Canada: Une Décision Incontournable Au Croisement Du Droit Disciplinaire Et De La Cybersécurité

Last Updated: June 28 2017
Article by Antoine Guilmain and Antoine Aylwin

Le 7 juin 2017, le Conseil de discipline de l'Ordre des CRHA/CRIA1 a rendu une décision fondamentale qui se situe au carrefour du droit professionnel et disciplinaire, de la protection de l'information et de la vie privée et des technologies de l'information. Il s'agit de la décision Conseillers en ressources humaines et en relations industrielles agréés (Ordre professionnel des) c. Milot, 2017 CanLII 35570 (QC CDRHRI).

En substance, cette décision fournit de nombreux enseignements sur l'obligation de compétence technologique des professionnels, sur les mesures de sécurité en matière de transmission de documents technologiques ou encore sur certains enjeux de cybersécurité de manière plus large. Le présent bulletin se propose en ce sens de résumer les faits de cette décision (1), les positions respectives des parties (2), l'analyse du Conseil de discipline (3) et les leçons à dégager en droit professionnel et disciplinaire (4), ainsi que sur le plan de la cybersécurité et des technologies de l'information (5).

Résumé des faits

Une personne (« Intimée ») membre de l'Ordre des conseillers en ressources humaines et en relations industrielles agréés du Québec (« Ordre ») fait l'objet d'une plainte disciplinaire. On lui reproche de n'avoir pas respecté ses obligations relatives au secret professionnel en faisant parvenir à des tiers, sans autorisation, la copie d'un rapport confidentiel provenant d'une psychiatre et portant sur un employé, contrairement aux articles 60.4 et 59.2 du Code des professions2 et à l'article 51 de son Code de déontologie3.

Le 19 février 2016, dans le cadre de ses fonctions en santé et sécurité du travail dans un CISSS, l'Intimée se voit communiquer un rapport d'expertise psychiatrique d'un employé. Les faits du litige se déroulent dans un très court laps de temps :

10 h 26 : L'Intimée envoie par courriel à l'employé concerné un avis de retour au travail qui fait suite à ce rapport, en mettant en copie le supérieur de l'employé et le président du syndicat;

10 h 29 : Un second courriel est envoyé aux mêmes destinataires, car l'Intimée avait omis de joindre le rapport d'expertise psychiatrique;

15 h : Sur avis du président du syndicat, l'Intimée réalise que le rapport d'expertise psychiatrique a été communiqué au supérieur de l'employé sans l'autorisation de celui-ci. L'Intimée tente de rappeler ou détruire le courriel transmis au supérieur par voie informatique, ce qui s'avère impossible. L'Intimée décide alors d'appeler le supérieur de l'employé qui lui confirme avoir détruit le courriel sans l'avoir ouvert et sans avoir pris connaissance du rapport joint à celui-ci.

Position des parties

D'un côté, le syndic plaide que l'Intimée a commis une faute déontologique grave en transmettant le rapport au supérieur de l'employé ainsi qu'au président du syndicat de celui-ci en l'absence d'autorisation à cet effet. Il s'agit en effet d'un rapport de nature hautement confidentielle, à la base du secret professionnel. Le Plaignant prétend par ailleurs que l'Intimée n'a pris aucun moyen pour assurer le respect du secret des renseignements de nature confidentielle qui ont été portés à sa connaissance dans l'exercice de sa profession.

De l'autre côté, l'Intimée, qui n'est pas représentée par avocat, allègue avoir commis une erreur malencontreuse en transmettant le rapport au supérieur de l'employé ainsi qu'au président du syndicat de celui-ci. De plus, l'Intimée prétend avoir pris rapidement toutes les démarches appropriées pour corriger son erreur, tout en plaidant l'absence de préjudice pour l'employé.

