La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Drt 6903A Droit du commerce électronique Cours 6 – Responsabilité et sécurité 7 octobre 2009 Eloïse Gratton

Présentations similaires


Présentation au sujet: "Drt 6903A Droit du commerce électronique Cours 6 – Responsabilité et sécurité 7 octobre 2009 Eloïse Gratton"— Transcription de la présentation:

1 Drt 6903A Droit du commerce électronique Cours 6 – Responsabilité et sécurité 7 octobre 2009 Eloïse Gratton

2 Responsabilités Hébergeur Moteur de recherche Transporteur Conservation de données Éditeur Certification Blogueur Paiement Enchères Pourriels Vie privée

3 Responsabilité civile Régime général du Code civil – art conditions: –Faute commise –Dommage causé –Lien établi entre la faute et le dommage

4 Responsabilité - hébergeur Hébergeur Régime général dexonération. Responsabilité possible dans le cas où : –il a connaissance dactivités illicites de la part des personnes hébergées par lui; –il a connaissance de circonstances qui rendent apparentes des activités illicites de la part des personnes hébergées par lui; –il na rien fait pour empêcher que des activités illicites de la part des personnes hébergées par lui soient perpétrées.

5 Responsabilité - hébergeur Hébergeur 22 LCCJTI. « Le prestataire de services qui agit à titre d'intermédiaire pour offrir des services de conservation de documents technologiques sur un réseau de communication n'est pas responsable des activités accomplies par l'utilisateur du service au moyen des documents remisés par ce dernier ou à la demande de celui-ci. Cependant, il peut engager sa responsabilité, notamment s'il a de fait connaissance que les documents conservés servent à la réalisation d'une activité à caractère illicite ou s'il a connaissance de circonstances qui la rendent apparente et qu'il n'agit pas promptement pour rendre l'accès aux documents impossible ou pour autrement empêcher la poursuite de cette activité. »

6 Responsabilité – moteurs de recherche Idem pour les référencements (moteurs de recherche) Art. 22 LCCJTI « (…) De même, le prestataire qui agit à titre d'intermédiaire pour offrir des services de référence à des documents technologiques, dont un index, des hyperliens, des répertoires ou des outils de recherche, n'est pas responsable des activités accomplies au moyen de ces services. Toutefois, il peut engager sa responsabilité, notamment s'il a de fait connaissance que les services qu'il fournit servent à la réalisation d'une activité à caractère illicite et s'il ne cesse promptement de fournir ses services aux personnes qu'il sait être engagées dans cette activité. »

7 Responsabilité – moteurs de recherche Flach Film et autres / Google France, Google Inc., Tribunal de commerce de Paris, 8e chambre, Jugement du 20 février 2008 Limites quant à lexclusion de lobligation de surveillance active. Dès lors quun titulaire de droits a signalé un contenu illicite dans une zone de stockage déterminée à un hébergeur, ce dernier aurait lobligation de surveiller toute nouvelle apparition de ce contenu, dans nimporte quelle zone de stockage de son site.

8 Notion de connaissance Larticle de la loi française sur la confiance dans léconomie numérique (LCEN) prévoît un mécanisme de notification des intermédiaires. La connaissance des faits litigieux est présumée acquise lorsqu'il leur est notifié les éléments suivants : –La date de la notification ; –si le notifiant est une personne physique : ses nom, prénoms, profession, domicile, nationalité, date et lieu de naissance ; si le requérant est une personne morale : sa forme, sa dénomination, son siège social et l'organe qui la représente légalement ; –les nom et domicile du destinataire ou, s'il s'agit d'une personne morale, sa dénomination et son siège social ; –La description des faits litigieux et leur localisation précise ; –les motifs pour lesquels le contenu doit être retiré, comprenant la mention des dispositions légales et des justifications de faits ; –La copie de la correspondance adressée à l'auteur ou à l'éditeur des informations ou activités litigieuses demandant leur interruption, leur retrait ou leur modification, ou la justification de ce que l'auteur ou l'éditeur n'a pu être contacté.

