Qualification et quantification de l'obligation de sécurité informationnelle dans la détermination de la faute civile

L'obligation de sécurité informationnelle - c'est-à-dire la tâche qui incombe aux entreprises d'assurer l'intégrité, la confidentialité et la disponibilité de l'information découle, tant en droit québécois que dans une majorité de juridictions occidentales, d'une série de dispositions législatives imposant non pas l'adoption de comportements ou l'utilisation de technologies ou de procédés identifiables, mais bien l'implantation de mesures de sécurité «raisonnables », «adéquates », ou « suffisantes ». Or, dans un domaine aussi embryonnaire et complexe que celui de la sécurité informationnelle, domaine dans lequel les solutions disponibles sont multiples et où la jurisprudence est éparse, comment une entreprise peut-elle jauger avec justesse l'étendue de son obligation? Bref, comment établir ce que ferait une entreprise raisonnablement prudente et diligente dans un domaine où il n'existe actuellement aucune balise législative, jurisprudentielle ou même coutumière permettant de fixer avec justesse le niveau de diligence imposé par le législateur? L'absence de sécurité juridique offerte par une telle situation est patente et nécessite une reconfiguration du cadre opératoire de l'obligation de sécurité informationnelle afin d'en identifier les composantes et les objectifs. Cet exercice passera par la redéfinition de l'obligation de sécurité informationnelle comme obligation de réduire les risques qui guettent l'information à un niveau socialement acceptable. En effet, la sécurité pouvant être définie comme étant la gestion du risque, c'est donc le risque qui réside au cœur de cette obligation. Or, en analysant les risques qui guettent un système, soit en analysant les menaces qui visent à exploiter ses vulnérabilités, il est possible d'établir quelles contre-mesures s'avèrent utiles et les coûts associés à leur mise en œuvre. Par la suite, il devient envisageable, en recourant à la définition économique de la négligence et en prenant compte des probabilités de brèches de sécurité et des dommages escomptés, d'établir les sommes optimales à investir dans l'achat, l'entretien et la mise à jour de ces contre-mesures. Une telle analyse permet ainsi de quantifier avec un certain degré de précision l'étendue de l'obligation de sécurité informationnelle en offrant aux entreprises un outil s'inspirant de données matérielles auxquelles elles ont librement accès et s'intégrant aisément dans le contexte juridique contemporain.

La convergence de la sécurité informatique et de la protection des renseignements personnels : vers une nouvelle approche juridique

"Mémoire présenté à la Faculté des études supérieures en vue de l'obtention du grade de maîtrise en droit (LL.M.) option Nouvelles technologies de l'information"

Surveillance et ordre commercial : ethnographie d’un centre de contrôle de vidéosurveillance en milieu privé de masse

Dans l’optique que la télésurveillance est devenue un outil indispensable en matière de sécurité, notre projet de recherche porte sur la manière dont elle est utilisée à des fins de gestion de l’ordre dans une propriété privée de masse (propriété privée que le public général est invité à visiter). Il s’agit de comprendre le rôle du centre de contrôle de télésurveillance dans la gestion d’un centre commercial. De façon plus spécifique, nous voulons décrire le fonctionnement et les objectifs des technologies de télésurveillance et les méthodes de contrôle utilisées dans un espace privé de masse. Nous voulons décrire les pratiques des agents affectés au centre de contrôle de télésurveillance ainsi que leur perception des notions de sécurité et d’ordre, avec une attention particulière accordée à la surveillance des lieux. Le site que nous avons sélectionné est un édifice situé en plein cœur du centre-ville de Montréal, où nous retrouvons des galeries commerciales abritant plusieurs restaurants et boutiques. Afin d’atteindre nos objectifs de recherche, nous avons fait plus de 150 heures d’observation participante dans le centre de contrôle de télésurveillance. Nos observations étaient complétées par des entretiens spontanés, afin de bien comprendre la dynamique et les interactions entre les agents, les autres employés et les visiteurs. Ainsi, notre matériel empirique est surtout de nature qualitative, mais nous avons complété ces données avec une grille d’analyse quantitative permettant une analyse minutieuse de l’emploi du temps des agents de sécurité à l’aide d’un fichier informatisé. Nous sommes en mesure d’établir que la surveillance dans une propriété privée de masse vise, à biens des égards, la gestion de l’image. La sécurité proprement dite est reléguée au second plan, derrière tout ce qui est relatif au marketing et à l’encouragement à la consommation. De plus, nous avons constaté que les agents de sécurité dans de tels lieux servent surtout à répondre à des besoins organisationnels ponctuels, leur quotidien n’étant guidé par aucune mission globale. Quant au centre de contrôle de vidéosurveillance, nous pouvons affirmer que son rôle est de s’assurer que toutes les activités au centre se déroulent comme convenu par les gestionnaires de l’établissement.

