DROIT ET TI – Qui est responsable de la confidentialité des renseignements personnels? Est-il acceptable de limiter sa responsabilité en blâmant son fournisseur si l’on n’a pas posé suffisamment de questions ?
Bonne année! Il arrive en début d’année que l’on prenne du temps pour réfléchir. Il arrive aussi qu’en droit des technologies de l’information, alors que les technologies progressent rapidement, qu’il n’existe pas de réponses parfaitement claires à des questions pourtant bien actuelles. Or, la réflexion aide à trouver des réponses, et ce, depuis bien avant l’arrivée d’Internet…
Vous savez maintenant, du moins en bonne partie, ce qu’est l’informatique en nuage, cette utilisation de logiciels et d’ordinateurs éloignés et partagés, ainsi que cet entreposage de données sur des serveurs éloignés et partagés. Vous savez aussi que certains d’entre vous avez des obligations de protection de renseignements confidentiels, qu’ils soient personnels ou non.
Vous avez certainement au moins déjà imaginé qu’on pouvait trouver, dans d’autres juridictions que celles du Québec ou du Canada, des règles passablement différentes des nôtres quant à la confidentialité des données. Vous savez même peut-être que chez nos voisins du Sud, pour des motifs de sécurité nationale, en vertu du Patriot Act, des autorités peuvent accéder à des données qui autrement seraient confidentielles. Vous avez peut-être même entendu parler du Electronic Communications Privacy Act et du Stored Communications Act de nos voisins du Sud qui permettent, semble-t-il, aux autorités policières d’accéder au moyen d’un simple subpoena à tout ensemble de données qui n’a pas changé depuis plus de 180 jours et ce, même sans risque pour la nation. La question, qui ne tue pas nécessairement, mais en a le potentiel, est : Qui est responsable de la confidentialité des données déposées sur le nuage ?
Ou encore, ultimement, à qui la faute si les données confidentielles sont divulguées? Si une entreprise, ayant en sa possession des informations confidentielles de ses clients, a choisi pour entreposer ces données un « bon » fournisseur d’informatique en nuage, et que ce dernier place les données dans une juridiction où elles sont moins protégées qu’ici, est-ce la faute de l’entreprise ou du fournisseur?
Si le fournisseur qui a toujours annoncé dans sa publicité qu’il utilisait des serveurs situés physiquement sur le sol canadien change sa politique à un moment donné, utilisant des serveurs situés à l’étranger, et si les données sont révélées, est-ce la faute de l’entreprise-cliente ou du fournisseur?
L’entreprise-cliente avait-elle la responsabilité d’exiger par contrat (plutôt qu’en se basant sur un message publicitaire) que les données ne quittent pas le Canada, ou le fournisseur avait-il l’obligation d’aviser ses clients qu’il avait changé de politique et d’obtenir leur consentement pour une « exportation » des données ?
Si le fournisseur d’informatique en nuage, désirant être un « bon citoyen corporatif », permet l’accès aux données aux autorités d’un pays, même sans mandat de perquisition (1), est-il à blâmer ? L’entreprise-cliente qui a confié les données confidentielles à ce bon citoyen corporatif est-elle pour sa part à blâmer ?
Il n’en tient souvent qu’à soi
Il faut commencer en se regardant dans le miroir… Par exemple, en matière de renseignements personnels, ne constitue pas un moyen de défense, en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec, à ma connaissance, le fait qu’un gouvernement étranger ait décidé de prendre copie des renseignements personnels et de les examiner.
À titre d’avocat, je sais aussi que je serais très mal venu de justifier, devant mon ordre professionnel, la publication de mes dossiers-clients confidentiels par un changement de politique de mon hébergeur ou par sa volonté d’être un bon citoyen corporatif devant un membre des forces de l’ordre qui « cherche quelque chose »
Quelle est votre responsabilité envers vos clients, vos partenaires ou autres quant à la protection de leurs informations confidentielles, qu’il s’agisse de renseignements personnels ou autres ? Répondre à cette question vous aidera à répondre aux autres questions lues précédemment…
Et oui, en droit, il y a parfois des exceptions, les « toujours » et les « jamais » sont rares… mais tout de même.
(1) Wired Cloudline : www.wired.com/cloudline/2011/12/us-cloud/