Analyse du Conseil de discipline

Le Conseil doit répondre à la question suivante : l'erreur commise par l'Intimée constitue-t-elle une faute déontologique? Le Conseil répond ultimement par l'affirmative, et déclare l'Intimée coupable de la plainte disciplinaire relativement à la violation du secret professionnel.

Le Conseil justifie sa décision sur la base d'une multitude d'arguments, qui sont cruciaux en matière de recours aux technologies de l'information et sur lesquels nous reviendrons. En voici un résumé :

  • Importance du secret professionnel. Le Conseil insiste d'abord sur le secret professionnel et la société québécoise, ainsi que l'importance du secret de tout renseignement de nature confidentielle en droit disciplinaire.
  • Mention « confidentiel » sur un document. Le Conseil relève ensuite que le rapport d'expertise comporte plusieurs renseignements de nature médicale particulièrement sensibles, tout en insistant sur la mention « confidentiel » sur la page de couverture du rapport qui « aurait dû constituer un rappel pour l'Intimée d'agir avec la plus grande prudence »4.
  • Prévention par l'Ordre. Le Conseil note par ailleurs que l'Ordre met en garde ses membres « des risques inhérents à l'utilisation des outils modernes de communication dans l'exercice de leur profession »5 et que ceux-ci « sont inadaptés à la transmission sécuritaire de données confidentielles ou protégées par le secret professionnel »6. En ce sens, l'Ordre incite ses membres à adopter par exemple l'une ou l'autre des mesures de protection suivantes : « crypter les documents confidentiels, leur donner un mot de passe ou un code d'accès pour limiter l'accès, utiliser toute autre mesure de sécurité disponible plus apte à protéger la confidentialité des documents »7.
  • Pas de contact avec le département TI. En l'espèce, l'Intimée n'a pris aucune de ces mesures de protection. Plus loin, le Conseil relève qu'« au surplus, en l'absence de preuve établissant qu'elle a discuté avec le service informatique du CISSS [...] afin d'être conseillée relativement aux mesures de sécurité disponibles les mieux adaptées pour assurer le respect des renseignements confidentiels obtenus dans l'exercice de ses activités professionnelles, le Conseil n'a d'autre choix que de la déclarer coupable du chef d'infraction de la plainte disciplinaire »8.
  • Preuve de consentement. Le Conseil note en plus qu'il n'y aucune trace du consentement de l'employé d'être contacté par courriel par l'Intimée ou encore des personnes autorisées à consulter son dossier.
  • Manque d'attention. Le Conseil considère que « le manque d'attention invoqué par l'Intimée confirme l'absence de mesures appropriées prises par elle pour assurer le respect du secret des renseignements de nature confidentielle [...] qui ont été portés à sa connaissance dans l'exercice de sa profession »9, tout en ajoutant que « l'erreur commise par l'Intimée dénote que celle-ci a été insouciante face à l'obligation qui lui incombe d'agir de sorte à assurer la confidentialité »10.
  • Obligations contractuelles. Le Conseil croit qu'en plus des obligations professionnelles, l'Intimée doit respecter les politiques en vigueur au CISSS, qui prescrit des obligations générales et spécifiques de confidentialité des renseignements recueillis notamment en les protégeant, en limitant l'accès aux seules personnes autorisées.
  • Deux courriels successifs. Le Conseil retient par ailleurs que « l'Intimée [ayant transmis] un courriel aux deux personnes non autorisées pour la deuxième fois, ce qui aurait dû représenter pour elle une autre occasion de s'interroger sur la légitimité de leur partager ce rapport »11, soit le président du syndicat et le supérieur de l'employé.
  • Clause standard sous les courriels. Le Conseil souligne que la clause standard en bas des courriels du type « destiné exclusivement aux destinataires » est « insuffisante proportionnellement à l'importance du droit fondamental [de secret professionnel] à préserver »12, ne permet pas à l'Intimée de « déléguer aux destinataires du courriel sa responsabilité professionnelle de préserver le secret quant aux renseignements de nature confidentielle qui viennent à sa connaissance dans l'exercice de sa profession »13 et « n'offre aucune garantie quant à l'absence de consultation du document confidentiel »14.
  • Rapidité des communications. Le Conseil considère que le court délai entre la commission de l'erreur et la tentative de mitiger les dommages (environ cinq heures) ne constitue pas « une justification acceptable pour expliquer l'absence de mesures appropriées prises par l'Intimée visant à assurer la confidentialité du rapport »15. La célèbre formule « la confidentialité ne vit qu'une fois » est d'ailleurs reprise.
  • Bilan. Que l'Intimée ait ou non eu l'intention de briser la confidentialité du secret de renseignements, cela ne constitue pas un élément pertinent à considérer en droit disciplinaire. En conséquence, le Conseil condamne l'Intimée en vertu de l'article 60.4 du Code des professions qui incombe à tout professionnel d'assurer le respect du secret professionnel.

