Leblanc Nicolas

1 653 vues

Publié le

Publié dans : Business
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 653
Sur SlideShare
0
Issues des intégrations
0
Intégrations
57
Actions
Partages
0
Téléchargements
7
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • Leblanc Nicolas

    1. 1. Assurer la confidentialité et la sécurité impérative de la gouvernance globale de l’information électronique pour éviter de vous exposer à des poursuites judiciaires Nicolas Leblanc L’INSTITUT CANADIEN Conférence sur la gestion stratégique et l’administration pratique de documents électroniques Les 4 et 5 décembre 2007 Hôtel Intercontinental
    2. 2. Plan de la discussion <ul><li>1 - Introduction </li></ul><ul><li>2 - Rappel Théorique – Législation en matière de renseignements personnels </li></ul><ul><li>3 - Transfert de données et confidentialité </li></ul><ul><li>4 - Dévoilement de renseignements et Gestion de crise </li></ul><ul><li>5 - Conclusion </li></ul>
    3. 3. 1 - Introduction <ul><li>&quot;Every man should know that his conversations, his correspondence, and his personal life are private.&quot; </li></ul><ul><ul><li>Lyndon B. Johnson – 37th US President (1963-1969) – Remarks at the swearing in of Ramsey Clark as Attorney General, 10 March 1967. </li></ul></ul><ul><ul><li>( Public Papers of the Presidents of the United States: Lyndon B. Johnson , 1967, Book 1, p. 313, quoted in Respectfully Quoted: A Dictionary of Quotations , by Suzy Platt, Washington D.C., Library of Congress, 1989.) </li></ul></ul>
    4. 4. 2 – Rappel Théorique <ul><li>Sources du droit à la vie privée </li></ul><ul><ul><li>Québec: </li></ul></ul><ul><ul><ul><li>Charte des droits et libertés de la personne , art. 5. (L.R.Q., c. C-12.): «  Toute personne a droit au respect de sa vie privée. » </li></ul></ul></ul><ul><ul><ul><li>Code civil du Québec, art. 3: « Toute personne est titulaire de droits de la personnalité, tels le droit à la vie, à l'inviolabilité et à l'intégrité de sa personne, au respect de son nom, de sa réputation et de sa vie privée . Ces droits sont incessibles. » </li></ul></ul></ul><ul><ul><ul><li>Code civil du Québec, art. 35 – 40. </li></ul></ul></ul>
    5. 5. 2 - Rappel Théorique (suite) <ul><li>Législation en matière de renseignements personnels </li></ul><ul><ul><li>Québec </li></ul></ul><ul><ul><ul><li>Secteur privé: Loi sur la protection des renseignements personnels dans le secteur privé (L.R.Q., c. P-39.1.) </li></ul></ul></ul><ul><ul><ul><li>Secteur public: Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (L.R.Q., c. A-2.1.) </li></ul></ul></ul>
    6. 6. 2 - Rappel Théorique (suite) <ul><ul><li>Canada </li></ul></ul><ul><ul><ul><li>Secteur privé: Loi sur la Protection des renseignements personnels et les documents électroniques (L.C. 2000, ch. 5.) </li></ul></ul></ul><ul><ul><ul><li>Secteur public: Loi sur la Protection des renseignements personnels (L.R.C. 1985, ch. P-21.) </li></ul></ul></ul>
    7. 7. 2 – Rappel Théorique (suite) <ul><li>Ailleurs au Canada (secteur privé): </li></ul><ul><ul><li>Alberta: Personal Information Protection Act , S.A. 2003, c. P-6.5. </li></ul></ul><ul><ul><li>Colombie Britannique: Personal Information Protection Act , S.B.-C. 2003, c. 63. </li></ul></ul><ul><ul><li>Ontario: Personal Health Information Protection Act , 2004, S.O. 2004, c. 3, Sch. A </li></ul></ul>
    8. 8. 2 – Rappel Théorique (suite) <ul><li>Obligation d’assurer la protection des renseignements personnels </li></ul><ul><ul><li>Québec: </li></ul></ul><ul><ul><li>« 10. Toute personne qui exploite une entreprise doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. » </li></ul></ul>
