Séance 7 - Droit + Sécurité de l’information PDF
Document Details
Uploaded by WelcomeDivergence8735
2024
François Senécal
Tags
Summary
Ce document est une présentation sur le Droit + Sécurité de l’information, avec un agenda et une introduction aux concepts clés. Les sujets abordés comprennent la sécurité des données, la protection des actifs, et les différentes facettes de la gouvernance et des politiques de sécurité.
Full Transcript
Droit + Sécurité de l’information F R A N ÇOI S S E N ÉC A L S ÉA NCE DU 1 0 O C TOB R E 2 0 2 4 F R A N C O I S. S E N EC A L @ P O LY M T L.C A I N T ERNET E T L A R ES PO NSA BIL ITÉ CI V I L E...
Droit + Sécurité de l’information F R A N ÇOI S S E N ÉC A L S ÉA NCE DU 1 0 O C TOB R E 2 0 2 4 F R A N C O I S. S E N EC A L @ P O LY M T L.C A I N T ERNET E T L A R ES PO NSA BIL ITÉ CI V I L E # CY 2 4 0 Agenda Introduction Sécurité informationnelle Sources législatives Gouvernance et politique de sécurité 2 Introduction… 3 Contrôler l’information… Preuve Propriété intellectuelle Information Souveraineté Info sur les données personnelle + Blocking statutes confidentielle Certaines lois 4 Pourquoi protéger l’information ? Conformité à la loi et à la réglementation Information = témoins des activités de l’organisation ◦ Base décisionnelle ◦ Valeur de preuve Protection des actifs de l’organisation ◦ L’information doit être vue comme un actif, car de plus en plus générateur de valeur (l’information n’est plus le sous-produit d’une activité économique principale) 5 https://www.ftc.gov/news-events/news/press-releases/2024/10/ftc-takes-action-against-marriott-starwood-over-multiple- data-breaches (9 octobre 2024) 6 Quoi protéger – Caractères de l’information Disponibilité Triade C.I.D. (CIA) Intégrité Confidentialité Ie. la valeur de l’information 7 Qu’est-ce que la sécurité informationnelle ? DÉ F I N ITIO NS 8 Sécurité informatique Sécurité informationnelle 9 Définition: sécurité de l’information « Protection des ressources informationnelles d'une organisation, face à des risques définis, qui résulte d'un ensemble de mesures de sécurité prises pour assurer la confidentialité, l'intégrité et la disponibilité de l'information traitée. » OFFICE DE LA LANGUE FRANÇAISE, Grand Dictionnaire terminologique 10 Gestion des risques « Ensemble des activités qui consistent à recenser les risques auxquels l'entité est exposée, puis à définir et à mettre en place les mesures préventives appropriées en vue de supprimer ou d'atténuer les conséquences d'un risque couru. » OFFICE DE LA LANGUE FRANÇAISE, Grand Dictionnaire terminologique Bref, on mitige, accepte, déplace ou assure le risque – souvent en combinaison 11 Quelques exemples de risques Dommages physiques (feu, inondation, vandalisme, panne de courant, catastrophe naturelle) Interaction humaine (action ou inaction accidentelle ou intentionnelle qui peut interrompre la productivité) Défaillance technique (échec des systèmes informatiques et périphériques) Attaques internes ou externes (hameçonnage, pirates, bidouilleurs, etc.) Abus de données (partage de secrets commerciaux, fraude, espionnage, vol) Perte de données (destruction intentionnelle ou non intentionnelle d’informations) Erreurs logicielles (erreurs informatiques, erreurs de saisie, interférence d’autres logiciels) Interférence étatique 12 13 Risque – Autre définition… Probabilité qu’une a) menace exploite une b) vulnérabilité avant qu’une c) contre-mesure soit mise en place. 14 1. Menaces « Événement potentiel et appréhendé, de probabilité non nulle, susceptible de porter atteinte à la sécurité » D’ordre: Techniques Physiques Opérationnelles Liées à la gestion du personnel OFFICE DE LA LANGUE FRANÇAISE, Grand Dictionnaire terminologique 15 1. Menaces Humaines (pirates, employés) Naturelles (tremblements de terre, inondations) Techniques (erreurs logicielles) Physiques (panne de courant) 16 2. Vulnérabilités « Faiblesse d'un système se traduisant par une incapacité partielle de celui-ci à faire face aux menaces informatiques qui le guettent. » D’ordre: Techniques Physiques Opérationnelles Liées à la gestion du