droit + sécurité = pas si sûr !

Présentation au sujet: "droit + sécurité = pas si sûr !"— Transcription de la présentation:

1 droit + sécurité = pas si sûr !
vincent gautrais professeur agrégé – avocat faculté de droit – UDM titulaire de la chaire UDM en droit de la sécurité et des affaires électroniques

2 droit versus sécurité

3 le droit c’est… réaction

4 la sécurité c’est… action

5 le droit c’est… stabilité

6 la sécurité c’est… mouvant

7 le droit c’est… vieux

8 nouveau (informatique)
la sécurité c’est… nouveau (informatique)

9 le droit de la sécurité fusion des 2

10 le droit de la sécurité source de changements

11 les 3 « p » physique

12 les 3 « p » permanent

13 les 3 « p » processuel

14 substance versus procédure

15 pas de vide juridique

16 mais …

17 flou juridique

18 1 – insécurité sur la substance du droit
le droit de la sécurité 1 – insécurité sur la substance du droit

19 le droit de la sécurité 2 – insécurité sur l’une
des fonctions du droit = prévisibilité

20 4 illustrations 1 – contrat

21 4 illustrations 2 – vie privée

22 4 illustrations 3 – preuve

23 4 illustrations 4 – SOX

24 -1- econtrat

25 dessine-moi un contrat?

26 normalement … offre + acceptation

27 normalement … A B

28 1386 CCQ.   L'échange de consentement se réalise par la manifestation, expresse ou tacite, de la volonté d'une personne d'accepter l'offre de contracter que lui fait une autre personne.

29 information + sanction
c’est aussi... information + sanction

30 communication + sécurité
mais aussi… communication + sécurité

31 exemples communication securité ORAL PAPIER BAS MEDIUM HAUT
ELECTRONQUE BAS téléphone nappe fax courriel MEDIUM vente entre 2 professionnels contrat signé courriel avec accusé de réception HAUT code Hammurabi contrat de mariage vente immobilière Saxon ( 100 A J.C.) contrat notarial contrat avec PKI contrat avec une tierce partie securité

32 consentement = communication 2) acceptation 1 2

33 « Le consentement doit être libre et éclairé. »
1399 CCQ 1 « Le consentement doit être libre et éclairé. »

34 lisibilité 1 contrat = information

35 mais.. 1 Pour le moins 10 pratiques contractuelles pathologiques

36 1 - lisibilité 1

37 2 - dynamique 1 7. Privacy; Monitoring the Services
We are under no obligation to monitor the services, but we may do so from time to time and we may disclose information regarding User’s use of the Services for any reason and at our sole discretion in order to satisfy applicable laws, regulations, governmental requests, or in order to operate and deliver the Services in an effective manner, or to otherwise protect us and our Users. We agree to comply with the terms of our Privacy Policy as set forth on our FAQ website, as it may be amended from time to time.

38 3 - longueur 1

39 1 information = oxygène

40 Feldman v. Google (avril 2007)
« AdWords Agreement gave reasonable notice of its terms. In order to activate an AdWords account, the user had to visit a webpage which displayed the Agreement in a scrollable text box. (…) the text of the AdWords Agreement was immediately visible to the user, as was a prominent admonition in boldface to read the terms and conditions carefully, and with instruction to indicate assent if the user agreed to the terms. That the user would have to scroll through the text box of the Agreement to read it in its 14 entirety does not defeat notice because there was sufficient notice of the Agreement itself and clicking “Yes” constituted assent to all of the terms. The preamble, which was immediately visible, also made clear that assent to the terms was binding. The Agreement was presented in readable 12-point font. It was only seven paragraphs long – not so long so as to render scrolling down to view all of the terms inconvenient or impossible. A printer-friendly, full-screen version was made readily available. The user had ample time to review the document. »

41 linéarité versus hypertextualité
4 - hyperliens 1 linéarité versus hypertextualité

42 5 – où est le e-contrat ? 1

43 6 – documents légaux multiples
1 Copyright Privacy Cookies Terms and Conditions of Sale Terms of Use Limited Warranty Service Contracts Hardware Technical Support Policy Etc.

