Canada: Une Décision Incontournable Au Croisement Du Droit Disciplinaire Et De La Cybersécurité

Last Updated: June 28 2017
Article by Antoine Guilmain and Antoine Aylwin

Le 7 juin 2017, le Conseil de discipline de l'Ordre des CRHA/CRIA1 a rendu une décision fondamentale qui se situe au carrefour du droit professionnel et disciplinaire, de la protection de l'information et de la vie privée et des technologies de l'information. Il s'agit de la décision Conseillers en ressources humaines et en relations industrielles agréés (Ordre professionnel des) c. Milot, 2017 CanLII 35570 (QC CDRHRI).

En substance, cette décision fournit de nombreux enseignements sur l'obligation de compétence technologique des professionnels, sur les mesures de sécurité en matière de transmission de documents technologiques ou encore sur certains enjeux de cybersécurité de manière plus large. Le présent bulletin se propose en ce sens de résumer les faits de cette décision (1), les positions respectives des parties (2), l'analyse du Conseil de discipline (3) et les leçons à dégager en droit professionnel et disciplinaire (4), ainsi que sur le plan de la cybersécurité et des technologies de l'information (5).

Résumé des faits

Une personne (« Intimée ») membre de l'Ordre des conseillers en ressources humaines et en relations industrielles agréés du Québec (« Ordre ») fait l'objet d'une plainte disciplinaire. On lui reproche de n'avoir pas respecté ses obligations relatives au secret professionnel en faisant parvenir à des tiers, sans autorisation, la copie d'un rapport confidentiel provenant d'une psychiatre et portant sur un employé, contrairement aux articles 60.4 et 59.2 du Code des professions2 et à l'article 51 de son Code de déontologie3.

Le 19 février 2016, dans le cadre de ses fonctions en santé et sécurité du travail dans un CISSS, l'Intimée se voit communiquer un rapport d'expertise psychiatrique d'un employé. Les faits du litige se déroulent dans un très court laps de temps :

10 h 26 : L'Intimée envoie par courriel à l'employé concerné un avis de retour au travail qui fait suite à ce rapport, en mettant en copie le supérieur de l'employé et le président du syndicat;

10 h 29 : Un second courriel est envoyé aux mêmes destinataires, car l'Intimée avait omis de joindre le rapport d'expertise psychiatrique;

15 h : Sur avis du président du syndicat, l'Intimée réalise que le rapport d'expertise psychiatrique a été communiqué au supérieur de l'employé sans l'autorisation de celui-ci. L'Intimée tente de rappeler ou détruire le courriel transmis au supérieur par voie informatique, ce qui s'avère impossible. L'Intimée décide alors d'appeler le supérieur de l'employé qui lui confirme avoir détruit le courriel sans l'avoir ouvert et sans avoir pris connaissance du rapport joint à celui-ci.

Position des parties

D'un côté, le syndic plaide que l'Intimée a commis une faute déontologique grave en transmettant le rapport au supérieur de l'employé ainsi qu'au président du syndicat de celui-ci en l'absence d'autorisation à cet effet. Il s'agit en effet d'un rapport de nature hautement confidentielle, à la base du secret professionnel. Le Plaignant prétend par ailleurs que l'Intimée n'a pris aucun moyen pour assurer le respect du secret des renseignements de nature confidentielle qui ont été portés à sa connaissance dans l'exercice de sa profession.

De l'autre côté, l'Intimée, qui n'est pas représentée par avocat, allègue avoir commis une erreur malencontreuse en transmettant le rapport au supérieur de l'employé ainsi qu'au président du syndicat de celui-ci. De plus, l'Intimée prétend avoir pris rapidement toutes les démarches appropriées pour corriger son erreur, tout en plaidant l'absence de préjudice pour l'employé.

Analyse du Conseil de discipline

Le Conseil doit répondre à la question suivante : l'erreur commise par l'Intimée constitue-t-elle une faute déontologique? Le Conseil répond ultimement par l'affirmative, et déclare l'Intimée coupable de la plainte disciplinaire relativement à la violation du secret professionnel.