personnel OFFICE DE LA LANGUE FRANÇAISE, Grand Dictionnaire terminologique 17 3. Contre-mesures « Mesure prise pour réduire les risques au moyen de la réduction de l'importance des éléments de configuration, des menaces auxquelles ils font face ou de leur vulnérabilité à ces menaces. » OFFICE DE LA LANGUE FRANÇAISE, Grand Dictionnaire terminologique Bref : Probabilité × Gravité (impact) 18 Comment ? Types de mesures de sécurité… Mesures Mesures physiques techniques Mesures administratives 19 Mesures techniques sauvegardes SSL Certificats Data loss prevention Logiciels antivirus Firewall Cryptographie NIP Mots de passe Authentification à deux facteurs 20 Mesures physiques Agents de sécurité Clôtures Alimentation électrique redondante CCTV Gicleurs d’incendie Aménagement paysager 21 Mesures administratives Ententes de confidentialité contrôles Audits Politiques Sensibilisation Procédure de mise à pied Procédure d’authentification Formation Reddition de compte Vérifications d’antécédents 22 Ex. : Sécurité physique et centres de données Tier Requirements Single non-redundant distribution path serving the IT equipment Non-redundant capacity components 1 Basic site infrastructure with expected availability of 99.671% (1729 min/year) Meets or exceeds all Tier 1 requirements 2 Redundant site infrastructure capacity components with expected availability of 99.741% Meets or exceeds all Tier 1 and Tier 2 requirements Multiple independent distribution paths serving the IT equipment All IT equipment must be dual-powered and fully compatible with the 3 topology of a site's architecture Concurrently maintainable site infrastructure with expected availability of 99.982% Meets or exceeds all Tier 1, Tier 2 and Tier 3 requirements All cooling equipment is independently dual-powered, including chillers 4 and heating, ventilating and air-conditioning (HVAC) systems Fault-tolerant site infrastructure with electrical power storage and distribution facilities with expected availability of 99.995% (26 min/year) 23 Un besoin de systématisation, de… normalisation 24 Sources législatives de l’obligation de sécurité D RO I T C I V I L P ROT EC T I O N D ES R P O B L I G AT I O N S D E CO N F I D E N T I A L I TÉ S O U V E R A I N E T É S U R L ES D O N N É ES L I M I T ES AU X M OY E N S D E P ROT EC T I O N RAISONNABILITÉ 25 Régime de base 1457 CcQ. Toute personne a le devoir de respecter les règles de conduite qui, suivant les circonstances, les usages ou la loi, s’imposent à elle, de manière à ne pas causer de préjudice à autrui. Elle est, lorsqu’elle est douée de raison et qu’elle manque à ce devoir, responsable du préjudice qu’elle cause par cette faute à autrui et tenue de réparer ce préjudice, qu’il soit corporel, moral ou matériel. […] 1458 CcQ. Toute personne a le devoir d’honorer les engagements qu’elle a contractés. […] 26 Définition: sécurité de l’information 26 LCCJTI. Le prestataire de services est tenu, durant la période où il a la garde du document, de voir à ce que les moyens technologiques convenus soient mis en place pour en assurer la sécurité, en préserver l'intégrité et, le cas échéant, en protéger la confidentialité et en interdire l'accès à toute personne qui n'est pas habilitée à en prendre connaissance. Il doit de même assurer le respect de toute autre obligation prévue par la loi relativement à la conservation du document. 27 Définition: sécurité de l’information 25 LCCJTI. La personne responsable de l'accès à un document technologique qui porte un renseignement confidentiel doit prendre les mesures de sécurité propres à en assurer la confidentialité, notamment par un contrôle d'accès effectué au moyen d'un procédé de visibilité réduite ou d'un procédé qui empêche une personne non autorisée de prendre connaissance du renseignement ou, selon le cas, d'avoir accès autrement au document ou aux composantes qui permettent d'y accéder. 