    9. 9. 2 – Rappel Théorique (suite) <ul><ul><li>Canada: </li></ul></ul><ul><ul><li>« 4.7 Septième principe — Mesures de sécurité </li></ul></ul><ul><ul><li>Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. […]  » </li></ul></ul>
    10. 10. 3 - Transfert de données et confidentialité <ul><li>Sécurisation d’information sous format physique: </li></ul><ul><ul><li>Accès aux locaux </li></ul></ul><ul><ul><li>Classification de l’information </li></ul></ul><ul><ul><li>Politique d’entreprise </li></ul></ul><ul><li>Lors de transfert: </li></ul><ul><ul><li>Format physique </li></ul></ul><ul><ul><li>Registre d’entrées et de sorties </li></ul></ul>
    11. 11. 3 - Transfert de données et confidentialité (suite) <ul><li>Transfert au format électronique </li></ul><ul><ul><li>Loi sur le cadre juridique des technologies de l’information (L.R.Q., c. C-1.1.) </li></ul></ul><ul><ul><ul><li>Nécessité d’une politique, de documenter le transfert, etc. (art. 17, 20). </li></ul></ul></ul><ul><ul><li>Plus de facteur à tenir en compte pour assurer la sécurité de l’information sous format électronique. </li></ul></ul>
    12. 12. 3 - Transfert de données et confidentialité (suite) <ul><li>4 sphères de risque des documents électroniques </li></ul><ul><ul><li>Confidentialité </li></ul></ul><ul><ul><li>Sécurité physique </li></ul></ul><ul><ul><li>Accès non-autorisé </li></ul></ul><ul><ul><li>Information incomplète ou inexacte </li></ul></ul>
    13. 13. 3 - Transfert de données et confidentialité (suite) <ul><li>Éléments d’une politique de sécurité des documents électroniques: </li></ul><ul><ul><li>E.g. ISO/IEC 17799:2005 </li></ul></ul><ul><ul><li>Définitions et principes </li></ul></ul><ul><ul><li>Cadre de la politique </li></ul></ul><ul><ul><ul><li>Objectifs </li></ul></ul></ul><ul><ul><ul><li>Mécanismes de Contrôle </li></ul></ul></ul><ul><ul><ul><li>Mécanisme d’évaluation du Risque </li></ul></ul></ul>
    14. 14. 3 - Transfert de données et confidentialité (suite) <ul><li>Politique (suite): </li></ul><ul><ul><li>Politiques, pratiques et standards </li></ul></ul><ul><ul><ul><li>Exigences législatives & règlementaires </li></ul></ul></ul><ul><ul><ul><li>Éducation et formation </li></ul></ul></ul><ul><ul><ul><li>Continuité d’affaires et sauvegarde de l’information </li></ul></ul></ul><ul><ul><ul><li>Conséquences des violations </li></ul></ul></ul><ul><ul><ul><li>Attribution des responsabilités </li></ul></ul></ul><ul><ul><li>Mécanismes de rapport d’incidents </li></ul></ul>
    15. 15. 3 - Transfert de données et confidentialité (suite) <ul><li>Contenu d’une politique de sécurité de l’information </li></ul><ul><ul><li>Principe « need to know » </li></ul></ul><ul><ul><li>Niveaux de sûretés/classification </li></ul></ul><ul><ul><li>Identifier la source de l’obligation de confidentialité </li></ul></ul><ul><ul><li>Ségrégation des fonctions/accès </li></ul></ul><ul><ul><li>Identification et authentification des usagers </li></ul></ul><ul><ul><li>Identifier tous les types d’accès possibles </li></ul></ul><ul><ul><li>Révision périodique de la politique et des accès </li></ul></ul>
    16. 16. 3 - Transfert de données et confidentialité (suite) <ul><li>Lors du transfert d’information d’un support à un autre: </li></ul><ul><ul><li>Identifier si le document est confidentiel </li></ul></ul><ul><ul><ul><li>Quelle est la source de l’obligation de confidentialité: </li></ul></ul></ul><ul><ul><ul><ul><li>Information de l’entreprise </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Information sujette à une clause contractuelle </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Renseignement personnel </li></ul></ul></ul></ul>
