre d’entrées et de sorties
![Page 11: Dm Mtl #1526513 V1 Gestion Confidentialité Des Documents éLectroniques PréSentation Nll Institut Canadien 4 DéC 2007](https://reader033.vdocuments.net/reader033/viewer/2022060115/5576518bd8b42aaa548b48de/html5/thumbnails/11.jpg)
11
3 - Transfert de données et confidentialité (suite)• Transfert au format électronique
Loi sur le cadre juridique des technologies de l’information (L.R.Q., c. C-1.1.)
– Nécessité d’une politique, de documenter le transfert, etc. (art. 17, 20).
Plus de facteur à tenir en compte pour assurer la sécurité de l’information sous format électronique.
![Page 12: Dm Mtl #1526513 V1 Gestion Confidentialité Des Documents éLectroniques PréSentation Nll Institut Canadien 4 DéC 2007](https://reader033.vdocuments.net/reader033/viewer/2022060115/5576518bd8b42aaa548b48de/html5/thumbnails/12.jpg)
12
3 - Transfert de données et confidentialité (suite)• 4 sphères de risque des documents électroniques
Confidentialité
Sécurité physique
Accès non-autorisé
Information incomplète ou inexacte
![Page 13: Dm Mtl #1526513 V1 Gestion Confidentialité Des Documents éLectroniques PréSentation Nll Institut Canadien 4 DéC 2007](https://reader033.vdocuments.net/reader033/viewer/2022060115/5576518bd8b42aaa548b48de/html5/thumbnails/13.jpg)
13
3 - Transfert de données et confidentialité (suite)• Éléments d’une politique de sécurité des documents électroniques: E.g. ISO/IEC 17799:2005
Définitions et principes
Cadre de la politique
– Objectifs
– Mécanismes de Contrôle
– Mécanisme d’évaluation du Risque
![Page 14: Dm Mtl #1526513 V1 Gestion Confidentialité Des Documents éLectroniques PréSentation Nll Institut Canadien 4 DéC 2007](https://reader033.vdocuments.net/reader033/viewer/2022060115/5576518bd8b42aaa548b48de/html5/thumbnails/14.jpg)
14
3 - Transfert de données et confidentialité (suite)• Politique (suite):
Politiques, pratiques et standards
– Exigences législatives & règlementaires
– Éducation et formation
– Continuité d’affaires et sauvegarde de l’information
– Conséquences des violations
– Attribution des responsabilités
Mécanismes de rapport d’incidents
![Page 15: Dm Mtl #1526513 V1 Gestion Confidentialité Des Documents éLectroniques PréSentation Nll Institut Canadien 4 DéC 2007](https://reader033.vdocuments.net/reader033/viewer/2022060115/5576518bd8b42aaa548b48de/html5/thumbnails/15.jpg)
15
3 - Transfert de données et confidentialité (suite)• Contenu d’une politique de sécurité de l’information
Principe « need to know »
Niveaux de sûretés/classification
Identifier la source de l’obligation de confidentialité
Ségrégation des fonctions/accès
Identification et authentification des usagers
Identifier tous les types d’accès possibles
Révision périodique de la politique et des accès
![Page 16: Dm Mtl #1526513 V1 Gestion Confidentialité Des Documents éLectroniques PréSentation Nll Institut Canadien 4 DéC 2007](https://reader033.vdocuments.net/reader033/viewer/2022060115/5576518bd8b42aaa548b48de/html5/thumbnails/16.jpg)
16
3 - Transfert de données et confidentialité (suite)• Lors du transfert d’information d’un support à un autre:
Identifier si le document est confidentiel
– Quelle est la source de l’obligation de confidentialité:
• Information de l’entreprise
• Information sujette à une clause contractuelle
• Renseignement personnel
![Page 17: Dm Mtl #1526513 V1 Gestion Confidentialité Des Documents éLectroniques PréSentation Nll Institut Canadien 4 DéC 2007](https://reader033.vdocuments.net/reader033/viewer/2022060115/5576518bd8b42aaa548b48de/html5/thumbnails/17.jpg)
17
3 - Transfert de données et confidentialité (suite)• Transfert de support (suite)
Identifier le type de protection à appliquer
– Encryption
– Mot de passe
– Accès via quel cannaux?
– Accès à quels usagers?