28 Ex. : Mots de passe en clair Il précise que son frère, Nicolas Kotliaroff, qui est représentant pour la Promutuel Deux-Montagnes, avait de la difficulté à se souvenir de son code d’accès; il avait donc fait un lien dans la section sécurisée de son site internet pour lui permettre d’accéder à ses dossiers-clients (P-3 et P-4); Malheureusement, en raison d’un problème technique, il semble que toute personne qui accédait à son site internet pouvait, du même coup, accéder aux informations confidentielles des clients de la Promutuel Deux-Montagnes; Chambre de l'assurance de dommages c. Kotliaroff, 2008 CanLII 19078 (QC C.D.C.H.A.D.) 29 /suite « Dans le présent dossier, l’intimé, en hébergeant, sur son propre site internet, les liens informatiques, code d’utilisateur et mot de passe de son frère (chef no. 1), sans protéger adéquatement l’accès à ceux-ci, n’a pas, de toute évidence, respecté les obligations qui lui étaient imposées par l’article 25 de la LCCJTI, soit celles «de prendre les mesures de sécurité propres à en assurer la confidentialité, notamment par un contrôle d’accès effectué au moyen d’un procédé de visibilité réduite ou d’un procédé qui empêche une personne non autorisée de prendre connaissance du renseignement» » Chambre de l'assurance de dommages c. Kotliaroff, 2008 CanLII 19078 (QC C.D.C.H.A.D.) 30 PKI et sécurité de la clé privée (45) La procureure de la plaignante a souligné l’importance de la signature numérique d’un notaire en ce qu’elle atteste le caractère authentique d’un acte. (46) Pour la protection du public, il est donc capital que la signature numérique soit apposée par le notaire. (47) L’importance de la signature numérique est telle que le fait de permettre à son adjointe de l’utiliser justifie une sanction de radiation pour rencontrer les critères de dissuasion et d’exemplarité. ◦ Notaires (Ordre professionnel des) c. Kanou, 2014 CanLII 16662 (QC CDNQ), 3 avril 2014 Par son plaidoyer de culpabilité, l’intimé reconnaît avoir contrevenu à l’article 56 du Code de déontologie, lequel est rédigé ainsi : ◦ 56. Le pharmacien ne doit divulguer à quiconque aucun code ou marque spécifique pouvant permettre l’utilisation de sa signature numérique ou, plus généralement, aucun autre moyen équivalent permettant de l’identifier et d’agir en son nom. L’intimé a violé les termes clairs de cet article. Cette infraction est grave et met en cause la protection du public. Dans le meilleur des scénarios pour l’intimé, cela démontre les dangers de divulguer son code à d’autres individus. En perdant le contrôle sur l’utilisation de son code, l’intimé a permis que les infractions soient commises, et ce, au grand détriment du public. ◦ Pharmaciens (Ordre professionnel des) c. Koutsouris, 2018 CanLII 4929 (QC CDOPQ) Voir aussi : Huissiers de justice (Ordre professionnel des) c. Blier, 2018 CanLII 7356 (QC CDHJ) 31 Où réside la responsabilité ? « Il n’y a pas de loi au Canada qui encadre ça », déplore l’avocat en droit bancaire Marc Lemieux. Il n’y a pas non plus de loi sur la protection des victimes de fraudes en ligne. » Seules les « conventions de compte », auxquelles les consommateurs adhèrent pour obtenir des services bancaires, partagent les responsabilités entre le client et l’institution financière lorsque surviennent de telles fraudes. « Ce n’est pas des […] L’exemple du Royaume-Uni. Là-bas, l’autorité qui réglemente contrats dont les gens ont même connaissance », les transactions bancaires électroniques, Payment Systems dit Marc Lemieux. Regulator (PSR), doit même imposer à partir de 2024 le Ces ententes énumèrent les obligations de sécurité remboursement obligatoire des victimes en cinq jours ouvrables. informatique du consommateur. Une première mondiale. Le fardeau sera partagé moitié-moitié entre la banque du fraudé, ayant émis les fonds, et celle du fraudeur, qui les a reçus. Toutes les victimes que La Presse et les autres médias ont contactées nient avoir violé les Au Royaume-Uni comme ailleurs, les critiques de l’approche de règles de sécurité et ne peuvent identifier PSR craignent que sa politique de remboursement intégral par les aucun moment où elles auraient pu être banques ne fasse bondir les cas de fraude, en éliminant tout hameçonnées. incitatif à la prudence. De son côté, l’institution financière affirme pourtant que son système de sécurité n’a subi aucune défaillance. « C’est le résultat de gens qui ont été victimes d’hameçonnage », a assuré lundi André Boucher, chef de la sécurité de l’information. Une position que la Banque maintenait mercredi. 