44 7 - terminologies juridiques
1 THE SERVICES PROVIDED BY US ARE PROVIDED "AS IS." WE MAKE NO WARRANTY OF ANY KIND, EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO ANY WARRANTY OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE OR NON-INFRINGEMENT, OR ANY WARRANTY REGARDING THE RELIABILITY OR SUITABILITY FOR A PARTICULAR PURPOSE OF ITS SERVICES. USER UNDERSTANDS AND ACKNOWLEDGES THAT WE EXERCISE NO CONTROL OVER THE NATURE, CONTENT OR RELIABILITY OF THE INFORMATION AND/OR DATA PASSING THROUGH OUR NETWORK. NO ORAL OR WRITTEN INFORMATION OR ADVICE GIVEN BY US, ITS DEALERS, AGENTS OR EMPLOYEES SHALL CREATE A WARRANTY AND USER MAY NOT RELY ON ANY SUCH INFORMATION OR ADVICE. WE MAKES NO WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, REGARDING THE QUALITY, ACCURACY OR VALIDITY OF THE INFORMATION AND/OR DATA RESIDING ON OR PASSING THROUGH ANY NETWORK. USE OF ANY INFORMATION AND/OR DATA OBTAINED FROM OR THROUGH SERVICES PROVIDED BY US WILL BE AT USER’S OWN RISK. USER ACKNOWLEDGES THAT WE ARE NOT LIABLE FOR ANY ERRORS OR INTERRUPTION IN THE INSTALLATION PROCESS OR IN PROVIDING THE SERVICES, WHETHER WITHIN OR OUTSIDE THE CONTROL OF US. UNDER NO CIRCUMSTANCES SHALL THE USER HOLD US OR ANY OF OUR AGENTS, CONTRACTORS OR REPRESENTATIVES RESPONSIBLE FOR ANY FORM OF DAMAGES OR LOSSES (INCLUDING WITHOUT LIMITATION ANY DIRECT, INDIRECT, CONSEQUENTIAL OR INCIDENTAL DAMAGES OR LOSSES) SUFFERED FROM, BUT NOT LIMITED TO ERRORS, DELAYS, LOSS OF INFORMATION, DELAYS IN THE INSTALLATION OR PROVISIONING PROCESS, OR INTERRUPTIONS IN THE SERVICES CAUSED BY THE USER, US OR A THIRD PARTY’S NEGLIGENCE, FAULT, MISCONDUCT OR FAILURE TO PERFORM. USER UNDERSTANDS THAT TELECOMMUNICATION AND/OR NETWORK ACCESS SERVICES MAY BE TEMPORARILY UNAVAILABLE FOR SCHEDULED OR UNSCHEDULED MAINTENANCE AND FOR OTHER REASONS WITHIN AND OUTSIDE OF THE DIRECT CONTROL OF US. UNDER NO CIRCUMSTANCES DO ANY SUCH ERRORS, DELAYS, INTERRUPTIONS IN SERVICES OR LOSS OF INFORMATION NULLIFY OR MODIFY THESE TERMS AND CONDITIONS. WE RESERVE THE RIGHT TO REFUSE OR TERMINATE SERVICES TO A USER AT ANY TIME WITHOUT CAUSE. THE INTERNET CONTAINS UNEDITED MATERIALS, WHICH MAY BE SEXUALLY EXPLICIT, OR MAY BE OFFENSIVE TO YOU OR OTHERS ACCESSING THE SERVICES. WE HAVE NO CONTROL OVER SUCH MATERIALS AND ACCEPT NO RESPONSIBILITY FOR SUCH MATERIALS.