9 Responsabilité - transporteur Transporteur (art. 36 LCCJTI) Régime général dexonération. Son rôle se limite à une action technique. Responsabilité possible dans le cas où : –il est à lorigine de la transmission; –il sélectionne ou modifie le document transmis; –il sélectionne la personne qui transmet, reçoit ou a accès au document posant problème; –il conserve le document plus longtemps que ne lexige la transmission.

10 Responsabilité - conservation Conservation (art. 37 LCCJTI) Illustrations, deux situations principales : –La fonction « cache » (ou antémémorisation) –La conservation de documents nécessaires à lutilisation de serveur à accès contrôlé, dIntranet (notamment pour des raisons de sécurité). Régime général dexonération. Un régime de responsabilité similaire au précédent sapplique aux prestataires de services de conservation.

11 Responsabilité - conservation Responsabilité possible dans le cas où : –dans lune des quatre situations qui sappliquent à la responsabilité du transmetteur; – le prestataire ne respecte pas les conditions daccès au document; –le prestataire empêche la vérification de qui a eu accès au document; –le prestataire ne retire pas promptement du réseau ou ne rend pas laccès au document impossible alors quil avait connaissancequun tel document a été retiré de là où il se trouvait initialement;quil nest pas possible aux personnes qui y ont droit dy avoir accès;quune autorité compétente en a exigé le retrait.

12 Responsabilités - Éditeurs Éditeurs Vieux comme la presse 1457 CCQ –Faute –Dommage –Lien de causalité Responsabilité plus grande

13 Responsabilités - Certification Certification (47 LCCJTI et ss.) Obligations de lautorité de certification : –rédiger une politique de certification –rendre publique la politique de certification; –présenter des garanties dimpartialité; –inscrire promptement sur le répertoire prévu à cet effet tout certificat invalide; –assurer lintégrité du certificat. Obligations du certifié : –garder secret tout dispositif qui permet dutiliser le certificat, toute utilisation de ce dernier étant présumée faite par lui; –dévoiler à lautorité de certification tout motif qui laisserait croire que le dispositif est compromis par un tiers; –informer lautorité de certification de tout changement à son statut. Obligations du tiers : –vérifier lidentité des intervenants; –vérifier au répertoire la mise en place par lautorité de certification la validité du certificat.

14 Responsabilités - Certification Répartition des responsabilités –Responsabilité non démontrée – daucun. Les parties sont toutes responsables. –Responsabilité partagée. Quelle que soit la répartition, elle est dordre public et ne peut être modifiée par contrat.

15 Responsabilité - Blogueur Et que se passe-t-il avec le blogue? Qualification Qui contrôle? Vaillancourt c. Lagacé (2005) –Modéré -> éditeur (si possibilité raisonnable de vérifier) –Non modéré -> hébergeur Et en droit comparé? –Idem aux USA –Différent en droit français Sauf exception (recommandation du Forum des droit sur Internet)

16 Responsabilité - Blogueur Blogue « OK Corral à Saint-Adèle » (Vincent Gautrais) –Équilibre liberté dexpression / diffamation Arguments pour le blogueur –Officier public –Vérifier linvestigation du journalisme –Autorise un droit réponse Arguments pour le maire –1457 CCQ –Tendance jurisprudentielle au Québec –Responsabilité des blogues quant aux commentaires Modération Non modération Rawdon (Municipalité) c. Solo, Leblanc et autres, 3151 (C.S.) 2009.

