La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Drt 6903A Droit du commerce électronique Cours 6 – Atelier Responsabilité et sécurité 7 octobre 2009 Eloïse Gratton

Publié parMarin Papin Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "Drt 6903A Droit du commerce électronique Cours 6 – Atelier Responsabilité et sécurité 7 octobre 2009 Eloïse Gratton"— Transcription de la présentation:

1 Drt 6903A Droit du commerce électronique Cours 6 – Atelier Responsabilité et sécurité 7 octobre 2009 Eloïse Gratton eloise.gratton@mcmillan.ca

2 Atelier Cours 6: Faits: Lors de la dernière mise à jour dun site internet, un «bogue» informatique sest glissé dans le portail de sécurité du site. Pour une période denviron 20 jours, Monsieur X a donc hébergé sur le site Web dun cabinet dassurances, les liens informatiques, codes dutilisateur et mots de passe de son frère, agent en assurance de dommages, rattaché et dédié à société mutuelle dassurance Y, alors que laccès à ceux-ci nétait pas protégé, permettant ainsi, notamment à tout visiteur davoir accès à des renseignements personnels de plus de 12 000 clients de Y (noms, adresses, détails sur primes dassurances). Dès que X fut informé de cette situation, il prit les mesures nécessaires pour y remédier. X est un jeune nayant pas une formation informatique très poussée. Aucun individu ne sest plaint du fait que ses renseignements personnels étaient accessibles pour cette période. Question (1): Y a-t-il responsabilité au sens de larticle 25 LCCJTI et pourquoi? Question (2): La brèche doit-elle être divulguée aux assurés dont les informations étaient accessibles durant cette période?

3 Question (1): Y a-t-il responsabilité au sens de larticle 25 LCCJTI et pourquoi?

4 Loi concernant le cadre juridique des TI –25. « La personne responsable de l'accès à un document technologique qui porte un renseignement confidentiel doit prendre les mesures de sécurité propres à en assurer la confidentialité, notamment par un contrôle d'accès effectué au moyen d'un procédé de visibilité réduite ou d'un procédé qui empêche une personne non autorisée de prendre connaissance du renseignement ou, selon le cas, d'avoir accès autrement au document ou aux composantes qui permettent d'y accéder. »

5 Le Comité de discipline, chambre de lassurance de dommages, en 2008 a dit….. responsable! –Mais circonstances particulières….

6 Chambre de l'assurance de dommages c. Kotliaroff Infraction au Code de déontologie des représentants en assurance de dommages et autres lois et codes similaires. Les parties se sont entendues sur la recommandation commune dune amende de 2,000$ (admission de responsabilité). Le Comité pas liée par la recommandation et considère que la recommandation commune constitue une sanction juste et raisonnable puisquelle tient compte de toutes les circonstances particulières de la présente affaire….

7 Chambre de l'assurance de dommages c. Kotliaroff Circonstances atténuantes : –Labsence dantécédents disciplinaires de lintimé; –Le plaidoyer de culpabilité enregistré dès la première occasion; –La collaboration de lintimé à lenquête de la syndic; –Les moyens entrepris par lintimé pour corriger cette situation, dès quil en fut informé; –Labsence dintention malhonnête de lintimé; Circonstances aggravantes : –La gravité objective des infractions reprochées à lintimé; –La protection du public en matière de renseignements confidentiels.

8 Chambre de l'assurance de dommages c. Kotliaroff Motifs du jugement: [33] Dans le présent dossier, lintimé, en hébergeant, sur son propre site internet, les liens informatiques, code dutilisateur et mot de passe de son frère (chef no. 1), sans protéger adéquatement laccès à ceux-ci, na pas, de toute évidence, respecter les obligations qui lui étaient imposées par larticle 25 de la Loi concernant le cadre juridique des technologies de linformation, soit celles «de prendre les mesures de sécurité propres à en assurer la confidentialité, notamment par un contrôle daccès effectué au moyen dun procédé de visibilité réduite ou dun procédé qui empêche une personne non autorisée de prendre connaissance du renseignement»; [34] Il est probable que le recours au service dune entreprise spécialisée dans la création de site web aurait permis à lintimé déviter le bris de confidentialité qui lui est, aujourdhui, reproché dans la présente plainte;

9 Question (2): La brèche doit-elle être divulguée aux assurés dont les informations étaient accessibles durant cette période?

10 Évaluation des renseignements personnels en cause 1) Les renseignements sont ils sensibles? Potentiellement 2) Quel sont les préjudices prévisibles pour les personnes concernées? Vol? Fraude? 3) Quel est le contexte lié aux renseignements personnels en cause? 4) Les renseignements personnels sont ils convenablement encodés, dépersonnalisés ou difficiles daccès? NON 5) Comment les renseignements personnels peuvent ils être utilisés? Assurance dommages vs. assurance-vie 6) Linformation peut elle servir à des fins frauduleuses ou autrement préjudiciables? Potentiellement

11 Cause et étendue de la brèche dans les renseignements personnels 1) Y a t il un risque que des brèches se reproduisent ou que les renseignements soient davantage compromis? NON 2) Quelle a été létendue de laccès non autorisé aux renseignements personnels ou de la collecte, de lutilisation ou de la communication non autorisée de tels renseignements? 12 000 assurés Linformation a t elle été perdue ou volée? N/A - pas volée Les renseignements personnels ont-ils été retrouvés? N/A Quelles mesures ont été prises pour atténuer les préjudices? Sagit il dun problème systémique ou dun incident isolé? Incident isolé