45 7 – terminologies 1

46 8 – titres non juridiques
1 consumer contract terms of Services conditions of Use conditions of Sale notice legal waiver licence etc. Privacy « contract » privacy confidentiality FAQ security

47 9 –clauses abusives 1

48 10 –clauses stupides DELL (INCLUDING DELL’S PARENTS, AFFILIATES, OFFICERS, DIRECTORS, EMPLOYEES OR AGENTS) DOES NOT ACCEPT LIABILITY BEYOND THE REMEDIES SET FORTH HEREIN, INCLUDING ANY LIABILITY FOR PRODUCTS NOT BEING AVAILABLE FOR USE, LOST OR CORRUPTED DATA OR SOFTWARE, PRODUCTS SOLD THROUGH DELL’S SOFTWARE AND PERIPHERALS DIVISION, OR THE PROVISION OF SERVICES OR SUPPORT. DELL WILL NOT HAVE ANY LIABILITY FOR ANY DAMAGES ARISING FROM THE USE OF THE PRODUCTS IN ANY HIGH RISK ACTIVITY, INCLUDING, BUT NOT LIMITED TO, THE OPERATION OF NUCLEAR FACILITIES, AIRCRAFT NAVIGATION OR COMMUNICATION SYSTEMS, AIR TRAFFIC CONTROL, MEDICAL SYSTEMS, LIFE SUPPORT OR WEAPONS SYSTEMS. DELL WILL NOT BE LIABLE FOR LOST PROFITS, LOSS OF BUSINESS, OR OTHER INCIDENTAL, INDIRECT, CONSEQUENTIAL, SPECIAL OR PUNITIVE DAMAGES, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGES, OR FOR ANY CLAIM BY ANY THIRD PARTY EXCEPT AS EXPRESSLY PROVIDED HEREIN.

49 10 –clauses stupides « Do not use the ING DIRECT Web Site to communicate to others, to post on the ING DIRECT Web Site, or otherwise transmit to the ING DIRECT Web Site, any materials, information, or communication that either causes any harm to any person or that is illegal or otherwise unlawful, including without limitation any hateful, harassing, pornographic, obscene, profane, defamatory, libellous, threatening materials which constitutes or may encourage conduct that would be considered, a criminal offence, give rise to civil liability, promote the excessive, irresponsible or underage consumption of alcohol, or otherwise violate any law or regulation.  »

50 10 –clauses stupides « The limited warranty set forth below is given by Canon U.S.A., Inc. (Canon U.S.A.) in the United States or Canon Canada Inc., (Canon Canada) in Canada with respect to the Canon-brand PowerShot Digital Camera purchased with this limited warranty, when purchased and used in the United States or Canada. »

51 solutions simples 1 court langage accessible humanité lent visuel

52 exemple intéressant : 1

53 « Le consentement doit être libre et éclairé. »
1399 CCQ 2 « Le consentement doit être libre et éclairé.  »

54 2 A. Shrink wrap B. Click wrap C. Browse wrap

55 ProCD (US - 1996) King (Canada - 1989)
1 - shrink wrap 2.A ProCD (US ) King (Canada )

56 2 - Click wrap – Dell 2.B Dell Computer c. Union des consommateurs - Cours suprême du Canada (13 juillet 2007) 2 questions principales Clause arbitrale et consommation Validité du eContract Lire aussi « Dell a gagné »

57 Click 1

58 Click 2

59 Click 3

60 Click 4

61 3 - Browse wrap 2.C

62

63 -2- evie privée

64 sources juridiques Loi sur la protection des renseignements personnels dans le secteur privé ( Québec) Loi sur la protection des renseignements personnels et les documents électroniques ( Canada) (PEPIDA) Annexe 1 de la précédente Loi (Principes énoncés dans la norme nationale du Canada intitulée code type sur la protection des renseignements personnels, CAN/CSA-Q830-96) Loi concernant le cadre juridique des technologies de l’information ( Québec) CCQ, articles 2085 et suiv. Et d’autres …

65 introduction Vie privée existe depuis longtemps mais…
La problématique change avec l’électronique Tellement facile de copier Tellement facile de vendre, céder, échanger ces informations Tellement facile de ne pas se rendre compte que des informations personnelles nous concernant circulent Tellement facile de les communiquer à autrui.

