Écrit par Ruth Promislow and Ethan Schiff
Il n’y a pas que les pirates informatiques qui posent un risque pour la sécurité de l’information d’une organisation; les initiés hostiles le font aussi.
Autorité britannique récente: Morrison Supermarkets
La doctrine de la responsabilité du fait d’autrui s’applique différemment selon le contexte et demeure relativement peu éprouvée au Canada dans le contexte particulier des atteintes à la protection des données. Une affaire récente au Royaume-Uni concernant une réclamation pour responsabilité du fait d’autrui à l’égard d’une atteinte à la protection des données d’un employé sert de contexte utile pour comprendre comment les tribunaux canadiens peuvent aborder une question comparable. Dans WM Morrison Supermarkets plc v Various Claimants, [2020] UKSC 12 [Morrison Supermarkets], les employés de Morrison (la société défenderesse) ont intenté une action alléguant, entre autres, la responsabilité du fait d’autrui pour diverses violations fondées sur la publication de renseignements personnels par un autre employé, Andrew Skelton. Morrison a fourni à Skelton les renseignements confidentiels des demandeurs dans le contexte de son poste de vérificateur interne aux fins de la transmission des données à des vérificateurs externes. Il
En rejetant la demande de responsabilité du fait d’autrui, la Cour suprême du Royaume-Uni a noté qu’au Royaume-Uni, une partie n’est généralement responsable du fait d’autrui que si la conduite de l’employé est étroitement liée aux actes que l’employé était autorisé à accomplir, de sorte que l’activité s’est produite dans le cours de ses activités. Bien que ce critère puisse être assoupli dans certains contextes (en particulier, les cas d’abus sexuels),
Le paysage canadien
L’approche du Canada à l’égard de la responsabilité du fait d’autrui est distincte de celle adoptée dans l’affaire Morrison Supermarkets. Au Canada, l’applicabilité de la responsabilité du fait d’autrui dans un contexte nouveau est
Alors que la Cour suprême du Royaume-Uni dans l’affaire Morrison Supermarkets s’est fortement appuyée sur le conflit entre les activités de Skelton et les intérêts de Morrison, la
Il est donc concevable qu’un tribunal canadien puisse se fonder contre un employeur sur la base de faits analogues à ceux de l’affaire Morrison Supermarkets. En vertu de l’approche canadienne de la responsabilité du fait d’autrui, un employeur peut être tenu responsable de l’acte répréhensible intentionnel de son employé (comme le vol de données) si le risque de violation a été accru parce que, par exemple, l’employé a été autorisé à accéder aux données sans supervision suffisante ou, bien qu’il n’ait pas été autorisé à accéder aux données, l’employé a eu suffisamment de possibilités d’accéder aux données parce que l’employeur n’a pas mis en place la sécurité appropriée les contrôles.
Gérer le risque de responsabilité potentielle du fait d’autrui au Canada
Les organisations devraient prendre des mesures pour gérer le risque de responsabilité du fait d’autrui en cas d’inconduite des employés impliquant l’accès non autorisé aux renseignements personnels sous la garde de l’organisation. Plus précisément, les organisations devraient réduire au minimum les possibilités d’actes répréhensibles de la part des employés, ainsi que les circonstances qui pourraient donner lieu à une conclusion de responsabilité d’autrui. Parmi les mesures qu’une organisation pourrait prendre, mentionnons les suivantes :
- Limiter l’accès des employés à des renseignements personnels et à d’autres renseignements hautement confidentiels selon le besoin de savoir;
- Mettre en œuvre des politiques qui décrivent les bases spécifiques sur lesquelles les renseignements personnels et d’autres renseignements hautement confidentiels peuvent être consultés, utilisés, transférés ou divulgués par les employés;
- Mettre en œuvre un protocole de supervision des employés ayant accès à des renseignements personnels de nature délicate et à d’autres renseignements hautement confidentiels;
- Mettre en œuvre des mesures de protection technologiques qui empêchent les employés de télécharger des renseignements sur les clients, sauf dans la mesure nécessaire, et créer des alertes pour les superviseurs lorsque des renseignements personnels et d’autres renseignements hautement confidentiels de nature délicate sont consultés;
- Assurer la disponibilité des registres enregistrant l’accès à des renseignements personnels et à d’autres renseignements hautement confidentiels et mettre en œuvre des protocoles pour examiner ces registres afin de s’assurer qu’ils sont conformes à l’accès et à l’utilisation prévus; et
- Pour obtenir des renseignements de nature très délicate, envisagez de mettre en œuvre un protocole exigeant que deux employés signent pour obtenir l’accès.
Pour gérer l’exposition potentielle à la responsabilité du fait d’autrui impliquant une compromission de renseignements personnels, les organisations devraient cerner les risques qui sont propres à leur organisation et adapter le plan de gestion des risques en conséquence. Pour obtenir de plus amples renseignements sur ces questions, veuillez communiquer avec le groupe Bennett Jones Privacy and Data Protection group.
Traduction alimentée par l’IA.
Veuillez noter que cette publication présente un aperçu des tendances juridiques notables et des mises à jour connexes. Elle est fournie à titre informatif seulement et ne saurait remplacer un conseil juridique personnalisé. Si vous avez besoin de conseils adaptés à votre propre situation, veuillez communiquer avec l’un des auteurs pour savoir comment nous pouvons vous aider à gérer vos besoins juridiques.
Pour obtenir l’autorisation de republier la présente publication ou toute autre publication, veuillez communiquer avec Amrita Kochhar à kochhara@bennettjones.com.