Il faut finalement souligner que la sanction n'est pas encore connue, et qu'une nouvelle audition sera tenue pour la déterminer. Le type de sanction (réprimande, amende, radiation, etc.) devrait permettre d'encore mieux se situer quant au sérieux du chef d'infraction et à ses répercussions sur les autres professionnels. Nous veillerons à assurer un suivi par rapport à cet aspect de la décision.

Enseignements en matière de droit professionnel et disciplinaire

Cette décision ne doit pas être perçue comme étant isolée ou propre à un ordre professionnel (celui des CRHA/CRIA). Bien au contraire! Il s'agit d'un signal fort à l'égard de tous les professionnels concernant leurs obligations en matière de technologies de l'information.

On y apprend que l'accélération des communications ou les maladresses technologiques ne sont pas des défenses valables (garde aux erreurs de destinataires...), que la clause standard en bas des courriels du type « destiné exclusivement aux destinataires » n'est pas suffisante (malgré qu'elle soit si répandue...), qu'il faut réfléchir à deux fois avant d'envoyer un courriel (à défaut de démontrer sa négligence...), qu'il faut être en contact régulier et étroit avec le département technologie de l'information, que les obligations contractuelles en matière de sécurité doivent être lues et intégrées aux pratiques des professionnels, qu'il faut prendre les mesures de sécurité raisonnables, qu'il convient de conserver les preuves de consentement aux communications électroniques, etc.

Évidemment, la plupart des ordres professionnels tentent déjà de sensibiliser leurs membres à ces enjeux, souvent par le biais de directives (comme l'Ordre des CRHA/CRIA) ou encore de Guide TI (comme le Barreau du Québec). Toutefois, si certains doutaient du caractère contraignant de ces normes, cette décision vient rappeler qu'elles doivent tout de même être prises en compte dans la conduite du membre. À cela s'ajoute l'obligation de compétence générale, qui couvre également selon nous le recours aux technologies de l'information et les enjeux de protection de l'information.

Cette affaire débouche sur l'obligation de « compétence technologique » dans les Codes de déontologie, qui est militée par certains organismes. C'est le cas notamment de la Fédération des ordres professionnels de juristes du Canada qui, en janvier 2017, a inclus dans son Code type de déontologie professionnelle un article sur la compétence en matière de technologie se lisant comme suit : « Pour conserver le niveau de compétence nécessaire, le juriste doit développer et conserver une aisance technologique suffisante en fonction de son champ d'exercice et de ses responsabilités. Il doit être en mesure d'apprécier les avantages et les risques liés à la technologie pertinente, compte tenu de son obligation de secret professionnel exposée à l'article 3.3 ». L'American Bar Association préconise également une évolution des règles déontologiques au regard des technologies de l'information, notamment quant à l'obligation de compétence.

En résumé, cette décision doit être perçue par tous les professionnels comme un premier pas vers une obligation de compétence technologique.