17 Responsabilité du paiement Émetteur de carte commerçant Acheteur (consommateur)

18 Responsabilité du paiement Banque Laurentienne du Canada c. Abdul-Wahab, 2001 IIJCan 151 (QC C.S.) [45] Ceci dit, lorsque le numéro de carte est communiqué par téléphone, Internet ou autrement, sans présentation formelle de la carte, il revient au commerçant dassumer le risque de la transaction, et non à linstitution financière avec laquelle il a signé une convention de services de paiement au point de vente. En effet, les différentes étapes prévues au manuel dexploitation visent à réduire au minimum les fraudes et sont sous le seul contrôle du commerçant : présentation de la carte, signature du relevé et vérification des signatures apparaissant au relevé et à lendos de la carte. Si ces trois étapes sont remplies et si un numéro dautorisation est obtenu, le commerçant a rempli sa part du contrat et si de bonne foi[2], a droit au paiement[3].[2][3] [46] En somme, quand le commerçant prend sur lui de modifier les méthodes dexploitation, même lorsquil est de bonne foi, il doit en assumer les conséquences, car lui seul est en mesure de faire les vérifications additionnelles que peut requérir une transaction à distance et prendre les dispositions appropriées avant de remettre les biens commandés.

19 Responsabilité du paiement Canada Inc. c. Banque Laurentienne du Canada, 2003 IIJCan (QC C.S.) [32] Les incidents et les manquements ont été suffisamment nombreux et importants pour justifier les craintes exprimées par les témoins entendus à l'initiative de Banque Laurentienne et l'intervention immédiate. [33] Il n'était pas nécessaire que Banque Laurentienne fasse la preuve de fraude ou de mauvaise foi de La Compagnie et de ses représentants pour justifier sa décision. Le non respect des conditions d'utilisation, même en toute bonne foi, était suffisant. [34] Le retrait du terminal constituait le seul remède dont Banque Laurentienne disposait pour se protéger et, selon la convention intervenue, elle pouvait agir comme elle l'a fait. Dans les circonstances spécifiques du présent dossier, son comportement ne constituait pas un comportement abusif.

20 Responsabilité - Enchères Des risques très lourds Le non paiement de lacheteur La non fourniture du bien acheté »Solution utilisant un intermédiaire »Solution technique quant à lidentification La non authenticité du produit vendu La vente de produits interdits »Affaires Yahoo en France »Solutions techniques »Solutions contractuelles Le dopage des prix (comme dans les enchères traditionnelles) Le contrôle de la capacité des acteurs La responsabilité de lorganisateur de lenchère Paiements…

21 Responsabilité - Enchères Encadrement légal des « vraies » enchères –1757 CcQ et s. –Ex: 1760 et anonymat des vendeurs –Similaires dans dautres pays La responsabilité des intermédiaires Les limites à la concurrence Commentaires : les limites du droit et les voies «non-juridiques »

22 Responsabilité des intermédiaires Hendrickson c. eBay (septembre 2001) Savoir si application du « Safe Harbour » du DMCA (art. 512) Faits: –Le plaignant dispose dun droit dauteur sur un DVD vendu sur eBay –Lettre du plaignant de faire un « cease and desist » (20/12/00) –Lettre de eBay pour précision en conformité du DMCA (info sur lœuvre copiée) Lien au DMCA Formulaire selon VeRO (Verified Rights Owners) –Lettre 2 de eBay pour précision Identifier lœuvre Affidavit (statement) –Plaignant ne joint pas VeRO –Information jamais donnée à eBay

23 Responsabilité des intermédiaires Hendrickson c. eBay (suite) Procédures: –Action le 17 janvier 2001 sur la base de contrefaçon –Deuxième action le 12 février 2001 pour continuer de vendre lesdites copies et ajouts de défendeurs –Troisième action le 13 avril 2001, ajoutant des défendeurs –Rejet dune injonction le 30 avril 2001 –Demande de jugement en « fastrack » le 27 juillet 2001