    17. 17. 3 - Transfert de données et confidentialité (suite) <ul><li>Transfert de support (suite) </li></ul><ul><ul><li>Identifier le type de protection à appliquer </li></ul></ul><ul><ul><ul><li>Encryption </li></ul></ul></ul><ul><ul><ul><li>Mot de passe </li></ul></ul></ul><ul><ul><ul><li>Accès via quel cannaux? </li></ul></ul></ul><ul><ul><ul><li>Accès à quels usagers? </li></ul></ul></ul><ul><ul><ul><li>Standardiser les types d’accès </li></ul></ul></ul>
    18. 18. 3 - Transfert de données et confidentialité (suite) <ul><li>Transfert de données entre personnes/organismes: </li></ul><ul><ul><li>Quelles méthodes sont permises </li></ul></ul><ul><ul><li>Quelles sécurité appliquer </li></ul></ul><ul><ul><li>Ne pas perdre l’information originale </li></ul></ul><ul><ul><li>Ne pas compromettre l’information confidentielle </li></ul></ul>
    19. 19. 4 - Dévoilement de renseignements et Gestion de crise <ul><li>Lorsque il y a divulgation ou accès non autorisé d’information confidentielle </li></ul><ul><ul><li>Prévoir d’avance: adresser l’éventualité dans la politique de sécurité de l’entreprise </li></ul></ul><ul><ul><li>Obligation d’aviser les personnes concernées? </li></ul></ul>
    20. 20. 4 - Dévoilement de renseignements et Gestion de crise (suite) <ul><li>Obligation d’aviser lors d’atteinte non-autorisé à des renseignements personnels: </li></ul><ul><ul><li>Prévu seulement à la Personal Health Information Protection Act (Ontario) </li></ul></ul><ul><ul><li>Dicta des commissaires à l’effet que cela est souhaitable </li></ul></ul><ul><ul><li>Défaut d’aviser pourrait engager la responsabilité civile de l’entreprise? La question reste entière. </li></ul></ul>
    21. 21. 4 - Dévoilement de renseignements et Gestion de crise (suite) <ul><li>Obligation d’aviser (suite) </li></ul><ul><ul><li>Obligation pourrait naitre de l’obligation d’assurer la sécurité de l’information: </li></ul></ul><ul><ul><ul><li>Sale of Provincial governement Computer Tapes Containing Personal Information, Re , 2006 CanLII 12536 (BC I.P.C.). </li></ul></ul></ul><ul><ul><ul><ul><li>Se fonde sur décisions précédentes des commissaires de l’Alberta et de l’État de Victoria, Australie. </li></ul></ul></ul></ul>
    22. 22. 4 - Dévoilement de renseignements et Gestion de crise (suite) <ul><li>Obligation d’aviser (suite) </li></ul><ul><ul><li>Toujours selon le commissaire de l’État de Victoria, il ne serait pas nécessaire d’aviser en des circonstances exceptionnelles selon les facteurs suivants: </li></ul></ul><ul><ul><ul><li>Préjudice prévisible </li></ul></ul></ul><ul><ul><ul><li>Avis pourrait causer préjudice </li></ul></ul></ul><ul><ul><ul><li>Balance des facteurs, l’avis causerait plus de préjudice qu’il n’en préviendrait </li></ul></ul></ul>
    23. 23. 4 - Dévoilement de renseignements et Gestion de crise (suite) <ul><li>Obligation d’aviser (suite) </li></ul><ul><ul><li>Le Commissaire de la Colombie Britannique conclut que l’obligation d’assurer la sécurité de l’information prévue au PIPA n’inclut pas l’obligation d’aviser dans tous les cas sauf dans des circonstances exceptionnelles, mais retient les facteurs utilisés par le Commissaire de l’État de Victoria. </li></ul></ul>
    24. 24. 4 - Dévoilement de renseignements et Gestion de crise (suite) <ul><li>Principales étapes à suivre par les organisations en cas d’atteintes à la vie privée , Commissariat à la vie privée du Canada (août 2007); </li></ul><ul><li>Key steps in responding to privacy breaches , Office of the Information and Privacy Commissionner (Alberta); </li></ul><ul><li>Breach Notification Assessment Tool et Key steps in responding to privacy Breaches , Office of the Information and Privacy Commissionner (Colombie Britannique et Ontario); </li></ul><ul><li>Perte ou vol de renseignements personnels, Commission d’accès à l’Information (Janvier 2007). </li></ul>