– Standardiser les types d’accès
![Page 18: Dm Mtl #1526513 V1 Gestion Confidentialité Des Documents éLectroniques PréSentation Nll Institut Canadien 4 DéC 2007](https://reader033.vdocuments.net/reader033/viewer/2022060115/5576518bd8b42aaa548b48de/html5/thumbnails/18.jpg)
18
3 - Transfert de données et confidentialité (suite)• Transfert de données entre personnes/organismes:
Quelles méthodes sont permises
Quelles sécurité appliquer
Ne pas perdre l’information originale
Ne pas compromettre l’information confidentielle
![Page 19: Dm Mtl #1526513 V1 Gestion Confidentialité Des Documents éLectroniques PréSentation Nll Institut Canadien 4 DéC 2007](https://reader033.vdocuments.net/reader033/viewer/2022060115/5576518bd8b42aaa548b48de/html5/thumbnails/19.jpg)
19
4 - Dévoilement de renseignements et Gestion de crise• Lorsque il y a divulgation ou accès non autorisé d’information confidentielle
Prévoir d’avance: adresser l’éventualité dans la politique de sécurité de l’entreprise
Obligation d’aviser les personnes concernées?
![Page 20: Dm Mtl #1526513 V1 Gestion Confidentialité Des Documents éLectroniques PréSentation Nll Institut Canadien 4 DéC 2007](https://reader033.vdocuments.net/reader033/viewer/2022060115/5576518bd8b42aaa548b48de/html5/thumbnails/20.jpg)
20
4 - Dévoilement de renseignements et Gestion de crise (suite)• Obligation d’aviser lors d’atteinte non-autorisé à des renseignements personnels: Prévu seulement à la Personal Health
Information Protection Act (Ontario)
Dicta des commissaires à l’effet que cela est souhaitable
Défaut d’aviser pourrait engager la responsabilité civile de l’entreprise? La question reste entière.
![Page 21: Dm Mtl #1526513 V1 Gestion Confidentialité Des Documents éLectroniques PréSentation Nll Institut Canadien 4 DéC 2007](https://reader033.vdocuments.net/reader033/viewer/2022060115/5576518bd8b42aaa548b48de/html5/thumbnails/21.jpg)
21
4 - Dévoilement de renseignements et Gestion de crise (suite)• Obligation d’aviser (suite)
Obligation pourrait naitre de l’obligation d’assurer la sécurité de l’information:
– Sale of Provincial governement Computer Tapes Containing Personal Information, Re, 2006 CanLII 12536 (BC I.P.C.).
• Se fonde sur décisions précédentes des commissaires de l’Alberta et de l’État de Victoria, Australie.
![Page 22: Dm Mtl #1526513 V1 Gestion Confidentialité Des Documents éLectroniques PréSentation Nll Institut Canadien 4 DéC 2007](https://reader033.vdocuments.net/reader033/viewer/2022060115/5576518bd8b42aaa548b48de/html5/thumbnails/22.jpg)
22
4 - Dévoilement de renseignements et Gestion de crise (suite)• Obligation d’aviser (suite)
Toujours selon le Commissaire de l’État de Victoria, il ne serait pas nécessaire d’aviser en des circonstances exceptionnelles selon les facteurs suivants:
– Préjudice prévisible
– Avis pourrait causer préjudice
– Balance des facteurs, l’avis causerait plus de préjudice qu’il n’en préviendrait
![Page 23: Dm Mtl #1526513 V1 Gestion Confidentialité Des Documents éLectroniques PréSentation Nll Institut Canadien 4 DéC 2007](https://reader033.vdocuments.net/reader033/viewer/2022060115/5576518bd8b42aaa548b48de/html5/thumbnails/23.jpg)
23
4 - Dévoilement de renseignements et Gestion de crise (suite)• Obligation d’aviser (suite)
Le Commissaire de la Colombie Britannique conclut que l’obligation d’assurer la sécurité de l’information du PIPA n’inclut pas l’obligation d’aviser dans tous les cas sauf dans des circonstances exceptionnelles, mais retiens les facteurs utilisés par le Commissaire de l’État de Victoria
![Page 24: Dm Mtl #1526513 V1 Gestion Confidentialité Des Documents éLectroniques PréSentation Nll Institut Canadien 4 DéC 2007](https://reader033.vdocuments.net/reader033/viewer/2022060115/5576518bd8b42aaa548b48de/html5/thumbnails/24.jpg)
24
4 - Dévoilement de renseignements et Gestion de crise (suite)• Principales étapes à suivre par les organisations en
cas d’atteintes à la vie privée, Commissariat à la vie privée du Canada (août 2007);
• Key steps in responding to privacy breaches, Office of the Information and Privacy Commissionner (Alberta);
• Breach Notification Assessment Tool et Key steps in responding to privacy Breaches, Office of the Information and Privacy Commissionner (Colombie Britannique et Ontario);
• Perte ou vol de renseignements personnels, Commission d’accès à l’Information (Janvier 2007).