66 définition Définition dans PEPIDA: «  article 2: «renseignement personnel » Tout renseignement concernant un individu identifiable, à l'exclusion du nom et du titre d'un employé d'une organisation et des adresse et numéro de téléphone de son lieu de travail. » Définition dans la loi québécoise: Article 2: « Est un renseignement personnel, tout renseignement qui concerne une personne physique et permet de l'identifier. » (aucune restriction)

67 en pratique, un RP c’est…
Un numéro de carte de crédit Des indications personnelles sur sa race, sa santé, son crédit, etc… Mais aussi… Nom, prénom, courriel, âge, téléphone, adresse, etc… Habitudes d’achat Il faut aussi parfois qu’il y ait un lien entre les informations Cela ne concerna pas non plus les éléments qui sont du domaine public Etc.

68 principes Il y a les principes généraux (10 principes)
Et il y a les principes spécifiques (10 principes) Même si recoupements possibles

69 principes généraux annexe 1 PEPIDA
Responsabilités Finalités Consentement Limitations de la collecte Limitation de l’utilisation, communication et de la conservation Exactitude Sécurité Transparence Accès Recours

70 principes généraux Responsabilité
« Une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner une ou des personnes qui devront s’assurer du respect des principes énoncés ci-dessous. » « Les organisations doivent assurer la mise en oeuvre des politiques et des pratiques destinées à donner suite aux principes, y compris : a) la mise en oeuvre des procédures pour protéger les renseignements personnels ; b) la mise en place des procédures pour recevoir les plaintes et les demandes de renseignements et y donner suite ; c) la formation du personnel et la transmission au personnel de l’information relative aux politiques et pratiques de l’organisation ; et d) la rédaction des documents explicatifs concernant leurs politiques et procédures.

71 principes généraux 2. Finalités
« Les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées par l’organisation avant la collecte ou au moment de celle-ci. »

72 principes généraux 3. Consentement
« Toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. » EX: Selon une décision du Commissariat à la vie privée (Conclusion #40, 2002 IIJCan (C.V.P.C.)), du 12 mars 2002, une banque ne peut exiger d’une personne souhaitant ouvrir un compte sans avoir un quelconque crédit (simplement pour déposer des chèques), une étude crédit classique avec présentation d’un NAS.

73 principes généraux 4. Limitation de la collecte
« L’organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées et doit procéder de façon honnête et licite.  »

74 principes généraux 5. Limitation du traitement
« Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n’y consente ou que la loi ne l’exige. On ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des fins déterminées. » EX: Selon une décision du Commissariat à la vie privée (Conclusion #121, 2003 IIJCan (C.V.P.C.)), du 23 janvier 2003, une banque est responsable d’un employé qui utilise des renseignements sur un client pour commettre une fraude. En l’occurrence, le dédommagement offert par la banque est jugé suffisant.

75 principes généraux 6. Exactitude
« Les renseignements personnels doivent être aussi exacts, complets et à jour que l’exigent les fins auxquelles ils sont destinés. »

76 principes généraux 7. Mesures de sécurité
« Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. » EX: Selon une décision du Commissariat à la vie privée (Conclusion #177, 2003 IIJCan (C.V.P.C.)), du 05 juin 2003, une banque ne peut laisser un ordinateur connecté à des renseignements personnels dans une aire publique sans mot de passe. EX: Selon une décision du Commissariat à la vie privée (Conclusion #289, 2005 IIJCan (C.V.P.C.)), du 03 février 2005, une banque est resposable du vol d’un ordinateur portatif de l’une de ses employée.

77 principes généraux 8. Transparence
« Une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne. » EX: Selon une décision du Commissariat à la vie privée (Conclusion #183, 2003 IIJCan (C.V.P.C.)), du 10 juillet 2003, une banque n’est pas tenue de publier ses politiques et ses pratiques concernant la gestion des renseignements personnels. Il est notamment précisé que « le commissaire était d’avis qu’une institution bancaire doit savoir de façon plus générale quelles seront les conséquences de la diffusion de détails sur ses politiques et pratiques. Il a trouvé logique qu’une banque ne veuille pas rendre public les étapes précises suivies pour empêcher la fraude, puisque les criminels pourraient utiliser cette information pour déjouer les mesures de protection de l’institution ».