Enseignements en matière de cybersécurité et de technologies de l'information

La portée de cette décision touche également le domaine des technologies de l'information. Tout d'abord, on peut y voir de nombreux liens avec la Loi concernant le cadre juridique des technologies de l'information16 (« LCCJTI »), notamment sur le plan de la transmission de document. En effet, si l'article 29 LCCJTI traite du choix du support, il est muet quant à la preuve du choix et sa conservation; or, selon la décision, il faudrait à chaque fois obtenir un consentement avant de communiquer par courriel. Si une telle conclusion suscite des réticences et doutes chez les soussignés, elle doit toutefois être prise au sérieux par les entreprises, notamment. Par ailleurs, cette décision vient encore renforcer et éclaircir l'article 34 LCCJTI, qui indique que « lorsque la loi déclare confidentiels des renseignements que comporte un document, leur confidentialité doit être protégée par un moyen approprié au mode de transmission, y compris sur des réseaux de communication ». Notons ici que la LCCJTI n'est jamais évoquée dans la décision.

Ensuite, cette décision concerne aussi les employeurs de professionnels qui sont assujettis au secret professionnel. En effet, les politiques internes sur la sécurité et la confidentialité des renseignements lient ces professionnels, qui doivent les respecter en plus de leurs obligations déontologiques. Par ailleurs, la prévention en ces matières n'appartient pas seulement aux ordres professionnels, mais aussi aux professionnels eux-mêmes qui doivent se former, se sensibiliser et se tenir à jour concernant la sécurité et la confidentialité des renseignements.

Enfin, cette décision donne des exemples concrets de mesures de sécurité pour protéger les renseignements personnels, que ce soit le cryptage, le mot de passe ou le code d'accès (voir l'article 10 de la Loi sur la protection des renseignements personnels dans le secteur privé17 ou encore le septième principe de l'Annexe 1 de la Loi sur la protection des renseignements personnels et les documents électroniques18).

Le présent bulletin se voulait vous donner un premier aperçu de cette décision, extrêmement riche et particulièrement intéressante, pas seulement pour les professionnels, mais aussi pour toutes les entreprises et les organismes qui utilisent la transmission technologique de documents (notamment les courriels). Autrement dit, tout le monde devrait se sentir concerné!

[Nous assurerons une veille continue sur les évolutions de cette affaire, et des travaux complémentaires quant à cette décision sont déjà en cours.]

Footnotes

1 CRHA correspond à « Conseillers en Ressources Humaines Agréés » et CRIA à « Conseillers en Relations Industrielles Agréés ».

2 RLRQ c C-26.

3 RLRQ c C-26, r 81.

4 Para 70.

5 Para 73.

6 Para 74.

7 Ibid. 

8 Para 76.

9 Para 83.

10 Para 100.

11 Para 89.

12 Para 93.

13 Para 94.

14 Para 98.

15 Para 103.

16 RLRQ c C-1.1.

17 RLRQ c P-39.1.

18 LC 2000, c 5.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

To print this article, all you need is to be registered on Mondaq.com.

Click to Login as an existing user or Register so you can print this article.

Authors
 
In association with
Related Topics
 
Related Articles
 
Related Video
Up-coming Events Search
Tools
Print
Font Size:
Translation
Channels
Mondaq on Twitter
 
Register for Access and our Free Biweekly Alert for
This service is completely free. Access 250,000 archived articles from 100+ countries and get a personalised email twice a week covering developments (and yes, our lawyers like to think you’ve read our Disclaimer).
 
