Responsabilités légales des entreprises et dirigeants concernant la protection des données personnelles au Québec

Responsabilités légales des entreprises et dirigeants concernant la protection des données personnelles au Québec
image

Par Marie-Josée Lortie

Avocate
Joli-Cœur Lacasse
Tél : (418) 681-7007

Les récents exemples d’introduction frauduleuse dans les systèmes des entreprises sont nombreux et inquiètent en raison des conséquences engendrées. Mais ces brèches informatiques peuvent également provenir de l’intérieur, d’un employé mal intentionné ou d’un sous-traitant à qui vous avez accordé l’accès à vos équipements.

Que l’on pense à la perte temporaire ou permanente de renseignements confidentiels, aux coûts engendrés par les efforts de récupération des fichiers et des systèmes, les pertes résultant de l’arrêt de production, sans compter la réputation de votre entreprise qui peut être atteinte, ce qui résultera inévitablement en la perte de clients ou de revenus.

Loi québécoise sur la protection des renseignements personnels dans le secteur privé

Responsabilités-légales-des-entreprises-et-dirigeants-concernant-la-protection-des-données-personnelles-au-Québec

Au Québec, cette loi impose aux entreprises, un certain nombre d’obligations en matière de respect de la confidentialité des renseignements personnels. Il peut s’agir de renseignements sur des employés, des clients ou autres. Cette loi prévoit la nécessité de prendre des mesures de sécurité afin d’assurer la protection des renseignements que l’entreprise détient. L’entreprise doit aussi s’abstenir de communiquer ces renseignements à qui que ce soit. Il est important de noter que la loi étend cette responsabilité aux administrateurs et dirigeants qui ont autorisé l’accomplissement de l’acte ou qui y ont contribué.

Dans le cadre de vos activités commerciales...

Votre entreprise peut également être soumise à des ententes de confidentialité. Ces ententes prévoient généralement que l’entreprise doit assurer la protection des données et autres informations fournies dans le cadre d’un projet d’affaires. Parfois, aussi, ces ententes prévoient des pénalités en cas de non-respect de ces obligations et même, dans certains cas, elles étendent la responsabilité aux dirigeants de l’entreprise.

Qu’en est-il alors lorsque votre entreprise est victime de fuites qui découlent des brèches à la sécurité informatique?

C’est généralement l’entreprise qui est appelée, au premier rang, en termes de responsabilité lorsque survient un tel problème. Mais, dans certaines circonstances, la responsabilité de ses dirigeants pourrait aussi être retenue. Dans un tel cas, des recours en dommages-intérêts sont possibles, même contre les dirigeants.

La responsabilité de vos administrateurs et dirigeants pourrait être en cause si, individuellement ou collectivement, ils ont permis que les renseignements protégés soient divulgués ou utilisés. Cette « permission » peut résulter de leurs agissements et cela se comprend aisément. Un dirigeant qui autorise la remise des données bancaires d’un client à un de ses fournisseurs en est un exemple. L’omission ou la négligence d’agir peuvent aussi donner ouverture à la responsabilité. Ce serait ainsi le cas du dirigeant d’une entreprise victime d’un rançongiciel (« ransomware ») qui n’aurait pas mis les logiciels de protection de l’entreprise à niveau, alors qu’il avait été informé de la faiblesse de son système de protection.

Cette même responsabilité peut aussi résulter des lacunes de gestion des employés. Ainsi, un dirigeant qui n’assure pas un suivi raisonnable des agissements de ses employés dans le cadre de leur travail peut se trouver dans une situation délicate si l’un de ses employés transmet des renseignements protégés à toute personne non autorisée à les recevoir. Ou même, si un dirigeant refuse ou néglige de mettre en place et de faire respecter une politique de confidentialité des renseignements confidentiels.

On comprendra que l’étendue de l’obligation de diligence des dirigeants, en matière de protection des renseignements, sera différente si l’entreprise gère des dossiers médicaux ou financiers ou si elle détient des secrets de fabrication que si elle est une entreprise de vente au détail. Mais le devoir de protection de l’entreprise ne doit pas être moins important lorsqu’il s’agit de la protéger adéquatement. Et ça, ça relève des dirigeants.

La protection contre les cyberattaques et contre les divulgations faites par un employé est une nécessité. Un dirigeant ne peut plus présumer que les informations détenues par l’entreprise, que ce soit sur ses employés, ses fournisseurs, ses clients, ou ses propres données financières ou ses activités, le cas échéant, n’intéresseront personne. Si ces informations sont importantes pour l’entreprise, pour quelque raison que ce soit, elles deviennent intéressantes pour toute personne malveillante qui peut être tentée de les subtiliser.

Comment pouvez-vous, comme administrateur ou dirigeant, limiter votre responsabilité en ces matières?

En adoptant de saines mesures de sécurité. L’une des premières étapes est de se munir d’une politique visant la confidentialité des renseignements vous appartenant ou dont vous avez la garde. Celle-ci se devra d’être adaptée selon vos activités et être maintenue à jour.

De plus, des conseils sont fréquemment prodigués par des experts en sécurité informatique. Il ne faudrait pas hésiter à les consulter. Car s’il existe des domaines où le proverbe « Mieux vaut prévenir que guérir » s’applique inévitablement, c’est probablement ceux des technologies et du droit.