32 Protection des RP D RO I T C I V I L P ROT EC T I O N D ES R P O B L I G AT I O N S D E CO N F I D E N T I A L I TÉ S O U V E R A I N E T É S U R L ES D O N N É ES L I M I T ES AU X M OY E N S D E P ROT EC T I O N RAISONNABILITÉ 33 Un environnement législatif qui se met à jour ! Projet de loi 64 Projet de loi C-27 34 Loi sur la protection des renseignements personnels dans le secteur privé [LPRPSP], LRQ, c P-39.1 10. Toute personne qui exploite une entreprise doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. 35 Loi sur la protection des renseignements personnels et les documents électroniques, LC 2000, c. 5 Annexe 1 – Principe 4.7. Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. 36 LPRPDÉ (PIPEDA en anglais) 4.7.1 Les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. Les organisations doivent protéger les RP quelle que soit la forme sous laquelle ils sont conservés. 4.7.2 La nature des mesures de sécurité variera en fonction du degré de sensibilité […]. Les renseignements plus sensibles devraient être mieux protégés. LPRPDÉ (PIPEDA en anglais) 4.7.3 Les méthodes de protection devraient comprendre: ◦ a) des moyens matériels, par exemple le verrouillage des classeurs et la restriction de l’accès aux bureaux; ◦ b) des mesures administratives, par exemple des autorisations sécuritaires et un accès sélectif; et ◦ c) des mesures techniques, par exemple l’usage de mots de passe et du chiffrement. 4.7.4 Les organisations doivent sensibiliser leur personnel à l’importance de protéger le caractère confidentiel des renseignements personnels. Le critère se veut un critère de raisonnabilité - selon la valeur (au sens large) de l’actif à protéger et la menace visant l’information. Pas nouveau… 39 Générer un risque juridique : les évaluations préalables des risques (EFVP) 3.3 LPRPSP ◦ Toute personne qui exploite une entreprise doit procéder à une évaluation des facteurs relatifs à la vie privée de tout projet de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels. ◦ Aux fins de cette évaluation, la personne doit consulter, dès le début du projet, son responsable de la protection des renseignements personnels. ◦ La personne doit également s’assurer que ce projet permet qu’un renseignement personnel informatisé recueilli auprès de la personne concernée soit communiqué à cette dernière dans un format technologique structuré et couramment utilisé. 17 LPRPSP ◦ Avant de communiquer à l’extérieur du Québec un renseignement personnel, la personne qui exploite une entreprise doit procéder à une évaluation des facteurs relatifs à la vie privée. Elle doit notamment tenir compte des éléments suivants : ◦ 1° la sensibilité du renseignement; ◦ 2° la finalité de son utilisation; ◦ 3° les mesures de protection dont le renseignement bénéficierait; […] ÉFVP également au (défunt) projet de loi 19 sur les données de santé 40 En cas de brèche LPRPDÉ : ◦ Notification (art. 10.1 et 10.2) ◦ Notification au Commissariat à la protection de la vie privée du Canada ◦ Aux personnes concernées ◦ À des tiers tels police, compagnies de crédit, etc. (limitation du préjudice) ◦ Documentation (art. 10.3) ◦ 10.3 (1) L’organisation tient et conserve, conformément aux règlements, un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels dont elle a la gestion. ◦ (2) Sur demande du commissaire, l’organisation lui donne accès à son registre ou lui en remet copie. ◦ Infraction : jusqu’à 100 000$ d’amende LPRPSP ◦ Notification (art. 3.5 LPRPSP) ◦ Sanction administrative pécuniaire (le plus élevé de 10M ou 2% du chiffre d’affaires mondial ; 90.1+) ◦ Documentation et accès par la CAI (art 3.8 de la LPRPSP) Donc, une obligation de détecter les brèches ? ◦ Ne pas détecter un incident est possiblement révélateur d’une mauvaise culture de sécurité ou de contrôles déficients… ◦ Discutez ! 