Email Address
Company Name
Password
Confirm Password
Position
Mondaq Topics -- Select your Interests
 Accounting
 Anti-trust
 Commercial
 Compliance
 Consumer
 Criminal
 Employment
 Energy
 Environment
 Family
 Finance
 Government
 Healthcare
 Immigration
 Insolvency
 Insurance
 International
 IP
 Law Performance
 Law Practice
 Litigation
 Media & IT
 Privacy
 Real Estate
 Strategy
 Tax
 Technology
 Transport
 Wealth Mgt
Regions
Africa
Asia
Asia Pacific
Australasia
Canada
Caribbean
Europe
European Union
Latin America
Middle East
U.K.
United States
Worldwide Updates
Registration (you must scroll down to set your data preferences)

Mondaq Ltd requires you to register and provide information that personally identifies you, including your content preferences, for three primary purposes (full details of Mondaq’s use of your personal data can be found in our Privacy and Cookies Notice):

  • To allow you to personalize the Mondaq websites you are visiting to show content ("Content") relevant to your interests.
  • To enable features such as password reminder, news alerts, email a colleague, and linking from Mondaq (and its affiliate sites) to your website.
  • To produce demographic feedback for our content providers ("Contributors") who contribute Content for free for your use.

Mondaq hopes that our registered users will support us in maintaining our free to view business model by consenting to our use of your personal data as described below.

Mondaq has a "free to view" business model. Our services are paid for by Contributors in exchange for Mondaq providing them with access to information about who accesses their content. Once personal data is transferred to our Contributors they become a data controller of this personal data. They use it to measure the response that their articles are receiving, as a form of market research. They may also use it to provide Mondaq users with information about their products and services.

Details of each Contributor to which your personal data will be transferred is clearly stated within the Content that you access. For full details of how this Contributor will use your personal data, you should review the Contributor’s own Privacy Notice.

Please indicate your preference below:

Yes, I am happy to support Mondaq in maintaining its free to view business model by agreeing to allow Mondaq to share my personal data with Contributors whose Content I access
No, I do not want Mondaq to share my personal data with Contributors

Also please let us know whether you are happy to receive communications promoting products and services offered by Mondaq:

Yes, I am happy to received promotional communications from Mondaq
No, please do not send me promotional communications from Mondaq
Terms & Conditions

Mondaq.com (the Website) is owned and managed by Mondaq Ltd (Mondaq). Mondaq grants you a non-exclusive, revocable licence to access the Website and associated services, such as the Mondaq News Alerts (Services), subject to and in consideration of your compliance with the following terms and conditions of use (Terms). Your use of the Website and/or Services constitutes your agreement to the Terms. Mondaq may terminate your use of the Website and Services if you are in breach of these Terms or if Mondaq decides to terminate the licence granted hereunder for any reason whatsoever.

Use of www.mondaq.com

To Use Mondaq.com you must be: eighteen (18) years old or over; legally capable of entering into binding contracts; and not in any way prohibited by the applicable law to enter into these Terms in the jurisdiction which you are currently located.

You may use the Website as an unregistered user, however, you are required to register as a user if you wish to read the full text of the Content or to receive the Services.

You may not modify, publish, transmit, transfer or sell, reproduce, create derivative works from, distribute, perform, link, display, or in any way exploit any of the Content, in whole or in part, except as expressly permitted in these Terms or with the prior written consent of Mondaq. You may not use electronic or other means to extract details or information from the Content. Nor shall you extract information about users or Contributors in order to offer them any services or products.

In your use of the Website and/or Services you shall: comply with all applicable laws, regulations, directives and legislations which apply to your Use of the Website and/or Services in whatever country you are physically located including without limitation any and all consumer law, export control laws and regulations; provide to us true, correct and accurate information and promptly inform us in the event that any information that you have provided to us changes or becomes inaccurate; notify Mondaq immediately of any circumstances where you have reason to believe that any Intellectual Property Rights or any other rights of any third party may have been infringed; co-operate with reasonable security or other checks or requests for information made by Mondaq from time to time; and at all times be fully liable for the breach of any of these Terms by a third party using your login details to access the Website and/or Services

however, you shall not: do anything likely to impair, interfere with or damage or cause harm or distress to any persons, or the network; do anything that will infringe any Intellectual Property Rights or other rights of Mondaq or any third party; or use the Website, Services and/or Content otherwise than in accordance with these Terms; use any trade marks or service marks of Mondaq or the Contributors, or do anything which may be seen to take unfair advantage of the reputation and goodwill of Mondaq or the Contributors, or the Website, Services and/or Content.