Le Conseil justifie sa décision sur la base d'une multitude d'arguments, qui sont cruciaux en matière de recours aux technologies de l'information et sur lesquels nous reviendrons. En voici un résumé :

  • Importance du secret professionnel. Le Conseil insiste d'abord sur le secret professionnel et la société québécoise, ainsi que l'importance du secret de tout renseignement de nature confidentielle en droit disciplinaire.
  • Mention « confidentiel » sur un document. Le Conseil relève ensuite que le rapport d'expertise comporte plusieurs renseignements de nature médicale particulièrement sensibles, tout en insistant sur la mention « confidentiel » sur la page de couverture du rapport qui « aurait dû constituer un rappel pour l'Intimée d'agir avec la plus grande prudence »4.
  • Prévention par l'Ordre. Le Conseil note par ailleurs que l'Ordre met en garde ses membres « des risques inhérents à l'utilisation des outils modernes de communication dans l'exercice de leur profession »5 et que ceux-ci « sont inadaptés à la transmission sécuritaire de données confidentielles ou protégées par le secret professionnel »6. En ce sens, l'Ordre incite ses membres à adopter par exemple l'une ou l'autre des mesures de protection suivantes : « crypter les documents confidentiels, leur donner un mot de passe ou un code d'accès pour limiter l'accès, utiliser toute autre mesure de sécurité disponible plus apte à protéger la confidentialité des documents »7.
  • Pas de contact avec le département TI. En l'espèce, l'Intimée n'a pris aucune de ces mesures de protection. Plus loin, le Conseil relève qu'« au surplus, en l'absence de preuve établissant qu'elle a discuté avec le service informatique du CISSS [...] afin d'être conseillée relativement aux mesures de sécurité disponibles les mieux adaptées pour assurer le respect des renseignements confidentiels obtenus dans l'exercice de ses activités professionnelles, le Conseil n'a d'autre choix que de la déclarer coupable du chef d'infraction de la plainte disciplinaire »8.
  • Preuve de consentement. Le Conseil note en plus qu'il n'y aucune trace du consentement de l'employé d'être contacté par courriel par l'Intimée ou encore des personnes autorisées à consulter son dossier.
  • Manque d'attention. Le Conseil considère que « le manque d'attention invoqué par l'Intimée confirme l'absence de mesures appropriées prises par elle pour assurer le respect du secret des renseignements de nature confidentielle [...] qui ont été portés à sa connaissance dans l'exercice de sa profession »9, tout en ajoutant que « l'erreur commise par l'Intimée dénote que celle-ci a été insouciante face à l'obligation qui lui incombe d'agir de sorte à assurer la confidentialité »10.
  • Obligations contractuelles. Le Conseil croit qu'en plus des obligations professionnelles, l'Intimée doit respecter les politiques en vigueur au CISSS, qui prescrit des obligations générales et spécifiques de confidentialité des renseignements recueillis notamment en les protégeant, en limitant l'accès aux seules personnes autorisées.
  • Deux courriels successifs. Le Conseil retient par ailleurs que « l'Intimée [ayant transmis] un courriel aux deux personnes non autorisées pour la deuxième fois, ce qui aurait dû représenter pour elle une autre occasion de s'interroger sur la légitimité de leur partager ce rapport »11, soit le président du syndicat et le supérieur de l'employé.
  • Clause standard sous les courriels. Le Conseil souligne que la clause standard en bas des courriels du type « destiné exclusivement aux destinataires » est « insuffisante proportionnellement à l'importance du droit fondamental [de secret professionnel] à préserver »12, ne permet pas à l'Intimée de « déléguer aux destinataires du courriel sa responsabilité professionnelle de préserver le secret quant aux renseignements de nature confidentielle qui viennent à sa connaissance dans l'exercice de sa profession »13 et « n'offre aucune garantie quant à l'absence de consultation du document confidentiel »14.
  • Rapidité des communications. Le Conseil considère que le court délai entre la commission de l'erreur et la tentative de mitiger les dommages (environ cinq heures) ne constitue pas « une justification acceptable pour expliquer l'absence de mesures appropriées prises par l'Intimée visant à assurer la confidentialité du rapport »15. La célèbre formule « la confidentialité ne vit qu'une fois » est d'ailleurs reprise.
  • Bilan. Que l'Intimée ait ou non eu l'intention de briser la confidentialité du secret de renseignements, cela ne constitue pas un élément pertinent à considérer en droit disciplinaire. En conséquence, le Conseil condamne l'Intimée en vertu de l'article 60.4 du Code des professions qui incombe à tout professionnel d'assurer le respect du secret professionnel.

Il faut finalement souligner que la sanction n'est pas encore connue, et qu'une nouvelle audition sera tenue pour la déterminer. Le type de sanction (réprimande, amende, radiation, etc.) devrait permettre d'encore mieux se situer quant au sérieux du chef d'infraction et à ses répercussions sur les autres professionnels. Nous veillerons à assurer un suivi par rapport à cet aspect de la décision.