24 Responsabilité des intermédiaires Hendrickson c. eBay (suite) Décision: Pas dinfraction directe…. mais contribution indirecte Application du DMCA? –DMCA pour assurer le développement du CE –Protéger les ISP de responsabilités –eBay est un ISP OUI (512(k)(1)(B)) –512 (c) limite la responsabilité « for infringement of copyright by reason of the storage at the direction of a user of a material that resides on a system or network controlled or operated by or for the service provider. » –Conditions: Pas de connaissance actuelle Pas de bénéfice pécuniaire A agit avec diligence pour enlever lœuvre en question

25 Responsabilité des intermédiaires Hendrickson c. eBay (suite) –ConnaissanceNON –Bénéfice NON –Ne pas décourager les tentatives de monitoring –VeRO –Pas une vraie vente aux enchères (pas de contrôle) –Sur cette question dagissement prompt le plaignant doit envoyer une notification écrite incluant 6 éléments : –Une signature –Identification de lœuvre contrefaite NON –Information pour identifier la localisation de lœuvre –Information pour permettre à lISP daviser le contrefacteur –Affidavit de la bonne foi du plaignant NON –Affidavit de la véracité des faits demandés

26 Responsabilité des intermédiaires Tyffany c. eBay (2008) (U.S.) Infractions possibles envisagées: – les différents véhicules associés au droit dauteur NON – lusage non autorisée de la marque de commerce ; NON – concurrence illégale ;NON – négligence dans le contrôle des vendeurs ;NON – etcNON Efforts jugés suffisants: – le système VeRO ; – les NOCIs (Notice of Claimed Infringement) qui y sont associés ; – ses différents investissements dans le contrôle de la fraude ; – la suspension de vendeur frauduleux ; – ses pages éducatives sur le droit dauteur notamment ; – etc.

27 Responsabilité des intermédiaires

28 Hermès c. eBay (2008) (France) Éditeur? NON –Cest éditer que le contenant et non le contenu (Cédric Manara) Hébergeur? NON – LOI « mise à disposition du public ou de catégories de public, par un procédé de communication électronique, de signes de signaux, décrits, dimages, de sons ou de messages de toute nature qui nont pas le caractère dune correspondance privée » (LCEN, art. 1) –JUGE « les sociétés eBay doivent être considérées comme des éditeurs de services de communication en ligne à objet courtage » –JUGE « les sociétés eBay engagent donc leur responsabilité à légard de la société Hermès International pour ne pas satisfaire pleinement à leur obligation de veiller à labsence dutilisation répréhensible de son site au sens de larticle L du Code de la propriété intellectuelle » – MANARA Entre la responsabilité de léditeur et celle de lhébergeur, cest donc… une troisième voie qui a été adoptée. Le droit commun sapplique aux activités économiques et sociales qui prennent place sur internet, activités qui sont possibles parce que les plateformes au moyen desquelles elles sexercent sont protégées par le droit. Avec cette décision, les fondations sont consolidées, la responsabilité civile est honorée.

29 Responsabilité des intermédiaires LOréal c. eBay Tribunal de commerce de Bruxelles (31 juillet 2008) (Belgique) "les seules activités d'eBay critiquées par Lancôme sont celles par lesquelles eBay héberge (ou affiche) les annonces de vente émanant des candidats vendeurs" (…) "ce sont donc bien les activités d'hébergement auxquelles se livre eBay qui sont critiquées par Lancôme" "ce ne sont pas des catégories d'intermédiaires, ni davantage des types d'informations qui peuvent prétendre à l'exonération de responsabilité qu'elle prévoit, mais bien et uniquement des intermédiaires et prestataires de service, lorsqu'ils peuvent faire valoir qu'ils fournissent tel ou tel service entrant dans la définition de ceux se trouvant exemptés" "s'agissant des annonces de ventes postées sur le site eBay par des candidats vendeurs, eBay les accueille en fournissant un service d'hébergement, pour lequel eBay bénéfice d'une exemption de responsabilité". "le statut particulier réservé par la directive et la loi aux fournisseurs de services d'hébergement s'oppose" (…) à ce qu'une illicéité lui est notifiée, eBay doit prendre des mesures pour éviter que pareille illicéité ne se reproduise".