78 principes généraux 9. Accès
« Une organisation doit informer toute personne qui en fait la demande de l’existence de renseignements personnels qui la concernent, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers, et lui permettre de les consulter. Il sera aussi possible de contester l’exactitude et l’intégralité des renseignements et d’y faire apporter les corrections appropriées. »

79 principes généraux 10. Plaintes
« Toute personne doit être en mesure de se plaindre du non-respect des principes énoncés ci-dessus en communiquant avec le ou les personnes responsables de les faire respecter au sein de l’organisation concernée. »

80 principes spécifiques
1. Existence d’une politique Reprendre les éléments de base Les respecter Écrire une politique lisible Disposer cette politique dans un endroit stratégique (voir par exemple les exigences de TrustE) 2. Inscrire dans la politique la finalité de la collection, l’utilisation ou la communication des RP

81 principes spécifiques
3. Aménager le consentement OPT-IN: droit d’opposition quant à l’utilisation ultérieure Soit actif Soit passif OPT-OUT: droit de retrait N’importe quand Ne plus utiliser les RP pour les finalités déjà consenties Attention au formulaire de renonciation (idem contrat)

82 principes spécifiques
4. Utilisation des cookies. Sont-ils comestibles? Qu’est-ce c’est? A quoi ça sert? Retracer Sécurité Faciliter l’utilisation (ex: panier d’achat) Expliquer ce que c’est et dire comment s’en prémuni

83 principes spécifiques
5. Le droit d’accès 6. Le respect d’une certaine sécurité 7. Mettre la liste des RP saisis sur le site et éventuellement préciser ceux qui ne le sont pas 8. Éventuellement envisager des situations spéciales selon les spécificités du site Enfants Informations sur la santé 9. Éventuellement faire une mention de la loi applicable 10. Éventuellement permettre un lien par courriel à un responsable des RP sur le site

84 -3- epreuve

85 loi concernant le cadre juridique des technologies de l’information (LCCJTI)
(L.R.Q. c-1.1)

86 Afin d’y voir clair Guide relatif à la gestion des documents technologiques (11/2005)

87 1

88 nouveaux risques

89 document « technologique »
nouveau document « technologique »

90 nouveaux avantages

91 nouveaux inconvénients

92 nouveaux objectifs enlever barrières élever sécurité
EX: écrit EX: signature EX: original élever sécurité EX: un courriel EX: c’est quoi être sécuritaire? protéger les personnes EX: 29 LCCJTI

93 nouveaux vocabulaire identifiant document technologique transfert etc…
documentation document certification cycle de vie

94 2

95 neutralité technologique
Loi ne favorise pas une technologie EX: Utah, Singapour, Italie, Portugal, Allemagne, etc. EX: certification Mais loi être néanmoins assez prescriptive Neutre ne veut pas dire silence Lois silencieuses EX: Qu’est qu’être intègre? EX: 34 LCCJTI

96 équivalence fonctionnelle
Rechercher les fonctions du papier et les transposer Document trouver un critère Écrit transposable Signature à chaque Original concept tant pour le Copie papier que pour l’électronique

97 écrit loi concernant le cadre juridique des technologies de l’information (L.R.Q. c. C-1.1) art. 5 écrit = intégrité

98 signature 2827 Cc.Q.: « La signature consiste dans l'apposition qu'une personne fait sur un acte de son nom ou d'une marque qui lui est personnelle et qu'elle utilise de façon courante, pour manifester son consentement.

99 Droit réfère parfois aux TI
signature Droit réfère parfois aux TI

100 signature United Nations Convention on the Use of Electronic Communications in International Contracts (2005) 9. 3. and (…) (b) The method used is (…) : (i) As reliable as appropriate for the purpose for which the electronic communication was generated or communicated, in the light of all the circumstances, including any relevant agreement;

101 Ontario and Electronic Commerce Act
signature Ontario and Electronic Commerce Act (…) (a) the electronic signature is reliable for the purpose of identifying the person; and (b) the association of the electronic signature with the relevant electronic document is reliable.

