Droit des affaires
Les réponses à vos questions sur la sécurité des données

Dans le contexte du télétravail des employés au Québec, les employeurs sont portés à se poser des questions quant à la sécurité de leurs données. En effet, le travail à distance, qui s’effectue majoritairement sur Internet, n’est pas sans risques pour la protection des données à caractère confidentiel de l’entreprise et les tentatives de vols de données se sont multipliées avec l’arrivée du télétravail. Nous explorerons, en quatre questions cruciales, les risques liés à la confidentialité et la sécurité des données des employeurs.
Pourquoi est-ce que les risques de tentatives de vol de données confidentielles des entreprises ont augmentés dans le contexte du télétravail?
- Bon nombre d’employés ne possèdent pas une connexion Internet sécurisée et partagent la connexion avec d’autres personnes du même ménage qui peut également être happée par d’autres personnes se trouvant à proximité de leur demeure.
- Plusieurs employés utilisent leur ordinateur personnel ou un ordinateur ne possédant pas d’antivirus ou des antivirus non adaptés aux données partagées lors du télétravail.
- De plus, les employés ne possèdent pas les moyens nécessaires pour assurer une destruction sécuritaire des documents de nature confidentielle à la maison.
Quelles sont les obligations de l’employeur à l’égard des renseignements confidentiels qu’il possède?
- Les employeurs devront respecter les mêmes obligations qu’en temps normal (sans tenir compte du télétravail), c’est-à-dire respecter les obligations prévues par la Loi sur la protection des renseignements personnels dans le secteur privé ou la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels.
- Les employeurs demeurent assujettis à leurs obligations contractuelles conclues dans le cadre de transactions ou de relations d’affaires avec leurs clients, fournisseurs ou autres partenaires.
- Nous pensons notamment à des clauses de confidentialité de l’information ou encore à des ententes de non-divulgation (en anglais, un « NDA »).
- Finalement, les entreprises comprenant des professionnels assujettis à des obligations de confidentialité de leur ordre professionnelle, tels les bureaux d’avocats, devront respecter leurs obligations de confidentialité comprises dans les lois applicables à leur profession et ce, peu importe où ils se trouvent pour effectuer leur travail.
Quels sont les risques de poursuite en cas de fuite de données confidentielles?
- Ils existent plusieurs types de poursuites possibles en cas de fuite de données confidentielles par une entreprise:
- En matière contractuelle, une poursuite en dommages intérêts, une injonction.
- Dans le cadre de contravention des obligations prévues dans les lois applicables aux professionnels, il est possible pour un ordre de mener des enquêtes et d’appliquer des sanctions aux membres qui ne respectent pas leurs obligations. Ces sanctions pourraient inclure une radiation du membre de l’ordre.
- D’ailleurs, nous profitons de l’occasion pour mentionner que le gouvernement a l’intention d’appliquer des sanctions plus sévères dans le cadre de la Loi sur la protection des renseignements personnels et de l’éventuelle entrée en vigueur du Projet de loi 64. En effet, la Commission d’accès à l’information pourra imposer des sanctions pénales plus importantes en cas d’infraction à la Loi, la nouvelle amende minimale passant de 1000$ à 15 000$. On introduit d’ailleurs aussi la notion d’atteinte intentionnelle ou de faute lourde, qui amène la possibilité pour la Commission d’accès à l’information d’attribuer des dommages-intérêts punitifs d’au moins 1000$ si la preuve d’une d’atteinte intentionnelle ou de faute lourde est faite.
Quelles sont les pistes de solutions possibles pour éviter les fuites de données confidentielles dans un contexte de télétravail?
- L’adoption d’une entente ou d’une politique de télétravail avec les employés qui pourrait notamment prévoir les modalités d’utilisation des équipements de travail et l’obligation d’avoir une connexion internet sécurisée et un antivirus sur les ordinateurs utilisés dans le cadre du télétravail.
- Prévoir un environnement de sauvegarde des données qui est sécuritaire afin de garder des copies sécurisées des informations à nature confidentielle des entreprises.
- Adopter une politique de confidentialité sur les données des clients, afin de réglementer la gestion de ces informations.
- Préparer un plan d’intervention en cas de cyberattaque des ordinateurs des employés, afin de surveiller étroitement les tentatives d’attaque et instaurer des mesures préventives.
Ce billet fournit des informations d’ordre général et est partagé à titre informationnel seulement. Il ne constitue pas un avis juridique, et ne doit pas être interprété comme tel. Afin d’être en mesure de bien saisir l’ensemble des éléments légaux qui ont été traités dans la présente et obtenir un avis juridique sur leur applicabilité à votre situation particulière, nous vous suggérons de consulter votre conseiller juridique.