Mondaq reserves the right, in its sole discretion, to take any action that it deems necessary and appropriate in the event it considers that there is a breach or threatened breach of the Terms.

Mondaq’s Rights and Obligations

Unless otherwise expressly set out to the contrary, nothing in these Terms shall serve to transfer from Mondaq to you, any Intellectual Property Rights owned by and/or licensed to Mondaq and all rights, title and interest in and to such Intellectual Property Rights will remain exclusively with Mondaq and/or its licensors.

Mondaq shall use its reasonable endeavours to make the Website and Services available to you at all times, but we cannot guarantee an uninterrupted and fault free service.

Mondaq reserves the right to make changes to the services and/or the Website or part thereof, from time to time, and we may add, remove, modify and/or vary any elements of features and functionalities of the Website or the services.

Mondaq also reserves the right from time to time to monitor your Use of the Website and/or services.

Disclaimer

The Content is general information only. It is not intended to constitute legal advice or seek to be the complete and comprehensive statement of the law, nor is it intended to address your specific requirements or provide advice on which reliance should be placed. Mondaq and/or its Contributors and other suppliers make no representations about the suitability of the information contained in the Content for any purpose. All Content provided "as is" without warranty of any kind. Mondaq and/or its Contributors and other suppliers hereby exclude and disclaim all representations, warranties or guarantees with regard to the Content, including all implied warranties and conditions of merchantability, fitness for a particular purpose, title and non-infringement. To the maximum extent permitted by law, Mondaq expressly excludes all representations, warranties, obligations, and liabilities arising out of or in connection with all Content. In no event shall Mondaq and/or its respective suppliers be liable for any special, indirect or consequential damages or any damages whatsoever resulting from loss of use, data or profits, whether in an action of contract, negligence or other tortious action, arising out of or in connection with the use of the Content or performance of Mondaq’s Services.

General

Mondaq may alter or amend these Terms by amending them on the Website. By continuing to Use the Services and/or the Website after such amendment, you will be deemed to have accepted any amendment to these Terms.

These Terms shall be governed by and construed in accordance with the laws of England and Wales and you irrevocably submit to the exclusive jurisdiction of the courts of England and Wales to settle any dispute which may arise out of or in connection with these Terms. If you live outside the United Kingdom, English law shall apply only to the extent that English law shall not deprive you of any legal protection accorded in accordance with the law of the place where you are habitually resident ("Local Law"). In the event English law deprives you of any legal protection which is accorded to you under Local Law, then these terms shall be governed by Local Law and any dispute or claim arising out of or in connection with these Terms shall be subject to the non-exclusive jurisdiction of the courts where you are habitually resident.

You may print and keep a copy of these Terms, which form the entire agreement between you and Mondaq and supersede any other communications or advertising in respect of the Service and/or the Website.

No delay in exercising or non-exercise by you and/or Mondaq of any of its rights under or in connection with these Terms shall operate as a waiver or release of each of your or Mondaq’s right. Rather, any such waiver or release must be specifically granted in writing signed by the party granting it.

If any part of these Terms is held unenforceable, that part shall be enforced to the maximum extent permissible so as to give effect to the intent of the parties, and the Terms shall continue in full force and effect.

Mondaq shall not incur any liability to you on account of any loss or damage resulting from any delay or failure to perform all or any part of these Terms if such delay or failure is caused, in whole or in part, by events, occurrences, or causes beyond the control of Mondaq. Such events, occurrences or causes will include, without limitation, acts of God, strikes, lockouts, server and network failure, riots, acts of war, earthquakes, fire and explosions.

By clicking Register you state you have read and agree to our Terms and Conditions