Commentaire sur un critère de sécurité raisonnable

Le Groupe de travail de la Conférence de Sedona sur la sécurité des données et la responsabilité en matière de protection de la vie privée (WG11) a élaboré ce commentaire pour traiter du « critère juridique » qu’un tribunal ou un autre organisme juridictionnel devrait appliquer dans une situation où une partie a, ou est présumée avoir, l’obligation légale de fournir une « sécurité raisonnable » pour les renseignements personnels, et la question est de savoir si la partie en question a respecté cette obligation légale.

Le commentaire propose un critère de sécurité raisonnable qui est conçu pour être conforme aux modèles de détermination du « caractère raisonnable » qui ont été utilisés dans divers autres contextes par les tribunaux, dans la surveillance législative et réglementaire et dans les cadres de contrôle de la sécurité de l’information. Tous ces régimes utilisent une forme d’analyse des risques pour équilibrer les coûts et les avantages. Le test proposé fournit une méthode pratique pour exprimer l’analyse coûts-avantages qui peut être appliquée dans les mesures réglementaires de sécurité des données, aux litiges et aux praticiens de la sécurité de l’information en utilisant leurs techniques d’évaluation actuelles. Le commentaire explique également comment l’analyse devrait s’appliquer dans le contexte de la sécurité des données. Étant donné que le critère est fondé sur des principes communs, les rédacteurs croient qu’il offre des méthodes pour tirer parti du caractère raisonnable qui sont familières à toutes les parties intéressées. Mais il convient de noter que, selon leur texte, des lois ou des règles individuelles qui exigent une sécurité raisonnable pourraient nécessiter l’utilisation d’une analyse différente.

Le commentaire commence par un bref résumé de l’importance d’avoir un test, du raisonnement qui sous-tend une approche coûts-avantages pour le test et des questions que le test n’aborde pas. La partie I énonce le critère proposé et l’explication de la façon dont il est appliqué. La partie II fournit un examen et une analyse des ressources existantes qui offrent des indications sur la façon dont la « garantie raisonnable » a été définie et appliquée à ce jour et explique comment elles ont une incidence sur le critère. Il comprend un examen sommaire des lois et des règlements qui obligent les organisations à fournir une sécurité raisonnable en ce qui concerne les renseignements personnels, les décisions des cours et d’autres tribunaux administratifs en ce qui concerne les mêmes normes applicables de l’industrie et les renseignements sur le marché. À la suite de cette discussion, le commentaire identifie les éléments qui ne sont pas inclus dans le test proposé (également mentionné dans la section Introduction) et se termine par une discussion concernant l’importance de la flexibilité.

Le texte intégral de The Sedona Conference Commentary on a Reasonable Security Test, Public Comment Version, est disponible en téléchargement individuel à partir de Le site Web de la conférence Sedona.

Ruth Promislow a contribué à l’éditeur de cet article.