12 Personnes concernées par la brèche dans les renseignements personnels Quelle est la quantité de renseignements personnels compromis par la brèche et quelles personnes sont concernées par la brèche? Préjudices prévisibles découlant de la brèche pour personnes concernées et pour lorganisation - Assurance dommages vs assurance-vie Préjudice que la notification de la brèche dans les renseignements personnels pourrait causer au public

13 Si l'atteinte à la vie privée pose un risque de préjudice pour les personnes concernées, celles-ci devraient en être notifiées rapidement afin de leur permettre de prendre des mesures pour se protéger. Chaque incident doit être examiné au cas par cas afin de déterminer si l'atteinte à la vie privée doit faire l'objet d'une notification. Pour décider sil convient de notifier les personnes concernées, il faut : –se demander si la notification est nécessaire pour éviter ou atténuer les préjudices; et –tenir compte de la capacité des personnes à prendre des mesures précises pour réduire tout autre préjudice.

Télécharger ppt "Drt 6903A Droit du commerce électronique Cours 6 – Atelier Responsabilité et sécurité 7 octobre 2009 Eloïse Gratton"

Présentations similaires

LA CIRCULATION DES RENSEIGNEMENTS PERSONNELS DANS LES ENVIRONNEMENTS « WEB 2.0 » du e-gouvernement L’avènement des environnements en ligne à contenu généré.

LA CIRCULATION DES RENSEIGNEMENTS PERSONNELS DANS LES ENVIRONNEMENTS « WEB 2.0 » du e-gouvernement L’avènement des environnements en ligne à contenu généré.
Gestion des comptes Présentation.

Gestion des comptes Présentation.
RÈGLEMENT SUR LA PRÉVENTION DE LA VIOLENCE DANS LE LIEU DE TRAVAIL

RÈGLEMENT SUR LA PRÉVENTION DE LA VIOLENCE DANS LE LIEU DE TRAVAIL
Groupe de Travail Cinq Demande et Utilisation des Nouvelles Technologies: Associer les citoyens et accroitre la Sensibilisation Le groupe cinq a échangé

Groupe de Travail Cinq Demande et Utilisation des Nouvelles Technologies: Associer les citoyens et accroitre la Sensibilisation Le groupe cinq a échangé
Aspects juridiques du knowledge management Journée Juriconnexion du 17 novembre 2005 Cédric Manara Professeur associé Département Juridique EDHEC Business.

Aspects juridiques du knowledge management Journée Juriconnexion du 17 novembre 2005 Cédric Manara Professeur associé Département Juridique EDHEC Business.
La loi sur le système de justice pénale pour les adolescents

La loi sur le système de justice pénale pour les adolescents
Révision Vrai ou faux: le droit administratif régit les relations entre les citoyens et les organismes publics. Le droit administratif est plutôt à propos.

Révision Vrai ou faux: le droit administratif régit les relations entre les citoyens et les organismes publics. Le droit administratif est plutôt à propos.
March 09, 2007 UNWTO - Berlin Athens 2004: Child trafficking and the Olympics Mineurs non accompagnés Une réflexion pour une meilleure prévention et protection.

March 09, 2007 UNWTO - Berlin Athens 2004: Child trafficking and the Olympics Mineurs non accompagnés Une réflexion pour une meilleure prévention et protection.
Conférence nationale de l'UEDN sur la santé et la sécurité 28 septembre 2012 Ce que les agents négociateurs attendent de leurs représentants.

Conférence nationale de l'UEDN sur la santé et la sécurité 28 septembre 2012 Ce que les agents négociateurs attendent de leurs représentants.
Thierry Sobanski – HEI Lille

Thierry Sobanski – HEI Lille
2nd thème : La notion de données à caractère personnel.

2nd thème : La notion de données à caractère personnel.
Document Unique d’Evaluation des Risques

Document Unique d’Evaluation des Risques
Droit à l'image.

Droit à l'image.
Protéger la personne et la vie privée

Protéger la personne et la vie privée
LE DOCUMENT UNIQUE DE DELEGATION

LE DOCUMENT UNIQUE DE DELEGATION
La protection des renseignements personnels: notions de base DRT 3805.

La protection des renseignements personnels: notions de base DRT 3805.
La mise en place du Règlement sur la diffusion de linformation Un travail déquipe.

La mise en place du Règlement sur la diffusion de linformation Un travail déquipe.
Quelle est la nationalité dun site web ? Quelles sont les lois quil doit respecter ? 1 Quentin Boitelle Présentation TIC Février 2013.

Quelle est la nationalité dun site web ? Quelles sont les lois quil doit respecter ? 1 Quentin Boitelle Présentation TIC Février 2013.
Proposition de DIRECTIVE DU PARLEMENT EUROPEEN ET DU CONSEIL Relative aux mesures et procédures visant à assurer le respect des droits de propriété intellectuelle.

Proposition de DIRECTIVE DU PARLEMENT EUROPEEN ET DU CONSEIL Relative aux mesures et procédures visant à assurer le respect des droits de propriété intellectuelle.
Validation des compétences C.2.1 – C.2.2 et C.2.3

Validation des compétences C.2.1 – C.2.2 et C.2.3

Présentations similaires

Annonces Google