30 Limites à la concurrence: le « deep-linking » et laffaire eBay c. Bidders Edge Faits: Le second prend des informations du premier et les range par catégories Pas de mention la page initiale Appel en cours de Bidder Edge Décision qui donne raison à eBay Amici Curiae de plusieurs professeurs américains sur la base Largumentation sur la base du Trespass est non pertinente Contraire à la compétition sur Internet Nature même de linternet que de permettre ceci Devoir de balancer lintérêt du public à être informé »Réduire frais dinformation pour lacheteur »Réduire les frais de publicité »Augmente la comparaison de lacheteur Menace de lefficacité les échanges de prix

31 Responsabilité - pourriels Loi sur la protection du commerce électronique (« LPCE ») Objectifs: –empêcher lenvoi au Canada de pourriels sous leurs formes les plus dangereuses, telles que lusurpation didentité, lhameçonnage et les logiciels espions; –contribuer à décourager les polluposteurs de sévir au Canada; –combattre les logiciels espions en interdisant linstallation de logiciels informatiques sans le consentement du propriétaire de lordinateur. Art. 6(1): « Il est interdit denvoyer à une adresse électronique un message électronique commercial, de ly faire envoyer ou de permettre quil y soit envoyé, sauf si : a) la personne à qui le message est envoyé a consenti expressément ou tacitement à le recevoir; b) le message est conforme [aux exigences réglementaires] ». Consentement restrictif…. Autres restrictions visant linstallation de logiciels

32 Responsabilité - pourriels Loi sur la protection du commerce électronique (« LPCE ») Sanctions administratives Violation des dispositions décrites ci-dessus fera lobjet de « sanctions administratives pécuniaires » pouvant atteindre 1 million de dollars dans le cas dune personne physique, ou 10 millions de dollars dans le cas dune personne morale. Cette responsabilité sétendrait aussi aux employeurs, aux administrateurs, aux dirigeants ou aux représentants dune société. Régime de dommages-intérêts pouvant se traduire par une ordonnance de verser « une somme maximale de 200 $ à légard de chaque contravention de la disposition en cause, jusquà concurrence de $ par jour pour lensemble des contraventions ». Cette responsabilité sétendrait aussi aux employeurs, aux dirigeants et aux administrateurs dune société.

33 Responsabilité - pourriels Loi sur la protection du commerce électronique (« LPCE ») Sanctions administratives Nouveau droit privé daction pour toute personne qui prétend être touchée par les actes ou omissions qui constituent une contravention à larticle 5 de la Loi sur la protection des renseignements personnels et les documents électroniques, qui met en cause une collecte ou une utilisation dinformation visée aux paragraphes 7.1(2) ou (3) de cette loi. Critique de Morgan: –« Il semble que ce droit pourrait maintenant exposer les entreprises canadiennes à de nouvelles responsabilités étendues à légard de lutilisation ou de la communication de renseignements personnels faite sans en informer les personnes ou obtenir leur consentement. Les dirigeants, administrateurs et employeurs pourraient aussi être éventuellement responsables des actes de leurs employés. »

34 Responsabilité – Vie privée Proaction des détenteurs de RP –Industrie Canada, «Working Together to Prevent Identity Theft», (2005) Option I – Truncate (partially blank out) payment card numbers Option II – Verify the identity of persons and organizations accessing credit reports Option III – Do not disclose social insurance numbers (SINs) on credit reports or use them as a unique identifier for consumers Option IV – Allow consumers to place freezes on their credit reports Option V – Require organizations that store personal information to notify individuals and credit bureaus in cases of security breaches Option VI – Require credit bureaus to place fraud alerts on consumers credit reports incases of security breaches or upon the request of an identity theft victim Option VII – Require credit lenders to disclose details of fraudulent debts to victims Option VIII – Require credit bureaus to block information about fraudulent debts appearing on a consumers credit report Option IX - Make organizations liable for damages Option X – Inform victims of their rights

