La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Drt 6903A Droit du commerce électronique Cours 6 – Atelier Responsabilité et sécurité 7 octobre 2009 Eloïse Gratton

Présentations similaires


Présentation au sujet: "Drt 6903A Droit du commerce électronique Cours 6 – Atelier Responsabilité et sécurité 7 octobre 2009 Eloïse Gratton"— Transcription de la présentation:

1 Drt 6903A Droit du commerce électronique Cours 6 – Atelier Responsabilité et sécurité 7 octobre 2009 Eloïse Gratton eloise.gratton@mcmillan.ca

2 Atelier Cours 6: Faits: Lors de la dernière mise à jour dun site internet, un «bogue» informatique sest glissé dans le portail de sécurité du site. Pour une période denviron 20 jours, Monsieur X a donc hébergé sur le site Web dun cabinet dassurances, les liens informatiques, codes dutilisateur et mots de passe de son frère, agent en assurance de dommages, rattaché et dédié à société mutuelle dassurance Y, alors que laccès à ceux-ci nétait pas protégé, permettant ainsi, notamment à tout visiteur davoir accès à des renseignements personnels de plus de 12 000 clients de Y (noms, adresses, détails sur primes dassurances). Dès que X fut informé de cette situation, il prit les mesures nécessaires pour y remédier. X est un jeune nayant pas une formation informatique très poussée. Aucun individu ne sest plaint du fait que ses renseignements personnels étaient accessibles pour cette période. Question (1): Y a-t-il responsabilité au sens de larticle 25 LCCJTI et pourquoi? Question (2): La brèche doit-elle être divulguée aux assurés dont les informations étaient accessibles durant cette période?

3 Question (1): Y a-t-il responsabilité au sens de larticle 25 LCCJTI et pourquoi?

4 Loi concernant le cadre juridique des TI –25. « La personne responsable de l'accès à un document technologique qui porte un renseignement confidentiel doit prendre les mesures de sécurité propres à en assurer la confidentialité, notamment par un contrôle d'accès effectué au moyen d'un procédé de visibilité réduite ou d'un procédé qui empêche une personne non autorisée de prendre connaissance du renseignement ou, selon le cas, d'avoir accès autrement au document ou aux composantes qui permettent d'y accéder. »

5 Le Comité de discipline, chambre de lassurance de dommages, en 2008 a dit….. responsable! –Mais circonstances particulières….

6 Chambre de l'assurance de dommages c. Kotliaroff Infraction au Code de déontologie des représentants en assurance de dommages et autres lois et codes similaires. Les parties se sont entendues sur la recommandation commune dune amende de 2,000$ (admission de responsabilité). Le Comité pas liée par la recommandation et considère que la recommandation commune constitue une sanction juste et raisonnable puisquelle tient compte de toutes les circonstances particulières de la présente affaire….

7 Chambre de l'assurance de dommages c. Kotliaroff Circonstances atténuantes : –Labsence dantécédents disciplinaires de lintimé; –Le plaidoyer de culpabilité enregistré dès la première occasion; –La collaboration de lintimé à lenquête de la syndic; –Les moyens entrepris par lintimé pour corriger cette situation, dès quil en fut informé; –Labsence dintention malhonnête de lintimé; Circonstances aggravantes : –La gravité objective des infractions reprochées à lintimé; –La protection du public en matière de renseignements confidentiels.

8 Chambre de l'assurance de dommages c. Kotliaroff Motifs du jugement: [33] Dans le présent dossier, lintimé, en hébergeant, sur son propre site internet, les liens informatiques, code dutilisateur et mot de passe de son frère (chef no. 1), sans protéger adéquatement laccès à ceux-ci, na pas, de toute évidence, respecter les obligations qui lui étaient imposées par larticle 25 de la Loi concernant le cadre juridique des technologies de linformation, soit celles «de prendre les mesures de sécurité propres à en assurer la confidentialité, notamment par un contrôle daccès effectué au moyen dun procédé de visibilité réduite ou dun procédé qui empêche une personne non autorisée de prendre connaissance du renseignement»; [34] Il est probable que le recours au service dune entreprise spécialisée dans la création de site web aurait permis à lintimé déviter le bris de confidentialité qui lui est, aujourdhui, reproché dans la présente plainte;

9 Question (2): La brèche doit-elle être divulguée aux assurés dont les informations étaient accessibles durant cette période?

10 Évaluation des renseignements personnels en cause 1) Les renseignements sont ils sensibles? Potentiellement 2) Quel sont les préjudices prévisibles pour les personnes concernées? Vol? Fraude? 3) Quel est le contexte lié aux renseignements personnels en cause? 4) Les renseignements personnels sont ils convenablement encodés, dépersonnalisés ou difficiles daccès? NON 5) Comment les renseignements personnels peuvent ils être utilisés? Assurance dommages vs. assurance-vie 6) Linformation peut elle servir à des fins frauduleuses ou autrement préjudiciables? Potentiellement

11 Cause et étendue de la brèche dans les renseignements personnels 1) Y a t il un risque que des brèches se reproduisent ou que les renseignements soient davantage compromis? NON 2) Quelle a été létendue de laccès non autorisé aux renseignements personnels ou de la collecte, de lutilisation ou de la communication non autorisée de tels renseignements? 12 000 assurés Linformation a t elle été perdue ou volée? N/A - pas volée Les renseignements personnels ont-ils été retrouvés? N/A Quelles mesures ont été prises pour atténuer les préjudices? Sagit il dun problème systémique ou dun incident isolé? Incident isolé

12 Personnes concernées par la brèche dans les renseignements personnels Quelle est la quantité de renseignements personnels compromis par la brèche et quelles personnes sont concernées par la brèche? Préjudices prévisibles découlant de la brèche pour personnes concernées et pour lorganisation - Assurance dommages vs assurance-vie Préjudice que la notification de la brèche dans les renseignements personnels pourrait causer au public

13 Si l'atteinte à la vie privée pose un risque de préjudice pour les personnes concernées, celles-ci devraient en être notifiées rapidement afin de leur permettre de prendre des mesures pour se protéger. Chaque incident doit être examiné au cas par cas afin de déterminer si l'atteinte à la vie privée doit faire l'objet d'une notification. Pour décider sil convient de notifier les personnes concernées, il faut : –se demander si la notification est nécessaire pour éviter ou atténuer les préjudices; et –tenir compte de la capacité des personnes à prendre des mesures précises pour réduire tout autre préjudice.


Télécharger ppt "Drt 6903A Droit du commerce électronique Cours 6 – Atelier Responsabilité et sécurité 7 octobre 2009 Eloïse Gratton"

Présentations similaires


Annonces Google