Articles mardi 22 août 2023
Les renseignements sur vos clients sont-ils bien protégés?
Les bonnes pratiques en matière de protection des renseignements personnels
Par Marie-Hélène Paradis
Les technologies de l’information prennent de plus en plus de place dans nos activités personnelles, familiales et professionnelles. Qui plus est : on ne peut plus s’en passer, et ce, à tous les niveaux. Omniprésentes, elles posent des enjeux de confidentialité dans l’exercice de nombreuses professions. La profession d’avocat peut présenter des défis uniques en matière de protection des renseignements personnels.
Le Barreau du Québec a toujours été à l’affût de moyens pour protéger les renseignements personnels et il offre conseils et services pour que ses membres puissent, à cet effet, exercer leur profession dans les règles de l’art. L’adoption de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, aussi connue sous le nom de projet de loi 64 ou Loi 25, a introduit une importante réforme des lois en matière de protection des renseignements personnels au Québec, et entraîné plusieurs effets et modifications dans la pratique des avocats. La Loi 25 préconise un véritable changement de culture quant à la protection des renseignements personnels, et les membres du Barreau doivent redoubler de prudence lors de la collecte et de l’utilisation des renseignements personnels de leurs clients.
Les meilleures pratiques
Des normes et des exigences en matière de confidentialité et de protection des renseignements existent depuis longtemps, mais celles-ci ont été mises en place alors que l’exercice de la profession se déroulait en grande partie à l’aide de documents supportés sur papier. « Ces exigences comme, par exemple, celle demandant d’entreposer dans des armoires verrouillées, s’appliquent également aux documents produits par les outils électroniques, explique Me Nicolas Le Grand Alary, avocat au Secrétariat de l’Ordre et Affaires juridiques du Barreau du Québec. C’est le même principe. Pour s’assurer de la confidentialité, il existe des moyens de base très faciles à implanter. On doit, en tout premier lieu, avoir un mot de passe sécuritaire que l’on ne partage pas, mais aussi s’assurer, si on fait appel à l’infonuagique, que nos données sont stockées sur un serveur sécurisé au Québec ou au Canada. Le Guide des TI – Gestion et sécurité des technologies de l’information pour l’avocat et son équipe contient les règles de base qu’il faut suivre ».
La Loi 25
La Loi 25 apporte des changements surtout en ce qui concerne le cycle de vie du renseignement personnel, de la cueillette à l’utilisation, la conservation, le transfert et éventuellement la destruction de ces données. « Ce cycle est encadré par différentes obligations, dit Me Le Grand Alary. Toute personne qui détient des informations personnelles doit s’assurer de ne pas les communiquer à des tiers sans consentement. Elle doit limiter l’accès non autorisé aux renseignements détenus. Le principe de protection demeure le même, la loi vient simplement renforcer la notion de protection, ce qui amène un changement de culture. Les sanctions en cas de manquement ont été augmentées. »
« Le principe de base est de réfléchir à l’utilisation que l’on fait de ces renseignements, de recueillir seulement ceux qui sont nécessaires au mandat dans le cadre d’un dossier client, et de les conserver suivant la règlementation du Barreau, mais aussi selon les règles prévues par les différentes lois qui s’appliquent en matière de protection des renseignements. »
Les petits gestes font la différence
Il faut être conscient que, contrairement à un dossier papier que le professionnel peut entreposer dans une armoire verrouillée, les données enregistrées dans l’infonuagique peuvent circuler facilement de l’ordinateur au téléphone, ou à la tablette, ce qui engendre une chaîne de transmission vulnérable. Me Le Grand Alary précise qu’en plus de s’assurer que nos systèmes sont sécuritaires, les avocats doivent être vigilants face aux courriels d’hameçonnage, aux tentatives d’intrusion, et donc posséder des logiciels antivirus et pare-feu, et avoir une bonne hygiène technologique.
Une autre piste de réflexion en matière de prudence technologique concerne le fait de posséder deux téléphones ou deux ordinateurs, soit un pour ses affaires personnelles et un autre pour le travail. « Si on ne veut pas s’imposer cet exercice, il faut à tout le moins avoir des comptes distincts. La facilité d’utilisation et d’accès nous expose inévitablement à la facilité de mélanger les choses. Il faut aussi penser à des situations telles que lire des dossiers dans le métro, ce qu’on n’aurait pas fait avec un dossier papier ou un ordinateur dans un lieu public. Porter attention à ces petites choses et faire le nécessaire pour éviter les gestes périlleux contribuent à minimiser les possibilités de transmettre des données confidentielles. »
Les obligations
Le Guide des TI du Barreau du Québec est un outil important pour connaître les mesures de base. Il constitue un rappel en matière de protection, mais encore faut-il aller plus loin pour contrer les dangers liés aux nouvelles technologies. L’article 21 du Code de déontologie des avocats stipule que l’avocat doit développer et maintenir à jour ses compétences en matière de technologie. Dans le cadre de l’exercice de sa profession, il doit être capable de maîtriser les technologies qu’il utilise et connaître les différents enjeux qui y sont liés.
De plus, le Barreau a récemment publié un Aide-mémoire concernant la Loi 25 afin de sensibiliser les avocats aux nouvelles obligations en matière de protection des renseignements personnels au Québec et de leur fournir des conseils pratiques pour s’y conformer.