Enseignements en matière de droit professionnel et disciplinaire

Cette décision ne doit pas être perçue comme étant isolée ou propre à un ordre professionnel (celui des CRHA/CRIA). Bien au contraire! Il s'agit d'un signal fort à l'égard de tous les professionnels concernant leurs obligations en matière de technologies de l'information.

On y apprend que l'accélération des communications ou les maladresses technologiques ne sont pas des défenses valables (garde aux erreurs de destinataires...), que la clause standard en bas des courriels du type « destiné exclusivement aux destinataires » n'est pas suffisante (malgré qu'elle soit si répandue...), qu'il faut réfléchir à deux fois avant d'envoyer un courriel (à défaut de démontrer sa négligence...), qu'il faut être en contact régulier et étroit avec le département technologie de l'information, que les obligations contractuelles en matière de sécurité doivent être lues et intégrées aux pratiques des professionnels, qu'il faut prendre les mesures de sécurité raisonnables, qu'il convient de conserver les preuves de consentement aux communications électroniques, etc.

Évidemment, la plupart des ordres professionnels tentent déjà de sensibiliser leurs membres à ces enjeux, souvent par le biais de directives (comme l'Ordre des CRHA/CRIA) ou encore de Guide TI (comme le Barreau du Québec). Toutefois, si certains doutaient du caractère contraignant de ces normes, cette décision vient rappeler qu'elles doivent tout de même être prises en compte dans la conduite du membre. À cela s'ajoute l'obligation de compétence générale, qui couvre également selon nous le recours aux technologies de l'information et les enjeux de protection de l'information.

Cette affaire débouche sur l'obligation de « compétence technologique » dans les Codes de déontologie, qui est militée par certains organismes. C'est le cas notamment de la Fédération des ordres professionnels de juristes du Canada qui, en janvier 2017, a inclus dans son Code type de déontologie professionnelle un article sur la compétence en matière de technologie se lisant comme suit : « Pour conserver le niveau de compétence nécessaire, le juriste doit développer et conserver une aisance technologique suffisante en fonction de son champ d'exercice et de ses responsabilités. Il doit être en mesure d'apprécier les avantages et les risques liés à la technologie pertinente, compte tenu de son obligation de secret professionnel exposée à l'article 3.3 ». L'American Bar Association préconise également une évolution des règles déontologiques au regard des technologies de l'information, notamment quant à l'obligation de compétence.

En résumé, cette décision doit être perçue par tous les professionnels comme un premier pas vers une obligation de compétence technologique.

Enseignements en matière de cybersécurité et de technologies de l'information

La portée de cette décision touche également le domaine des technologies de l'information. Tout d'abord, on peut y voir de nombreux liens avec la Loi concernant le cadre juridique des technologies de l'information16 (« LCCJTI »), notamment sur le plan de la transmission de document. En effet, si l'article 29 LCCJTI traite du choix du support, il est muet quant à la preuve du choix et sa conservation; or, selon la décision, il faudrait à chaque fois obtenir un consentement avant de communiquer par courriel. Si une telle conclusion suscite des réticences et doutes chez les soussignés, elle doit toutefois être prise au sérieux par les entreprises, notamment. Par ailleurs, cette décision vient encore renforcer et éclaircir l'article 34 LCCJTI, qui indique que « lorsque la loi déclare confidentiels des renseignements que comporte un document, leur confidentialité doit être protégée par un moyen approprié au mode de transmission, y compris sur des réseaux de communication ». Notons ici que la LCCJTI n'est jamais évoquée dans la décision.

Ensuite, cette décision concerne aussi les employeurs de professionnels qui sont assujettis au secret professionnel. En effet, les politiques internes sur la sécurité et la confidentialité des renseignements lient ces professionnels, qui doivent les respecter en plus de leurs obligations déontologiques. Par ailleurs, la prévention en ces matières n'appartient pas seulement aux ordres professionnels, mais aussi aux professionnels eux-mêmes qui doivent se former, se sensibiliser et se tenir à jour concernant la sécurité et la confidentialité des renseignements.

Enfin, cette décision donne des exemples concrets de mesures de sécurité pour protéger les renseignements personnels, que ce soit le cryptage, le mot de passe ou le code d'accès (voir l'article 10 de la Loi sur la protection des renseignements personnels dans le secteur privé17 ou encore le septième principe de l'Annexe 1 de la Loi sur la protection des renseignements personnels et les documents électroniques18).

Le présent bulletin se voulait vous donner un premier aperçu de cette décision, extrêmement riche et particulièrement intéressante, pas seulement pour les professionnels, mais aussi pour toutes les entreprises et les organismes qui utilisent la transmission technologique de documents (notamment les courriels). Autrement dit, tout le monde devrait se sentir concerné!