102 signature Uniform Electronic Transaction Act (USA)
“the use of security procedures is simply one method for proving the source or content of an electronic record or signature. A security procedure may be technologically very sophisticated, such as an asymetric cryptographic system. At the other extreme the security procedure may be as simple as a telephone call to confirm the identity of the sender through another channel of communication. It may include the use of a mother's maiden name or a personal identification number (PIN). Each of these examples is a method for confirming the identity of a person or accuracy of a message.”

103 signature fiability ? security procedure ?

104 contrat décline sa responsabilité
signature contrat décline sa responsabilité

105

106 signature information = oxygène

107 Si pas de responsabilité = pas de sécurité
signature Si pas de responsabilité = pas de sécurité

108 intégrité 2838 CCQ Outre les autres exigences de la loi, il est nécessaire, pour que la copie d'une loi, l'acte authentique, l'acte semi-authentique ou l'acte sous seing privé établi sur un support faisant appel aux technologies de l'information fasse preuve au même titre qu'un document de même nature établi sur support papier, que son intégrité soit assurée.

109 intégrité 2839 CCQ L'intégrité d'un document est assurée, lorsqu'il
est possible de vérifier que l'information n'en est pas altérée et qu'elle est maintenue dans son intégralité, et que le support qui porte cette information lui procure la stabilité et la pérennité voulue.

110 3

111 gestion documentaire Transfert Conservation Consultation Communication

112 transfert Définition: Faire passer un document technologique d’un support à un autre. Le document sur le nouveau support a la même valeur juridique que l’ancien et le document sur l’ancien support peut par la suite être détruit. Exemple: Une entreprise numérise des masses de documents papier, pour des raisons de coûts d’archivage ou pour faciliter les recherches, et les transfère ensuite sur un cédérom. Conditions légales: 1) documenter en précisant QUI – QUOI – COMMENT; 2) préserver l’intégrité.

113 conservation Définition: Remiser des documents d’une façon telle que l’on puisse les retrouver ultérieurement, sur demande, et sans qu’ils n’aient été altérés. Pour des raisons fiscales, administratives ou légales, la plupart des entreprises ont une obligation de conserver certains documents. Exemples: Un particulier qui achète un produit en ligne peut avoir intérêt à garder une trace d’un accusé de réception qui lui a été envoyé par le commerçant après que le paiement ait été transmis et avant que ledit produit ne soit en sa possession. À des fins comptables, une entreprise peut avoir à conserver certains documents jusqu’à 10 ans. Conditions légales: 1) Désigner une personne assignée, au sein de l’organisation, pour les questions de sécurité ou sous-traiter à un service d’intermédiaires. 2) S’assurer que les documents conservés soient intègres et disponibles pendant toute la durée de conservation. 3) S’assurer que la personne assignée qui modifie un document conservé, et donc remet en cause sciemment son intégrité, explique dans le document lui-même ou dans un autre qui y est associé : QUI – QUOI – COMMENT - QUAND

114 consultation Définition: Rendre disponible à des personnes habilitées un document présenté dans une forme intelligible. Exemples: La Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels oblige les instances publiques à rendre accessibles aux citoyens les renseignements personnels qu’elles détiennent sur eux. La Loi sur la protection des renseignements personnels dans le secteur privé oblige les entreprises à rendre accessibles aux usagers des documents contenant des renseignements personnels sur eux. La Loi sur la valeurs mobilières oblige parfois les personnes morales à transmettre aux investisseurs certains documents relatifs à leur entreprise (tels des états financiers ou des communiqués de presse). Conditions légales: S’assurer que les documents sont intelligibles, lisibles. Laisser à la personne qui dispose du droit d’accès la liberté de choisir entre un document papier ou un document utilisant une technologie de l’information. Organiser un accès particulier lorsque les documents qui doivent être rendus accessibles contiennent des renseignements personnels ou confidentiels, par essence plus sensibles, à savoir : identifier une personne assignée et interdire l’accès aux autres;faire en sorte qu’il soit impossible de faire de la recherche extensive, c’est-à-dire qu’il ne peut être permis par exemple de vérifier dans une banque de données de jugements les noms des parties; mettre en place un encadrement sécuritaire suffisant; et s’assurer que les conditions qui s’appliquent pour les documents contenant des renseignements personnels soient respectées.