    25. 25. 4 - Dévoilement de renseignements et Gestion de crise (suite) <ul><li>Contenu d’une politique en cas d’atteinte aux renseignements confidentiels </li></ul><ul><ul><li>Contenir l’atteinte </li></ul></ul><ul><ul><ul><li>Désigner un responsable </li></ul></ul></ul><ul><ul><li>Évaluer les risques associés </li></ul></ul><ul><ul><ul><li>Nature de l’information, degré de confidentialité </li></ul></ul></ul><ul><ul><ul><li>Protection existante de l’information atteinte </li></ul></ul></ul><ul><ul><ul><li>Usages possibles de l’information </li></ul></ul></ul><ul><ul><ul><li>Préjudice possible </li></ul></ul></ul>
    26. 26. 4 - Dévoilement de renseignements et Gestion de crise (suite) <ul><li>Contenu d’une politique (suite) </li></ul><ul><ul><li>Avis </li></ul></ul><ul><ul><ul><li>À qui </li></ul></ul></ul><ul><ul><ul><li>De quelle façon </li></ul></ul></ul><ul><ul><ul><li>Quoi indiquer dans l’avis </li></ul></ul></ul><ul><ul><ul><li>Aviser le commissaire à la vie privée </li></ul></ul></ul><ul><ul><li>Prévention </li></ul></ul><ul><ul><ul><li>Tirer des leçons de l’atteinte </li></ul></ul></ul>
    27. 27. 4 - Dévoilement de renseignements et Gestion de crise (suite) <ul><li>Développements à anticiper </li></ul><ul><ul><li>Me Jennifer Stoddart, Commissaire à la vie privée, demande l’ajout d’une obligation d’aviser en cas d’atteinte: </li></ul></ul><ul><ul><ul><li>Mémoire présenté au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (22 février 2007) </li></ul></ul></ul><ul><ul><ul><li>Quatrième rapport du Comité permanent de l’accès à l’information de la protection des renseignements personnels et de l’éthique sur l’examen, prévu par la loi, de la LPRPDÉ (mai 2007) </li></ul></ul></ul><ul><ul><ul><li>Réponse du gouvernement au quatrième rapport – Favorable à l’obligation d’avis & prévoit consultation </li></ul></ul></ul>
    28. 28. 4 - Dévoilement de renseignements et Gestion de crise (suite) <ul><li>Développements à anticiper (suite) </li></ul><ul><ul><li>Initiative en Colombie Britanique: Labour and Citizens' Services Statutes Amendment Act , 2007 (Bill 25) m odification au Freedom of Information and Protection of Privacy Act (ajout obligation de notifier). </li></ul></ul><ul><ul><li>Initiative au Manitoba: The Personal Information Protection And Identity Theft Prevention Act (Bill 216) (obligation de notifier). </li></ul></ul>
    29. 29. 4 - Dévoilement de renseignements et Gestion de crise (suite) <ul><li>Développements à anticiper (suite) </li></ul><ul><ul><li>Initiative en Ontario: Consumer Reporting Amendment Act (projet de loi 38 du 38 e parlement, 2 e session) (obligation de notifier) </li></ul></ul><ul><ul><li>Initiative en Nouvelle Écosse: création d’un poste de Commissaire à la protection des renseignements personnels chargé de « oversign of all matters relating to the privacy of persons in the Province and the collection and use of information relating to persons in the Province… » </li></ul></ul>
    30. 30. 5 - Conclusion <ul><li>“ Privacy is not something that I'm merely entitled to, it's an absolute prerequisite.” </li></ul><ul><ul><li>attribué à Marlon Brando </li></ul></ul>
    31. 31. Nicolas Leblanc Fasken Martineau DuMoulin Tour de la Bourse 800, Place Victoria Bureau 3700, C.P. 242 Montréal (Québec) Canada H4Z 1E9 [email_address] Tél. : 514 397 5262 Téléc. : 514 397 7600

    ×