[Nous assurerons une veille continue sur les évolutions de cette affaire, et des travaux complémentaires quant à cette décision sont déjà en cours.]

Footnotes

1 CRHA correspond à « Conseillers en Ressources Humaines Agréés » et CRIA à « Conseillers en Relations Industrielles Agréés ».

2 RLRQ c C-26.

3 RLRQ c C-26, r 81.

4 Para 70.

5 Para 73.

6 Para 74.

7 Ibid. 

8 Para 76.

9 Para 83.

10 Para 100.

11 Para 89.

12 Para 93.

13 Para 94.

14 Para 98.

15 Para 103.

16 RLRQ c C-1.1.

17 RLRQ c P-39.1.

18 LC 2000, c 5.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

To print this article, all you need is to be registered on Mondaq.com.

Click to Login as an existing user or Register so you can print this article.

Authors
 
In association with
Related Video
Up-coming Events Search
Tools
Print
Font Size:
Translation
Channels
Mondaq on Twitter
 
Register for Access and our Free Biweekly Alert for
This service is completely free. Access 250,000 archived articles from 100+ countries and get a personalised email twice a week covering developments (and yes, our lawyers like to think you’ve read our Disclaimer).
 
Email Address
Company Name
Password
Confirm Password
Position
Mondaq Topics -- Select your Interests
 Accounting
 Anti-trust
 Commercial
 Compliance
 Consumer
 Criminal
 Employment
 Energy
 Environment
 Family
 Finance
 Government
 Healthcare
 Immigration
 Insolvency
 Insurance
 International
 IP
 Law Performance
 Law Practice
 Litigation
 Media & IT
 Privacy
 Real Estate
 Strategy
 Tax
 Technology
 Transport
 Wealth Mgt
Regions
Africa
Asia
Asia Pacific
Australasia
Canada
Caribbean
Europe
European Union
Latin America
Middle East
U.K.
United States
Worldwide Updates
Check to state you have read and
agree to our Terms and Conditions

Terms & Conditions and Privacy Statement

Mondaq.com (the Website) is owned and managed by Mondaq Ltd and as a user you are granted a non-exclusive, revocable license to access the Website under its terms and conditions of use. Your use of the Website constitutes your agreement to the following terms and conditions of use. Mondaq Ltd may terminate your use of the Website if you are in breach of these terms and conditions or if Mondaq Ltd decides to terminate your license of use for whatever reason.

Use of www.mondaq.com

You may use the Website but are required to register as a user if you wish to read the full text of the content and articles available (the Content). You may not modify, publish, transmit, transfer or sell, reproduce, create derivative works from, distribute, perform, link, display, or in any way exploit any of the Content, in whole or in part, except as expressly permitted in these terms & conditions or with the prior written consent of Mondaq Ltd. You may not use electronic or other means to extract details or information about Mondaq.com’s content, users or contributors in order to offer them any services or products which compete directly or indirectly with Mondaq Ltd’s services and products.

Disclaimer

Mondaq Ltd and/or its respective suppliers make no representations about the suitability of the information contained in the documents and related graphics published on this server for any purpose. All such documents and related graphics are provided "as is" without warranty of any kind. Mondaq Ltd and/or its respective suppliers hereby disclaim all warranties and conditions with regard to this information, including all implied warranties and conditions of merchantability, fitness for a particular purpose, title and non-infringement. In no event shall Mondaq Ltd and/or its respective suppliers be liable for any special, indirect or consequential damages or any damages whatsoever resulting from loss of use, data or profits, whether in an action of contract, negligence or other tortious action, arising out of or in connection with the use or performance of information available from this server.

The documents and related graphics published on this server could include technical inaccuracies or typographical errors. Changes are periodically added to the information herein. Mondaq Ltd and/or its respective suppliers may make improvements and/or changes in the product(s) and/or the program(s) described herein at any time.

Registration

Mondaq Ltd requires you to register and provide information that personally identifies you, including what sort of information you are interested in, for three primary purposes:

  • To allow you to personalize the Mondaq websites you are visiting.
  • To enable features such as password reminder, newsletter alerts, email a colleague, and linking from Mondaq (and its affiliate sites) to your website.
  • To produce demographic feedback for our information providers who provide information free for your use.

Mondaq (and its affiliate sites) do not sell or provide your details to third parties other than information providers. The reason we provide our information providers with this information is so that they can measure the response their articles are receiving and provide you with information about their products and services.

If you do not want us to provide your name and email address you may opt out by clicking here .

If you do not wish to receive any future announcements of products and services offered by Mondaq by clicking here .