115 communication Définition: Transmettre un document d’une personne à une autre en faisant appel aux technologies de l’information, sauf interdiction d’une loi ou d’un règlement. Exemple: Le courriel est un moyen usuel pour transmettre un document attaché. L’industrie transmet très souvent des documents électroniques : échanges de documents informatisés, transferts électroniques de fonds, etc. Conditions légales: Pour que le document expédié ait la même valeur que celui qui a été reçu, s’assurer : de l’intégrité des deux documents et de documenter la façon de faire pour parvenir à cette fin. Présumer qu’un document technologique est transmis lorsque l’expéditeur n’a plus le contrôle de celui-ci. Pour plus d’assurance, un bordereau d’envoi peut être généré par le système de l’expéditeur. Présumer qu’un document technologique est reçu lorsqu’il est accessible au destinataire. Pour plus d’assurance, un accusé de réception peut être généré par le système du destinataire. S’assurer qu’un document qui contient des informations confidentielles :soit transmis par un moyen jugé approprié et que la transmission soit documentée.

116 4

117 preuve = intégrité + identité
présomptions

118 EX: admission d’un courriel
preuve EX: admission d’un courriel

119 Loi concernant le cadre juridique des technologies de l’information
(L.R.Q. c-1.1) « Froid » jurisprudentiel « Froid » réglementaire « Froid » doctrinal

120 Loi concernant le cadre juridique des technologies de l’information
«Froid» jurisprudentiel sur le plan quantitatif  Bélanger c. Future Électronique, 2005 QCCRT 0570  Citadelle, Cie d’assurance générale c. Montréal (Ville), 2005 IIJCan (QC C.S.)  Vandal c. Salvas [2005] IIJCan QC. C.Q.

121 Loi concernant le cadre juridique des technologies de l’information
«Froid» réglementaire  Aucune suite aux articles 63 et suivants… 63. Pour favoriser l’harmonisation, tant au plan national qu’international, des procédés, des systèmes, des normes et des standards techniques mis en place pour la réalisation des objets de la présente loi, un comité multidisciplinaire est constitué. À cette fin, le gouvernement, après consultation du Bureau de normalisation du Québec, fait appel à des personnes provenant du milieu des affaires, de l’industrie des technologies de l’information et de la recherche scientifique et technique, à des personnes provenant des secteurs public, parapublic et municipal ainsi qu’à des personnes provenant des ordres professionnels, toutes ces personnes devant posséder une expertise relative audomaine des technologies de l’information.

122 Loi concernant le cadre juridique des technologies de l’information
« Froid » doctrinal Peu d’interprétations Interprétations contradictoires Prévisibilité juridique réduite

123 5

124 1457 CCQ 1 – qui ? faute dommage lien

125 LPRPDE + LPRPSP + LCCJTI
2 – quoi ? => confidentialité LPRPDE + LPRPSP + LCCJTI finalité sécurité accès limitation consentement

126 6

127 principe 1: documenter transmission transfert conservation améliorer
preuve documents confidentiels

128 -4- conformité

129 sécurité et finances Quelles sont les éléments susceptibles d’être modifiés par Internet ? La vie privée La diffusion de l’information Les aspects internationaux La fraude et les aspects reliés à la lutte contre la criminalité La vente de VM via Internet La divulgation d’informations financières sur le site Internet de la compagnie Les règles de conformité

130 les règles de conformité
Au départ Enron, WorldCom, etc. Collusion entreprise / compagnies de comptables Solutions proposées Intégrité de l’info. Intégrité des personnes SOX (Sarbanes Oxley Act) Équivalent au Canada Règlement sur l’attestation de l’information présentée dans les documents annuels et intermédiaires des émetteurs Règlement sur les rapports sur le contrôle interne à l’égard de l’information financière