35 Vie privée et confidentialité Obligation de sécurité!

36 Obligation de sécurité Cadre Légal au Québec Loi concernant le cadre juridique des TI –25. « La personne responsable de l'accès à un document technologique qui porte un renseignement confidentiel doit prendre les mesures de sécurité propres à en assurer la confidentialité, notamment par un contrôle d'accès effectué au moyen d'un procédé de visibilité réduite ou d'un procédé qui empêche une personne non autorisée de prendre connaissance du renseignement ou, selon le cas, d'avoir accès autrement au document ou aux composantes qui permettent d'y accéder. » Loi sur la protection des renseignements personnels dans le secteur privé –10. « Toute personne qui exploite une entreprise doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. »

37 Bris de sécurité….. 1) Comment prévenir les bris de sécurité informatique 2) Stratégie à adopter lorsqu'un bris survient et que des renseignements personnels sont divulgués

38 1) Comment prévenir les bris de sécurité informatique

39 Apprendre des erreurs des autres Analyse de cas récents: TJX / Winners and HomeSense TJX et Visa a informé certains commissaires à la vie privée canadiens dun bris informatique affectant 45 millions dutilisateurs de cartes de crédit en janvier 2007 Lors de leur enquête, les commissaires ont mentionné: –avoir un problème avec la collecte de données inutiles dans ce cas et aussi leur conservation excessive –limportance de mettre à jour tout système informatique –que les coûts de réparation dune brèche dépassent largement les coûts pour le maintien adéquat dun système La leçon à retenir: Ne jamais collecter de renseignements inutiles ou en maintenir inutilement dans son système

40 Certains cas de 2008: Février: Une copie de sauvegarde non encryptée contenant les informations de 4.5 million clients de la Banque de New York Mellon sont perdues après être envoyé en entreposage Mars: Un bris de sécurité chez Sony Playstation Network a exposé les informations des comptes et mots de passe de plusieurs de ses clients Avril: Un bris de séurité informatique au niveau du réseau du RCMP dû à 4 virus a compromis certains éléments de preuve dans un dossier criminel important dun réseau de vol automobiles Mai: Un bris de sécurité au niveau du serveur de lUniversité de Oklahoma a exposé les noms, adresses et numéros dassurance sociale de étudiants et employés qui avaient acheté des permits de stationnement les 6 dernières années

41 Certains cas de 2009: Janvier: Un virus a été introduit dans le système de Heartland Payment Systems afin de collecter les numéros de carte de crédit lorsque transmis sur Internet, affectant potentiellement individus Juillet: Un virus sest inflitré dans le système de facturation enligne de Hydro Toronto obtenant des informations de clients Juillet: Un virus informatique affecte plus de sites transactionnels faisant affaires avec le fournisseur dinfrastructure Network Solutions expose les données financières de clients Été: Mozilla a dû fermer ses portes temporairement après quuns brèche informatique est intervenue chez GatewayCDI qui est en charge du « back end » de son magasin virtuel

42 Maintien dun système adéquat Les responsabilités associées aux documents technologiques confidentiels Principe: –Un document confidentiel ne peut être accessible quaux personnes qui y sont autorisées et la personne le détenant a lobligation dassurer un degré de sécurité adéquat Conditions légales: –Élaborer une politique de vie privée –Avoir un intérêt sérieux et légitime pour constituer un dossier –Ne recueillir que les renseignements nécessaires à la finalité recherchée –Permettre aux individus (sauf exceptions) laccès, la correction ou le retrait de leurs renseignements –Interdire leur transmission (sauf consentement de lintéressé)