41 Obligations de confidentialité D RO I T C I V I L P ROT EC T I O N D ES R P O B L I G AT I O N S D E CO N F I D E N T I A L I TÉ S O U V E R A I N E T É S U R L ES D O N N É ES L I M I T ES AU X M OY E N S D E P ROT EC T I O N RAISONNABILITÉ 42 Qu’est-ce qu’un renseignement confidentiel ? « [l]a qualification de « renseignements confidentiels » est une question de fait mais elle est aussi évaluée d'une façon objective. Il ne suffit pas que l'employeur décrète que tel ou tel renseignement est confidentiel pour qu'il le soit. Sont habituellement considérés comme confidentiels les secrets de commerce ou de fabrication, les plans et maquettes liées au développement d'une technique ou d'un produit, les listes de clients secrètes ou contenant des renseignements privilégiés […] ou toute autre information qui n'est pas généralement connue et ne peut pas être obtenue ou reconstituée facilement. » Marie-France BICH, « La viduité post-emploi: loyauté, discrétion et clauses restrictives », dans Développements récents en droit de la propriété intellectuelle, Cowansville, Yvon Blais, 2003, p. 243, 305. 43 Critères l’étendue de la diffusion de l’information à l’extérieur de l’entreprise; l’étendue de la diffusion de l’information au sein de l’entreprise; l’étendue des mesures de sécurité mises en place pour assurer la confidentialité de l’information; la valeur de l’information pour des tiers; l’argent et l’effort investis afin de collecter ou développer l’information; la facilité avec laquelle un tiers pourrait acquérir ou dupliquer l’information par lui-même. ◦ Sophie ROMPRÉ, La surveillance de l’utilisation d’Internet au travail, Cowansville, Yvon Blais, 2009, p. 31 44 C-27 – Loi sur l’intelligence artificielle et les données (non en vigueur) 5(1) renseignements commerciaux confidentiels Renseignements commerciaux qui se rapportent à l’entreprise d’une personne ou à ses activités et, à la fois : a) qui ne sont pas accessibles au public; b) à l’égard desquels la personne a pris des mesures raisonnables dans les circonstances pour qu’ils demeurent inaccessibles au public; c) qui ont une valeur économique réelle ou potentielle pour la personne ou ses concurrents parce qu’ils ne sont pas accessibles au public et que leur divulgation entraînerait une perte financière importante pour elle ou un gain financier important pour ses concurrents. (confidential business information) 45 Définition constante… 39. (1) Pour l’application du présent article, la personne qui fournit des renseignements au Conseil peut désigner comme confidentiels : a) les secrets industriels; b) les renseignements financiers, commerciaux, scientifiques ou techniques qui sont de nature confidentielle et qui sont traités comme tels de façon constante par la personne qui les fournit; c) les renseignements dont la communication risquerait vraisemblablement soit de causer à une autre personne ou elle- même des pertes ou profits financiers appréciables ou de nuire à sa compétitivité, soit d’entraver des négociations menées par cette autre personne ou elle-même en vue de contrats ou à d’autres fins. Loi sur les télécommunications, LC 1993, c 38 46 Renseignement confidentiel : une taxonomie Renseignements confidentiels par nature Renseignements confidentiels selon l’interlocuteur Renseignements confidentiels selon le contexte de leur communication Renseignements confidentiels selon le contexte de leur conservation 47 Renseignement confidentiel « par nature » Renseignements personnels ◦ Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, L.R.Q. c. A-2.1, art. 53 Renseignements relatifs aux électeurs ◦ Loi électorale, L.R.Q. c. E-3.3, art. 40.39 Secrets industriels ◦ Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, L.R.Q. c. A-2.1, art. 23 Procédés industriels ◦ Loi sur la Santé et la sécurité du travail, L.R.Q. c. S-2.1, art. 123 48 Renseignement confidentiel « selon l’interlocuteur » Échanges entre le directeur d’un établissement de détention et une victime ◦ Loi sur le Système correctionnel du Québec, L.R.Q. c. S-40.1, art. 175.1 Avis du jurisconsulte à un député ◦ Loi sur l'Assemblée nationale, L.R.Q. c. A-23.1 Renseignement obtenu par un agent