Représentation de trajectoires spatiotemporelles dans un système d’information géographique : le cas des activités d’observation de mammifères marins dans le Parc marin du Saguenay – Saint-Laurent

Parc marin du Saguenay - Saint-Laurent, Groupe de recherche et d'éducation sur les mammifères marins, GREMM, excursions aux baleines, bélugas, Tadoussac, règlementation, ArcCatalog, ArcMap.

Les infractions portant atteinte à la sécurité du système informatique d’une entreprise

Les nouvelles technologies de l’information et des communications occupent aujourd’hui une place importante dans les entreprises, quelle que soit la taille ou le(s) domaine(s) d’activité de ces dernières. Elles participent de manière positive au développement de la vie économique. Elles sont toutefois à l’origine d’une nouvelle forme de criminalité qui menace la sécurité et l’intégrité des systèmes informatiques dans l’entreprise. Celle-ci est d’une ampleur difficile à évaluer, mais surtout difficile à maîtriser avec les dispositions législatives déjà en place, laissant par là même apparaître qu’une adaptation au niveau juridique est inévitable. Certains pays industrialisés ont ainsi décidé de mettre en place un cadre juridique adéquat pour garantir aux entreprises la sécurité de leurs systèmes informatiques. Notre étude va justement porter sur les dispositifs mis en place par deux systèmes juridiques différents. Forcés de prendre en compte une réalité nouvelle – qui n’existait pas nécessairement il y a plusieurs années –, la France et le Canada ont décidé de modifier respectivement leurs codes pénal et criminel en leur ajoutant des dispositions qui répriment de nouvelles infractions. À travers cet exposé, nous allons analyser les infractions qui portent atteinte à la sécurité du système informatique de l’entreprise à la lumière des outils juridiques mis en place. Nous allons mesurer leur degré d’efficacité face à la réalité informatique. En d’autres termes, il s’agit pour nous de déterminer si le droit va répondre ou non aux besoins de l’informatique.

Building a Canadian Virtual Health Library Database / Création de la Bibliothèque virtuelle canadienne de santé

Introduction: Avec l’abondance d’information gratuite disponible en ligne, la tâche de trouver, de trier et d’acheminer de l’information pertinente à l’auditoire approprié peut s’avérer laborieuse. En décembre 2010, la Bibliothèque virtuelle canadienne de santé / Canadian Virtual Health Library (BVCS) a formé un comité d’experts afin d’identifier, d’évaluer, de sélectionner et d’organiser des ressources d’intérêt pour les professionnels de la santé. Méthodes: Cette affiche identifiera les décisions techniques du comité d’experts, incluant le système de gestion de contenus retenu, l’utilisation des éléments Dublin Core et des descripteurs Medical Subject Headings pour la description des ressources, et le développement et l’adaptation de taxonomies à partir de la classification MeSH. La traduction française des descripteurs MeSH à l’aide du portail CISMeF sera également abordée. Résultats: Au mois de mai 2011, le comité a lancé la base de données BVCS de ressources en ligne gratuites sur la santé, regroupant plus de 1600 sites web et ressources. Une variété de types de contenus sont représentés, incluant des articles et rapports, des bases de données interactives et des outils de pratique clinique. Discussion: Les bénéfices et défis d’une collaboration pancanadienne virtuelle seront présentés, ainsi que l’inclusion cruciale d’un membre francophone pour composer avec la nature bilingue de la base de données. En lien avec cet aspect du projet, l’affiche sera présentée en français et en anglais. Introduction: With the abundance of freely available online information, the task of finding, filtering and fitting relevant information to the appropriate audience, is daunting. In December 2010 the Canadian Virtual Health Library / Bibliothèque virtuelle canadienne de santé (CVHL) formed an expert committee to identify, evaluate, select and organize resources relevant to health professionals. Methods: This poster will identify the key technical decisions of the expert committee including the content management system used to manage the data, the use of Dublin Core elements and Medical Subject Headings to describe the resources, and the development and adaptation of taxonomies from MeSH classification to catalog resources. The translation of MeSH terms to French using the CiSMeF portal will also be discussed. Results: In May 2010, the committee launched the CVHL database of free web-based health resources. Content ranged from online articles and reports to videos, interactive databases and clinical practice tools, and included more than 1,600 websites and resources. Discussion: The benefits and challenges of a virtual, pan-Canadian collaboration, and the critical inclusion of a Francophone member to address the bilingual nature of the database, will be presented. In keeping with the nature of the project, the poster will be presented in French and English.

PROTECT_U: Un système communautaire pour la protection des usagers de Facebook

Article publié dans le journal « Journal of Information Security Research ». March 2012.