![Page 25: Dm Mtl #1526513 V1 Gestion Confidentialité Des Documents éLectroniques PréSentation Nll Institut Canadien 4 DéC 2007](https://reader033.vdocuments.net/reader033/viewer/2022060115/5576518bd8b42aaa548b48de/html5/thumbnails/25.jpg)
25
4 - Dévoilement de renseignements et Gestion de crise (suite)• Contenu d’une politique en cas d’atteinte aux
renseignements confidentiels
Contenir l’atteinte
– Désigner un responsable
Évaluer les risques associés
– Nature de l’information, degré de confidentialité
– Protection existante de l’information atteinte
– Usages possibles de l’information
– Préjudice possible
![Page 26: Dm Mtl #1526513 V1 Gestion Confidentialité Des Documents éLectroniques PréSentation Nll Institut Canadien 4 DéC 2007](https://reader033.vdocuments.net/reader033/viewer/2022060115/5576518bd8b42aaa548b48de/html5/thumbnails/26.jpg)
26
4 - Dévoilement de renseignements et Gestion de crise (suite)• Contenu d’une politique (suite)
Avis
– À qui
– De quelle façon
– Quoi indiquer dans l’avis
– Aviser le commissaire à la vie privée
Prévention
– Tirer des leçons de l’atteinte
![Page 27: Dm Mtl #1526513 V1 Gestion Confidentialité Des Documents éLectroniques PréSentation Nll Institut Canadien 4 DéC 2007](https://reader033.vdocuments.net/reader033/viewer/2022060115/5576518bd8b42aaa548b48de/html5/thumbnails/27.jpg)
27
4 - Dévoilement de renseignements et Gestion de crise (suite)• Développements à anticiper
Me Jennifer Stoddart, Commissaire à la vie privée, demande l’ajout d’une obligation d’aviser en cas d’atteinte:
– Mémoire présenté au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (22 février 2007)
– Quatrième rapport du Comité permanent de l’accès à l’information de la protection des renseignements personnels et de l’éthique sur l’examen, prévu par la loi, de la LPRPDÉ (mai 2007)
– Réponse du gouvernement au quatrième rapport – Favorable à obligation d’avis & prévoit consultations
![Page 28: Dm Mtl #1526513 V1 Gestion Confidentialité Des Documents éLectroniques PréSentation Nll Institut Canadien 4 DéC 2007](https://reader033.vdocuments.net/reader033/viewer/2022060115/5576518bd8b42aaa548b48de/html5/thumbnails/28.jpg)
28
4 - Dévoilement de renseignements et Gestion de crise (suite)• Développements à anticiper (suite)
Initiative en Colombie Britanique: Labour and Citizens' Services Statutes Amendment Act, 2007 (Bill 25) modification au Freedom of Information and Protection of Privacy Act (ajout obligation de notifier).
Initiative au Manitoba: The Personal Information Protection And Identity Theft Prevention Act (Bill 216) (obligation de notifier).
![Page 29: Dm Mtl #1526513 V1 Gestion Confidentialité Des Documents éLectroniques PréSentation Nll Institut Canadien 4 DéC 2007](https://reader033.vdocuments.net/reader033/viewer/2022060115/5576518bd8b42aaa548b48de/html5/thumbnails/29.jpg)
29
4 - Dévoilement de renseignements et Gestion de crise (suite)• Développements à anticiper (suite)
Initiative en Ontario: Consumer Reporting Amendment Act (projet de loi 38 du 38e parlement, 2e session) (obligation de notifier)
Initiative en Nouvelle Écosse: création d’un poste de Commissaire à la protection des renseignements personnels chargé de « oversign of all matters relating to the privacy of persons in the Province and the collection and use of information relating to persons in the Province… »
![Page 30: Dm Mtl #1526513 V1 Gestion Confidentialité Des Documents éLectroniques PréSentation Nll Institut Canadien 4 DéC 2007](https://reader033.vdocuments.net/reader033/viewer/2022060115/5576518bd8b42aaa548b48de/html5/thumbnails/30.jpg)
30
5 - Conclusion
• “Privacy is not something that I'm merely entitled to, it's an absolute prerequisite.”
attribué à Marlon Brando
![Page 31: Dm Mtl #1526513 V1 Gestion Confidentialité Des Documents éLectroniques PréSentation Nll Institut Canadien 4 DéC 2007](https://reader033.vdocuments.net/reader033/viewer/2022060115/5576518bd8b42aaa548b48de/html5/thumbnails/31.jpg)
Nicolas LeblancFasken Martineau DuMoulin
Tour de la Bourse800, Place Victoria
Bureau 3700, C.P. 242Montréal (Québec)
Canada H4Z [email protected]
Tél. : 514 397 5262Téléc. : 514 397 7600