Atteinte à la protection des données et responsabilité du fait d'autrui en cas d'inconduite des employés

Il n'y a pas que les pirates informatiques qui posent un risque pour la sécurité de l'information d'une organisation; les initiés hostiles le font aussi. According to Verizon, on estime que 34 pour cent des violations de données impliquent des acteurs internes. Les initiés hostiles peuvent être motivés par des raisons personnelles (par exemple, jeter un coup d'œil aux informations personnelles de la clientèle de leur employeur pour avoir un aperçu des informations privées d'une personne en particulier), ou des raisons financières (par exemple, le vol de données personnelles à des fins de profit financier). Si les actions de l'initié hostile entraînent un préjudice ou des pertes pour des tiers, l'organisation peut faire face à une responsabilité du fait d'autrui, même en l'absence d'actes répréhensibles de l'entreprise.

Autorité britannique récente: Morrison Supermarkets

La doctrine de la responsabilité du fait d'autrui s'applique différemment selon le contexte et demeure relativement peu éprouvée au Canada dans le contexte particulier des atteintes à la protection des données. Une affaire récente au Royaume-Uni concernant une réclamation pour responsabilité du fait d'autrui à l'égard d'une atteinte à la protection des données d'un employé sert de contexte utile pour comprendre comment les tribunaux canadiens peuvent aborder une question comparable. Dans WM Morrison Supermarkets plc v Various Claimants, [2020] UKSC 12 [Morrison Supermarkets], les employés de Morrison (la société défenderesse) ont intenté une action alléguant, entre autres, la responsabilité du fait d'autrui pour diverses violations fondées sur la publication de renseignements personnels par un autre employé, Andrew Skelton. Morrison a fourni à Skelton les renseignements confidentiels des demandeurs dans le contexte de son poste de vérificateur interne aux fins de la transmission des données à des vérificateurs externes. Il a publié l'information dans l'intention de nuire à Morrison.

En rejetant la demande de responsabilité du fait d'autrui, la Cour suprême du Royaume-Uni a noté qu'au Royaume-Uni, une partie n'est généralement responsable du fait d'autrui que si la conduite de l'employé est étroitement liée aux actes que l'employé était autorisé à accomplir, de sorte que l'activité s'est produite dans le cours de ses activités. Bien que ce critère puisse être assoupli dans certains contextes (en particulier, les cas d'abus sexuels), la Cour a jugé que la communication de données de Morrison à Skelton dans le contexte de ses responsabilités professionnelles était insuffisante d'établir un lien étroit avec la publication erronée des données par Skelton, en particulier parce que la motivation de Skelton était en conflit direct avec les intérêts de Morrison.

Le paysage canadien

L'approche du Canada à l'égard de la responsabilité du fait d'autrui est distincte de celle adoptée dans l'affaire Morrison Supermarkets. Au Canada, l'applicabilité de la responsabilité du fait d'autrui dans un contexte nouveau est déterminé en soupesant les considérations de politique, en particulier l'équité et la dissuasion. Bien que l'application de la responsabilité du fait d'autrui dans un contexte d'atteinte à la protection des données demeure largement inexplorée, les tribunaux canadiens ont certifié les recours collectifs alléguant, entre autres, la responsabilité du fait d'autrui pour la violation par un employé des renseignements personnels d'un client (en vertu du délit d'intrusion lors de l'isolement) (voir 2014 ONSC 213, 2020 ONSC 83, 2017 ONSC 3466, 2019 ONSC 6180).

Alors que la Cour suprême du Royaume-Uni dans l'affaire Morrison Supermarkets s'est fortement appuyée sur le conflit entre les activités de Skelton et les intérêts de Morrison, la Supreme Court of Canada a indiqué que la responsabilité du fait d'autrui peut s'appliquer dans le contexte d'une conduite intentionnelle même lorsque cette conduite ne sert pas les objectifs de l'employeur. Au lieu de cela, Les tribunaux canadiens se concentrent sur l'importance de la possibilité que l'employeur a donnée à l'auteur du méfait d'accroître la probabilité de la perpétration du délit. Par exemple, une entreprise peut être tenue responsable du fait d'autrui de la fraude de son employé contre un tiers lorsque l'employeur accorde à l'employé un pouvoir non contrôlé qui augmente le risque de fraude.

Il est donc concevable qu'un tribunal canadien puisse se fonder contre un employeur sur la base de faits analogues à ceux de l'affaire Morrison Supermarkets. En vertu de l'approche canadienne de la responsabilité du fait d'autrui, un employeur peut être tenu responsable de l'acte répréhensible intentionnel de son employé (comme le vol de données) si le risque de violation a été accru parce que, par exemple, l'employé a été autorisé à accéder aux données sans supervision suffisante ou, bien qu'il n'ait pas été autorisé à accéder aux données, l'employé a eu suffisamment de possibilités d'accéder aux données parce que l'employeur n'a pas mis en place la sécurité appropriée les contrôles.

Gérer le risque de responsabilité potentielle du fait d'autrui au Canada

Les organisations devraient prendre des mesures pour gérer le risque de responsabilité du fait d'autrui en cas d'inconduite des employés impliquant l'accès non autorisé aux renseignements personnels sous la garde de l'organisation. Plus précisément, les organisations devraient réduire au minimum les possibilités d'actes répréhensibles de la part des employés, ainsi que les circonstances qui pourraient donner lieu à une conclusion de responsabilité d'autrui. Parmi les mesures qu'une organisation pourrait prendre, mentionnons les suivantes :

• Limiter l'accès des employés à des renseignements personnels et à d'autres renseignements hautement confidentiels selon le besoin de savoir;
• Mettre en œuvre des politiques qui décrivent les bases spécifiques sur lesquelles les renseignements personnels et d'autres renseignements hautement confidentiels peuvent être consultés, utilisés, transférés ou divulgués par les employés;
• Mettre en œuvre un protocole de supervision des employés ayant accès à des renseignements personnels de nature délicate et à d'autres renseignements hautement confidentiels;
• Mettre en œuvre des mesures de protection technologiques qui empêchent les employés de télécharger des renseignements sur les clients, sauf dans la mesure nécessaire, et créer des alertes pour les superviseurs lorsque des renseignements personnels et d'autres renseignements hautement confidentiels de nature délicate sont consultés;
• Assurer la disponibilité des registres enregistrant l'accès à des renseignements personnels et à d'autres renseignements hautement confidentiels et mettre en œuvre des protocoles pour examiner ces registres afin de s'assurer qu'ils sont conformes à l'accès et à l'utilisation prévus; et
• Pour obtenir des renseignements de nature très délicate, envisagez de mettre en œuvre un protocole exigeant que deux employés signent pour obtenir l'accès.

Pour gérer l'exposition potentielle à la responsabilité du fait d'autrui impliquant une compromission de renseignements personnels, les organisations devraient cerner les risques qui sont propres à leur organisation et adapter le plan de gestion des risques en conséquence. Pour obtenir de plus amples renseignements sur ces questions, veuillez communiquer avec le groupe Bennett Jones Privacy and Data Protection group.