Information Collection and Use

We require site users to register with Mondaq (and its affiliate sites) to view the free information on the site. We also collect information from our users at several different points on the websites: this is so that we can customise the sites according to individual usage, provide 'session-aware' functionality, and ensure that content is acquired and developed appropriately. This gives us an overall picture of our user profiles, which in turn shows to our Editorial Contributors the type of person they are reaching by posting articles on Mondaq (and its affiliate sites) – meaning more free content for registered users.

We are only able to provide the material on the Mondaq (and its affiliate sites) site free to site visitors because we can pass on information about the pages that users are viewing and the personal information users provide to us (e.g. email addresses) to reputable contributing firms such as law firms who author those pages. We do not sell or rent information to anyone else other than the authors of those pages, who may change from time to time. Should you wish us not to disclose your details to any of these parties, please tick the box above or tick the box marked "Opt out of Registration Information Disclosure" on the Your Profile page. We and our author organisations may only contact you via email or other means if you allow us to do so. Users can opt out of contact when they register on the site, or send an email to unsubscribe@mondaq.com with “no disclosure” in the subject heading

Mondaq News Alerts

In order to receive Mondaq News Alerts, users have to complete a separate registration form. This is a personalised service where users choose regions and topics of interest and we send it only to those users who have requested it. Users can stop receiving these Alerts by going to the Mondaq News Alerts page and deselecting all interest areas. In the same way users can amend their personal preferences to add or remove subject areas.

Cookies

A cookie is a small text file written to a user’s hard drive that contains an identifying user number. The cookies do not contain any personal information about users. We use the cookie so users do not have to log in every time they use the service and the cookie will automatically expire if you do not visit the Mondaq website (or its affiliate sites) for 12 months. We also use the cookie to personalise a user's experience of the site (for example to show information specific to a user's region). As the Mondaq sites are fully personalised and cookies are essential to its core technology the site will function unpredictably with browsers that do not support cookies - or where cookies are disabled (in these circumstances we advise you to attempt to locate the information you require elsewhere on the web). However if you are concerned about the presence of a Mondaq cookie on your machine you can also choose to expire the cookie immediately (remove it) by selecting the 'Log Off' menu option as the last thing you do when you use the site.

Some of our business partners may use cookies on our site (for example, advertisers). However, we have no access to or control over these cookies and we are not aware of any at present that do so.

Log Files

We use IP addresses to analyse trends, administer the site, track movement, and gather broad demographic information for aggregate use. IP addresses are not linked to personally identifiable information.

Links

This web site contains links to other sites. Please be aware that Mondaq (or its affiliate sites) are not responsible for the privacy practices of such other sites. We encourage our users to be aware when they leave our site and to read the privacy statements of these third party sites. This privacy statement applies solely to information collected by this Web site.

Surveys & Contests

From time-to-time our site requests information from users via surveys or contests. Participation in these surveys or contests is completely voluntary and the user therefore has a choice whether or not to disclose any information requested. Information requested may include contact information (such as name and delivery address), and demographic information (such as postcode, age level). Contact information will be used to notify the winners and award prizes. Survey information will be used for purposes of monitoring or improving the functionality of the site.

Mail-A-Friend

If a user elects to use our referral service for informing a friend about our site, we ask them for the friend’s name and email address. Mondaq stores this information and may contact the friend to invite them to register with Mondaq, but they will not be contacted more than once. The friend may contact Mondaq to request the removal of this information from our database.

Security

This website takes every reasonable precaution to protect our users’ information. When users submit sensitive information via the website, your information is protected using firewalls and other security technology. If you have any questions about the security at our website, you can send an email to webmaster@mondaq.com.

Correcting/Updating Personal Information

If a user’s personally identifiable information changes (such as postcode), or if a user no longer desires our service, we will endeavour to provide a way to correct, update or remove that user’s personal data provided to us. This can usually be done at the “Your Profile” page or by sending an email to EditorialAdvisor@mondaq.com.

Notification of Changes

If we decide to change our Terms & Conditions or Privacy Policy, we will post those changes on our site so our users are always aware of what information we collect, how we use it, and under what circumstances, if any, we disclose it. If at any point we decide to use personally identifiable information in a manner different from that stated at the time it was collected, we will notify users by way of an email. Users will have a choice as to whether or not we use their information in this different manner. We will use information in accordance with the privacy policy under which the information was collected.

How to contact Mondaq

You can contact us with comments or queries at enquiries@mondaq.com.

If for some reason you believe Mondaq Ltd. has not adhered to these principles, please notify us by e-mail at problems@mondaq.com and we will use commercially reasonable efforts to determine and correct the problem promptly.