de surveillance de sentier ◦ Loi sur les Véhicules hors route, L.R.Q. c. V-1.2, art. 43 Médiateur ◦ Loi sur les normes du travail, L.R.Q. c. N-1.1, art. 123.3 Notaire ◦ Loi sur le Notariat, L.R.Q., c. N-3, art. 14.1 Acupuncteur ◦ Loi sur l’acupuncture, L.R.Q. c. A-5.1, art. 13 Comptable agréé ◦ Loi sur les comptables agréés, L.R.Q. c. C-48, art. 22.2 Etc. 49 Renseignement confidentiel « selon le contexte de leur communication » Conférence de règlement à l’amiable ◦ Code de procédure civile, L.R.Q. c. C-25.01, art. 163 Renseignements obtenus en vertu de la Loi concernant les droit sur les mutations immobilières ◦ L.R.Q. c. D-15.1, art. 22 Renseignements concernant les conflits d’intérêts des administrateurs de la Caisse de dépôt communiqués au ministre des Finances ◦ Loi sur la Caisse de dépôt et placement du Québec, L.R.Q. c. C-2, art. 42 Renseignements obtenus en vertu de la Loi facilitant le Paiement des pensions alimentaires ◦ L.R.Q. c. P-2.2, art. 75 Renseignements relatifs à un cotisant ou un bénéficiaire obtenus en vertu de la Loi sur le Régime des rentes du Québec ◦ L.R.Q. c. R-9, art. 207 Renseignements obtenus dans l’application de la Loi concernant les Droits sur les mines ◦ L.R.Q. c. D-15, art. 80.2 Toute information verbale ou écrite recueillie pendant la médiation ◦ Loi sur les chemins de fer, L.R.Q. c. C-14.1, art. 19 Etc. 50 Renseignement confidentiel « selon le contexte de leur conservation » Dossier du tribunal ◦ Loi sur la Protection de la jeunesse, L.R.Q. c. P-34.1, art. 96 Dossier administré par le curateur public ◦ Loi sur le Curateur public, L.R.Q. c. C-81, art. 51 Dossier de l’Office des personnes handicapées du Québec concernant une personne handicapée ◦ Loi assurant l'exercice des droits des personnes handicapées en vue de leur intégration scolaire, professionnelle et sociale, L.R.Q. c. E-20.1 Dossiers médicaux ◦ Loi sur les services de santé et les services sociaux pour les autochtones cris, L.R.Q. c. S-5, art. 7; Loi sur les services de santé et les services sociaux, L.R.Q. c. S-4.2, art. 19 Dossier fiscal ◦ Loi sur le ministère du Revenu, L.R.Q. c. M-31, art. 69 Etc. 51 Souveraineté sur les données D RO I T C I V I L P ROT EC T I O N D ES R P O B L I G AT I O N S D E CO N F I D E N T I A L I TÉ S O U V E R A I N E T É S U R L ES D O N N É ES L I M I T ES AU X M OY E N S D E P ROT EC T I O N RAISONNABILITÉ 52 Localisation des données (« data residency ») Certaines données et documents relatifs aux transactions des clients ◦ Loi sur les banques, LC 1991, c 46 art 238-239 Livres comptables, dossier corporatif… ◦ Loi sur les sociétés de fiducie et de prêt, LC 1991, c 45 art 243-244 Greffe des arpenteurs-géomètres ◦ Règlement sur le greffe des membres de l'Ordre des arpenteurs-géomètres du Québec, RLRQ c A-23, r 9 Greffe des notaires ◦ Loi sur le notariat, RLRQ c N-3, art 62, article non encore en vigueur (depuis 2000) 53 Des lois particulières : blocking statutes But : empêcher la circulation transfrontière de certains documents ◦ Loi sur les mesures extraterritoriales étrangères, LRC 1985, c F-29 ◦ Commerce avec Cuba (décret de 1992) ◦ Question commerciale re. Buy American Act (décret de 2014) ◦ Information relative au nucléaire (dans les années 1970) ◦ Au Québec : Loi sur les dossiers d'entreprises, RLRQ, c. D-12 54 Limites aux moyens de protection… D RO I T C I V I L P ROT EC T I O N D ES R P O B L I G AT I O N S D E CO N F I D E N T I A L I TÉ S O U V E R A I N E T É S U R L ES D O N N É ES L I M I T ES AU X M OY E N S D E P ROT EC T I O N RAISONNABILITÉ 55 Contrôles d’accès physiques Règlements d’urbanisme ◦ Clôtures, barrières, fossés, douves, alligators, etc. ◦ Ex.: Le Règlement sur les clôtures de Montréal interdit le barbelé et limite la hauteur. Code du bâtiment ◦ Impose la présence de parcours sans obstacle ◦ Interdit les mécanismes de verrouillage électromagnétique normalement fermés Code civil du Québec (art. 36) et Charte des droits et libertés de la personne (art. 46) ◦ Limitent l’utilisation des caméras de surveillance 56 Contrôles biométriques 43 LCCJTI. Nul ne peut exiger que l'identité d'une