Plateforme pour se protéger tant de soi-même que de ses "amis" sur Facebook

Les réseaux sociaux accueillent chaque jour des millions d’utilisateurs. Les usagers de ces réseaux, qu’ils soient des particuliers ou des entreprises, sont directement affectés par leur fulgurante expansion. Certains ont même développé une certaine dépendance à l’usage des réseaux sociaux allant même jusqu’à transformer leurs habitudes de vie de tous les jours. Cependant, cet engouement pour les réseaux sociaux n’est pas sans danger. Il va de soi que leur expansion favorise et sert également l’expansion des attaques en ligne. Les réseaux sociaux constituent une opportunité idéale pour les délinquants et les fraudeurs de porter préjudice aux usagers. Ils ont accès à des millions de victimes potentielles. Les menaces qui proviennent des amis et auxquelles font face les utilisateurs de réseaux sociaux sont nombreuses. On peut citer, à titre d’exemple, la cyberintimidation, les fraudes, le harcèlement criminel, la menace, l’incitation au suicide, la diffusion de contenu compromettant, la promotion de la haine, l’atteinte morale et physique, etc. Il y a aussi un « ami très proche » qui peut être très menaçant sur les réseaux sociaux : soi-même. Lorsqu’un utilisateur divulgue trop d’informations sur lui-même, il contribue sans le vouloir à attirer vers lui les arnaqueurs qui sont à la recherche continue d’une proie. On présente dans cette thèse une nouvelle approche pour protéger les utilisateurs de Facebook. On a créé une plateforme basée sur deux systèmes : Protect_U et Protect_UFF. Le premier système permet de protéger les utilisateurs d’eux-mêmes en analysant le contenu de leurs profils et en leur proposant un ensemble de recommandations dans le but de leur faire réduire la publication d’informations privées. Le second système vise à protéger les utilisateurs de leurs « amis » dont les profils présentent des symptômes alarmants (psychopathes, fraudeurs, criminels, etc.) en tenant compte essentiellement de trois paramètres principaux : le narcissisme, le manque d’émotions et le comportement agressif.

L'efficacité du régime de responsabilité civile comme mesure de contrainte au respect de l'obligation de sécurité des renseignements personnels.

Dans un contexte où les renseignements personnels sont aujourd’hui une « devise » commerciale importante, il importe de s’attarder à la responsabilité de leur protection. Les lois encadrant la protection des renseignements personnels imposent notamment aux entreprises du secteur privé une obligation de sécurité. Par contre, elles ne prévoient pas de sanction monétaire en cas de violation. Il faut donc se tourner vers le droit de la responsabilité civile afin de contraindre les entreprises à adopter des mesures de sécurité. Or, le régime de responsabilité civile actuel est mal adapté aux obligations associées à la sécurité des renseignements personnels. Le flou normatif entourant le contenu de l’obligation de sécurité et les difficultés d’exercice du recours rendent peu efficace le régime de responsabilité civile compensatoire. Dans un souci d’améliorer son efficacité, deux propositions méritent d’être considérées, soit : la revalorisation des dommages-intérêts punitifs et l’encadrement statutaire d’une obligation de notification des atteintes à la sécurité des renseignements personnels. Ces deux propositions sanctionnent les violations à l’obligation de sécurité là où le régime de responsabilité civile compensatoire semble échouer. Par contre, elles ne sont elles-mêmes efficaces que si leur exercice respecte les fonctions qui leur sont sous-jacentes. Au final, la responsabilité de la sécurité des renseignements personnels ne repose pas seulement sur un régime responsabilité, mais sur une culture de responsabilité.

Cadre juridique de l'utilisation de la biométrie au Québec : sécurité et vie privée

La biométrie, appliquée dans un contexte de traitement automatisé des données et de reconnaissance des identités, fait partie de ces technologies nouvelles dont la complexité d’utilisation fait émerger de nouveaux enjeux et où ses effets à long terme sont incalculables. L’envergure des risques suscite des questionnements dont il est essentiel de trouver les réponses. On justifie le recours à cette technologie dans le but d’apporter plus de sécurité, mais, vient-elle vraiment apporter plus de protection dans le contexte actuel? En outre, le régime législatif québécois est-il suffisant pour encadrer tous les risques qu’elle génère? Les technologies biométriques sont flexibles en ce sens qu’elles permettent de saisir une multitude de caractéristiques biométriques et offrent aux utilisateurs plusieurs modalités de fonctionnement. Par exemple, on peut l’utiliser pour l’identification tout comme pour l’authentification. Bien que la différence entre les deux concepts puisse être difficile à saisir, nous verrons qu’ils auront des répercussions différentes sur nos droits et ne comporteront pas les mêmes risques. Par ailleurs, le droit fondamental qui sera le plus touché par l’utilisation de la biométrie sera évidemment le droit à la vie privée. Encore non bien compris, le droit à la vie privée est complexe et son application est difficile dans le contexte des nouvelles technologies. La circulation des données biométriques, la surveillance accrue, le détournement d’usage et l’usurpation d’identité figurent au tableau des risques connus de la biométrie. De plus, nous verrons que son utilisation pourra avoir des conséquences sur d’autres droits fondamentaux, selon la manière dont le système est employé. Les tests de nécessité du projet et de proportionnalité de l’atteinte à nos droits seront les éléments clés pour évaluer la conformité d’un système biométrique. Ensuite, le succès de la technologie dépendra des mesures de sécurité mises en place pour assurer la protection des données biométriques, leur intégrité et leur accès, une fois la légitimité du système établie.