Définition de l’obligation de sécurité informatique

Au Québec, l’obligation de sécurité informatique découle, notamment, de l’article 10 de la Loi sur la protection des renseignements personnels dans le secteur privé49 et de l’article 25 de la Loi concernant le cadre juridique des technologies de l'information50.

C'est le Responsable de la Sécurité des Systèmes d'Informations (RSSI) qui est chargé de veiller à la sécurité du réseau, en s’assurant que « l'information est valide, [que] les infrastructures garantissent l'intégrité des données et [qu’]il est possible de détecter les actions malveillantes »51. Sa mission consiste également à garantir la confidentialité des données traitées par le système. La sécurité informationnelle s’apprécie, en effet, en fonction du « triptyque DIC bien connu des spécialistes de la sécurité informatique: Disponibilité, Intégrité et la Confidentialité des fonctions et informations »52_{. À ces critères,}

il faut ajouter « l'authenticité et l’irrévocabilité de l’information »53_.

Le rôle du RSSI consiste également à adapter les mesures de sécurité en fonction de l’origine du risque et de la nature des informations à protéger : il est en effet certain que le degré de sécurisation à apporter à un fichier uniquement composé des noms et adresses de clients ne peut pas être le même que lorsqu’il s’agit d’informations sensibles, éventuellement couvertes par le secret professionnel, telles les données médicales ou bancaires »54. Il faudra donc que l’entreprise opère des choix en termes de gestion des risques, afin de trouver un compromis satisfaisant entre les besoins de circulation de

49 _{Préc., note 10.}

50 _{L.R.Q. 2001, c. C-1.1.}

51 _{Martin DUBOIS, « Nouvelles technologies de l'information et des communications et sécurité informationnelle », dans}

Développements récents en droit de l'accès à l'information (2002), Service de la formation permanente du Barreau du

Québec, 2002, Droit civil en ligne (DCL), EYB2002DEV565, p. 9.

52 _{V. S}

ÉDALLIAN, préc., note 40, p. 3.

53 _{AnaI. VICENTE, La convergence de la sécurité informationnelle et la protection des données à caractère personnel.}

Vers une nouvelle approche juridique, mémoire de maîtrise, Montréal, Faculté des études supérieures, Université de

Montréal, 2003, p. 11.

54 _{V. S}

l'information, des délais d'exécution raisonnables et le niveau de sécurité exigé au regard des caractéristiques des données55.

Les mesures de sécurité adoptées par l’entreprise consistent souvent en une protection physique des lieux (contrôle d'accès aux locaux, protection contre les incendies, etc.). Toutefois, s’agissant de données numériques, la sécurité aura surtout un aspect « logique » (dispositifs pare-feu, installation d’antivirus, mots de passe, verrouillage de classeurs, chiffrement/cryptologie, etc.), organisationnel (accès aux données en fonction des habilitations, sauvegardes, maintenance, mise à jour des logiciels pour installer les correctifs) et juridique (contrat d’assurance, par exemple)56.

L’impératif de sécurité informationnelle implique également que les mesures de sécurité appliquées sur le lieu physique de l’entreprise soient étendues à toutes les personnes ou entités qui sont autorisées à accéder à distance aux données de l’entreprise : les télétravailleurs et les travailleurs mobiles doivent en effet bénéficier d’outils informatiques dotés d’une protection adéquate57. Il en va de même pour les personnes dûment mandatées par un contrat, par exemple dans le cadre de l’impartition des données, et qui doivent, elles aussi, utiliser des méthodes appropriées garantissant la sécurité des informations fournies58. Enfin, l’entreprise doit s’assurer que tous les supports qui abritent ou véhiculent ses informations stratégiques (mémoires d’ordinateur, disques durs, clés USB, réseaux numériques, etc.) sont sécurisés59.

La sécurité du système d’information suppose également des actions de sensibilisations et de formation du personnel60, car, comme indiqué précédemment, une grande majorité des

55 _Id. 56 _BlandineP

OIDEVIN, « Quelle responsabilité en matière de sécurité informatique? », Jurisexpert.net, 8 avril 2002, en

ligne : <http://www.jurisexpert.net/quelle_responsabilit_en_mati_re_de_s_cur/> (consulté le 19 août 2010).

57 _{M. D}

UBOIS, préc., note 51, p. 6-7.

58 _{Id., p. 7.} 59 _{Ian J. T}

URNBULL, « Information systems », dans Ian J. TURNBULL, Shari SIMPSON CAMPBELL, Donald F. HARRIS et

Brian KIMBALL, Privacy in the workplace: the employment perspective, Canadian Privacy Institute, CCH Canadian,

Toronto, 2004, p. 208.

60 _{V. S}

atteintes à la sécurité des données dont les entreprises sont victimes sont le fait d’employés négligents ou imprudents. Les salariés bénéficiant d’un ordinateur portable doivent ainsi exercer une surveillance de tous instants sur leur outil de travail. C’est ce qu’a rappelé la Commissaire à la protection de la vie privée du Canada, dans une affaire où une banque s’était vu reprocher sa carence à protéger les renseignements personnels d’un particulier à la suite du vol d'un ordinateur portatif contenant ses données61. L’appareil, qui contenait les renseignements personnels de 960 clients de la banque, avait disparu alors qu’il était en la possession d'une planificatrice financière qui l’avait laissé sans surveillance dans son véhicule. L’automobile avait été parquée dans le garage souterrain de l’employée, qui avait pris le soin d’en verrouiller toutes les portières. La responsabilité de la banque a été admise pour manquement au principe 4.7 de la Loi sur la Protection des renseignements personnels et les documents électroniques62_{, selon lequel les renseignements personnels}

doivent être protégés grâce à des mesures de sécurité correspondant à leur degré de sensibilité. Après avoir constaté que la banque avait mis en place des politiques et procédures qui semblaient conformes à ce principe (ainsi, pour ce qui concerne les ordinateurs portatifs, ces règles impliquaient l'utilisation de mots de passe et la mise en sécurité des ordinateurs), la commissaire adjointe a néanmoins relevé qu’en l'espèce, l’employée n'avait pas suivi les recommandations de son employeur concernant la sécurité matérielle et avait laissé l'ordinateur sans surveillance sur le siège de son véhicule.

Enfin, pour garantir une protection optimale, les mesures de sécurité doivent être examinées et mises à jour régulièrement, afin de tenir compte à la fois de l’évolution des menaces et des changements organisationnels de l'entreprise63.

Toutefois, les auteurs ne s’accordent pas sur le degré d’intensité de l’obligation de sécurité informationnelle à laquelle l’entreprise est tenue.

61 _C

OMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, Résumé de conclusions d'enquête en vertu de la

LPRPDÉ n° 289. Le vol d'un ordinateur portatif met en cause la responsabilité d'une banque, 3 février 2005, 2005 IIJCan

15488 (C.V.P.C.), en ligne : <http://www.canlii.org/>.

62 _{L.C. 2000, c. 5.} 63 _{M. D}