personne soit établie au moyen d'un procédé ou d'un dispositif qui porte atteinte à son intégrité physique. […] 44 LCCJTI. Nul ne peut exiger, sans le consentement exprès de la personne, que la vérification ou la confirmation de son identité soit faite au moyen d'un procédé permettant de saisir des caractéristiques ou des mesures biométriques. […] …caractéristiques… 57 Contrôles biométriques 43 LCCJTI. […] À moins que la loi le prévoie expressément en vue de protéger la santé des personnes ou la sécurité publique, nul ne peut exiger qu'une personne soit liée à un dispositif qui permet de savoir où elle se trouve. … objets … 58 Contrôles biométriques 44. Nul ne peut exiger, sans l’avoir divulgué préalablement à la Commission d’accès à l’information et sans le consentement exprès de la personne, que la vérification ou la confirmation de son identité soit faite au moyen d’un procédé permettant de saisir des caractéristiques ou des mesures biométriques. 45 LCCJTI. La création d’une banque de caractéristiques ou de mesures biométriques doit être divulguée à la Commission d’accès à l’information avec diligence, au plus tard 60 jours avant sa mise en service. […] Seuil : il faut plus qu’être simplement « plus efficace » Horodateurs et pointeuses biométriques – Constats de la Commission d’accès à l’information 27 mars 2023 https://www.cai.gouv.qc.ca/biometrie/pour- davantage-dinformation/ 59 Code criminel Sans compter les contraintes imposées par le droit pénal… Loi sur les dispositifs Loi sur les armes à feu émettant des radiations 60 Confidentialité et responsabilité : raisonnabilité D RO I T C I V I L P ROT EC T I O N D ES R P O B L I G AT I O N S D E CO N F I D E N T I A L I TÉ S O U V E R A I N E T É S U R L ES D O N N É ES L I M I T ES AU X M OY E N S D E P ROT EC T I O N RAISONNABILITÉ 61 Code civil du Québec 1457 CcQ. Toute personne a le devoir de respecter les règles de conduite qui, suivant les circonstances, les usages ou la loi, s'imposent à elle, de manière à ne pas causer de préjudice à autrui. Elle est, lorsqu'elle est douée de raison et qu'elle manque à ce devoir, responsable du préjudice qu'elle cause par cette faute à autrui et tenue de réparer ce préjudice, qu'il soit corporel, moral ou matériel. Elle est aussi tenue, en certains cas, de réparer le préjudice causé à autrui par le fait ou la faute d'une autre personne ou par le fait des biens qu'elle a sous sa garde. 62 Intensité de l’obligation Mesures de sécurité correspondant au degré de sensibilité Mesures raisonnables Les renseignements plus sensibles devraient être mieux protégés (approche de gestion des risques) Obligation de moyens renforcée Nicolas W. Vermeys, Responsabilité civile et sécurité informationnelle Union des routiers, brasseries, liqueurs douces et ouvriers de diverses industries, section locale 1999 et L'Oréal Canada inc. (grief syndical), 2012 CanLII 105276 (QC SAT) 63 Mesures raisonnables Les méthodes de protection devraient comprendre : a) des moyens matériels, par exemple le verrouillage des classeurs et la restriction de l ’ accès aux bureaux; b) des mesures administratives, par exemple des autorisations sécuritaires et un accès sélectif; et c) des mesures techniques, par exemple l’usage de mots de passe et du chiffrement. LPRPDÉ, Annexe 1, art. 4.7.3 Loi sur la protection des renseignements personnels et les documents électroniques 64 Mesures raisonnables Verrouiller les classeurs et les bureaux ◦ Stacey c. Sauvé Plymouth Chrysler (1991) inc., REJB 2002-32362 (C.Q.) ◦ Conclusions # 185, 376 et 107 Adopter des politiques et procédures de contrôle, sensibiliser les employés ◦ Fleury c. C.P. St-Jean Berchmans, (2002) PV 98 01 15, 16 et 17 (C.A.I.) ◦ X c. Centre médical Boucherville, (1994) AZ-95151501 (C.A.I.) ◦ Conclusions # 52, 304, 54, 242, 11, 292, 177, 377, 226, 374 et 380 Respecter les politiques (diligence + cohérence) ◦ Conclusion 2013-015, 2012-004 Assurer la confidentialité d’adresses de courriels dans le cadre d’un envoi collectif ◦ Conclusion 2004-277 L’encodage, le chiffrement de données sensibles (+ envoi d’un haché pour assurer l’intégrité) ◦ Conclusions # 185, 107 et 2008-393 L’utilisation de mots de passe ou autres identifiants ◦ Conclusions # 372, 281, 376, 329, 137 et 324 Limiter l’accès aux seules personnes ayant besoin de l’information ◦ Bell c. Michigan Council 25 of the American Federation of State, County, and Municipal Employees, AFL-CIO, Local 1023 (US) ◦ Conclusions # 185, 376 et 107. https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/lois-sur-la-protection-des- renseignements-personnels-au-canada/la-loi-sur-la-protection-des-renseignements-personnels-et-les- documents-electroniques-lprpde/aide-sur-la-facon-de-se-conformer-a-la-lprpde/bulletins-sur-l- interpretation-de-la-lprpde/interpretations_08_sg/ 65 Mesures raisonnables ¶78 Dans ce contexte, les commissaires estiment que plusieurs éléments clés étaient absents du cadre de sécurité d’ALM : a) des politiques ou des pratiques en matière de sécurité de l’information documentées, sur lesquelles reposerait la promotion d’une culture […]; b) un processus de gestion des risques explicite, notamment des évaluations périodiques et proactives des menaces pour la vie privée […]; c) une formation adéquate pour s’assurer que tous les membres du personnel (y compris la haute direction) comprenaient les obligations […] Enquête conjointe sur Ashley Madison menée par le commissaire à la protection de la vie privée du Canada et le commissaire à la protection de la vie privée/commissaire à l’information par intérim de l’Australie, 22 août 2016 https://www.priv.gc.ca/fr/mesures-et-decisions-prises-par-le-commissariat/enquetes/enquetes-visant-les- entreprises/2016/lprpde-2016-005/ 66 Mesures raisonnables ¶115 […] Dans le cas d'une organisation qui protège des volumes importants de renseignements personnels sensibles, comme c'est le cas d'Equifax Canada, nous sommes d'avis que les mécanismes de surveillance de haut niveau suivants, ou d'autres mesures équivalentes, seraient nécessaires en vertu du principe de la LPRPDE sur les mesures de sécurité : une évaluation interne exhaustive de l’ensemble du programme de sécurité (au moins une fois par année) et une vérification externe complète de la sécurité (au moins tous les deux ans); des essais d'intrusion internes et externes réguliers (fréquence en fonction du contexte, notamment l'évaluation des risques et la complexité), y compris des essais d'intrusion externes exhaustifs au moins une fois par an.. Enquête sur la conformité d’Equifax Inc. et d’Equifax Canada à la LPRPDE à la suite de l’atteinte à la sécurité des renseignements personnels en 2017 https://www.priv.gc.ca/fr/mesures-et-decisions-prises-par-le- commissariat/enquetes/enquetes-visant-les-entreprises/2019/lprpde-2019-001/ 67 Mesures raisonnables et standards de l’industrie 68 Mesures raisonnables ? « Le fait qu’un professionnel ait suivi la pratique de ses pairs peut constituer une forte preuve d’une conduite raisonnable et diligente, mais ce n’est pas déterminant » ◦ Roberge c. Bolduc, 1 R.C.S. 374 69 Évolution du cadre juridique Projet de loi C-26 : Loi sur la protection des cybersystèmes essentiels (en 2e lecture au Sénat) ◦ cybersystème essentiel Tout cybersystème dont la compromission, en ce qui touche la confidentialité, l’intégrité ou la disponibilité, pourrait menacer la continuité ou la sécurité d’un service critique ou d’un système critique. 70 Gouvernance et politiques de sécurité HT T P S://GITHU B.CO M /K PN- CI S O / K PN- SECU RI TY- PO L ICY 71 01. Security and Continuity Management 02. Human Resource Security 03. Information handling 04. Physical security 05. System and Network Security 06. Innovation and Development 07. Supplier Relationships 08. Incident management 09. Business Continuity 10. Regulatory requirements https://github.com/KPN-CISO/kpn-security- policy/blob/master/Security%20and%20Continuity%20Management/ks p-ra-1_-_top_level_policy_v3.0_20171114.pdf 72 https://github.com/KPN-CISO/kpn-security- policy/blob/master/Security%20and%20Continuity%20Management/ks p-ra-1_-_top_level_policy_v3.0_20171114.pdf - Liste de requis, d’exigences des politiques internes Discussion et questions 76