43 Adoption de politiques Adoption de politiques: (i) en matière de protection de renseignements personnels; et (ii) en matière de sécurité La politique en matière de sécurité doit traiter des éléments suivants: –Gestion des mots de passe –Verrouillage des ordinateurs, portables, blackberrys et téléphones cellulaires –Conservation de documents contenant des renseignements confidentiels ou personnels –Communications électroniques et envoi et réception de documents par télécopieur –Destruction de documents contenant des renseignements confidentiels ou personnels

44 Maintien dun système adéquat Les responsabilités découlant de lobligation de sécurité Conditions légales relatives à la sécurité: –Mettre en place des mesures de sécurité qui soient proportionnelles et appropriées aux circonstances –Empêcher que laccès à des documents technologiques puisse nuire à la confidentialité de certaines informations –Sassurer en cas de transmission que lopération est documentée et que les destinataires ont aussi une encadrement sécuritaire adéquat Solutions: –Mettre en place une entente de sécurité détaillant: La mise en place de moyens physiques, organisationnels et technologiques Linformation et sensibilisation du personnel

45 Formation du personnel Sensibiliser le personnel aux questions de sécurité des renseignements personnels et confidentiels; Les informer: –de toutes politiques de lentreprise à ce sujet (politique en matière de protection de renseignements personnels et en matière de sécurité); –des procédures à suivre en cas de bris de sécurité: Qui contacter dans lentreprise? Divulguer le bris aux individus concernés ou non? Réprimande en cas de non suivi dun bris?

46 Communications électroniques Guide publié par la Commission de lAccès à lInformation Mesures de sécurité à adopter pour les courriels électroniques: –Utiliser les modifications proposées par les fournisseurs de logiciels –Utiliser un anti-virus à jour –Utiliser de la cryptographie –Gestion des mots de passe –Agir en conformité avec les droits daccès des individus concernés –Établir des politiques de rétention –Adopter une politique dutilisation de courriel au sein de lentreprise

47 Destruction de documents Guide relatif à la destruction de documents contenant des renseignements personnels : –Déchiquetage des documents papier. Si trop grand volume, mettre dans salle verrouillée jusquà ce que les documents soient détruits. –Entente avec tiers relativement à la destruction des documents contenant des renseignements personnels doit inclure: Le processus utilisé pour la destruction Lobligation dexécuter une entente dimpartition avant de transférer les obligations au tiers Les pénalités en cas de non respect des dispositions

48 Destruction de documents (suite) Guide relatif à la destruction de documents contenant des renseignements personnels : –Entente avec tiers relativement à la destruction des documents contenant des renseignements personnels doit inclure (suite): Employés pertinents exécutent une entente de confidentialité Un engagement de garder les documents confidentiels dans un endroit verouillé avec accès limité Autoriser laccès à ses locaux durant lentente Engagement de préparer un rapport de destruction

49 Stratégie à adopter lorsqu'un bris survient et que des renseignements personnels sont divulgués:

50 Étape 1 : Découverte du bris Immédiatement prendre les mesures suivantes pour limiter la brèche dans les renseignements personnels : Désigner une personne qualifiée pour la tenue de lenquête initiale; Déterminer s'il est nécessaire de mettre sur pied une équipe composée de représentants des secteurs concernés de lentreprise; Déterminer qui doit être mis au courant de lincident à linterne et à lexterne; Ne pas nuire à la capacité denquêter sur lincident.

51 Étape 2 : Évaluation des risques associés à latteinte à la vie privée 1- Évaluation des renseignements personnels en cause –Les renseignements sont ils sensibles? –Quel sont les préjudices prévisibles pour les personnes concernées? –Quel est le contexte lié aux renseignements personnels en cause? –Les renseignements personnels sont ils convenablement encodés, dépersonnalisés ou difficiles daccès? –Comment les renseignements personnels peuvent ils être utilisés? –Linformation peut elle servir à des fins frauduleuses ou autrement préjudiciables?