131 les règles de conformité
Niveau règlementaire Niveau intermédiaire Niveau applicatif ACVM Instruction ACVM ACVM ACVM COCO COSO Turnbull Tendance «contrôle qualité» ITIL ISO 9000 NQI Tendance « sécurité » ISO 17799 GAISP Octave Méhari Tendance «contrôle interne» COBIT OECD CICA

132 média Media et «axe du mal»
77% des «evening news» 01 à 07/2002 (11% en 2001) «Politics, not economics, determines which corporate governance devices tend to be disfavored»(Jonathan Macey Professeur de droit à Yale) «It follows from the insight that regulation like SOX is not so much for the benefit of investors, who will avoid future risk, but for that of reputable sellers who will lose business unless they can persuade buyers that the sharks are gone and it is safe to swim» (Henry N. Butler and Larry E. Ribstein - The Sarbanes Oxley Debacle, 2006) «Shoot first, ask questions later», Henry N. Butler and Larry E. Ribstein - The Sarbanes Oxley Debacle, 2006 RÉSULTAT DE SOX: Résultat du 25 juillet 2002 Chambre des représentants : 422 versus 3

133 politique «the most far-reaching reforms of American business practices since the time of Franklin Delano Roosevelt» G. W. Bush

134 fondamentaux de SOX Plus de contrôle interne
Plus de vérification externe Plus de divulgation Plus de sanctions criminelles Plus d’attestations personnelles des dirigeants

135 section 404: Management Assessment of Internal Controls
« Rules Required. The Commission shall prescribe rules requiring each annual report required by section 13(a) or 15(d) of the Securities Exchange Act of 1934 to contain an internal control report, which shall: state the responsibility of management for establishing and maintaining an adequate internal control structure and procedures for financial reporting; and contain an assessment, as of the end of the most recent fiscal year of the issuer, of the effectiveness of the internal control structure and procedures of the issuer for financial reporting ».

136 attention au 404 «404 File Not Found » (en français, « fichier non trouvé ») est un code d'erreur dans le protocole HTTP. Ce code est renvoyé par un serveur HTTP pour indiquer que la ressource demandée (généralement une page Web) n'existe pas. Le premier 4 indique une erreur dans la requête, ici une mauvaise URL, venant d'une page obsolète ou d'une erreur de saisie d'adresse Web de la part du visiteur. Le dernier 4 indique le problème causé par cette erreur : la ressource est introuvable. Les numéros d'erreur sont définis dans les spécifications du protocole de communication HTTP.» wikipedia

137 inflation réglementaire
Final Rule: Management's Reports on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports Réfèrant à plusieurs «standards» Référant à des «Reports»

138 critiques inhérentes Atteintes à la délégation (favorise l’esprit de dépanneur) Atteinte à l’innovation (indiquer tous les changements) Coûts prohibitifs (très différents des estimations de la SEC) même si frise la fantaisie Conséquences de l’ultra-responsabilisation des dirigeants (plus de suivi – coûts de gestion en hausse) « Hyper-oxygénation informationnelle » Prise de pouvoir des «technos»

139 place de la technologie
Intégrité financière = intégrité technique

140 critiques globales Responsabilités des États et non du fédéral
Concurrence des Etats-Unis par des pays plus «laxistes» Fait fuire les investissements étrangers Limite le risque Trop peu flexibles selon la taille des compagnies Variations cacophoniques selon les pays (parfois illégal)

141 404 Délais (31 décembre 2007) Appel au «repeal»
Une législation si décriée ne peu pas être si manifestement mauvaise

142 Canada Attentisme déclaré (31/12/2007) Consultation en cours
Documents en cours - instructions - instructions - et autres…

143 substance versus procédure (les revoilà)

144 conclusion documentation inhérente à la preuve électronique
sécurité électronique implique Document + environnement procéduralisation du droit

145 droit + sécurité = pas si sûr !
vincent gautrais professeur agrégé – avocat faculté de droit – UDM titulaire de la chaire UDM en droit de la sécurité et des affaires électroniques