52 Étape 2 : Évaluation des risques associés à latteinte à la vie privée 2- Cause et étendue de la brèche dans les renseignements personnels –Déterminer la cause de la brèche dans les renseignements personnels; –Y a t il un risque que des brèches se reproduisent ou que les renseignements soient davantage compromis? –Quelle a été létendue de laccès non autorisé aux renseignements personnels? –Linformation a t elle été perdue ou volée et a-t-elle été retrouvée? –Quelles mesures ont été prises pour atténuer les préjudices? –Sagit il dun problème systémique ou dun incident isolé?

53 Étape 2 : Évaluation des risques associés à latteinte à la vie privée 3- Personnes concernées par la brèche dans les renseignements personnels –Quelle est la quantité de renseignements personnels compromis par la brèche et quelles personnes sont concernées par la brèche? 4- Préjudices prévisibles découlant de la brèche –Tenir compte: des attentes raisonnables des concernés du destinataire de linformation (ex: Y a t il un lien entre les destinataires non autorisés et les personnes visées par les renseignements?) du préjudice pour personnes concernées et pour lorganisation du préjudice que la notification de la brèche dans les renseignements personnels pourrait causer au public

54 Étape 3 : Notification Notifier ou non? : Évaluer les risques de préjudice pour les personnes concernées et leur possibilité de prendre des mesures pour se protéger. Qui doit notifier: –Lorganisation qui entretient un rapport direct avec le client. –Notification par une tierce partie dans certains cas Quand notifier : Le plus tôt possible après lévaluation de lincident, sans compromettre la tenue de lenquête. Comment notifier : –Notifier directement les personnes concernées. –Sassurer que la méthode choisie pour notifier naccroît pas le risque de préjudice. Autres personnes à notifier : –Commissaires à la protection de la vie privée, policiers, assureurs, compagnies émettrices de cartes de crédit, etc.

55 Étape 3 : Notification Libellé de la notification –Aperçu de lincident et le moment où il sest produit; –Description des renseignements personnels en cause; –Sommaire des mesures que lorganisation a prises pour contrôler les préjudices; –Ce que lorganisation compte faire pour aider les personnes et les mesures que ces dernières peuvent prendre pour éviter ou réduire les risques de préjudice; –Les sources de renseignements visant à aider les personnes à se protéger contre le vol didentité; –Les coordonnées dun individu ou service de lorganisation qui peut répondre aux questions. –Mention de toute communication au sujet du bris avec un commissaire à la protection de la vie privée et les coordonnées du commissaire.

56 Étape 4 : Prévention de futures atteintes à la vie privée Enquêter sur les causes de lincident et réfléchir à la nécessité délaborer un plan de prévention. Le plan de prévention pourrait prévoir ce qui suit : –une vérification de la sécurité physique et technique; –un examen des politiques et des procédures et tout changement témoignant des leçons tirées de lenquête et subséquemment; –un examen des pratiques de formation des employés; –un examen des partenaires de la prestation de services; –une vérification à la fin du processus pour déterminer si le plan de prévention a été mis en œuvre avec succès.

57 Ne pas oublier que: Lois étrangères (ex. certains États américiains) peuvent nécessiter une notification pour leurs résidants, peu importe la juridiction où se trouvent ces informations. Les individus peuvent sattendre à recevoir une notification même si la loi noblige pas une telle notification (Ex: Disparition de dossiers personnels appartenant à des clients de la banque CIBC enjanvier 2007) Est-ce que lobligation légale en matière de responsabilité civile (1457 C.c.Q.) peut sappliquer? Deux lois canadiennes en matière de santé obligent à notifier La loi fédérale LPRPDE pourrait être amendée pour inclure cette obligation prochainement –révision aux 5 ans –commentaire récent de Jennifer Stoddard suite au bris de laffaire Heartland


Télécharger ppt "Drt 6903A Droit du commerce électronique Cours 6 – Responsabilité et sécurité 7 octobre 2009 Eloïse Gratton"

Présentations similaires


Annonces Google